15 mars 2026 8 min de lectureAventris

Directive NIS2 : calendrier complet et échéances 2025-2028 en France

La transposition de NIS2 en droit français a pris du retard par rapport au calendrier européen initial. Ce retard ne doit pas être un prétexte pour reporter votre mise en conformité — bien au contraire. Voici la chronologie complète et les échéances à anticiper.

La chronologie européenne

La directive NIS2 (2022/2555) a été adoptée par le Parlement européen et le Conseil le 14 décembre 2022. Elle est entrée en vigueur le 16 janvier 2023, laissant aux États membres un délai de 21 mois pour transposer le texte en droit national.

La date limite de transposition était fixée au 17 octobre 2024. À cette date, seuls quelques États membres avaient finalisé leur transposition. La Belgique a été parmi les premières (loi du 26 avril 2024), tandis que l'Allemagne et l'Italie ont avancé à des rythmes variables. La France, comme la majorité des États, n'a pas respecté cette échéance.

La chronologie française détaillée

Voici les étapes clés de la transposition en France, mois par mois :

  • 15 octobre 2024 : le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » est présenté en Conseil des ministres. Il transpose simultanément NIS2, la directive REC (résilience des entités critiques) et certains aspects de DORA.
  • Mars 2025 : le Sénat adopte le texte en première lecture, avec des amendements portant notamment sur les collectivités territoriales et la notion de proportionnalité des obligations.
  • 10 septembre 2025 : la commission spéciale de l'Assemblée nationale examine le texte. Des débats ont lieu sur l'article 16 bis relatif au chiffrement et à la conservation des données.
  • Février 2026 : le député Philippe Latombe adresse un courrier au Premier ministre soulignant l'urgence de finaliser la transposition, alors que la Commission européenne envisage des procédures d'infraction.
  • Printemps-été 2026 (prévision) : adoption définitive de la loi Résilience, potentiellement en juillet 2026.
  • Second semestre 2026 : publication des décrets d'application et du référentiel technique de l'ANSSI, précisant les exigences opérationnelles.
  • 2026-2029 : période de transition progressive, avec des délais pouvant aller jusqu'à 3 ans pour certaines catégories d'entités.

Ce que signifie le retard français

La France n'est pas isolée dans ce retard : la majorité des États membres de l'UE n'ont pas respecté la date limite du 17 octobre 2024. Toutefois, ce retard a plusieurs conséquences :

  • Risque d'amende européenne : la Commission européenne peut engager une procédure d'infraction contre la France pour non-transposition dans les délais.
  • Risque juridique pour les entreprises : en l'absence de transposition, un juge national pourrait interpréter directement les dispositions de la directive NIS2 (effet direct vertical), notamment pour les obligations claires et inconditionnelles.
  • Avantage pour les entreprises proactives : les organisations qui anticipent leur mise en conformité seront prêtes dès la promulgation, tandis que celles qui attendent devront se conformer dans des délais contraints.

Pour comprendre en détail le rôle de l'ANSSI dans cette transposition, consultez notre article NIS2 et ANSSI : la transposition française, ainsi que notre page dédiée à la transposition ANSSI.

Les étapes clés pour votre entreprise

Même si la loi n'est pas encore promulguée, les exigences de NIS2 sont connues. Voici un calendrier d'action recommandé :

Maintenant (T1 2026)

  • Réaliser un auto-diagnostic de maturité cybersécurité sur les 10 mesures de l'Article 21
  • Cartographier les risques avec EBIOS RM
  • Identifier les écarts majeurs et définir les priorités

T2-T3 2026

  • Constituer le dossier de preuves sur les 65 exigences clés
  • Mettre en place les mesures de sécurité prioritaires (gestion des incidents, continuité, supply chain)
  • Former les dirigeants à leurs obligations NIS2 (Art. 20)

T4 2026 — T1 2027

  • S'enregistrer sur Mon Espace NIS2 auprès de l'ANSSI
  • Réaliser un premier cycle d'audit interne
  • Mettre en place le processus de notification d'incidents (24h/72h/1 mois)

2027-2028

  • Amélioration continue du dispositif de sécurité
  • Préparation aux contrôles ANSSI
  • Revues périodiques et mise à jour de l'analyse de risques

Comment ne pas perdre de temps

Trois actions immédiates à mettre en œuvre sans attendre la promulgation de la loi :

  1. Auto-audit : évaluez votre maturité NIS2 actuelle. L'auto-audit Aventris couvre les 14 piliers et 94 questions en 30 minutes.
  2. Analyse de risques : lancez une analyse EBIOS RM pour identifier vos scénarios de risques prioritaires.
  3. Sensibilisation des dirigeants : informez vos organes de direction de leurs futures obligations personnelles (Art. 20).

Pour un plan d'action complet en 5 étapes, consultez notre guide complet NIS2. Découvrez également nos offres Aventris pour structurer votre démarche.

FAQ

Évaluez votre conformité NIS2 en 30 minutes

Aventris structure votre démarche NIS2 de bout en bout : auto-audit, EBIOS RM, dossier de preuves et pack audit ANSSI.

Articles connexes

Guide

NIS2 : le guide complet pour les entreprises françaises (édition 2026)

La directive NIS2 élargit les obligations de cybersécurité à plus de 15 000 entités en France. Ce guide complet couvre les 10 mesures de l'Article 21, les sanctions, le calendrier de la loi Résilience et un plan d'action en 5 étapes.

15 mars 2026 20 min
Actualité

NIS2 et ANSSI : ce que dit la transposition française

L'ANSSI est l'autorité nationale compétente pour NIS2 en France. Découvrez ses pouvoirs de contrôle, la loi Résilience, les 20 objectifs de sécurité et le portail Mon Espace NIS2.

15 mars 2026 10 min
Guide

Entités essentielles vs entités importantes NIS2 : êtes-vous concerné ?

NIS2 distingue entités essentielles (EE) et entités importantes (EI). Critères de taille, 18 secteurs concernés, différences de supervision et sanctions : tout comprendre pour situer votre organisation.

15 mars 2026 10 min