La loi Résilience est-elle déjà en vigueur ?

Oui. La loi n° 2025-90 du 26 février 2025 a été promulguée et publiée au Journal Officiel. Les décrets d'application sont en cours de publication par l'ANSSI courant 2025.

Mon entreprise est certifiée ISO 27001, suis-je conforme NIS2 ?

La certification ISO 27001 constitue une base solide mais ne couvre pas l'intégralité des exigences NIS2. Certaines obligations sont spécifiques : notification d'incidents sous 24h, gouvernance des dirigeants, sécurité de la supply chain, enregistrement ANSSI.

Quel budget prévoir pour la mise en conformité NIS2 ?

Le budget varie selon la maturité initiale de l'entité. Les investissements couvrent la gouvernance (PSSI, formation dirigeants), les mesures techniques (MFA, chiffrement, SIEM) et l'accompagnement (conseil, audit).

Quels sont les délais de notification d'incidents sous NIS2 ?

L'article 23 de NIS2 impose une alerte précoce au CERT-FR sous 24 heures, une notification complète sous 72 heures, et un rapport final détaillé sous un mois après la résolution de l'incident.

Quelle différence entre NIS2 et la LPM pour les OIV ?

Les OIV restent soumis au régime LPM, qui est plus strict que NIS2. NIS2 s'applique en complément pour les obligations non couvertes par la LPM. Un OIV qui est conforme LPM couvre la majorité des exigences NIS2.

Réglementation française

Transposition NIS2 en France : loi Résilience, ANSSI et calendrier

La directive NIS2 est transposée en droit français via la loi Résilience et les décrets d'application de l'ANSSI. Ce guide détaille le cadre juridique, le calendrier de mise en œuvre et les implications concrètes pour les RSSI, DPO et DSI des entités régulées.

De NIS1 à NIS2 : pourquoi une refonte ?

La première directive NIS (2016/1148) a posé les bases de la cybersécurité européenne mais souffrait de limites structurelles : périmètre restreint aux opérateurs de services essentiels (OSE), hétérogénéité des transpositions nationales et absence de mécanisme de sanction dissuasif. Face à l'explosion des cyberattaques (+38 % en 2023 selon l'ANSSI) et à la sophistication croissante des menaces (ransomware, supply chain attacks, APT étatiques), le Parlement européen a adopté la directive NIS2 (UE 2022/2555) le 14 décembre 2022.

Les principaux apports de NIS2 par rapport à NIS1 :

Périmètre élargi : 18 secteurs, de l'énergie à l'agroalimentaire, incluant les administrations publiques et les fournisseurs de services numériques.
Deux catégories d'entités : essentielles (EE) et importantes (EI), avec un régime de supervision proportionné.
Responsabilité des dirigeants : article 20 — les organes de direction approuvent les mesures et suivent une formation obligatoire.
Sanctions renforcées : jusqu'à 10 M€ ou 2 % du CA mondial pour les EE ; 7 M€ ou 1,4 % pour les EI.
Harmonisation européenne : des règles uniformes et un mécanisme de coopération renforcé via l'ENISA et le réseau EU-CyCLONe.

La loi Résilience : transposition française de NIS2

La France transpose la directive NIS2 par la loi n° 2025-90 du 26 février 2025 relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, dite « loi Résilience ». Ce texte modifie le Code de la défense et confie à l'ANSSI le rôle d'autorité nationale compétente pour la cybersécurité (article L. 2321-1 et suivants).

La loi Résilience reprend les obligations fondamentales de NIS2 et les adapte au cadre juridique français :

Obligation de mise en œuvre des 10 mesures de l'article 21 pour toutes les entités régulées.
Déclaration et enregistrement obligatoire auprès de l'ANSSI.
Notification des incidents significatifs au CERT-FR.
Régime de contrôle ex post pour les entités importantes et ex ante pour les entités essentielles.
Pouvoir de sanction administrative de l'ANSSI, avec des amendes proportionnées.

L'ANSSI : autorité nationale compétente

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est désignée comme l'autorité nationale compétente au titre de NIS2 en France. Son rôle s'articule autour de quatre missions :

Élaboration du référentiel d'exigences — L'ANSSI publie les décrets et arrêtés précisant les mesures de sécurité attendues, secteur par secteur. Le référentiel comporte 25 objectifs de sécurité déclinés en exigences vérifiables.
Supervision et contrôle — L'ANSSI peut diligenter des audits, demander des preuves de conformité et prononcer des injonctions. Les entités essentielles font l'objet d'une supervision proactive.
Gestion de crise et réponse aux incidents — Le CERT-FR (CSIRT national) reçoit les notifications d'incidents et coordonne la réponse. L'ANSSI peut ordonner des actions correctives immédiates.
Accompagnement et sensibilisation — L'ANSSI publie des guides techniques, organise des exercices de crise (PIRANET) et accompagne les entités dans leur montée en maturité.

Préparez votre dossier de conformité ANSSI

Aventris structure automatiquement votre dossier de preuves selon les 25 objectifs du référentiel ANSSI : politiques, registres, PCA, rapports d'audit — prêt pour un contrôle.

