News
Retrouvez-nous au Sommet du Droit en Entreprise le 2 Juillet 2026
S’inscrire en tant qu’avocat
Se connecter
Compliance et éthique
Droit de l'énergie
Environnement & ESG
Technologie et numérique
Propriété intellectuelle
Construction
Blog
Transposition NIS 2 en France : calendrier, loi et obligations pour les entreprises
Blog
Transposition NIS 2 en France : calendrier, loi et obligations pour les entreprises

Transposition NIS 2 en France : calendrier, loi et obligations pour les entreprises

Guides & Ressources pratiques
24 Apr 2026
-
9
min
Copied
Points clés de l'article
  1. La directive NIS 2 élargit le périmètre de cybersécurité européen à environ 15 000 entités en France, contre 500 sous NIS 1.
  2. La France n'a pas respecté l'échéance de transposition du 17 octobre 2024 ; le projet de loi est en cours d'examen parlementaire en 2025.
  3. Le texte français distingue entités essentielles et entités importantes, avec des obligations graduées de gouvernance, de gestion des risques et de notification d'incidents.
  4. Les dirigeants engagent leur responsabilité personnelle en cas de manquement, avec des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
  5. Les directions juridiques ont intérêt à lancer dès maintenant un diagnostic de conformité, sans attendre la promulgation définitive.

Besoin d'un juriste freelance ou d'un avocat ?

Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.

Trouver un avocat →En savoir plus →
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Incubateur du Barreau de Paris
Réseau Entreprendre
Prix Innovation Barreau de Paris

Sommaire

Directive NIS 2 : rappel du cadre européen et périmètre des entités concernées

Transposition NIS 2 en France : état d'avancement et calendrier législatif

Le projet de loi français de transposition : structure et points clés

Entités essentielles et entités importantes : qui est concerné en France ?

Obligations de cybersécurité imposées par la transposition NIS 2

Notification d'incidents à l'ANSSI : délais et procédure

Sanctions et responsabilité des dirigeants après la transposition NIS 2

Comment se préparer dès aujourd'hui à la transposition NIS 2 en France

FAQ

Pour aller plus loin

Directive NIS 2 : rappel du cadre européen et périmètre des entités concernées

La directive NIS 2 (directive (UE) 2022/2555), adoptée le 14 décembre 2022 par le Parlement européen et le Conseil, remplace la première directive NIS de 2016. Son objectif : rehausser le niveau commun de cybersécurité au sein de l'Union européenne en imposant des obligations renforcées à un nombre bien plus large d'organisations.

Le texte européen couvre désormais 18 secteurs d'activité, contre 7 sous NIS 1. Parmi les secteurs ajoutés figurent les services postaux, la gestion des déchets, l'industrie chimique, l'agroalimentaire, les administrations publiques et les fournisseurs de services numériques. En pratique, la directive s'applique à toute entité publique ou privée qui emploie au moins 50 salariés ou réalise un chiffre d'affaires annuel supérieur à 10 millions d'euros dans l'un de ces secteurs.

À l'échelle européenne, la Commission estime que plus de 160 000 entités sont concernées. En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) évalue ce chiffre à environ 15 000 entités, contre à peine 500 sous le régime NIS 1. Ce changement d'échelle modifie la nature même du sujet : la cybersécurité réglementaire ne concerne plus uniquement les opérateurs d'infrastructures critiques, mais une large part du tissu économique français.

Chaque État membre devait transposer la directive dans son droit national avant le 17 octobre 2024. Or, au printemps 2025, seule une minorité d'États a finalisé cette transposition. La France fait partie des retardataires.

Transposition NIS 2 en France : état d'avancement et calendrier législatif

Le gouvernement français a présenté un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité en octobre 2024, quelques jours avant l'échéance européenne. Ce texte transpose simultanément trois directives : NIS 2, la directive REC (résilience des entités critiques) et la directive DORA pour le secteur financier.

La dissolution de l'Assemblée nationale en juin 2024, suivie de la formation d'un nouveau gouvernement, a retardé le processus législatif. Le projet de loi a été examiné en première lecture au Sénat au printemps 2025. Son adoption définitive est attendue au second semestre 2025, sans certitude sur le calendrier exact.

