Vote attendu à l'Assemblée nationale lors de la session extraordinaire de juillet 2026
L'enjeu
La France accuse un retard significatif dans la transposition de la directive européenne NIS 2, dont la date-butoir était fixée au 17 octobre 2024. Faute de vote en hémicycle, les entreprises et collectivités concernées ne peuvent pas encore se conformer à un cadre juridique pourtant déjà opérationnel dans plusieurs pays voisins. Le vote est désormais attendu lors de la session extraordinaire de juillet 2026.
Qu'est-ce que la directive NIS 2 ?
La directive NIS 2 (Network and Information Systems, UE 2022/2555) a été adoptée le 14 décembre 2022 par le Parlement européen. Elle succède à la directive NIS 1 de 2016 avec une ambition nettement plus large : renforcer la résilience numérique de l'ensemble du tissu économique européen face à des cybermenaces qui ne ciblent plus seulement les grandes infrastructures, mais aussi les PME, les collectivités territoriales et les hôpitaux.
En France, ce texte est transposé via le projet de loi dit « Résilience », qui intègre également les directives REC (résilience des entités critiques non numériques) et le règlement DORA pour le secteur financier. L'ANSSI pilote la mise en œuvre et assurera le contrôle de conformité.
Entités impactées en France
(contre 500 sous NIS 1)
Amende maximale pour les entités essentielles
Du CA mondial en cas de manquement grave
Qui est concerné ?
Le périmètre de NIS 2 est radicalement élargi par rapport à NIS 1. Les entités sont réparties en deux catégories selon leur criticité :
| Catégorie | Profil type | Investissement estimé (an 1) | Amende max. |
|---|---|---|---|
| Entité Essentielle | Grands opérateurs énergie, transports, santé, administrations centrales | 450 000 – 880 000 € | 10 M€ ou 2% CA |
| Entité Importante | Moyennes entreprises, collectivités +30 000 hab., éditeurs logiciels | 100 000 – 200 000 € | 7 M€ ou 1,4% CA |
Nouveauté notable : les éditeurs de logiciels sont désormais intégrés au périmètre, tout comme les établissements de santé et médico-sociaux classés en entités essentielles. Les collectivités territoriales à partir de 30 000 habitants sont également assujetties.
Les obligations concrètes
Gouvernance et gestion des risques
- Politique de cybersécurité documentée, adossée à une évaluation des risques formalisée
- Implication obligatoire de la direction dans la supervision des dispositifs de sécurité
- Plan de continuité d'activité et procédures de gestion de crise cyber
Notification des incidents
- Signalement sans retard injustifié à l'ANSSI de tout incident ayant un impact important
- Rapport initial sous 24 h, rapport détaillé sous 72 h, rapport final sous 1 mois
- Ce devoir de signalement représente un changement de paradigme culturel majeur
Sécurité de la chaîne d'approvisionnement
- Évaluation des pratiques de sécurité des fournisseurs et sous-traitants
- Clauses contractuelles de cybersécurité exigées dans les marchés numériques
Contrôle et sanctions
- Inspections et audits par l'ANSSI ou les autorités sectorielles compétentes
- Sanctions financières pouvant atteindre plusieurs millions d'euros
- Publication possible des manquements (avertissement public), au-delà du volet financier
Où en est la transposition en France ?
Adoption de la directive NIS 2 par le Parlement européen. Date-butoir de transposition : 17 octobre 2024.
Présentation du projet de loi « Résilience » en Conseil des ministres. La France manque la date-butoir européenne.
Adoption en première lecture au Sénat. Le texte intègre NIS 2, REC et DORA.
Vote à l'unanimité en commission spéciale de l'Assemblée nationale (244 amendements adoptés).
Vote en hémicycle lors de la session extraordinaire. Promulgation et publication des décrets attendus dans la foulée.
Le député Philippe Latombe a interpellé le gouvernement en mars 2026 sur le paradoxe de la situation : l'État français exige la conformité NIS 2 auprès d'entreprises comme Cegedim après une cyberattaque, alors que la loi de transposition n'est toujours pas promulguée. La France s'expose par ailleurs à des pénalités de l'Union européenne pour ce retard de transposition.
Anticiper : les étapes clés pour se préparer
L'absence de loi promulguée ne doit pas être un prétexte à l'immobilisme. Le cadre européen est connu, le projet de loi est public, et les décrets techniques suivront rapidement après la promulgation. Voici comment anticiper dès maintenant :
1. Déterminer si vous êtes concerné
Identifiez votre secteur d'activité (annexes I et II de la directive), votre taille (effectifs, CA, bilan) et vos éventuelles activités dans d'autres États membres. L'ANSSI met à disposition la plateforme MonEspaceNIS2 pour s'enregistrer dès que la loi sera publiée.
2. Réaliser un état des lieux de votre maturité cyber
Évaluez vos dispositifs existants au regard des articles 20 et 21 de la directive : gouvernance, gestion des risques, continuité d'activité, sécurité des accès, chiffrement, détection des incidents.
3. Budgéter la mise en conformité
L'ANSSI estime les coûts initiaux entre 100 000 et 880 000 € selon la catégorie, plus 10 % par an en maintenance. Ces montants sont à mettre en regard du coût moyen d'une cyberattaque, évalué par la Cour des comptes à 5-10 % du chiffre d'affaires.
4. Sensibiliser la direction
NIS 2 impose une implication explicite des organes dirigeants. La formation des membres du conseil d'administration et du comité de direction devient une obligation, pas une option.
En résumé
La directive NIS 2 marque un tournant historique pour la cybersécurité française : 15 000 entités vont passer sous un régime réglementaire contraignant, avec des obligations de gouvernance, de notification et de gestion des risques inédites. Si la France accuse un retard de transposition, le vote en hémicycle est désormais cadré pour juillet 2026. Les organisations qui anticipent dès maintenant — audit de maturité, plan de conformité, budget pluriannuel — disposeront d'un avantage décisif. Celles qui attendent la promulgation pour agir risquent de se retrouver en difficulté face à des délais de mise en conformité très serrés.