Calendrier réglementaire

Le calendrier de transposition et de mise en conformité s'articule autour des étapes suivantes :

14 décembre 2022 — Adoption de la directive NIS2 par le Parlement européen et le Conseil.
16 janvier 2023 — Entrée en vigueur de la directive.
17 octobre 2024 — Date limite de transposition dans les droits nationaux.
26 février 2025 — Adoption de la loi Résilience en France.
2025 (T2-T3) — Publication des décrets d'application et des arrêtés sectoriels ANSSI.
2025 (T3-T4) — Ouverture du portail d'enregistrement ANSSI pour les entités régulées.
17 avril 2026 — Date limite pour l'établissement de la liste des entités essentielles et importantes par les États membres.

Conseil RSSI : n'attendez pas la publication des derniers décrets pour lancer votre programme de conformité. Les 10 mesures de l'article 21 sont suffisamment prescriptives pour structurer dès maintenant votre plan d'action. Les entités qui auront anticipé disposeront d'un avantage significatif lors des premiers contrôles ANSSI.

Entités essentielles vs entités importantes

La directive NIS2 distingue deux catégories d'entités soumises à des régimes de supervision différents :

Critère	Entités essentielles (EE)	Entités importantes (EI)
Taille	≥ 250 salariés ou CA > 50 M€	≥ 50 salariés ou CA > 10 M€
Secteurs	Annexe I (11 secteurs hautement critiques)	Annexe I + Annexe II (7 secteurs critiques supplémentaires)
Supervision	Ex ante (proactive)	Ex post (en cas d'incident ou de signalement)
Sanctions max.	10 M€ ou 2 % du CA mondial	7 M€ ou 1,4 % du CA mondial

Articulation avec les référentiels existants

La transposition française s'inscrit dans un écosystème réglementaire déjà dense. Le RSSI doit articuler NIS2 avec :

RGS (Référentiel Général de Sécurité) — Pour les administrations et les prestataires de services de confiance. NIS2 renforce les exigences existantes.
RGPD — Double notification en cas d'incident impliquant des données personnelles (CERT-FR + CNIL). NIS2 article 35 organise cette articulation.
ISO 27001/27002 — Le référentiel ANSSI s'appuie largement sur les contrôles ISO 27002:2022. Une certification ISO 27001 couvre une partie significative des exigences NIS2.
LPM (Loi de Programmation Militaire) — Les OIV (Opérateurs d'Importance Vitale) restent soumis au régime LPM, qui est plus strict. NIS2 s'applique en complément.
DORA — Pour le secteur financier, le règlement DORA (Digital Operational Resilience Act) constitue une lex specialis qui prévaut sur NIS2.

Les 25 objectifs de sécurité du référentiel ANSSI

Pour opérationnaliser les exigences de NIS2, l'ANSSI publie un référentiel structuré en 25 objectifs de sécurité (mesures M00 à M24) couvrant les 10 mesures de l'article 21 et les obligations complémentaires (gouvernance dirigeants, notification, enregistrement, certification, partage d'informations). Chaque objectif est décliné en exigences vérifiables avec des critères de conformité précis.

Consultez le détail complet sur la page Objectifs de sécurité ANSSI.

Notification d'incidents : le triple délai de l'article 23

L'une des obligations les plus contraignantes de NIS2 concerne la notification d'incidents significatifs. L'article 23 impose un processus en trois temps auprès du CERT-FR :

Alerte précoce (T0 + 24h) — Dès la détection d'un incident significatif, l'entité doit transmettre une alerte précoce au CERT-FR dans les 24 heures. Cette alerte initiale doit indiquer si l'incident est susceptible d'avoir été causé par un acte malveillant et s'il peut avoir un impact transfrontalier.
Notification complète (T0 + 72h) — Dans les 72 heures suivant la détection, une notification détaillée doit être soumise avec une évaluation initiale de l'incident, sa gravité, son impact et les indicateurs de compromission (IoC) disponibles.
Rapport final (T0 + 1 mois) — Un rapport final doit être déposé au plus tard un mois après la résolution de l'incident. Il comprend une description détaillée de l'incident, la cause racine probable, les mesures de remédiation appliquées et les impacts transfrontaliers éventuels.

Un incident est considéré comme « significatif » s'il a causé ou est susceptible de causer une perturbation opérationnelle grave du service, des pertes financières pour l'entité, ou un préjudice pour des personnes physiques ou morales. L'ANSSI précisera par décret les seuils exacts de significativité par secteur.

Plan d'action pour les RSSI

Voici les étapes recommandées pour structurer votre programme de conformité NIS2 :

Déterminer votre catégorisation — Vérifiez si votre entité relève du statut EE ou EI selon les critères de taille et de secteur.
Réaliser un gap analysis — Évaluez votre posture actuelle par rapport aux 10 mesures de l'article 21. Un auto-audit structuré permet d'identifier rapidement les écarts.
Conduire une analyse de risques — Utilisez la méthode EBIOS RM pour identifier et prioriser vos risques cyber.
Construire le dossier de preuves — Documentez chaque mesure avec les politiques, procédures et preuves attendues par l'ANSSI.
Planifier les investissements — Priorisez les actions de remédiation selon leur impact et leur coût (quick wins en phases 30/60/90 jours).
Suivre l'échéancier réglementaire — Intégrez les dates clés (enregistrement, revues, renouvellements) dans votre planning.

Accélérez votre mise en conformité NIS2

Aventris automatise le gap analysis, structure le dossier de preuves ANSSI et génère le plan de remédiation priorisé — tout en un. Commencez votre essai gratuit.