nis2-pro.fr

Loi Résilience : la transposition française de NIS2, DORA et REC

La Loi Résilience – officiellement « projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » – constitue le véhicule législatif par lequel la France transpose simultanément trois directives et règlements européens adoptés le 14 décembre 2022 : la directive NIS2 (Network and Information Security 2), le règlement DORA (Digital Operational Resilience Act) et la directive REC (Résilience des Entités Critiques). Cette architecture législative unique en Europe centralise dans un texte unique les nouvelles obligations de cybersécurité et de résilience qui s'appliqueront à près de 15 000 entités françaises, contre environ 500 sous le régime NIS1.

Trois textes européens, une loi nationale

Porté par Madame Clara Chappaz, Ministre déléguée chargée de l'Intelligence artificielle et du Numérique, ce projet de loi transpose trois directives européennes : REC, NIS 2 et DORA, dont les objectifs sont de renforcer la sécurité et la résilience des infrastructures.

La directive REC vise à améliorer la résilience physique et organisationnelle des infrastructures critiques identifiées par les États membres, en passant d'une logique de protection à une approche de résilience élargie. Elle impose aux entités critiques des obligations d'analyse de risques, de gestion des incidents et de continuité d'activité qui couvrent non seulement la cybersécurité, mais également les menaces physiques, climatiques et sanitaires.

En France, cela se traduit par une augmentation estimée du nombre d'entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18. La directive NIS2 élargit considérablement le périmètre sectoriel et modifie en profondeur la philosophie de régulation : là où NIS1 procédait par identification d'opérateurs de services essentiels (OSE), NIS2 établit des seuils objectifs basés sur la taille (effectif, chiffre d'affaires, bilan) et le secteur d'activité.

Le règlement DORA (Digital Operational Resilience Act), qui s'appliquera à partir du 17 janvier 2025, vise à combler ces lacunes. DORA établit des règles harmonisées en matière de résilience opérationnelle numérique pour les entités financières : banques, assurances, entreprises d'investissement, infrastructures de marchés, fonds, gestionnaires d'actifs. Il impose des exigences précises sur la gestion des risques TIC, la déclaration d'incidents, les tests de résilience et surtout la gestion des risques liés aux prestataires tiers de services TIC.

État d'avancement : une transposition tardive en phase finale

La date limite de transposition de NIS2 était fixée au 17 octobre 2024. La France, comme la majorité des États membres, n'a pas respecté ce délai. L'instabilité gouvernementale de 2024-2025 – dissolution de l'Assemblée nationale en juin 2024, chute successive des gouvernements Barnier puis Bayrou – a ralenti l'examen parlementaire.

Mercredi 12 mars 2025, le Sénat a adopté le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Le projet de loi a été déposé au Sénat le 15 octobre 2024, examiné en commission spéciale début mars 2025, puis adopté en première lecture au Sénat le 12 mars 2025. Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112, déposé le jeudi 13 mars 2025. Rapport sur le projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (n°1112), n° 1779, déposé le mercredi 10 septembre 2025.

Mardi 9 et mercredi 10 septembre, les députés de la commission spéciale, malgré la démission du Gouvernement, ont fait acte de résilience pour débattre du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, adopté par le Sénat après engagement de la procédure accélérée. La commission spéciale de l'Assemblée nationale a adopté le texte à l'unanimité en septembre 2025, avec 244 amendements.

Selon les informations disponibles au printemps 2026, les rapporteurs du texte avaient déjà tiré la sonnette d'alarme. Ils évoquaient une transposition "probablement repoussée à juillet", dénonçant un calendrier incompatible avec les enjeux de sécurité et la crédibilité européenne de la France. La promulgation de la loi est attendue pour le printemps ou l'été 2026.

Une fois la loi promulguée, dans les mois suivants la promulgation de la loi, la transposition se poursuivra par la phase de production des décrets et arrêtés. NIS 2 entrera en vigueur en France dès lors que l'ensemble des textes de transposition (loi, décrets, arrêtés) auront été promulgués. Les décrets d'application – qui fixeront notamment les référentiels techniques, les délais de mise en conformité, les modalités d'enregistrement et de contrôle – sont attendus au second semestre 2026.

Un périmètre élargi : 15 000 entités régulées

Le bond quantitatif est spectaculaire. Celle-ci élargit considérablement le périmètre de NIS (transposée en 2013 dans la loi de programmation militaire française), puisqu'elle aura un impact sur quelque 15000 entités françaises dans 18 secteurs, contre 300 précédemment dans les secteurs les plus critiques. Cette estimation repose sur les critères de taille définis par la directive NIS2 et appliqués aux bases statistiques de l'INSEE.

