nis2-pro.fr

Calendrier NIS2 et Loi Résilience : chronologie de la transposition française

La directive européenne NIS2 impose un calendrier décalé par rapport aux attentes initiales. Pour les RSSI et DSI d'entités régulées, la compréhension précise des jalons est devenue un enjeu opérationnel majeur : entre l'échéance européenne manquée, la publication du ReCyF et les premiers contrôles annoncés, il reste un corridor étroit pour bâtir une posture de sécurité conforme.

De NIS1 à NIS2 : une montée en puissance européenne

La première directive NIS (2016) encadrait environ 300 entités en France – les Opérateurs de Services Essentiels et Opérateurs d'Importance Vitale. L'approche reposait sur un périmètre limité, concentré sur les infrastructures critiques au sens strict.

La date limite européenne de transposition était le 17 octobre 2024, dépassée par plusieurs États dont la France et le Luxembourg. La directive NIS2, adoptée le 14 décembre 2022 et entrée en vigueur le 16 janvier 2023, élargit drastiquement le champ : selon l'ANSSI, de 10 000 à 15 000 entreprises sont concernées en France (vs 500 sous NIS1).

L'enjeu n'est plus sectoriel mais systémique. 18 secteurs – de l'énergie aux services postaux en passant par la gestion des déchets – sont désormais tenus de démontrer un niveau de maturité cyber documenté, auditable et proportionné.

Pourquoi la France a manqué la date du 17 octobre 2024

Plusieurs États membres ont transposé NIS2 avant octobre 2024. La France a choisi un véhicule législatif plus large : le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dit « loi Résilience ». Ce texte transpose simultanément trois directives européennes : NIS2, REC (entités critiques) et DORA (résilience numérique du secteur financier).

Le projet de loi a été adopté en première lecture au Sénat dès le 15 octobre 2024, deux jours avant la date-butoir fixée par Bruxelles pour la transposition. Toutefois, le parcours législatif s'est ensuite enlisé. En mars 2025, le Sénat avait adopté le bill, et il a été examiné en commission spéciale à l'Assemblée nationale le 10 septembre 2025.

Selon plusieurs parlementaires, la date évoquée pour le moment est juillet 2026. La Commission européenne a émis un avis motivé le 7 mai 2025 pour défaut de notification de transposition complète, procédure d'infraction qui peut conduire à une saisine de la Cour de justice de l'Union européenne.

Le blocage principal résiderait dans l'article 16 bis du projet de loi, qui interdit l'imposition de backdoors dans les services de chiffrement. Cette disposition déplairait à la direction générale de la Sécurité intérieure (DGSI), ce qui bloque l'avancée du texte. Ce débat technique ralentit la promulgation d'un texte par ailleurs largement consensuel.

Calendrier France : état actualisé au 10 mai 2026

Jalons législatifs

  • 15 octobre 2024 : adoption en première lecture au Sénat
  • 12 mars 2025 : vote final au Sénat, renvoi vers l'Assemblée nationale
  • 10 septembre 2025 : examen en commission spéciale à l'Assemblée nationale
  • Avril–mai 2026 : attente de l'inscription à l'ordre du jour de l'Assemblée
  • Juillet 2026 : vote en hémicycle attendu, sous réserve de session extraordinaire

Selon Copla, Q1 2026 : final promulgation, la loi Résilience est attendue signée et publiée au Journal Officiel. Cette promulgation initialement évoquée pour le premier trimestre 2026 a glissé : la promulgation est attendue au premier semestre 2026 puis décrets au deuxième trimestre.

Décrets d'application

Une fois la loi promulguée, Q2 2026 : l'ANSSI publiera les décrets et arrêtés qui précisent les standards techniques exacts (le « référentiel ») à suivre. Ces décrets fixeront les modalités opérationnelles de supervision, d'enregistrement et de contrôle.

MonEspaceNIS2 : ouverture en novembre 2025

Afin de permettre aux entités de se préparer sans attendre la promulgation, l'ANSSI a lancé MonEspaceNIS2 en version pilote dès 2024, puis ouvert le pré-enregistrement des entités concernées sur MonEspaceNIS2 depuis le 24 novembre 2025.

Cette plateforme permet de :

  • vérifier son éligibilité via un test interactif
  • s'informer sur les secteurs et obligations
  • pré-enregistrer son entité avant l'entrée en vigueur formelle
  • échanger avec l'ANSSI sur l'interprétation du texte

Le pré-enregistrement sur MonEspaceNIS2, la plateforme officielle de l'ANSSI, est ouvert depuis novembre 2025. Ce service n'a pas de valeur déclarative obligatoire pour le moment, mais il constitue le premier canal de dialogue structuré avec l'agence.

Publication du ReCyF le 17 mars 2026

Face au retard législatif, l'ANSSI a décidé de publier un référentiel opérationnel avant même la loi. La version dite « 2.5 » rebaptisée « ReCyF » (pour Référentiel Cyber France) a été rendue publique le 17 mars 2026 par M. Vincent STRUBEL, directeur général de l'ANSSI.

Le ReCyF est accessible sur MesServicesCyber. Ce référentiel liste les mesures recommandées par l'Agence pour atteindre les objectifs de sécurité fixés par NIS 2 et est, à ce stade, diffusé en tant que document de travail. Tant que les travaux législatifs et réglementaires relatifs à la transposition n'ont pas eu lieu, et tant qu'il n'a pas fait l'objet d'une consultation, aucune version définitive n'est publiée par l'Agence.

