Quand la directive NIS2 sera-t-elle transposée en France ?
Aucune date n'est garantie à ce jour. Le projet de loi portant loi relatif à la résilience des infrastructures critiques et au renforcement de la sécurité numérique a été adopté au Sénat et attend son examen à l'Assemblée nationale ; il ne figurait pas à l'ordre du jour de la session extraordinaire ouverte le 1er juillet 2026. Faute de créneau cet été, les regards se tournent désormais vers la rentrée de septembre 2025 ou les sessions de fin d'année pour espérer voir le bout du tunnel législatif.
Faut-il attendre la loi française pour se préparer à NIS2 ?
Non. Le socle des obligations est fixé par la directive (UE) 2022/2555, en vigueur, et décliné par le Référentiel Cyber France (ReCyF) de l'ANSSI : gouvernance, inventaire des actifs, gestion des vulnérabilités, notification d'incident. Ces chantiers demandent des mois ; le texte français ne les modifiera pas sur le fond.
Quel est le premier chantier NIS2 à lancer ?
L'inventaire des actifs, en commençant par la surface d'attaque exposée sur Internet : c'est le prérequis de toutes les autres mesures, et le chantier le plus sous-estimé. Les organisations découvrent en menace 30 à 40 % d'actifs exposés absents de leurs inventaires déclarés.
Quelles sanctions en cas de non-conformité ?
La directive prévoit des sanctions financières jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (le montant le plus élevé), et jusqu'à 7 M€ ou 1,4 % du CA mondial pour les entités importantes. Les dirigeants peuvent être tenus personnellement responsables (article 20) et, pour les entités essentielles, temporairement écartés de leurs fonctions.