Où en est la loi française
La France n’a pas encore transposé NIS2. L’échéance européenne était le 17 octobre 2024 ; au 1er janvier 2026, 20 des 27 États membres avaient achevé leur transposition — pas la France. Le véhicule législatif français est le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dit projet de loi « résilience »), qui transpose aussi les directives CER et REC.
Le calendrier à ce jour :
| Date | Étape |
|---|---|
| 17 octobre 2024 | Échéance européenne de transposition — manquée par la France |
| Mars 2025 | Adoption du texte par le Sénat |
| Septembre 2025 | Adoption en commission spéciale à l’Assemblée nationale |
| 17 mars 2026 | L’ANSSI publie le référentiel ReCyF sans attendre la loi |
| Mi-2026 | Examen en séance toujours en attente — un désaccord politique sur le chiffrement bloque un texte par ailleurs consensuel |
Le retard change quand les obligations s’appliqueront, pas si elles s’appliqueront. Les exigences viennent de la directive elle-même, l’ANSSI a déjà publié les mesures attendues, et le dispositif de supervision se met en place. Attendre le texte final est la seule stratégie qui garantit un projet de conformité mené dans l’urgence.
Qui est concerné en France
NIS2 fait passer la France d’environ 300 opérateurs régulés sous NIS 1 à plus de 15 000 entités dans 18 secteurs — auxquelles s’ajoutent, dans le texte actuel, près de 1 000 intercommunalités et quelque 300 communes de plus de 30 000 habitants.
Les entités sont classées en deux catégories :
- Entités essentielles (EE) — schématiquement, les grandes organisations (250 salariés ou plus, ou plus de 50 M€ de chiffre d’affaires) des secteurs hautement critiques : énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique et spatial.
- Entités importantes (EI) — schématiquement, les organisations moyennes (50 salariés ou plus, ou plus de 10 M€ de chiffre d’affaires) de ces mêmes secteurs, et les organisations des autres secteurs critiques : services postaux, gestion des déchets, chimie, agroalimentaire, industrie manufacturière, fournisseurs numériques et recherche.
Les obligations sont largement les mêmes pour les deux catégories ; la supervision et les sanctions diffèrent. Selon la directive, les entités essentielles encourent jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial, les entités importantes jusqu’à 7 M€ ou 1,4 % — avec une responsabilité personnelle des organes de direction.
Un doute sur votre catégorie ? Le portail MonEspaceNIS2 de l’ANSSI sur cyber.gouv.fr propose un test d’éligibilité qui classe votre organisation en quelques questions.
ReCyF : la réponse de l’ANSSI au retard parlementaire
Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF) : 20 objectifs de sécurité, chacun assorti de moyens acceptables de conformité, modulés par un principe de proportionnalité entre entités essentielles et importantes.
Deux raisons en font un document stratégique :
- Il est volontaire par défaut tant que la loi n’est pas votée, mais une entité qui l’applique pourra s’appuyer sur ce travail quand la supervision de l’ANSSI démarrera — le référentiel est explicitement conçu pour devenir la référence des futurs contrôles.
- Il transforme une directive abstraite en liste de travail concrète : gouvernance, analyse de risques, gestion des incidents, continuité, sécurité de la chaîne d’approvisionnement, contrôle d’accès, MFA, gestion des vulnérabilités, journalisation, formation.
Si vous construisez votre documentation sur ReCyF dès maintenant, la future loi française devient une formalité administrative, pas un projet.
Que faire pendant que le Parlement débat
- Passez le test d’éligibilité MonEspaceNIS2 et conservez le résultat : c’est votre preuve de périmètre. Pour une première orientation en quatre questions, essayez notre simulateur NIS2 gratuit.
- Cartographiez les 20 objectifs du ReCyF face à l’existant ; les écarts constituent votre feuille de route.
- Rédigez le socle documentaire — politique de sécurité, analyse de risques, réponse aux incidents avec notification 24 h/72 h, continuité, sécurité fournisseurs. Notre guide NIS2 en 10 étapes pour les PME déroule la séquence complète.
- Informez votre direction : NIS2 rend les dirigeants personnellement responsables, et cette disposition ne fait pas débat au Parlement.
Sources de référence
- Directive (UE) 2022/2555 (NIS2) — texte intégral sur EUR-Lex (eur-lex.europa.eu/eli/dir/2022/2555/oj).
- ANSSI — espace NIS2, ReCyF et MonEspaceNIS2 (cyber.gouv.fr).
- Sénat — dossier législatif du projet de loi résilience (senat.fr).
Comment PolicyForge vous aide
Le générateur de politiques NIS2 produit le socle documentaire attendu par NIS2 et le ReCyF — politique de sécurité, gestion des risques, réponse aux incidents, continuité, fournisseurs, contrôle d’accès, gestion des vulnérabilités, sensibilisation — sous forme de documents structurés et bilingues, avec blocs d’approbation et dates de revue.