Le ReCyF structure 20 objectifs de sécurité pour les entités essentielles et 15 pour les entités importantes. Il distingue :

  • les objectifs de sécurité (le « quoi »), obligatoires
  • les moyens acceptables de conformité (le « comment »), recommandés

Ce référentiel précise les modalités selon lesquelles les entités importantes et essentielles peuvent se prévaloir auprès de l'ANSSI lors d'un contrôle du recours à des prestations qualifiées (PASSI, PRIS, PDIS, PVID, PACS) ou à une certification à des normes internationales ou européennes pour démontrer leur respect de tout ou partie d'un objectif de sécurité.

L'ANSSI a également publié un outil de comparaison permettant de mapper le ReCyF avec ISO 27001, ISO 27002, HDS ou d'autres référentiels sectoriels.

Période de mise en conformité progressive 2026–2028

Calendrier opérationnel attendu

Bien que les dates ne soient pas encore officielles, les projections convergent :

  • T2 2026 : publication des décrets techniques, liste officielle des entités régulées notifiées
  • T3–T4 2026 : période transitoire d'enregistrement et d'auto-évaluation
  • 2027 : premiers contrôles ciblés sur les entités essentielles
  • 2028 : montée en charge de l'activité de supervision ANSSI, sanctions effectives

Les chantiers de mise en conformité prennent typiquement 4 à 8 mois pour une organisation qui part d'un niveau de maturité cyber moyen. Attendre que les textes soient publiés pour démarrer expose à trois risques : tension sur le marché des prestataires audit et conformité (les équipes expérimentées sont en forte demande dès le premier semestre 2026), impossibilité de boucler le cadrage puis la mise en œuvre avant les premiers contrôles, et risque opérationnel cyber qui ne disparaît pas pendant l'attente.

Scénario de sanctions

Dans la première année qui suit l'entrée en vigueur des textes nationaux, les autorités (ANSSI en France) privilégieront probablement l'accompagnement et l'injonction de mise en conformité plutôt que les amendes maximales. Sur les années suivantes, la logique de sanction s'accélérera pour crédibiliser la directive.

Les sanctions définitives prévues par la directive :

  • Entités essentielles : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel
  • Entités importantes : jusqu'à 7 millions d'euros ou 1,4 % du CA mondial

Au-delà des amendes, la Commission des sanctions peut prononcer des avertissements publics, des injonctions de mise en conformité, voire des suspensions temporaires d'activité.

Échéances opérationnelles : notification d'incident et audits

Obligation de notification 24h / 72h / 1 mois

La directive impose une cascade de notification pour tout incident significatif :

  • Alerte précoce : dans un délai maximum de 24 heures après prise de connaissance
  • Notification intermédiaire : dans les 72 heures, avec évaluation initiale de l'impact
  • Rapport final : sous 1 mois, détaillant cause, conséquences, mesures correctives

Cela suppose d'avoir en amont des procédures de gestion de crise documentées, des contacts d'urgence identifiés et un système de détection opérationnel.

Le non-respect de ce calendrier constitue en soi un manquement sanctionnable, indépendamment de la gravité intrinsèque de l'incident.

Audits périodiques

Le ReCyF prévoit, pour les entités essentielles, des axes d'amélioration et les mesures associées à mettre en œuvre suite à un entraînement ou un test. Les entités peuvent se prévaloir de prestations PASSI qualifiées pour démontrer leur conformité.

La fréquence des audits n'est pas encore fixée par décret, mais les pratiques sectorielles (énergie, santé) convergent vers un audit tous les 18 à 24 mois pour les entités essentielles.

Ce qu'il faut anticiper d'ici fin 2026

Pour les entités essentielles, le corridor est étroit. Les actions critiques à lancer immédiatement :

  1. Auto-évaluation ReCyF : cartographier l'écart entre l'état actuel et les 15 ou 20 objectifs applicables, via MonEspaceNIS2 ou un PACS qualifié
  2. Mise en place de la gouvernance : désigner le responsable sécurité SI, faire valider la PSSI par le dirigeant exécutif, documenter la comitologie
  3. Déploiement des mesures prioritaires : MFA généralisée, supervision de sécurité (SIEM, PDIS), durcissement des accès distants, chiffrement des données sensibles
  4. Sécurisation de la chaîne d'approvisionnement : évaluation cyber des prestataires critiques, clauses contractuelles de sécurité, registre des tiers
  5. Capacité de notification 24h : procédure de détection, d'escalade et de déclaration ANSSI opérationnelle
  6. Plan de continuité et gestion de crise : PCA/PRA cyber, exercices annuels documentés

Le ReCyF restera un document de travail jusqu'à la transposition de NIS2 en droit français, mais il ne faut surtout pas attendre pour le mettre en œuvre. L'intégrer dès à présent dans sa stratégie de sécurité, c'est prendre un coup d'avance sur la conformité qui sera exigée à l'avenir, mais c'est aussi et surtout se protéger d'une menace qui est d'ores et déjà une réalité malheureusement trop concrète pour de nombreuses victimes.

Pour aller plus loin, consultez les pages Qui est concerné ?, Loi Résilience, Sanctions NIS2, et les mesures spécifiques telles que Analyse de risques, Gestion des incidents ou Continuité d'activité.