Transposition de NIS 2 en France : l'examen à l'Assemblée reporté à septembre 2026
La transposition de la directive NIS 2 en France prend un nouveau retard. Selon ZDNet France, l'examen du projet de loi de transposition ne devrait pas avoir lieu avant septembre 2026, repoussant encore l'entrée en vigueur d'un texte dont l'échéance européenne était pourtant fixée au 17 octobre 2024. Pour les quelque 15 000 entités concernées en France, ce nouveau flottement législatif prolonge une zone grise réglementaire qui commence à peser lourd sur les décisions d'investissement en cybersécurité.
Ce qui s'est passé
Le calendrier parlementaire ne permet plus d'espérer un examen avant l'été du projet de loi dit « de résilience », qui doit transposer en droit français la directive NIS 2 (directive (UE) 2022/2555). Le gouvernement mise désormais sur la rentrée de septembre 2026 pour relancer les débats à l'Assemblée nationale, un nouveau report dans une saga qui dure depuis près de deux ans et qui a déjà connu plusieurs fausses relances. Pour suivre l'évolution du calendrier au fil de l'eau, Leto tient à jour l'état complet de la transposition de NIS 2 en France.
Pourquoi c'est important
Ce n'est pas un simple retard administratif. La Commission européenne a mis la France en demeure fin 2024, puis a émis un avis motivé en mai 2025 pour non-transposition, et Bruxelles s'apprête désormais à saisir la CJUE, avec à la clé des amendes potentielles de plusieurs dizaines de millions d'euros et des astreintes journalières. Du côté des professionnels, le CESIN, première association française de RSSI, a déjà alerté sur le fait que ce flou réglementaire gèle des décisions d'investissement en cybersécurité, créant un décalage compétitif avec les États membres ayant déjà transposé le texte. Rappelons que la directive NIS 2 prévoit des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, ainsi qu'une obligation de notification des incidents significatifs sous 24 heures.
Ce que ça change pour les organisations
Pour les DPO et RSSI, l'absence de loi ne doit pas se traduire par l'attentisme. Les fondamentaux de NIS 2 sont stables depuis l'adoption de la directive européenne en 2022 et ne devraient pas bouger significativement lors de la transposition française. Les organisations ont donc intérêt à vérifier dès maintenant si elles relèvent des critères d'assujettissement de NIS 2 (secteur d'activité parmi les 18 visés et taille de l'entité), puis à engager une première analyse de risques sur la base des dix catégories de mesures prévues par l'article 21 : gestion des incidents, sécurité de la chaîne d'approvisionnement, chiffrement, contrôle d'accès, formation des organes de direction. L'article 32 du RGPD, déjà pleinement applicable, offre par ailleurs un socle de sécurité technique largement réutilisable pour anticiper les exigences de NIS 2 sans attendre le texte français. C'est d'ailleurs tout l'intérêt de croiser les deux textes en amont : consulter les obligations croisées entre NIS 2 et RGPD permet aux DPO et RSSI de bâtir une feuille de route commune plutôt que deux chantiers de conformité parallèles.
Ce que Leto pense de cette décision
Un nouveau report, après deux mises en demeure européennes, n'est plus un simple aléa de calendrier parlementaire : c'est un signal d'instabilité qui pénalise les organisations de bonne foi, celles qui investissent par anticipation, pendant que d'autres attendent une loi qui n'arrive pas. Avec la procédure d'infraction européenne qui avance en parallèle, la France s'expose à devoir faire adopter le texte dans l'urgence, avec des délais de mise en conformité potentiellement très courts pour les entreprises une fois la loi votée. Notre conseil reste inchangé : ne pas attendre le vote pour agir, car les obligations de fond de NIS 2 ne devraient pas changer d'ici là — seul le calendrier reste incertain.
Sources : ZDNet France