La directive NIS 2 élargit considérablement le périmètre des acteurs concernés : de quelque 300 opérateurs de services essentiels sous NIS 1, elle s'appliquera en France à plus de 15.000 entités dans 18 secteurs, ainsi qu'à près de 1.000 intercommunalités et 300 communes de plus de 30.000 habitants.

Le projet de loi distingue deux catégories d'entités, selon l'annexe de la directive dans laquelle figure leur secteur :

Entités essentielles (EE) : opérant dans les secteurs hautement critiques (Annexe I de NIS2), avec un effectif d'au moins 250 salariés OU un chiffre d'affaires annuel supérieur à 50 millions d'euros OU un bilan total supérieur à 43 millions d'euros. Les secteurs hautement critiques incluent l'énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l'eau potable et les eaux usées, l'infrastructure numérique (DNS, registres de noms de domaine, TLD), la gestion des services TIC (B2B), l'administration publique et l'espace.

Entités importantes (EI) : opérant dans les secteurs hautement critiques avec une taille moindre (de 50 à 249 salariés ou chiffre d'affaires et bilan entre 10 et 43 millions d'euros), ou dans les secteurs critiques (Annexe II) avec au moins 50 salariés ou 10 millions d'euros de chiffre d'affaires. Les secteurs critiques comprennent les services postaux, la gestion des déchets, l'industrie chimique, l'alimentation, la fabrication (électronique, machines, véhicules automobiles, équipements médicaux), les fournisseurs numériques (places de marché en ligne, moteurs de recherche, plateformes de services de réseaux sociaux, informatique en nuage) et la recherche.

Cette distinction emporte des conséquences importantes sur l'intensité de la supervision : les entités essentielles feront l'objet d'une surveillance proactive et d'inspections régulières programmées par l'ANSSI, tandis que les entités importantes seront supervisées ex post, principalement en cas d'incident déclaré ou de signalement.

Architecture du dispositif : supervision proactive versus réactive

Le projet de loi modifie substantiellement le positionnement de l'ANSSI. Nouveauté, l'Agence nationale de la sécurité des systèmes d'information (Anssi), jusqu'alors chargée de l'accompagnement des structures en lien avec les acteurs de terrain, les fédérations professionnelles ou encore les campus cyber régionaux, endossera progressivement un rôle de gendarme.

L'ANSSI devient l'autorité unique de supervision et de contrôle pour NIS2 et REC, avec des pouvoirs de contrôle, d'audit, d'injonction et de sanction. Elle sera compétente pour :

  • Établir et tenir à jour la liste des entités essentielles et importantes
  • Recevoir les déclarations d'enregistrement via la plateforme MonEspaceNIS2
  • Recevoir les notifications d'incidents sous 24 heures (alerte précoce), 72 heures (notification formelle) et sous 30 jours (rapport final)
  • Conduire des audits et inspections, notamment auprès des entités essentielles
  • Émettre des recommandations et des injonctions
  • Transmettre les manquements les plus graves à une commission des sanctions indépendante

Les sanctions administratives prévues sont alignées sur les maxima autorisés par la directive NIS2 : pour les entités essentielles, jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu) ; pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel. La responsabilité personnelle des dirigeants peut également être engagée, avec des interdictions temporaires d'exercer des fonctions de direction.

Articulation avec les dispositifs existants : LPM, DORA, NCCS

La France dispose déjà de plusieurs régimes sectoriels ou catégoriels de cybersécurité. Le projet de loi Résilience doit s'articuler avec ces dispositifs sans créer de redondance ni de vide juridique.

Opérateurs d'importance vitale (OIV) et Loi de Programmation Militaire (LPM) : les OIV identifiés au titre de la LPM dans les secteurs d'activité d'importance vitale (SAIV) conservent leur statut et leurs obligations spécifiques, notamment celles relatives aux systèmes d'information d'importance vitale (SIIV). La directive REC, transposée dans le titre I du projet de loi Résilience, actualise et enrichit le dispositif SAIV sans le remplacer. Les OIV relèveront donc à la fois des obligations LPM (sur leurs SIIV) et des obligations NIS2 (sur l'ensemble de leurs systèmes d'information, sauf dérogations). L'ANSSI devra veiller à la cohérence et à l'articulation de ces deux régimes pour éviter la duplication des audits et déclarations.

