10 juillet 2026 Astuces .

Transposition NIS2 : pourquoi le retard est un piège

La session parlementaire extraordinaire s'est ouverte le 1er juillet 2026. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, le véhicule de transposition de la directive NIS2, n'y figure pas. L'échéance de l'Union européenne était fixée au 17 octobre 2024 : vingt mois de retard, et un texte adopté au Sénat qui attend toujours son examen à l'Assemblée nationale. Ce retard prolonge le flou amorcé dès le premier projet de texte de juin 2024, repoussant sans cesse la mise en œuvre effective des contrôles en France.

Le CESIN a publié une alerte formelle le 19 juin. Son président Fabrice Bru résume : « L'incertitude réglementaire perturbe la commande cyber et ralentit les décisions d'investissement. » Gérôme Billois (Wavestone) va plus loin : la France devient « la risée de l'Europe » pendant que la Belgique, la Hongrie ou la Pologne ont déjà commencé les contrôles. La procédure d'infraction est bien engagée : le 7 mai 2025, la Commission européenne a envoyé un avis motivé à 19 États membres, dont la France, pour transposition incomplète. C'est l'étape qui précède directement une saisine de la Cour de justice de l'Union européenne.

À retenir

  • Le texte français est bloqué, mais le socle des obligations est déjà fixé par la directive (UE) 2022/2555 et le ReCyF de l'ANSSI.

  • Les éléments incertains (calendrier, sanctions) se règlent en semaines ; les chantiers certains (inventaire, vulnérabilités, gouvernance) se comptent en mois.

  • Attendre la promulgation pour commencer, c'est accepter 12 à 18 mois de retard le jour du premier contrôle.

  • La France est déjà sous avis motivé européen depuis mai 2025 : la question n'est plus si, mais quand.

Face à ce blocage, une réaction domine dans les comités de direction : attendre le texte définitif avant d'engager les budgets. Cette prudence apparente est un piège, pour une raison simple : ce qui est incertain n'est pas ce qui prend du temps.

Ce qui est incertain, ce qui ne l'est pas

L'incertitude porte sur trois éléments : le calendrier d'entrée en vigueur, le régime exact des sanctions, et certains détails de périmètre. Trois sujets qui se règlent en quelques semaines une fois le texte voté, et sur lesquels vous n'avez de toute façon aucune prise.

Le socle des obligations, lui, est déjà fixé, et il l'est doublement. D'abord par la directive (UE) 2022/2555 elle-même, en vigueur au niveau européen : ses articles 20, 21 et 23 énumèrent la responsabilité des dirigeants, les dix familles de mesures de gestion des risques et les obligations de notification d'incident (alerte précoce sous 24 heures, notification sous 72 heures, rapport final sous un mois).

Ensuite par le Référentiel Cyber France (ReCyF) publié par l'ANSSI, qui décline ces exigences en objectifs concrets. Aucun arbitrage parlementaire de dernière minute ne fera disparaître l'analyse de risques, l'inventaire des actifs, la gestion des vulnérabilités ou la notification d'incident. Ces obligations visent la sécurité des systèmes d'information et la protection des systèmes d'information les plus sensibles de notre économie, ainsi que la résilience des fournisseurs de services numériques et industriels qui composent leur chaîne d'approvisionnement. Par ailleurs, si NIS2 se concentre sur la disponibilité et l'intégrité opérationnelle, elle reste complémentaire au RGPD concernant la protection des données personnelles.

Élément Statut Conséquence pour vous
Calendrier d'entrée en vigueur Incertain Aucune prise, aucune action possible.
Régime exact des sanctions Incertain N'affecte pas la nature des chantiers.
Détails de périmètre Partiellement incertain Qualification probable déjà faisable via MonEspaceNIS2 pour les entreprises, entités publiques et collectivités territoriales.
Responsabilité des dirigeants Certain (art. 20) Formation et implication du COMEX à lancer.
Dix familles de mesures Certain (art. 21) Inventaire, vulnérabilités, continuité : chantiers longs.
Notification d'incident (24h / 72h) Certain (art. 23) Circuit à définir et à tester dès maintenant.
Sanctions maximales Certain (art. 34) Jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles.

