La transposition française de la directive européenne NIS2 n’apparaît toujours pas au calendrier parlementaire, selon Le Dauphiné Libéré. Résultat: des entreprises avancent dans le flou sur les obligations exactes, les contrôles et le rythme de mise en conformité. Dans le même temps, le risque cyber continue d’augmenter, et les organisations doivent arbitrer entre urgence opérationnelle et attente du cadre final.
Le sujet n’est pas technique pour initiés. NIS2 vise à élever le niveau de cybersécurité d’un grand nombre d’acteurs économiques, et pas seulement les opérateurs historiques. Pour une direction générale, cela se traduit par des décisions très concrètes: quel budget engager, quelles priorités fixer, qui rend des comptes en cas d’incident, et comment prouver que l’entreprise a fait le nécessaire. Or, comme le rapporte Le Dauphiné Libéré, l’absence de visibilité parlementaire alimente une zone grise qui pénalise surtout les structures qui n’ont pas d’équipe cyber très étoffée.
Pourquoi la transposition de NIS2 patine au Parlement français
Le blocage n’est pas seulement une question d’agenda. Selon une analyse citée par une source spécialisée, le retard parlementaire s’expliquerait par un désaccord entre des parlementaires et la DGSI sur certains arbitrages liés au texte de transposition. Le signal envoyé aux entreprises est paradoxal: la directive européenne fixe un cap, mais le cadre national qui doit préciser les modalités de contrôle et d’application tarde à se stabiliser.
Dans les faits, cela crée deux effets immédiats. D’abord, des dirigeants attendent la version finale avant de trancher des investissements structurants (outillage de détection, supervision, gouvernance, plans de crise). Ensuite, d’autres organisations avancent quand même, mais en se basant sur des interprétations, des guides et des retours de pairs, avec le risque de devoir réajuster ensuite. Pour une entreprise multi-sites, ou avec des filiales, le manque de texte clair complique aussi l’harmonisation interne: les métiers demandent des règles simples, et la cybersécurité répond souvent avec des hypothèses.
Forge Agency résume l’état d’avancement législatif: au 2 juin 2026, la loi est toujours en navette parlementaire, après une adoption au Sénat et en attente d’examen à l’Assemblée nationale. Cette attente prolonge un entre-deux où la pression cyber, elle, ne se met pas sur pause.
Qui est concerné, et pourquoi ANSSI devient un interlocuteur central
La directive NIS2 élargit le périmètre des organisations visées et structure la réponse autour d’exigences de gestion des risques et de notification d’incidents. Une source pédagogique rappelle que NIS2 est une réglementation européenne entrée en vigueur en octobre 2024, avec l’objectif d’inciter les entreprises à renforcer leur niveau de cybersécurité. Pour les sociétés qui se découvrent potentiellement dans le champ, la première question est simple: Est-ce que l’entreprise est concernée, et à quel titre?
Ce point est loin d’être anecdotique, car il conditionne le niveau d’attentes, la gouvernance et la relation avec l’autorité de contrôle. La même source met en avant la distinction entre catégories d’entités prévues par NIS2 (souvent résumées en entités essentielles et entités importantes), avec des conséquences sur la manière dont les obligations seront suivies. Même si les détails opérationnels dépendent de la transposition nationale, la logique générale est claire: plus l’activité est critique, plus l’exigence de maîtrise du risque cyber devient structurante.
Dans ce dispositif, l’ANSSI occupe une place clé. D’après cette source, l’ANSSI est l’autorité nationale habilitée à effectuer des audits et des inspections pour vérifier le niveau de conformité. Pour une entreprise, cela change la nature de la cybersécurité au quotidien: il ne s’agit plus seulement de faire au mieux, mais de pouvoir démontrer des choix, des arbitrages, des procédures, et une capacité à réagir.
Concrètement, les directions générales sont poussées à traiter la cybersécurité comme un sujet de pilotage, au même titre que la qualité ou la conformité. Résultat: la question de l’outillage (inventaire des actifs, gestion des vulnérabilités, journalisation, supervision) se double d’une question de documentation et de gouvernance (qui décide, qui valide, qui alerte, qui communique). Sans texte final, beaucoup d’entreprises choisissent une approche pragmatique: se mettre au niveau attendu sur les fondamentaux, sans attendre le dernier alinéa.
Tout le monde attend la date: le flou qui coûte cher au quotidien
Le Dauphiné Libéré parle d’un retard qui nuit aux entreprises. Ce préjudice se lit rarement en une ligne budgétaire unique, mais dans une accumulation de frictions. Un responsable informatique doit convaincre sa direction d’investir, alors que la direction demande un calendrier, des exigences précises, et une visibilité sur les contrôles. Un juriste interne cherche à sécuriser les responsabilités, alors que les contours exacts de l’application française ne sont pas stabilisés. Un acheteur veut intégrer des clauses cyber dans les contrats, mais hésite sur le bon niveau d’exigence à imposer aux prestataires.