Ce retard crée une zone d'incertitude juridique pour les directions juridiques. La directive européenne est en vigueur, mais elle n'est pas directement applicable : elle nécessite un texte national de transposition. En l'absence de loi promulguée, les obligations précises — seuils, délais, modalités de contrôle — ne sont pas encore opposables aux entreprises françaises. Toutefois, l'ANSSI a indiqué qu'elle ne prévoyait pas de sanctions immédiates et privilégierait une période d'accompagnement de 3 ans après l'entrée en vigueur du texte.

La transposition NIS 2 en France impose aux directions juridiques d'anticiper un cadre réglementaire dont les contours se précisent progressivement.
Consultez un avocat spécialisé en cybersécurité pour évaluer votre exposition.

Le projet de loi français de transposition : structure et points clés

Le projet de loi s'articule autour de 3 titres principaux. Le titre I transpose la directive REC sur la résilience des entités critiques. Le titre II, le plus volumineux, transpose la directive NIS 2. Le titre III adapte le cadre DORA pour le secteur financier.

Le titre II confie à l'ANSSI le rôle d'autorité nationale compétente pour la mise en œuvre de NIS 2. L'agence sera chargée de tenir le registre des entités régulées, de recevoir les notifications d'incidents, de conduire les contrôles et de prononcer les sanctions administratives.

Parmi les points structurants du texte :

  • Enregistrement obligatoire : chaque entité concernée devra s'enregistrer auprès de l'ANSSI via une plateforme dédiée (MonEspaceNIS2, déjà accessible en version bêta).
  • Gouvernance de la cybersécurité : les organes de direction devront approuver les mesures de gestion des risques et suivre une formation en cybersécurité.
  • Mesures techniques et organisationnelles : le texte impose un socle de mesures couvrant l'analyse de risques, la sécurité de la chaîne d'approvisionnement, la gestion des accès, le chiffrement et la continuité d'activité.
  • Notification d'incidents : un régime de notification en plusieurs étapes est prévu, avec des délais contraints.

Le texte renvoie à des décrets d'application et à des référentiels techniques de l'ANSSI pour préciser les exigences sectorielles. Ces textes réglementaires ne sont pas encore publiés à la date de rédaction.

Entités essentielles et entités importantes : qui est concerné en France ?

La transposition NIS 2 reprend la distinction européenne entre deux catégories d'entités, avec des conséquences directes sur le niveau d'obligations et le régime de sanctions.

CritèreEntités essentielles (EE)Entités importantes (EI)
SecteursÉnergie, transports, santé, eau, infrastructures numériques, espace, administrations publiques centralesServices postaux, gestion des déchets, chimie, agroalimentaire, fabrication, services numériques, recherche
Seuil de taille≥ 250 salariés ou CA > 50 M€≥ 50 salariés ou CA > 10 M€
Régime de contrôleContrôles proactifs (ex ante) par l'ANSSIContrôles réactifs (ex post), sur signalement ou incident
Plafond d'amende10 M€ ou 2 % du CA mondial7 M€ ou 1,4 % du CA mondial

Certaines entités sont désignées indépendamment de leur taille : fournisseurs de DNS, registres de noms de domaine, prestataires de services de confiance, opérateurs de télécommunications. Les collectivités territoriales (régions, départements, communes de plus de 30 000 habitants) entrent également dans le périmètre, une nouveauté par rapport à NIS 1.

Pour une direction juridique, la première étape consiste à déterminer si l'entreprise relève de la catégorie EE ou EI. Cette qualification conditionne l'ensemble du dispositif de conformité.

Obligations de cybersécurité imposées par la transposition NIS 2

Le socle d'obligations repose sur une approche par les risques (risk-based approach), c'est-à-dire que les mesures doivent être proportionnées à l'exposition de l'entité et à la criticité de ses activités.