Le problème : les chantiers certains sont les chantiers longs

Prenez l'exigence la plus structurante : la maîtrise de ses actifs. Impossible de gérer les risques, les vulnérabilités ou les incidents sur un périmètre qu'on ne connaît pas. Or cet inventaire est précisément le chantier le plus long, parce que le point de départ est presque toujours faux. Sur les déploiements Patrowl, les organisations découvrent en moyenne 30 à 60 % d'actifs exposés supplémentaires par rapport à leur inventaire déclaré. Un groupe industriel de 25 filiales a identifié 38 % d'actifs inconnus en 72 heures de cartographie : sous-domaines hérités, environnements de test oubliés, services exposés par d'anciens prestataires.

30 à 40 % Part moyenne d'actifs exposés absents des inventaires déclarés, constatée lors des cartographies de surface d'attaque menées par Patrowl.

Un inventaire exhaustive ne se décrète pas le jour de la promulgation. Pas plus qu'un processus de gestion des vulnérabilités outillé et mesuré, qu'un circuit de notification testé, ou que des dirigeants formés et impliqués. Ces chantiers se comptent en mois. Le vote, lui, peut intervenir en quelques semaines dès l'inscription à l'agenda. L'arithmétique est brutale : attendre la loi pour commencer, c'est choisir d'avoir un an à dix-huit mois de retard le jour où elle arrive, face à un régulateur qui, lui, n'aura aucune raison d'attendre que vous rattrapiez le temps perdu.

Les quatre chantiers à lancer maintenant

  1. Qualifier votre assujettissement. Vérifiez votre statut d'entités essentielles ou importantes via MonEspaceNIS2 (ANSSI) et documentez le périmètre, filiales comprises. Ce chantier concerne aussi bien le secteur privé que les entités publiques (ministères, hôpitaux) et les collectivités territoriales (régions, départements, communes de taille critique), qui partagent toutes de lourdes responsabilités en matière de cybersécurité. C'est la note d'une journée qui conditionne tout le reste.

  2. Inventorier vos actifs, en commençant par les exposés. La surface d'attaque externe (domaines, IP, services, cloud) est à la fois la plus critique et la plus rapide à cartographier : 72 heures suffisent pour obtenir une photographie exhaustive, contre des mois pour l'inventaire interne complet.

  3. Outiller la gestion des vulnérabilités. Processus documenté, délais de remédiation par criticité, indicateurs de temps d'exposition (MTTE) et de remédiation (MTTR). C'est le chantier qui produit des preuves opposables à un auditeur.

  4. Impliquer formellement la direction. L'article 20 de la directive rend les dirigeants responsables de l'approbation et de la supervision des mesures. Un point cyber trimestriel au COMEX, documenté par des indicateurs d'exposition, coche l'exigence et facilite tous vos arbitrages budgétaires futurs.

Par où commencer lundi

  • Qualifiez votre assujettissement sur MonEspaceNIS2 et rédigez la note de périmètre.

    Propriétaire : RSSI · Effort : 1 jour · Preuve : note datée.

  • Lancez la cartographie de votre surface d'attaque externe.

    Propriétaire : RSSI/DSI · Effort : 72 h avec une plateforme, quelques semaines en interne · Preuve : inventaire exposé horodaté.

  • Inscrivez un point cyber au prochain COMEX avec deux chiffres : actifs exposés découverts, délai de remédiation actuel.

    Propriétaire : RSSI · Effort : 2 h · Preuve : PV de comité (exigence art. 20 amorcée).

Dernier élément à surveiller : le même projet de loi transpose aussi la directive REC sur la résilience des infrastructures critiques, qui étend la logique au monde physique, contribuant au renforcement de la cybersécurité globale du pays. Le retard actuel porte donc un double enjeu, et le texte qui sortira du Parlement pèsera plus lourd que la seule NIS2. Ceux qui auront traité l'inventaire et les vulnérabilités auront pris de l'avance sur les deux.

