NIS2 en suspens : la transposition bloquée gèle l'investissement cyber

19/6/26
👈 les autres actualités

Le projet de loi français transposant la directive européenne NIS2 ne figure toujours pas à l'ordre du jour de la session parlementaire extraordinaire qui s'ouvre le 1ᵉʳ juillet 2026. Pour le CESIN, première association de RSSI en France, ce vide n'est plus seulement un problème juridique : c'est un frein concret à l'investissement en cybersécurité. Vingt mois après l'échéance manquée, le marché tout entier attend que le Parlement tranche.

Ce qui s'est passé

La directive NIS2 devait être transposée en droit national avant le 17 octobre 2024. La France a manqué ce rendez-vous, comme une large majorité d'États membres. Le véhicule législatif retenu — le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dit « loi Résilience » — reste bloqué dans le circuit parlementaire. Son absence de l'agenda de la session extraordinaire de juillet 2026 prolonge une incertitude qui dure désormais depuis près de deux ans.

Le CESIN tire la sonnette d'alarme sur les effets très pratiques de ce flottement. Des décisions d'investissement en sécurité sont mises en suspens : faute de connaître le périmètre définitif des obligations, des seuils et des sanctions, de nombreuses organisations préfèrent attendre plutôt que d'engager des budgets qui pourraient s'avérer mal calibrés. Le retard se double d'un risque contentieux européen : la Commission s'apprête à saisir la CJUE contre la France pour non-transposition, avec à la clé des amendes potentielles en dizaines de millions d'euros.

Pourquoi c'est important

NIS2 n'est pas une mise à jour cosmétique de NIS1. La directive (UE) 2022/2555 élargit massivement le champ des organisations concernées : dix-huit secteurs et environ quinze mille entités en France, réparties entre entités essentielles et entités importantes selon leur secteur et leur taille. Pour beaucoup, c'est une première entrée dans le champ de la réglementation cyber.

Le problème touche deux populations distinctes. Les entités historiquement régulées voient leur périmètre s'élargir et leurs obligations se durcir. Les entités nouvellement concernées, elles, découvrent un cadre dont les contours nationaux ne sont pas encore figés — alors même que les dix mesures de l'article 21 et l'obligation de formation des dirigeants posée par l'article 20 sont, elles, déjà connues. L'attente française crée aussi un décalage compétitif : les États membres ayant déjà transposé avancent, et les groupes opérant sur plusieurs marchés s'alignent sur les cadres les plus exigeants, creusant l'écart avec les organisations restées en zone grise.

Ce que ça change pour les organisations

Le message des experts est constant : ne pas attendre la transposition pour agir. Les fondamentaux de NIS2 sont stables et ne dépendront pas des arbitrages parlementaires de dernière minute — analyse de risques, politique de sécurité des systèmes d'information, gestion des vulnérabilités, plan de continuité et notification d'incident dans des délais courts. Ces briques peuvent être construites dès maintenant.

Mieux : une grande partie de ce travail est déjà exigée par ailleurs. L'article 32 du RGPD impose des mesures techniques et organisationnelles à l'état de l'art, et le chevauchement entre les deux régimes offre un socle réutilisable, comme nous le détaillons dans notre guide sur les obligations croisées NIS2 et RGPD. Concrètement, les organisations ont intérêt à cartographier dès aujourd'hui leur assujettissement probable, à documenter leur gouvernance cyber et à former leurs dirigeants. Pour suivre l'évolution du calendrier et du périmètre, notre guide dédié à l'état de la transposition en France est mis à jour au fil des débats — débats qui se cristallisent par ailleurs sur des points sensibles comme l'article anti-portes dérobées de la loi Résilience.

Ce que Leto pense de cette décision

Attendre la loi pour se mettre en conformité est le pire calcul possible. L'histoire récente des transpositions montre que les délais de mise en conformité accordés après adoption sont souvent courts — et la pression d'une éventuelle saisine de la CJUE ne fera qu'accélérer le tempo une fois le texte voté. Les organisations qui auront utilisé ces vingt mois de flottement pour bâtir leur socle cyber, en capitalisant sur ce qu'elles font déjà au titre du RGPD, aborderont l'entrée en vigueur sereinement. Les autres découvriront, dans l'urgence, que la cybersécurité ne se décrète pas en trois mois.

Sources : Silicon.fr — NIS2 en suspens : les RSSI attendent, le marché aussi (19 juin 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026