Le texte impose au minimum les mesures suivantes :

  1. Analyse de risques et politique de sécurité des systèmes d'information.
  2. Gestion des incidents : détection, réponse, remédiation.
  3. Continuité d'activité et gestion de crise, incluant les sauvegardes.
  4. Sécurité de la chaîne d'approvisionnement : évaluation des risques liés aux prestataires et fournisseurs directs.
  5. Sécurité dans l'acquisition, le développement et la maintenance des systèmes d'information.
  6. Formation et sensibilisation à la cybersécurité, y compris pour les organes de direction.
  7. Chiffrement et contrôle d'accès adaptés au niveau de risque.

L'obligation de gouvernance constitue un changement notable. Les dirigeants — membres du conseil d'administration, directeurs généraux — doivent personnellement approuver les mesures de gestion des risques. Ils doivent également suivre une formation leur permettant d'évaluer les risques cyber et leur impact sur les activités de l'entité.

La mise en conformité avec NIS 2 nécessite une coordination étroite entre direction juridique, DSI et direction générale.
Identifiez un avocat en cybersécurité pour structurer votre démarche.

Notification d'incidents à l'ANSSI : délais et procédure

La notification d'incidents suit un processus en 3 étapes, calqué sur le modèle européen :

ÉtapeDélaiContenu attendu
Alerte précoce24 heures après la prise de connaissance de l'incidentNature de l'incident, suspicion éventuelle d'acte malveillant, impact transfrontalier potentiel
Notification complète72 heuresÉvaluation initiale de la gravité, de l'impact et des indicateurs de compromission
Rapport final1 moisDescription détaillée, cause probable, mesures de remédiation appliquées, impact transfrontalier confirmé

Un incident est qualifié de « significatif » lorsqu'il provoque une perturbation grave du service, affecte d'autres entités ou entraîne des pertes financières ou matérielles considérables. Les critères précis seront fixés par décret.

Le non-respect des délais de notification constitue un manquement sanctionnable. Pour les directions juridiques, cela implique de formaliser en amont une procédure interne de détection et d'escalade permettant de respecter le délai de 24 heures, y compris en dehors des heures ouvrées.

Sanctions et responsabilité des dirigeants après la transposition NIS 2

Le régime de sanctions prévu par la transposition française s'aligne sur les plafonds fixés par la directive européenne. L'ANSSI disposera d'un pouvoir de sanction administrative, sans nécessité de saisir un juge.

Les sanctions possibles incluent :

  • Avertissements et injonctions de mise en conformité dans un délai déterminé.
  • Amendes administratives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles ; jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes.
  • Suspension temporaire de certifications ou autorisations.
  • Interdiction temporaire d'exercer des fonctions de direction pour les personnes physiques responsables de manquements répétés au sein d'une entité essentielle.

Ce dernier point constitue une rupture par rapport au droit français antérieur en matière de cybersécurité. La responsabilité personnelle des dirigeants est explicitement visée par le texte. Un directeur général ou un membre du conseil d'administration qui n'aurait pas approuvé les mesures de gestion des risques ou qui n'aurait pas suivi la formation obligatoire s'expose à des sanctions individuelles.

Pour la direction juridique, cette disposition modifie l'analyse de risque interne : la conformité NIS 2 relève désormais de la responsabilité du top management, et non plus uniquement de la DSI.

La responsabilité personnelle des dirigeants en matière de cybersécurité impose une gouvernance juridique structurée.
Faites-vous accompagner par un avocat spécialisé pour sécuriser vos obligations.

Comment se préparer dès aujourd'hui à la transposition NIS 2 en France

L'absence de texte définitif ne justifie pas l'attente. Les obligations de fond — gouvernance, gestion des risques, notification — sont connues depuis la publication de la directive en décembre 2022. L'ANSSI recommande aux entités potentiellement concernées de lancer leur mise en conformité sans attendre la promulgation.