DORA pour le secteur financier : le règlement DORA est d'application directe depuis le 17 janvier 2025. Les entités financières régulées par DORA – banques, assurances, gestionnaires d'actifs, infrastructures de marché – relèvent également, pour certaines, du périmètre NIS2 (secteurs bancaire et infrastructures des marchés financiers). La directive NIS 2 et le règlement DORA ne partagent pas les mêmes objectifs. La directive accompagnant DORA, transposée dans le titre III du projet de loi Résilience, opère les ajustements techniques nécessaires dans le Code monétaire et financier pour garantir la cohérence juridique. En pratique, les entités financières appliquent DORA (plus exigeant et spécialisé) et sont exemptées des obligations redondantes de NIS2 sur le périmètre couvert par DORA. Les autorités de supervision (ACPR, AMF, Banque de France) restent compétentes pour le volet DORA, tandis que l'ANSSI conserve un rôle de coordination et d'information.

Réglementations sectorielles spécifiques : certains secteurs disposent de réglementations cyber dédiées. Par exemple, le règlement NCCS (Network Code on Cybersecurity) impose aux gestionnaires de réseaux électriques européens des obligations de cybersécurité spécifiques depuis 2024. Les opérateurs d'électricité concernés devront appliquer à la fois NCCS (pour leurs activités réseau électrique) et NIS2 (pour l'ensemble de leurs systèmes d'information). Ici encore, la logique est celle de la complémentarité : le régime sectoriel le plus exigeant s'applique en priorité, et NIS2 vient combler les éventuelles lacunes.

Calendrier 2024-2027 : jalons de la mise en œuvre

Le calendrier de la transposition française et de l'entrée en vigueur effective des obligations peut se résumer ainsi :

  • 14 décembre 2022 : adoption conjointe par le Parlement européen et le Conseil de l'UE des directives NIS2, REC et DORA
  • 16 janvier 2023 : entrée en vigueur de la directive NIS2 ; les États membres disposent de 21 mois pour transposer
  • 17 janvier 2025 : application directe du règlement DORA dans tous les États membres
  • 17 octobre 2024 : date limite de transposition de NIS2 et REC (non respectée par la France et de nombreux États membres)
  • 15 octobre 2024 : présentation du projet de loi Résilience en Conseil des ministres, dépôt au Sénat
  • 12 mars 2025 : adoption en première lecture au Sénat
  • 10 septembre 2025 : adoption à l'unanimité en commission spéciale à l'Assemblée nationale
  • 17 mars 2026 : publication par l'ANSSI du Référentiel Cyber France (ReCyF), document de travail listant les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2
  • Printemps-été 2026 (prévision) : adoption définitive et promulgation de la loi Résilience
  • Second semestre 2026 : publication des décrets et arrêtés d'application fixant les référentiels techniques, les modalités d'enregistrement, les critères d'incident significatif, les délais de mise en conformité
  • Fin 2026 : ouverture de la phase d'enregistrement obligatoire des entités sur la plateforme MonEspaceNIS2
  • 2027-2029 : période de transition progressive, avec des délais de mise en conformité pouvant aller jusqu'à 3 ans pour certaines catégories d'entités

L'ANSSI prévoit de débuter les audits et contrôles de conformité trois ans après la promulgation de la loi. Cela signifie que, pour les entités essentielles, des contrôles réguliers débuteront vraisemblablement en 2029, tandis que les entités importantes seront principalement contrôlées en cas d'incident ou de signalement.

Ce que doivent faire les entités régulées dès maintenant

L'attente de la promulgation formelle de la loi et de ses décrets d'application ne doit pas retarder l'action. Les organisations potentiellement concernées disposent de leviers concrets pour anticiper leur mise en conformité.

Identifier le périmètre d'application : utiliser le simulateur MonEspaceNIS2 mis à disposition par l'ANSSI pour déterminer si l'entité entre dans le champ de NIS2, et dans quelle catégorie (essentielle ou importante). Ce simulateur prend en compte le secteur d'activité (code NAF), l'effectif, le chiffre d'affaires et le bilan. Même les entités qui se situent légèrement en dessous des seuils devraient s'intéresser au sujet : d'une part, la croissance de l'entité peut la faire basculer dans le périmètre ; d'autre part, les clients et donneurs d'ordre régulés vont exiger de leurs sous-traitants et fournisseurs un niveau de cybersécurité aligné, via des clauses contractuelles.

Réaliser un état des lieux de maturité cyber : Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. Le ReCyF détaille 20 objectifs de sécurité pour les entités essentielles et 15 pour les entités importantes. Le ReCyF, diffusé à ce stade en tant que document de travail, correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience. Ce référentiel, par défaut non-obligatoire, permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle de l'ANSSI.

