NIS 2 encore repoussé : la France traînée devant la justice européenne
La transposition de la directive NIS 2 en droit français devait enfin avancer cet été. Il n’en sera rien. Le projet de loi « Résilience » ne figure pas à l’ordre du jour de la session extraordinaire de juillet 2026, repoussant son examen à la rentrée, au plus tôt en septembre. Pendant ce temps, Bruxelles a cessé d’attendre : le 8 juillet, la Commission européenne a saisi la Cour de justice de l’Union européenne (CJUE) contre la France pour défaut de transposition.
Bruxelles saisit la CJUE
Le 8 juillet 2026, la Commission européenne a annoncé renvoyer quatre États membres, dont la France, devant la CJUE pour ne pas avoir notifié la transposition complète de la directive NIS 2 (Directive (EU) 2022/2555). La France figure ainsi parmi les pays en retard, aux côtés de l’Irlande, de l’Espagne et des Pays-Bas.
Les États membres avaient jusqu’au 17 octobre 2024 pour transposer le texte. Après l’absence de réponse de la France, Bruxelles a envoyé des lettres de mise en demeure le 28 novembre 2024, suivies d’avis motivés le 7 mai 2025. Le renvoi devant la CJUE marque une nouvelle étape, avec la demande de sanctions financières, comprenant une somme forfaitaire et des astreintes journalières jusqu’à la notification de la transposition complète.
Un texte bloqué à l’Assemblée, un examen renvoyé à la rentrée
En France, la directive NIS 2 n’a pas été transposée seule. Elle est intégrée au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, également connu sous le nom de loi Résilience. Ce texte, qui transpose également la directive REC sur les entités critiques et le règlement DORA pour le secteur financier, a été adopté au Sénat et attend son examen à l’Assemblée nationale.
Cet examen, attendu cet été, ne se tiendra finalement pas. Le décret convoquant le Parlement en session extraordinaire à compter du 1er juillet n’inclut pas le texte, et son examen semble désormais reporté à septembre, sans confirmation officielle du gouvernement.
Les retards sont attribués à des désaccords, notamment concernant l’article 16 bis relatif aux portes dérobées. D’un côté, certains plaident pour leur usage afin de lutter contre le crime organisé, tandis que NIS 2 les interdit, créant une impasse.
NIS 2, un rappel express
NIS 2 remplace la première directive NIS de 2016 et élargit son périmètre. Le nombre de secteurs concernés passe à 18, incluant la santé, l’énergie, les transports et le secteur public. En France, le nombre d’entités régulées augmente de quelques centaines sous NIS 1 à plus de 15 000, collectivités comprises. Le texte distingue deux statuts : les entités essentielles et les entités importantes, selon la taille et le secteur. Les organisations concernées devront documenter leur gestion des risques et notifier leurs incidents, sous la supervision de l’ANSSI, sous peine de sanctions.
Dans tous les cas, il est conseillé de ne pas attendre la loi pour agir, car elle finira par être adoptée et vise à améliorer la sécurité des infrastructures.
Source : Commission européenne
