Transposition de NIS2 en France : calendrier, textes et obligations effectives
La directive NIS2 a été adoptée par le Parlement européen en novembre 2022 et les États membres devaient la transposer avant le 17 octobre 2024. La France a finalement voté la loi de transposition en 2025, mais le calendrier réglementaire complet s'étale jusqu'en 2026-2027 pour les décrets d'application sectoriels. Voici l'état actuel de la transposition française et ce qui vous concerne concrètement.
Le cadre législatif français de NIS2
La France a choisi de transposer NIS2 via une loi spécifique modifiant le Code de la sécurité intérieure et plusieurs textes sectoriels. La loi transpose les définitions (entités essentielles, entités importantes, secteurs concernés), les obligations de sécurité et de notification, les pouvoirs de l'ANSSI comme autorité nationale compétente, et le régime de sanctions.
L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est désignée comme l'autorité nationale compétente principale pour NIS2 en France. Elle est chargée de l'identification des entités, de la supervision et des contrôles, de la réception des notifications d'incidents et de la coopération avec ses homologues européens (ENISA, réseau CyCLONe).
Le calendrier d'application : ce qui est effectif en 2026
Phase 1 — Identification des entités (effectif)
La première étape est l'identification des entités essentielles et importantes. Les entreprises des secteurs concernés doivent s'enregistrer auprès de l'ANSSI via le portail dédié MonEspaceNIS2. L'enregistrement déclenche l'accès aux ressources ANSSI et marque le début des obligations.
L'ANSSI peut également identifier d'office des entités — notamment les opérateurs de taille significative dans les secteurs critiques — sans attente de leur auto-déclaration.
Phase 2 — Obligations minimales immédiates
Dès l'identification, les entités doivent respecter des obligations minimales qui s'appliquent sans délai supplémentaire :
- Désignation d'un point de contact NIS2 auprès de l'ANSSI (nom, email, téléphone 24/7 pour les entités essentielles)
- Mise en place d'une procédure de notification des incidents (même si les systèmes complets de détection ne sont pas encore en place)
- Engagement de la direction sur la politique de cybersécurité
Phase 3 — Conformité complète à l'article 21 (calendrier progressif)
La conformité complète aux 10 mesures de l'article 21 (politiques de risques, gestion des incidents, continuité, supply chain, sécurité des acquisitions, formation, chiffrement, RH, MFA, etc.) est attendue selon un calendrier progressif négocié avec l'ANSSI. En pratique, l'ANSSI a communiqué des délais indicatifs :
- Entités essentielles : Conformité attendue dans les 18-24 mois suivant l'identification
- Entités importantes : Conformité attendue dans les 24-36 mois suivant l'identification
Ces délais sont indicatifs et l'ANSSI peut exercer des contrôles à tout moment. Les entités ayant déjà subi un incident grave s'exposeront à des contrôles prioritaires.
Les secteurs et seuils de la transposition française
La France a transposé fidèlement les annexes I et II de la directive NIS2. Les seuils de taille (50 salariés OU 10 M€ de CA pour les entités importantes ; 250 salariés OU 50 M€ de CA et 43 M€ de bilan pour les entités essentielles) s'appliquent avec quelques nuances sectorielles :
- Secteurs "hautement critiques" (Annexe I) : Énergie, transport, banque, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC B2B, espace, administration publique. Pour certains sous-secteurs (énergie, santé), des entités en dessous des seuils de taille peuvent être identifiées si elles sont jugées critiques.
- Secteurs "critiques" (Annexe II) : Services postaux, gestion des déchets, fabrication chimique, alimentation, fabrication industrielle (dispositifs médicaux, électronique, machines, automobile, transports), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.
- Entités critiques de facto : L'ANSSI peut identifier toute entité comme "essentielle" si une perturbation de ses services aurait un impact significatif sur l'économie ou la société française, indépendamment de sa taille.
Les 10 obligations de l'article 21 : ce que vous devez mettre en place
L'article 21 de NIS2 (transposé dans la loi française) impose 10 catégories de mesures de sécurité. Ces mesures sont proportionnées à la nature, la taille et les risques de chaque entité :
- Politiques d'analyse et de gestion des risques : PSSI formalisée, analyse des risques documentée (EBIOS RM, ISO 27005), revue annuelle
- Gestion des incidents : Procédure de détection, qualification, escalade et notification ANSSI. SOC ou service de surveillance adapté.