Voici les étapes prioritaires pour une direction juridique :

  1. Qualifier l'entité : vérifier si l'entreprise entre dans le périmètre NIS 2 (secteur, taille, activité) et déterminer sa catégorie (EE ou EI). La plateforme MonEspaceNIS2 de l'ANSSI permet un pré-diagnostic.
  2. Cartographier les systèmes d'information concernés et les flux de données critiques.
  3. Réaliser un gap analysis : comparer les mesures de sécurité existantes avec les exigences du texte (analyse de risques, continuité, chaîne d'approvisionnement, chiffrement).
  4. Formaliser la gouvernance : inscrire la cybersécurité à l'ordre du jour du conseil d'administration, documenter les décisions, planifier la formation des dirigeants.
  5. Rédiger ou mettre à jour la procédure de notification d'incidents pour garantir le respect du délai de 24 heures.
  6. Auditer les contrats fournisseurs : intégrer des clauses de cybersécurité dans les contrats avec les prestataires critiques, conformément à l'obligation de sécurité de la chaîne d'approvisionnement.
  7. Documenter chaque action : en cas de contrôle, l'ANSSI évaluera la démarche de conformité engagée, y compris avant l'entrée en vigueur formelle.

La période d'accompagnement de 3 ans annoncée par l'ANSSI ne dispense pas de conformité. Elle signifie que l'agence privilégiera la pédagogie avant la sanction, à condition que l'entité démontre une démarche active.

FAQ

La directive NIS 2 est-elle déjà applicable en France ?

Non. La directive NIS 2 nécessite une loi nationale de transposition pour devenir opposable. En France, le projet de loi est en cours d'examen parlementaire en 2025. Tant que la loi n'est pas promulguée, les obligations ne sont pas juridiquement contraignantes. En revanche, les exigences de fond sont connues et l'ANSSI encourage les entités à anticiper.

Comment savoir si mon entreprise est concernée par NIS 2 ?

L'entreprise est concernée si elle opère dans l'un des 18 secteurs visés par la directive et emploie au moins 50 salariés ou réalise un chiffre d'affaires supérieur à 10 millions d'euros. Certaines entités sont désignées indépendamment de leur taille (fournisseurs DNS, registres de domaines, opérateurs télécoms). La plateforme MonEspaceNIS2 de l'ANSSI propose un outil de pré-diagnostic.

Quelle est la différence entre entité essentielle et entité importante ?

Les entités essentielles opèrent dans des secteurs à haute criticité (énergie, santé, transports) et dépassent généralement 250 salariés. Elles font l'objet de contrôles proactifs et s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % du CA mondial. Les entités importantes relèvent de secteurs moins critiques, avec des contrôles réactifs et des plafonds d'amende inférieurs (7 millions d'euros ou 1,4 % du CA).

Les dirigeants peuvent-ils être personnellement sanctionnés ?

Oui. La transposition française prévoit que les dirigeants d'entités essentielles peuvent faire l'objet d'une interdiction temporaire d'exercer des fonctions de direction en cas de manquements répétés. Ils sont également tenus d'approuver les mesures de gestion des risques et de suivre une formation en cybersécurité.

Quel est le délai pour notifier un incident de cybersécurité à l'ANSSI ?

Le régime de notification comporte 3 étapes : une alerte précoce dans les 24 heures suivant la détection de l'incident, une notification complète sous 72 heures, puis un rapport final dans un délai d'un mois. Ces délais s'appliquent aux incidents qualifiés de « significatifs » selon des critères qui seront précisés par décret.

Pour aller plus loin

La directive NIS 2 - ANSSI

Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité - Sénat

Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité - Assemblée nationale

SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
Télécharger la ressource

Plateforme de mise en relation d’avocats d’affaires
Copied
Ressources

Derniers articles

Découvrir plus de contenu
Guides & Ressources pratiques
Convocation à un entretien disciplinaire sans motif : est-ce légal et que faire ?
13 Mar 2026
-
6
Guides & Ressources pratiques
Taux réduit d'IS à 15 % : conditions, plafond et calcul pour les PME
13 Apr 2026
-
7
Guides & Ressources pratiques
Créances clients : définition, enjeux juridiques et recouvrement
01 Feb 2026
-
8
SWIM n’est pas un cabinet d’avocats, ne fournit pas de services juridiques, ni de conseils juridiques ou de représentation légale.



Nous ne sommes pas une agence de travail temporaire ni de référencement d’avocats.
Aperçu
Vous êtes une entrepriseVous êtes un cabinetVous êtes un indépendantRessourcesNous contacterDéposer une mission
Légal
CVGUCookiesConfidentialitéDonnées personnelles
Réseaux
Linkedin
© 2025. SWIM Legal