Transposition NIS2 en France : le rôle de l'ANSSI et la loi Résilience

La directive NIS2 (UE 2022/2555) devait être transposée en droit national avant le 17 octobre 2024. La France, comme la majorité des États membres, a pris du retard. Le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité » — dit loi Résilience — constitue le véhicule de transposition. Pour le cadre complet de la directive, consultez notre guide complet NIS2.

Calendrier de la transposition française

La transposition française suit un parcours législatif complexe :

• Décembre 2022 : publication de la directive NIS2 au Journal officiel de l'UE
• 2023 : travaux préparatoires ANSSI, consultations sectorielles
• Octobre 2024 : date limite de transposition — non respectée par la France
• Mars 2025 : adoption du projet de loi Résilience par l'Assemblée nationale
• 2025 : examen par le Sénat, adoption définitive attendue, puis décrets d'application

Le retard français n'est pas isolé : début 2025, seuls quelques États membres avaient finalisé leur transposition. Mais le retard ne suspend pas l'obligation de préparation : les entreprises ont tout intérêt à anticiper. Voir notre calendrier des échéances.

La loi Résilience : spécificités françaises

La transposition française va au-delà d'une simple copie de la directive. La loi Résilience introduit plusieurs spécificités :

• Champ d'application étendu : la France a choisi d'inclure davantage de secteurs et de sous-secteurs que le minimum requis par NIS2
• Rôle central de l'ANSSI : contrairement à certains pays qui créent de nouvelles agences, la France confie à l'ANSSI la quasi-totalité des missions
• Référentiel d'objectifs de sécurité : l'ANSSI a défini ~20 objectifs de sécurité traduisant les 10 mesures de l'Article 21
• Registre d'enregistrement : obligation d'enregistrement auprès de l'ANSSI via le portail Mon Espace NIS2
• Sanctions adaptées : le régime de sanctions suit les plafonds européens mais inclut des mécanismes progressifs

Le rôle de l'ANSSI

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) cumule plusieurs casquettes dans le cadre de NIS2 :

Autorité nationale compétente

L'ANSSI est l'autorité de supervision et de contrôle. Elle définit les modalités techniques d'application, réalise les contrôles de conformité (audits, inspections sur place) et peut prononcer des injonctions et sanctions.

CSIRT national

L'ANSSI opère le CERT-FR, le centre de réponse aux incidents de sécurité informatique national. C'est le point de contact pour les notifications d'incidents significatifs (obligation de l'Article 23 de NIS2).

Point de contact unique

L'ANSSI est le point de contact unique de la France auprès de l'ENISA et des autres États membres pour la coopération transfrontalière en matière de cybersécurité.

Les objectifs de sécurité ANSSI

L'ANSSI a défini une vingtaine d'objectifs de sécurité qui déclinent les 10 mesures de l'Article 21 en exigences opérationnelles pour les entités françaises. Ces objectifs couvrent :

• Gouvernance : politique de sécurité, organisation, implication de la direction
• Protection : contrôle d'accès, chiffrement, sécurité physique, sécurité des réseaux
• Défense : détection, gestion des incidents, continuité d'activité
• Résilience : sauvegardes, plans de reprise, gestion de crise
• Écosystème : sécurité de la supply chain, gestion des tiers

Ces objectifs sont progressifs : des niveaux d'exigence différents s'appliquent aux entités essentielles et importantes. Pour le détail des 10 mesures, consultez notre guide des 10 mesures.

Mon Espace NIS2 : le portail de l'ANSSI

L'ANSSI a lancé le portail Mon Espace NIS2 pour permettre aux entités de se préparer à la mise en conformité. Ce portail propose :

• Test d'éligibilité : un questionnaire pour déterminer si votre organisation est concernée par NIS2
• Enregistrement : la déclaration des informations de l'entité (coordonnées, secteur, périmètre)
• Notification d'incidents : le formulaire de signalement des incidents significatifs (alerte précoce H+24, notification H+72, rapport final M+1)
• Ressources : guides, FAQ et documentation de l'ANSSI sur NIS2

L'enregistrement sur Mon Espace NIS2 sera obligatoire pour toutes les entités régulées. Il est recommandé de s'y inscrire dès que possible, même avant l'adoption définitive de la loi.

Contrôles et sanctions

Le régime de supervision et de sanctions prévu par la transposition française suit le cadre fixé par NIS2 (Articles 32-34) :

• Contrôles proactifs pour les entités essentielles : audits, inspections, demandes d'information à tout moment
• Contrôles réactifs pour les entités importantes : sur incident, signalement ou plainte
• Sanctions administratives : jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les importantes
• Responsabilité des dirigeants : l'Article 20 de NIS2 prévoit que les dirigeants peuvent être tenus personnellement responsables en cas de manquement

L'ANSSI a indiqué privilégier une approche progressive : accompagnement et mise en demeure avant sanctions. Mais cette période de grâce a une fin.

Comment se préparer dès maintenant ?

1. Vérifiez votre éligibilité sur Mon Espace NIS2 ou avec notre outil d'auto-évaluation
2. Enregistrez-vous sur le portail de l'ANSSI
3. Réalisez un auto-audit de votre maturité par rapport aux objectifs de sécurité ANSSI
4. Lancez votre analyse de risques avec EBIOS RM
5. Construisez votre plan d'action de mise en conformité en priorisant les mesures critiques

FAQ