Sur LinkedIn, un professionnel du secteur résume l’enjeu en des termes directs: ce n’est pas seulement un retard législatif, c’est une augmentation du risque pour les entreprises, car elles sont déjà soumises à de multiples injonctions et doivent arbitrer. Même si ce type de prise de parole n’a pas le statut d’un texte officiel, il reflète une réalité de terrain: la cybersécurité se gère dans l’urgence, et l’incertitude réglementaire ajoute une charge mentale et organisationnelle.
Il y a aussi un coût d’opportunité. Une entreprise qui hésite à lancer un programme structurant peut perdre du temps sur des actions simples mais efficaces: cartographier les systèmes critiques, organiser une astreinte en cas d’incident, tester une restauration après ransomware, ou formaliser une procédure de notification. À l’inverse, une entreprise qui se précipite peut acheter des solutions sans gouvernance solide, ou multiplier les outils sans cohérence. Dans les deux cas, le retard du cadre final complique l’optimisation: faire juste, au bon rythme, avec les bonnes priorités.
Notification d’incidents: vers des modèles communs adoptés au niveau européen
Au-delà du calendrier français, l’Europe continue d’avancer sur l’opérationnel. Une source de veille NIS2 indique que le groupe de coopération NIS2, qui réunit les États membres, la Commission européenne et l’ENISA, a adopté des modèles communs pour la notification d’incidents de cybersécurité au titre de l’article dédié de la directive, lors d’une plénière datée du 26 mai 2026. Pour les entreprises, le message est clair: la notification n’est pas un détail administratif, c’est un processus à préparer.
Dans la pratique, notifier un incident suppose de savoir détecter, qualifier, contenir, puis documenter. Cela oblige à clarifier des questions très concrètes: qui a l’autorité de déclarer, quels éléments sont collectés, comment conserver des preuves, quel canal utiliser, et quelle articulation avec la communication externe. Résultat: même sans transposition française finalisée, les entreprises ont intérêt à bâtir un chemin de notification interne, avec des rôles et des modèles de compte rendu, plutôt que d’improviser le jour où un incident survient.
Cette dynamique européenne s’accompagne aussi d’un travail d’évaluation sectorielle. La même source mentionne un rapport NIS360 publié par l’ENISA, qui croise la criticité et la maturité des secteurs couverts. Même si chaque entreprise a sa situation, ce type de lecture pousse à une logique de priorisation: concentrer les efforts sur les actifs et services qui, s’ils tombent, bloquent l’activité. Pour un industriel, ce sera souvent la production et les systèmes OT; pour une entreprise de services, la disponibilité des applications métiers et des données clients; pour une collectivité, la continuité des services essentiels.
Ce que les entreprises peuvent sécuriser maintenant, même sans texte final
Le retard parlementaire ne retire pas une réalité: la directive NIS2 vise à élever le niveau de cybersécurité, et les attaques ne se calent pas sur l’agenda législatif. Une source orientée conformité rappelle que l’objectif est d’inciter les entreprises à renforcer leur cybersécurité, et que l’ANSSI est appelée à jouer un rôle de contrôle via audits et inspections. Résultat: les organisations gagnent à avancer sur les fondamentaux qui seront utiles dans tous les scénarios.
Premier axe, la gouvernance. Même sans entrer dans le jargon, il s’agit de clarifier qui pilote la cybersécurité, comment les risques sont remontés à la direction, et comment les décisions sont tracées. Deuxième axe, l’hygiène technique: inventaire des systèmes, mise à jour, sauvegardes testées, gestion des accès, supervision. Troisième axe, la préparation à la crise: un plan de réponse à incident, des contacts à jour, et des exercices simples qui testent la capacité à décider vite.
Enfin, le sujet déborde largement l’informatique interne. Une grande partie du risque passe par les prestataires, l’infogérance, le cloud, les éditeurs, ou les sous-traitants. Même sans connaître la version finale du texte français, une entreprise peut renforcer ses exigences contractuelles, demander des preuves de mesures de sécurité, et organiser des revues régulières. Le point à surveiller, dans les prochains mois, sera la clarification du calendrier parlementaire et la manière dont la France traduira dans le droit national les mécanismes de supervision et de notification, car c’est là que se jouera le passage du principe à la pratique.
Sources
- Retard sur NIS 2 : La France risque une double peine entre …
- Actualité NIS2 2026 : directive cybersécurité européenne
- NIS2 : tout le monde attend « la date »… – Forge Agency
- #nis2 #cybersécurité | Raphael Marichez | 14 commentaires – LinkedIn
- NIS2 : obligations et sanctions pour les entreprises françaises
