NIS 2 encore repoussé : la France traînée devant la justice européenne

Actu Cybersécurité

NIS 2 encore repoussé : la France traînée devant la justice européenne

La transposition de la directive NIS 2 en droit français devait enfin avancer cet été. Il n’en sera rien. Le projet de loi “Résilience” ne figure pas à l’ordre du jour de la session extraordinaire de juillet 2026, ce qui repousse son examen à la rentrée. Au plus tôt, ce sera en septembre. Pendant ce temps, Bruxelles a cessé d’attendre : le 8 juillet, la Commission européenne a saisi la Cour de justice de l’Union européenne contre la France pour défaut de transposition. Voici ce que l’on sait.

Bruxelles saisit la CJUE

Le 8 juillet 2026, la Commission européenne a annoncé renvoyer quatre États membres devant la Cour de justice de l’Union européenne (CJUE) pour ne pas avoir notifié la transposition complète de la directive NIS 2 (Directive (EU) 2022/2555) : la France est dans la liste des mauvais élèves, tout comme l’Irlande, l’Espagne et les Pays-Bas.

Il faut dire que la France est sacrément à la ramasse. Selon le communiqué officiel, les États disposaient jusqu’au 17 octobre 2024 pour transposer le texte. Faute de réponse, Bruxelles avait envoyé des lettres de mise en demeure le 28 novembre 2024, puis des avis motivés le 7 mai 2025. Le renvoi devant la Cour de justice constitue l’étape suivante. La Commission européenne demande cette fois des sanctions financières, sous la forme d’une somme forfaitaire assortie d’astreintes journalières, jusqu’à la notification de la transposition complète.

Les montants de ces sanctions ne sont pas connus, et peut-être que la France ne paiera jamais cette somme. C’est probablement un levier supplémentaire pour faire pression sur la classe politique française.

Un texte bloqué à l’Assemblée, un examen renvoyé à la rentrée

En France, la directive NIS 2 n’a pas été transposée seule. Le gouvernement a décidé de l’intégrer au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Ceci correspond à la loi Résilience, qui transpose également la directive REC sur les entités critiques et le règlement DORA pour le secteur financier. Adopté au Sénat, le texte attend son examen en séance publique à l’Assemblée nationale.

Cet examen n’aura pas lieu cet été, alors que c’était pourtant attendu. Le décret convoquant le Parlement en session extraordinaire à compter du 1er juillet ne mentionne pas le texte. Il y a de fortes chances pour que cet examen soit reporté à septembre, à la rentrée, mais ceci n’a pas été confirmé par le gouvernement.

Pourquoi ça traîne autant ? Nous entendons beaucoup parler de NIS 2, mais les mois passent et la situation n’évolue pas. En réalité, il y a un point de friction qui revient à chaque fois : l’article 16 bis relatif aux portes dérobées. Un sujet à l’origine de tensions. D’un côté, il y a ceux qui plaident pour leur usage, en particulier les services de renseignements, afin de lutter contre le crime organisé, et de l’autre, NIS 2 les interdit. Ce désaccord fait que nous sommes dans une impasse.

NIS 2, un rappel express

Pour mémoire, NIS 2 remplace la première directive NIS de 2016 et élargit nettement son périmètre.

  • Le nombre de secteurs concernés passe à 18, dont la santé, l’énergie, les transports et le secteur public.
  • En France, le nombre d’entités régulées bondit de quelques centaines sous NIS 1 à plus de 15 000, collectivités comprises.
  • Le texte distingue deux statuts, les entités essentielles et les entités importantes, selon la taille et le secteur.
  • Les organisations concernées devront documenter leur gestion des risques et notifier leurs incidents, sous la supervision de l’ANSSI et sous peine de sanctions.

Dans tous les cas, n’attendez pas la loi pour agir. Elle finira par être adoptée et elle va dans le bon sens en matière de sécurité des infrastructures (analyse de risques, gestion des vulnérabilités, etc.).

Voici les liens vers les deux ressources officielles :

SOURCE