NIS2 en Francia

1. Vista rápida de la aplicabilidad para pymes en Francia

¿Se aplica NIS2 a las pymes en 1. Vista rápida de la aplicabilidad para pymes en Francia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Aplica a entidades establecidas en Francia y, en determinados casos, a proveedores digitales extranjeros que prestan servicios al mercado francés.

Las pymes deben evaluar si entran dentro del marco nacional de ciberseguridad de Francia en función de la clasificación sectorial y los umbrales legales.

2. Panorama general de la implementación de NIS2 en Francia

Francia está transponiendo NIS2 a través del Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (la «Loi Résilience»), que consolida la Directiva NIS2, la Directiva CER (resiliencia de infraestructuras críticas) y DORA en un único paquete legislativo. El proyecto se presentó al Consejo de Ministros el 15 de octubre de 2024, fue aprobado por el Senado el 12 de marzo de 2025 y por la comisión especial de la Asamblea Nacional el 10 de septiembre de 2025. A abril de 2026, la adopción definitiva por el pleno de la Asamblea Nacional y la promulgación siguen pendientes; se espera la promulgación durante 2026, tras lo cual los decretos de aplicación especificarán las normas técnicas y los procedimientos de notificación.

El marco revisado alinea el régimen nacional de ciberseguridad de Francia con la Directiva (UE) 2022/2555, ampliando las obligaciones en materia de gobernanza, notificación de incidentes, facultades de supervisión y sanciones. Se prevé que el ámbito de aplicación de Francia pase de aproximadamente 500 entidades bajo NIS1 a 15.000–18.000 entidades en 18 sectores. El proyecto introduce 20 objetivos de seguridad para entidades esenciales y 15 para entidades importantes como marco de cumplimiento, y confirma que la certificación ISO 27001 por sí sola no satisface el cumplimiento de NIS2 en Francia (cubre solo 2 de los 20 objetivos).

ANSSI ha puesto en marcha un portal de prerregistro (MonEspaceNIS2) para que las futuras entidades reguladas evalúen su ámbito de aplicación y se preparen para el cumplimiento antes de la entrada en vigor formal. Francia continúa bajo un dictamen motivado de la Comisión Europea emitido el 7 de mayo de 2025 por no notificar la transposición completa, y sigue desarrollando su modelo preexistente de ciberseguridad integrando las normas NIS2 en estructuras de supervisión consolidadas.

3. Ámbito de aplicación en Francia

El ámbito de aplicación de Francia refleja las categorías mínimas de la Directiva, integradas en su modelo de seguridad nacional establecido.

4. Umbrales de tamaño y aplicabilidad a pymes en Francia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas empresas y las microempresas pueden ser designadas si se consideran críticas para la estabilidad nacional o económica, la seguridad pública o la continuidad de los servicios esenciales.

Las autoridades francesas mantienen facultades formales de designación cuando el riesgo sistémico o consideraciones de seguridad nacional justifican la inclusión.

5. Marco de clasificación de entidades en Francia

Las entidades se clasifican en:

• Entidades esenciales — Sujetos a supervisión proactiva, incluidas inspecciones, auditorías y seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

La estructura de clasificación de Francia se alinea con el modelo de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Francia

El régimen nacional de Francia se alinea con la base de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades dentro del ámbito deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Francia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación en ciberseguridad del personal

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se recomienda la alineación con ISO/IEC 27001 y con la orientación francesa en materia de ciberseguridad.

La supervisión de la cadena de suministro incluye la debida diligencia de proveedores y salvaguardas contractuales de ciberseguridad para mitigar el riesgo en cascada.

7. Responsabilidad de la dirección y gobernanza en Francia

Los órganos de administración deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

En el marco francés:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar conocimientos adecuados en ciberseguridad.
• Las sanciones administrativas pueden aplicarse ante fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible en el marco de mecanismos de ejecución alineados con la Directiva.

Las expectativas de Francia en materia de responsabilidad de la dirección en NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Francia

9. Autoridades de supervisión y modelo de aplicación en Francia

Autoridad principal: National Agency for the Security of Information Systems (ANSSI).

Francia opera un modelo centralizado de supervisión de la ciberseguridad coordinado por ANSSI, integrado con los organismos reguladores sectoriales cuando proceda.

Supervisory powers include:

• Requerimientos de información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en la coordinación de ciberseguridad de la UE

La estructura de aplicación refleja los requisitos de cooperación a nivel de la Directive.

