La directive européenne NIS2 connaît actuellement une transposition en droit français marquée par des retards significatifs mais aussi par des adaptations importantes qui témoignent de la volonté française d’adapter ce texte européen aux spécificités nationales.
État Actuel de la Transposition
Un Calendrier Parlementaire Perturbé
La France accuse un retard considérable dans la transposition de NIS2, initialement prévue pour le 17 octobre 2024. Le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » a été présenté en Conseil des Ministres le 15 octobre 2024, adopté par le Sénat en première lecture le 12 mars 2025, puis examiné en commission spéciale à l’Assemblée Nationale du 9 au 11 septembre 2025.
Cette procédure a été ralentie par l’instabilité gouvernementale, avec la dissolution de l’Assemblée nationale en juin 2024, puis la chute successive des gouvernements Barnier et Bayrou. La Commission européenne a d’ailleurs adressé deux mises en demeure à la France, en novembre 2024 et mai 2025, soulignant ce retard.
Une Procédure Législative Accélérée
Pour rattraper ce retard, le texte suit une procédure accélérée avec un seul passage par chambre. La commission spéciale de l’Assemblée, présidée par Philippe Latombe, a adopté 245 amendements en trois jours, modifiant significativement le projet initial. L’examen en séance publique est prévu pour mi-octobre 2025.
Changements Majeurs par Rapport au Texte Initial de NIS2
Extension Drastique du Périmètre d’Application
L’évolution la plus spectaculaire concerne l’élargissement du champ d’application. Là où NIS1 ne concernait qu’environ 500 entités françaises dans 6 secteurs, NIS2 s’appliquera à près de 15 000 organisations réparties dans 18 secteurs d’activité.
Nouveaux secteurs intégrés par rapport à NIS1 :
- Administrations publiques et collectivités territoriales
- Secteur spatial
- Industrie alimentaire
- Fabrication et production chimique
- Gestion des déchets et eaux usées
- Services postaux et de courrier
- Plateformes de marché en ligne et réseaux sociaux
Révolution de la Classification des Entités
NIS2 abandonne la distinction entre Opérateurs de Services Essentiels (OSE) et Fournisseurs de Services Numériques (FSN) au profit de deux nouvelles catégories :
Entités Essentielles (EE) : Secteurs hautement critiques, plus de 250 employés, chiffre d’affaires supérieur à 50 millions d’euros ou bilan annuel excédant 43 millions d’euros.
Entités Importantes (EI) : Secteurs critiques, 50 à 250 employés, avec un chiffre d’affaires et un bilan compris entre 10 et 43 millions d’euros.
Cette classification repose désormais sur des critères automatiques et quantitatifs, abandonnant le système de désignation manuelle de NIS1.
Obligations de Cybersécurité Renforcées
NIS2 introduit des exigences techniques et organisationnelles beaucoup plus détaillées
Mesures techniques :
- Gestion des vulnérabilités et politique de divulgation coordonnée
- Mesures de cyber hygiène et formation obligatoire du personnel
- Politiques d’utilisation de la cryptographie
- Sécurité de la chaîne d’approvisionnement
- Gestion des identités et contrôles d’accès renforcés
Gouvernance d’entreprise :
- Responsabilisation directe des dirigeants d’entreprise
- Approbation obligatoire des mesures de cybersécurité par l’organe dirigeant
- Formation en cybersécurité pour les membres de la direction
Durcissement des Sanctions
Les sanctions administratives deviennent comparables à celles du RGPD :
- Entités Essentielles : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel
- Entités Importantes : jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires mondial annuel
Des sanctions complémentaires peuvent inclure la suspension de certifications ou l’interdiction temporaire d’exercer des fonctions de direction.
Obligations de Notification Accélérées
Le régime de notification des incidents devient plus contraignant :
- Alerte précoce : dans les 24 heures
- Notification complète : dans les 72 heures
- Rapport de suivi : dans un délai d’un mois
Un guichet unique est créé via l’ANSSI pour centraliser ces déclarations.
Adaptations Françaises Spécifiques
Inclusion des Collectivités Territoriales
La France a fait le choix remarquable d’inclure environ 1 500 collectivités territoriales, groupements de collectivités et organismes sous tutelle, avec un seuil abaissé à 30 000 habitants. Cette décision va au-delà des exigences minimales européennes et témoigne d’une approche globale de la cybersécurité territoriale.
Modifications Parlementaires Significatives
La commission spéciale de l’Assemblée a apporté plusieurs modifications importantes :
- Ajout des éditeurs de logiciels dans la chaîne d’approvisionnement numérique
- Classification des établissements de santé comme entités essentielles
- Exclusion des activités nucléaires pour préserver la souveraineté nationale
- Confirmation de l’absence de sanctions financières pour les collectivités territoriales
Évolution du Rôle de l’ANSSI
L’ANSSI voit ses missions considérablement élargies, passant d’un rôle consultatif à une fonction de régulateur avec des pouvoirs de :
- Contrôle et audit préventif des entités
- Sanction administrative en cas de manquement
- Accompagnement via le portail « MonEspaceNIS2 »
Défis de la Mise en Œuvre
Enjeux de Volumétrie
Le passage de 500 à 15 000 entités représente un défi organisationnel majeur pour l’ANSSI qui devra adapter ses méthodes et ses ressources à cette nouvelle échelle.
Harmonisation Réglementaire
NIS2 doit s’articuler avec d’autres réglementations sectorielles, notamment DORA pour le secteur financier, créant des défis de cohérence juridique.
Accompagnement des Entités
La réussite de cette transposition dépendra largement de l’accompagnement des PME et ETI nouvellement concernées, ainsi que des collectivités territoriales qui découvrent ces obligations de cybersécurité.
Calendrier et Perspectives
La mise en œuvre effective des obligations NIS2 est attendue pour fin 2025 ou début 2026, sous réserve de l’adoption définitive du texte par l’Assemblée nationale. L’ANSSI prévoit de débuter les audits et contrôles de conformité trois ans après la promulgation de la loi.
En attendant, l’agence recommande aux organisations potentiellement concernées d’anticiper leur mise en conformité via l’outil d’autoévaluation MonEspaceNIS2 et de commencer à identifier les écarts entre leurs pratiques actuelles et les futures exigences.
La transposition française de NIS2 témoigne d’une ambition de faire de la cybersécurité un enjeu de résilience nationale impliquant l’ensemble des acteurs économiques et territoriaux, bien au-delà du périmètre initial de la directive européenne.
L’apport de Prodware dans cette transformation
Les nouvelles obligations issues de NIS2 exigent des organisations un haut niveau d’anticipation et de préparation. Prodware, grâce à son expérience dans l’intégration de solutions Microsoft et dans l’accompagnement en cybersécurité, aide les entreprises à se mettre en conformité tout en renforçant leur résilience. Au-delà du respect réglementaire, cet accompagnement permet de sécuriser durablement les activités et de soutenir la compétitivité dans un environnement numérique de plus en plus exigeant.
