Aller au contenu
PolicyForge
Tous les articles
Par Vyrhak SATH · Fondateur, NAGASHIELD SECURITY11 min

NIS2 en France : où en est la loi de transposition en 2026

Le point sur la transposition de NIS2 en France : calendrier du projet de loi « résilience », qui est concerné (plus de 15 000 entités), entités essentielles vs importantes, sanctions, et ce que changent le référentiel ReCyF de l’ANSSI et MonEspaceNIS2.

Où en est la loi française

La France n’a pas encore transposé NIS2. L’échéance européenne était le 17 octobre 2024 ; au 1er janvier 2026, 20 des 27 États membres avaient achevé leur transposition — pas la France. Le véhicule législatif français est le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (dit projet de loi « résilience »), qui transpose aussi les directives CER et REC.

Le calendrier à ce jour :

DateÉtape
17 octobre 2024Échéance européenne de transposition — manquée par la France
Mars 2025Adoption du texte par le Sénat
Septembre 2025Adoption en commission spéciale à l’Assemblée nationale
17 mars 2026L’ANSSI publie le référentiel ReCyF sans attendre la loi
Mi-2026Examen en séance toujours en attente — un désaccord politique sur le chiffrement bloque un texte par ailleurs consensuel

Le retard change quand les obligations s’appliqueront, pas si elles s’appliqueront. Les exigences viennent de la directive elle-même, l’ANSSI a déjà publié les mesures attendues, et le dispositif de supervision se met en place. Attendre le texte final est la seule stratégie qui garantit un projet de conformité mené dans l’urgence.

Qui est concerné en France

NIS2 fait passer la France d’environ 300 opérateurs régulés sous NIS 1 à plus de 15 000 entités dans 18 secteurs — auxquelles s’ajoutent, dans le texte actuel, près de 1 000 intercommunalités et quelque 300 communes de plus de 30 000 habitants.

Les entités sont classées en deux catégories :

  • Entités essentielles (EE) — schématiquement, les grandes organisations (250 salariés ou plus, ou plus de 50 M€ de chiffre d’affaires) des secteurs hautement critiques : énergie, transports, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique et spatial.
  • Entités importantes (EI) — schématiquement, les organisations moyennes (50 salariés ou plus, ou plus de 10 M€ de chiffre d’affaires) de ces mêmes secteurs, et les organisations des autres secteurs critiques : services postaux, gestion des déchets, chimie, agroalimentaire, industrie manufacturière, fournisseurs numériques et recherche.

Les obligations sont largement les mêmes pour les deux catégories ; la supervision et les sanctions diffèrent. Selon la directive, les entités essentielles encourent jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial, les entités importantes jusqu’à 7 M€ ou 1,4 % — avec une responsabilité personnelle des organes de direction.

Un doute sur votre catégorie ? Le portail MonEspaceNIS2 de l’ANSSI sur cyber.gouv.fr propose un test d’éligibilité qui classe votre organisation en quelques questions.

ReCyF : la réponse de l’ANSSI au retard parlementaire

Le 17 mars 2026, l’ANSSI a publié le Référentiel Cyber France (ReCyF) : 20 objectifs de sécurité, chacun assorti de moyens acceptables de conformité, modulés par un principe de proportionnalité entre entités essentielles et importantes.

Deux raisons en font un document stratégique :

  • Il est volontaire par défaut tant que la loi n’est pas votée, mais une entité qui l’applique pourra s’appuyer sur ce travail quand la supervision de l’ANSSI démarrera — le référentiel est explicitement conçu pour devenir la référence des futurs contrôles.
  • Il transforme une directive abstraite en liste de travail concrète : gouvernance, analyse de risques, gestion des incidents, continuité, sécurité de la chaîne d’approvisionnement, contrôle d’accès, MFA, gestion des vulnérabilités, journalisation, formation.

Si vous construisez votre documentation sur ReCyF dès maintenant, la future loi française devient une formalité administrative, pas un projet.

Que faire pendant que le Parlement débat

  1. Passez le test d’éligibilité MonEspaceNIS2 et conservez le résultat : c’est votre preuve de périmètre. Pour une première orientation en quatre questions, essayez notre simulateur NIS2 gratuit.
  2. Cartographiez les 20 objectifs du ReCyF face à l’existant ; les écarts constituent votre feuille de route.
  3. Rédigez le socle documentaire — politique de sécurité, analyse de risques, réponse aux incidents avec notification 24 h/72 h, continuité, sécurité fournisseurs. Notre guide NIS2 en 10 étapes pour les PME déroule la séquence complète.
  4. Informez votre direction : NIS2 rend les dirigeants personnellement responsables, et cette disposition ne fait pas débat au Parlement.

Sources de référence

Comment PolicyForge vous aide

Le générateur de politiques NIS2 produit le socle documentaire attendu par NIS2 et le ReCyF — politique de sécurité, gestion des risques, réponse aux incidents, continuité, fournisseurs, contrôle d’accès, gestion des vulnérabilités, sensibilisation — sous forme de documents structurés et bilingues, avec blocs d’approbation et dates de revue.

Commencer gratuitement → · Voir les politiques NIS2

Questions fréquentes

La France a-t-elle transposé NIS2 ?

Non. À mi-2026, le projet de loi de transposition — le projet de loi « résilience » couvrant NIS2, CER et REC — a été adopté par le Sénat (mars 2025) puis en commission spéciale à l’Assemblée nationale (septembre 2025), mais son examen en séance publique reste en attente, retardé par un désaccord sur des dispositions relatives au chiffrement. L’échéance européenne était le 17 octobre 2024.

Qu’est-ce que le ReCyF ?

Le Référentiel Cyber France, publié par l’ANSSI le 17 mars 2026, définit 20 objectifs de sécurité assortis chacun de moyens acceptables de conformité, proportionnés entre entités essentielles et importantes. Il est volontaire tant que la loi de transposition n’est pas votée, mais il est conçu pour devenir le référentiel des futurs contrôles de l’ANSSI au titre de NIS2.

Comment savoir si mon entreprise est une entité essentielle ou importante ?

Schématiquement : les grandes organisations (250 salariés ou plus, ou plus de 50 M€ de chiffre d’affaires) des secteurs hautement critiques sont des entités essentielles ; les organisations moyennes (50 salariés ou plus, ou plus de 10 M€) et celles des autres secteurs critiques sont des entités importantes. Le portail MonEspaceNIS2 de l’ANSSI sur cyber.gouv.fr propose un test d’éligibilité qui classe votre organisation.

Quelles sont les sanctions NIS2 en France ?

Selon la directive, les entités essentielles encourent des amendes administratives pouvant atteindre 10 M€ ou 2 % du chiffre d’affaires annuel mondial, et les entités importantes 7 M€ ou 1,4 %, le montant le plus élevé étant retenu. NIS2 rend aussi les organes de direction personnellement responsables de l’approbation et du suivi des mesures. Les montants français définitifs seront fixés par la loi de transposition.

Faut-il attendre la loi française pour lancer sa mise en conformité NIS2 ?

Non. Les obligations découlent de la directive et sont déjà connues ; l’ANSSI a publié le référentiel ReCyF en mars 2026 précisément pour permettre aux organisations de se préparer sans attendre, et le recommande. Une entité qui construit sa documentation sur le ReCyF dès maintenant abordera l’entrée en vigueur de la loi comme une étape administrative, pas comme un projet d’urgence.