10. Multas y sanciones NIS2 en Francia

Francia aplica sanciones administrativas alineadas con la NIS2 Directive.

La aplicación de las multas NIS2 en Francia también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de las entidades no conformes
• Suspensión de autorizaciones o certificaciones
• Facultades de suspensión de directivos

La responsabilidad penal solo se aplica cuando así se prevea expresamente en la legislación francesa.

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Francia

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Requisitos contractuales de flujo descendente de seguridad
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Francia se alinea con las expectativas de base de la NIS2 Directive en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Francia

Entities within scope must:

• Prepararse para registrarse ante ANSSI a través de la plataforma de prerregistro MonEspaceNIS2 (monespacenis2.cyber.gouv.fr), ya operativa. Los plazos y procedimientos formales de registro se definirán por decreto tras la promulgación de la Loi Résilience.
• Aportar los datos de identificación corporativa
• Comunicar la clasificación sectorial
• Mantener actualizada la información de contacto

Los plazos formales de registro y la mecánica procedimental se establecerán mediante decretos de aplicación tras la promulgación de la Loi Résilience. Mientras tanto, el portal MonEspaceNIS2 de ANSSI ofrece una herramienta de evaluación del ámbito de aplicación y permite preparar la conformidad por adelantado. La autoidentificación será obligatoria una vez promulgada la ley; las entidades deben utilizar ya la herramienta MonEspaceNIS2 para evaluar su probable clasificación como esenciales o importantes.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con el GDPR y otras leyes en Francia

The General Data Protection Regulation continúa aplicándose de forma concurrente.

Las consideraciones de solapamiento incluyen:

• Notificación de brecha de datos personales en 72 horas
• Coordinación entre autoridades supervisoras
• Investigaciones paralelas de ciberseguridad y protección de datos
• Normas francesas de ciberseguridad específicas por sector

Un único incidente cibernético puede activar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Francia están supervisadas por las autoridades francesas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Francia pueden estar sujetos a supervisión francesa según su estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directive para los proveedores no pertenecientes a la UE que prestan servicios en los mercados franceses.

15. Calendario de implementación en Francia

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Loi Résilience presentada al Consejo de Ministros el 15 de octubre de 2024; aprobada por el Senado el 12 de marzo de 2025; aprobada por la comisión especial de la Asamblea Nacional el 10 de septiembre de 2025; pendiente la votación en el pleno y la promulgación
• Entrada en vigor: Pendiente de promulgación por el Presidente de la República, prevista durante 2026; los decretos de aplicación (normas técnicas, procedimientos de notificación) seguirán a la promulgación
• Notificación a la Comisión: Dictamen motivado de la CE emitido el 7 de mayo de 2025 por no notificar la transposición completa; Francia continúa en procedimiento de infracción
• Hito de cumplimiento: Se definirá mediante decretos de aplicación tras la promulgación; el portal de prerregistro MonEspaceNIS2 ya está activo; se espera que los plazos formales de cumplimiento sigan a la entrada en vigor con varios meses de margen

Francia incumplió el plazo de transposición de la UE del 17 de octubre de 2024 y continúa en procedimiento de infracción de la CE. Se espera la promulgación de la Loi Résilience durante 2026, con los decretos de aplicación posteriores. Las entidades deben utilizar el portal MonEspaceNIS2 de ANSSI para evaluar su ámbito de aplicación y comenzar ya la preparación para el cumplimiento.

16. Puntos clave para las PYME en Francia

• Las entidades medianas de los sectores cubiertos están automáticamente dentro del ámbito de aplicación.
• Las entidades pequeñas pueden ser designadas si son operativamente críticas.
• La supervisión de la gobernanza a nivel de consejo es obligatoria.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
• Las sanciones económicas pueden alcanzar €10 million o 2% del volumen de negocios mundial.
• La gestión de riesgos de proveedores es una obligación clave.
• Una planificación temprana del cumplimiento es esencial — utilice ya el portal MonEspaceNIS2 de ANSSI para evaluar su ámbito de aplicación. Tenga en cuenta que la certificación ISO 27001 por sí sola no satisface los requisitos NIS2 de Francia, ya que cubre solo 2 de los 20 objetivos de seguridad definidos en el marco del proyecto.

Preguntas frecuentes: Guía NIS2 Francia para PYME