L'entité doit conduire un diagnostic de maturité (gap analysis) pour comparer ses pratiques actuelles aux dix mesures minimales de l'article 21 de NIS2 : analyse de risques de sécurité du SI, gestion des incidents, continuité d'activité et gestion de crise, sécurité de la chaîne d'approvisionnement, sécurité dans le développement et l'acquisition de systèmes, évaluation de l'efficacité des mesures, cyber-hygiène et formation, cryptographie et chiffrement, sécurité des ressources humaines, contrôle d'accès et gestion des actifs, authentification multi-facteurs et communications sécurisées.

Cartographier les systèmes d'information et les actifs critiques : NIS2 impose une approche par les risques, ce qui suppose une connaissance précise du patrimoine informationnel, des flux de données, des applications métiers, des infrastructures techniques et de leurs interdépendances. Cette cartographie est le préalable indispensable à toute analyse de risques. Elle doit couvrir l'ensemble des systèmes d'information de l'entité, sauf ceux expressément exemptés car sans impact sur la continuité du service.

Structurer la gouvernance de la cybersécurité : NIS2 responsabilise explicitement les organes de direction. Les dirigeants doivent approuver les mesures de gestion des risques cyber, superviser leur mise en œuvre et suivre les formations adaptées. Il convient de désigner un responsable de la sécurité des systèmes d'information (RSSI) doté d'autorité, de moyens et d'un lien direct avec la direction générale. La fonction RSSI doit être dimensionnée pour assurer la conformité continue et piloter les projets de remédiation.

Définir et tester les procédures de notification d'incidents : En cas d'incident significatif (qu'il s'agisse d'une fuite de données, d'un ransomware ou d'un dysfonctionnement critique) l'entité devra alerter les autorités compétentes dans un délai de 24 heures. Cette notification initiale devra être suivie, dans les 72 heures, d'une évaluation approfondie de l'événement, et, si nécessaire, d'un rapport final détaillant les causes et les mesures correctives. Ces délais extrêmement courts imposent de préparer dès maintenant les procédures, les outils de détection et les circuits de décision. L'entité doit être capable de qualifier la gravité d'un incident, de rédiger une alerte précoce et de la transmettre au CERT-FR 24 heures sur 24, week-end et jours fériés compris.

Auditer et sécuriser la chaîne d'approvisionnement numérique : NIS2 impose aux entités régulées d'évaluer les risques cyber liés à leurs fournisseurs et sous-traitants, en particulier ceux qui traitent des données sensibles ou fournissent des services critiques pour la continuité d'activité. Cela suppose d'intégrer des clauses de cybersécurité dans les contrats, de demander des attestations de conformité ou de certifications (par exemple, qualification PASSI, PRIS, PDIS, SecNumCloud), de réaliser des audits fournisseurs et de prévoir des plans de continuité en cas de défaillance d'un tiers.

Former les équipes et la direction : "France has built a strong national cybersecurity ecosystem combining public and private actors and over 70 industry federations. Compliance deadlines will come, but the threats are already here." – Vincent Strubel, Director General, ANSSI La formation continue des collaborateurs aux risques cyber et aux bonnes pratiques d'hygiène numérique est l'une des dix mesures obligatoires. La direction elle-même doit suivre des formations adaptées pour comprendre les enjeux, prendre les décisions stratégiques et assumer pleinement ses responsabilités.

Prévoir le budget et les ressources nécessaires : la mise en conformité NIS2 représente un investissement significatif, variable selon la taille de l'entité et son niveau de maturité initial. Les postes de dépenses incluent : recrutement ou renforcement de l'équipe cybersécurité, investissements techniques (SIEM, EDR, solutions de sauvegarde, MFA, gestion des vulnérabilités), prestations externes (audit, conseil, accompagnement), formations, certifications et qualifications de prestataires, mise à niveau des contrats fournisseurs. Les organisations matures mettent en moyenne 4 à 8 mois pour boucler un chantier de mise en conformité. Anticiper permet d'éviter la tension sur le marché des prestataires qualifiés et le risque de sanctions précoces.

La Loi Résilience représente un tournant historique pour la cybersécurité en France. En regroupant dans un texte unique la transposition de NIS2, DORA et REC, elle pose les fondations d'une résilience nationale élargie, qui ne concerne plus seulement quelques centaines d'opérateurs critiques mais l'ensemble du tissu économique et territorial. Les 15 000 entités régulées – entreprises privées, administrations publiques, collectivités territoriales – devront désormais démontrer un niveau élevé de cybersécurité, sous la supervision proactive de l'ANSSI et avec des sanctions financières et managériales substantielles en cas de manquement. Le calendrier de mise en œuvre court jusqu'en 2029, mais l'urgence opérationnelle impose d'agir dès maintenant : la menace cyber ne respecte aucun calendrier législatif.