Traduire les exigences en actions : l'apport de Patrowl

Plutôt que d'attendre un texte de loi figé, l'enjeu est de structurer vos chantiers prioritaires autour d'outils capables d'automatiser la preuve de conformité. Voici comment une solution de gestion de la surface d'attaque externe (EASM) et de tests d'intrusion continus comme Patrowl sécurise directement vos chantiers NIS2 et REC :

Exigence clé NIS2 / REC Ce qui bloque le projet en interne L'apport concret de Patrowl Preuve générée pour l'auditeur
Maîtrise et inventaire des actifs
(Art. 21 - Gestion des risques)
La visibilité. Les inventaires déclarés oublient systématiquement une part significative des systèmes connectés (shadow IT, filiales, prestataires). Cartographie automatisée (72h). Découverte continue et exhaustive de toute votre surface d'attaque externe, sans agent à installer. Cartographie horodatée et signée du périmètre externe, mise à jour en continu.
Gestion opérationnelle des vulnérabilités
(Art. 21)
Le bruit et le temps. Les scans classiques génèrent des milliers de fausses alertes insolubles pour les équipes. Tests d'intrusion continus. Patrowl qualifie l'exploitabilité réelle des failles et priorise les actions selon le risque effectif. Rapports de remédiation, suivi du MTTE (temps d'exposition) et du MTTR (temps de correction).
Supervision et responsabilité des dirigeants
(Art. 20 - Gouvernance)
La communication. Le COMEX a besoin d'indicateurs macro et non de rapports techniques de 200 pages. Tableaux de bord de posture. Synthèse visuelle de l'exposition globale de l'entreprise et des filiales, accessible aux non-experts. Extraits de rapports de posture présentés au COMEX, avec notation (grading) objective.
Résilience de la supply chain
(Art. 21 - Sécurité des tiers)
L'angle mort. Impossible d'auditer manuellement le niveau cyber de l'ensemble de ses fournisseurs de services. Évaluation externe des tiers. Cartographie et analyse flash du niveau de sécurité exposé par vos sous-traitants critiques. Fiche de notation et d'exposition aux risques cyber des tiers audités.

Le CESIN lui-même conclut son alerte ainsi : « Le marché est prêt. Le cadre doit suivre. » Les organisations qui avancent n'attendent pas la loi pour agir, elles utilisent cette période de flottement pour outiller leurs défenses. La différence entre les deux se mesurera le jour du premier contrôle.

FAQ

Quand la directive NIS2 sera-t-elle transposée en France ?

Aucune date n'est garantie à ce jour. Le projet de loi portant loi relatif à la résilience des infrastructures critiques et au renforcement de la sécurité numérique a été adopté au Sénat et attend son examen à l'Assemblée nationale ; il ne figurait pas à l'ordre du jour de la session extraordinaire ouverte le 1er juillet 2026. Faute de créneau cet été, les regards se tournent désormais vers la rentrée de septembre 2025 ou les sessions de fin d'année pour espérer voir le bout du tunnel législatif.

Faut-il attendre la loi française pour se préparer à NIS2 ?

Non. Le socle des obligations est fixé par la directive (UE) 2022/2555, en vigueur, et décliné par le Référentiel Cyber France (ReCyF) de l'ANSSI : gouvernance, inventaire des actifs, gestion des vulnérabilités, notification d'incident. Ces chantiers demandent des mois ; le texte français ne les modifiera pas sur le fond.

Quel est le premier chantier NIS2 à lancer ?

L'inventaire des actifs, en commençant par la surface d'attaque exposée sur Internet : c'est le prérequis de toutes les autres mesures, et le chantier le plus sous-estimé. Les organisations découvrent en menace 30 à 40 % d'actifs exposés absents de leurs inventaires déclarés.

Quelles sanctions en cas de non-conformité ?

La directive prévoit des sanctions financières jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (le montant le plus élevé), et jusqu'à 7 M€ ou 1,4 % du CA mondial pour les entités importantes. Les dirigeants peuvent être tenus personnellement responsables (article 20) et, pour les entités essentielles, temporairement écartés de leurs fonctions.