NIS 2 : Bruxelles s'apprête à traîner la France devant la CJUE pour non-transposition

12/6/26
👈 les autres actualités

Près de deux ans après l'échéance de transposition, la France n'a toujours pas inscrit la directive NIS 2 dans son droit national. La patience de Bruxelles a atteint ses limites : selon Politico, la Commission européenne s'apprête à saisir la Cour de justice de l'Union européenne (CJUE), avec à la clé des amendes qui pourraient se chiffrer en dizaines de millions d'euros. Pour les 15 000 organisations françaises concernées, ce bras de fer prolonge une zone grise réglementaire de plus en plus inconfortable.

Une saisine de la CJUE imminente

L'échéance de transposition de la directive NIS 2 était fixée au 17 octobre 2024. Face aux retards généralisés, la Commission européenne a d'abord adressé une mise en demeure à 23 États membres fin 2024, puis un avis motivé à 19 pays récalcitrants le 7 mai 2025. La France n'a pas bougé — ou pas assez vite.

L'exécutif européen enclenche désormais la vitesse supérieure. « La Commission européenne s'apprête, juste avant ou juste après l'été, au plus tard avant la fin de l'année, à poursuivre la France et l'Espagne devant la plus haute juridiction européenne », alertent le député Philippe Latombe et le sénateur Olivier Cadic, présidents des commissions spéciales de l'Assemblée nationale et du Sénat chargées du dossier. Une condamnation par la CJUE ouvrirait la voie à des sanctions financières forfaitaires, assorties d'astreintes journalières tant que la transposition n'est pas achevée.

Pourquoi ce retard pèse sur tout l'écosystème

Le véhicule législatif français — le projet de loi Résilience — concerne 18 secteurs d'activité et environ 15 000 entités essentielles et importantes : collectivités, hôpitaux, industriels, ETI du numérique. Son examen parlementaire s'éternise, ralenti notamment par les débats autour de l'article anti-portes dérobées qui oppose cybersécurité et renseignement.

Conséquence directe : les organisations françaises restent suspendues à des obligations mal définies. Les exigences de NIS 2 — gestion des risques, notification d'incidents sous 24 heures, responsabilisation des dirigeants — sont connues dans leurs grandes lignes, mais leurs modalités d'application françaises (périmètre exact, référentiels ANSSI, calendrier de mise en conformité) demeurent flottantes. L'État a pourtant déjà calé sa propre feuille de route de sécurité numérique sur les exigences de NIS 2 jusqu'en 2030, signe que la doctrine technique est prête — c'est le cadre juridique qui manque.

Ce flou n'est pas une dispense. Le RGPD, lui, s'applique pleinement : l'article 32 impose déjà des mesures de sécurité techniques et organisationnelles à l'état de l'art, et la CNIL n'attend pas la loi Résilience pour sanctionner les défaillances de sécurité.

Ce que ça change pour les organisations

Attendre la transposition serait une erreur stratégique. Trois raisons :

D'abord, le calendrier judiciaire européen va accélérer le calendrier législatif français. Une saisine de la CJUE avant la fin de l'année mettra le gouvernement sous pression maximale pour faire adopter la loi Résilience rapidement — probablement avec des délais de mise en conformité courts pour les entreprises.

Ensuite, les fondamentaux de NIS 2 sont déjà stables : analyse de risques, politique de sécurité informatique documentée, gestion des vulnérabilités, plan de réponse aux incidents, sécurisation de la chaîne d'approvisionnement. Ces chantiers prennent des mois : les entamer maintenant, c'est éviter l'embouteillage de mise en conformité qui suivra l'adoption de la loi.

Enfin, pour les DPO, le chevauchement RGPD/NIS 2 est une opportunité : la cartographie des traitements, les mesures de l'article 32 et les procédures de notification de violation constituent un socle directement réutilisable pour la conformité NIS 2.

Ce que Leto pense de cette décision

La menace de la CJUE est un électrochoc salutaire. Le retard français n'est pas qu'une affaire de crédibilité diplomatique : il maintient des milliers d'organisations dans l'incertitude, pendant que les attaquants, eux, n'attendent pas le législateur. Mais ne nous trompons pas de lecture — l'enjeu pour les entreprises n'est pas la date d'adoption de la loi Résilience, c'est leur niveau de maturité le jour où elle tombera. Les exigences sont connues, les référentiels ANSSI existent, le RGPD impose déjà l'essentiel. Les organisations qui traitent NIS 2 comme un sujet de 2027 découvriront, comme souvent, que la conformité ne s'improvise pas en trois mois.

Sources : Silicon.fr — NIS 2 : Bruxelles hausse le ton contre la France

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026