NIS 2 / source : l’Informaticien
Toujours en attente de transposition en droit français, la directive européenne NIS2 pourrait prochainement être inscrite à l’ordre du jour de l’Assemblée nationale. Porté par l’ANSSI, le texte vise à renforcer les exigences de cybersécurité pour des milliers d’entités opérant dans les secteurs les plus sensibles.
Intervenant lors de l’Université des DPO de l’AFCDP, qui se tient la semaine dernière à Paris, Matthieu Autret, chef de la mission contrôles et supervision à l’ANSSI (Agence nationale de la sécurité des systèmes d’information), est revenu sur l’actualité réglementaire, et notamment sur la transposition de la directive NIS2, qui se fait toujours attendre.
Les choses semblent toutefois évoluer dans le bon sens. « Nous avons désormais devant nous l’inscription du texte en séance plénière à l’Assemblée nationale », a-t-il indiqué. « Madame la ministre Anne Le Hénanff (La ministre déléguée chargée de l’Intelligence artificielle et du Numérique ndlr), a récemment annoncé qu’elle espérait une inscription du texte dans la période qui suivra les élections municipales ».
La transposition de ce texte européen, destiné à renforcer la cybersécurité dans un certain nombre de secteurs parmi les plus sensibles, est pilotée par l’ANSSI.
Pour rappel, la directive NIS2 a été publiée le 27 décembre 2022 au Journal officiel de l’Union européenne. Entrée en vigueur en octobre 2024, elle concerne plus de 15 000 organisations françaises et des centaines de milliers d’entités européennes. Cette mouture renforcée de la directive NIS étend son champ d’application à 18 secteurs supplémentaires, notamment les transports, la santé et les fournisseurs de services numériques.
NIS2 impose un ensemble de mesures juridiques, techniques et organisationnelles que les entités devront mettre en œuvre, en fonction de leur niveau de risque, afin d’améliorer leur cybersécurité et de renforcer leur résilience opérationnelle.
Le chantier de transposition est engagé depuis plusieurs années. Le Sénat a voté en 2025 le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui transpose trois directives européennes : REC, NIS2 et DORA. Le texte a ensuite été adopté en commission spéciale à l’Assemblée nationale en septembre de la même année.
« Nous espérions que la transposition serait achevée en 2025, malheureusement elle ne l’a pas été », regrette Matthieu Autret. Le calendrier a en effet été fortement perturbé par l’instabilité politique : dissolution de l’Assemblée nationale en juin 2024, censures successives des gouvernements Barnier et Bayrou, puis débats prolongés autour du projet de loi de finances pour 2026.
NIS2 n’entrera pleinement en vigueur qu’après la promulgation de l’ensemble des textes de transposition : loi, décrets et arrêtés. À noter néanmoins que certaines obligations issues de la directive peuvent d’ores et déjà produire des effets pour des entités françaises. « La date d’entrée en vigueur ne correspond pas à la date d’application de l’ensemble des exigences réglementaires qui seront imposées aux entités régulées », précise l’ANSSI dans sa FAQ. L’agence encourage d’ailleurs fortement les organisations concernées à anticiper et préparer leur mise en conformité.
Retrouvez notre revue de presse dans la rubrique actualités !