- Continuité des activités : PCA/PRA documenté et testé, sauvegardes vérifiées, gestion de crise
- Sécurité de la chaîne d'approvisionnement : Évaluation des risques fournisseurs TIC, clauses contractuelles, TPRM
- Sécurité des acquisitions et du développement : Sécurité by design, tests de sécurité, gestion des vulnérabilités
- Politiques d'évaluation de l'efficacité : Audits réguliers, KPI de sécurité, revues de direction
- Formations et sensibilisation : Formation de la direction, sensibilisation des collaborateurs, formation continue des équipes cyber
- Hygiène informatique et chiffrement : Chiffrement des données sensibles, MFA, gestion des accès, patches
- Sécurité des ressources humaines : Vérification des antécédents, processus d'onboarding/offboarding, gestion des accès des sous-traitants
- Authentification MFA et communications sécurisées : MFA généralisé, chiffrement des communications internes
Les obligations de notification : 3 étapes en 72 heures
L'article 23 de NIS2 (transposé en France) impose un processus de notification en 3 étapes pour les incidents ayant un impact significatif :
- Alerte précoce — 24 heures : Notifier l'ANSSI dès la détection d'un incident significatif. Cette notification peut être succincte (nature de l'incident, impact préliminaire estimé). L'objectif est d'alerter rapidement pour permettre une assistance si nécessaire.
- Notification d'incident — 72 heures : Notification complète incluant : description de l'incident, impact réel ou potentiel, mesures d'atténuation prises, systèmes affectés. Ce délai court à partir de la prise de connaissance de l'incident (pas de sa survenue).
- Rapport final — 1 mois : Rapport complet sur l'incident : chronologie, cause racine identifiée, mesures correctives déployées, évaluation de l'impact définitif. Pour les incidents prolongés : rapport intermédiaire à 1 mois, rapport final à la clôture.
Un incident est considéré comme "significatif" s'il a causé ou est susceptible de causer des perturbations opérationnelles graves, des pertes financières significatives, ou des préjudices matériels ou immatériels à d'autres entités ou personnes. L'ANSSI devrait publier des critères plus précis dans ses guides sectoriels.
Les sanctions NIS2 en France
La loi de transposition française prévoit des sanctions administratives proportionnées :
- Entités essentielles : Amendes pouvant atteindre 10 000 000 € ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé)
- Entités importantes : Amendes pouvant atteindre 7 000 000 € ou 1,4 % du chiffre d'affaires mondial annuel
- Responsabilité personnelle des dirigeants : NIS2 prévoit la possibilité de tenir les personnes physiques responsables (dirigeants, RSSI) en cas de négligence grave
- Mesures conservatoires : L'ANSSI peut ordonner des mesures immédiates (mise en conformité forcée, suspension temporaire d'une certification, notification publique) en cas de risque grave
En pratique, les premières sanctions françaises ne sont pas attendues avant 2026-2027. L'ANSSI privilégie dans un premier temps l'accompagnement et la mise en conformité plutôt que la sanction.
Plan d'action recommandé pour 2026
- Vérifier votre éligibilité NIS2 : Secteur + seuil de taille. En cas de doute, consultez l'ANSSI ou un prestataire spécialisé.
- S'enregistrer sur MonEspaceNIS2 : Désigner un point de contact, déclarer vos activités et vos systèmes d'information essentiels.
- Réaliser un gap analysis : Évaluer votre niveau de conformité actuel par rapport aux 10 obligations de l'article 21.
- Prioriser les mesures à fort impact : MFA, gestion des incidents, sauvegardes testées, inventaire des actifs.
- Formaliser la gouvernance : PSSI validée par la direction, désignation d'un RSSI (interne ou externalisé).
Accompagnement NIS2 — Transposition française
CyberConform suit l'évolution de la transposition NIS2 en France et accompagne les entités concernées : diagnostic d'éligibilité, enregistrement ANSSI, gap analysis article 21, plan de conformité priorisé et suivi. Mise à jour régulière selon les décrets d'application. Devis gratuit sous 48h.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit