NIS2 en France

1. Aperçu rapide de l’applicabilité pour les PME en France

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité pour les PME en France ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en France et, dans certains cas, aux prestataires numériques étrangers desservant le marché français.

Les PME doivent évaluer si elles relèvent du cadre national français de cybersécurité en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 en France

La France transpose NIS2 via le Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (la « Loi Résilience »), qui consolide la directive NIS2, la directive CER (résilience des infrastructures critiques) et DORA dans un même véhicule législatif. Le projet a été présenté au Conseil des ministres le 15 octobre 2024, adopté par le Sénat le 12 mars 2025 et approuvé par la commission spéciale de l'Assemblée nationale le 10 septembre 2025. À avril 2026, l'adoption définitive par l'Assemblée nationale en séance plénière et la promulgation restent en attente ; la promulgation est attendue au cours de l'année 2026, après quoi les décrets d'application préciseront les normes techniques et les procédures de notification.

Le cadre révisé aligne le régime national de cybersécurité de la France sur la directive (UE) 2022/2555 et étend les obligations en matière de gouvernance, de notification des incidents, de pouvoirs de contrôle et de sanctions. Le périmètre français devrait passer d'environ 500 entités sous NIS1 à 15 000–18 000 entités dans 18 secteurs. Le projet introduit 20 objectifs de sécurité pour les entités essentielles et 15 pour les entités importantes comme cadre de conformité, et confirme que la certification ISO 27001 seule ne satisfait pas la conformité NIS2 en France (elle ne couvre que 2 des 20 objectifs).

L'ANSSI a lancé un portail de pré-inscription (MonEspaceNIS2) pour permettre aux futures entités régulées d'évaluer leur périmètre et de se préparer à la conformité avant l'entrée en vigueur formelle. La France reste sous le coup d'un avis motivé de la Commission européenne émis le 7 mai 2025 pour défaut de notification de la transposition complète, et continue de s'appuyer sur son modèle préexistant de cybersécurité en intégrant les normes NIS2 dans des structures de contrôle déjà établies.

3. Champ d’application en France

Le champ d’application français reflète les catégories minimales de la directive, intégrées à son modèle national de sécurité établi.

4. Seuils de taille et applicabilité aux PME en France

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la stabilité nationale ou économique, la sécurité publique ou la continuité des services essentiels.

Les autorités françaises conservent des pouvoirs formels de désignation lorsque des risques systémiques ou des considérations de sécurité nationale justifient une inclusion.

5. Cadre de classification des entités en France

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant inspections, audits et suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifient une supervision renforcée.

La structure de classification française s’aligne sur le modèle de supervision à deux niveaux de la directive.

6. Exigences de gestion des risques de cybersécurité en France

Le régime national français s’aligne sur les exigences de base de la directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques liés à la chaîne d’approvisionnement NIS2 en France
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d’accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation cybersécurité du personnel

Les mesures doivent refléter l’état de l’art et l’exposition aux risques de l’organisation. L’alignement sur l’ISO/IEC 27001 et les orientations françaises en matière de cybersécurité est encouragé.

La supervision de la chaîne d’approvisionnement inclut la diligence raisonnable vis-à-vis des fournisseurs et des garanties contractuelles de cybersécurité afin de réduire les risques de contagion.

7. Responsabilité de la direction et gouvernance en France

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre français :

• Les conseils d’administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir une expertise adéquate en cybersécurité.
• Des sanctions administratives peuvent viser les défaillances de gouvernance.
• La suspension temporaire de fonctions managériales peut être prévue dans le cadre de mécanismes de contrôle alignés sur la directive.

Les attentes en matière de responsabilité managériale NIS2 en France hissent la gouvernance de la cybersécurité au rang de responsabilité du niveau exécutif.

8. Obligations de notification des incidents en France

9. Autorités de supervision et modèle d’exécution en France

Autorité principale : Agence nationale de la sécurité des systèmes d’information (ANSSI).

La France opère un modèle centralisé de supervision de la cybersécurité coordonné par l’ANSSI, intégré aux autorités sectorielles compétentes le cas échéant.

Supervisory powers include:

• Demandes d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation à la coordination européenne en cybersécurité

La structure d’exécution reflète les exigences de coopération prévues par la directive.

10. Amendes et sanctions NIS2 en France

La France applique des sanctions administratives alignées sur la directive.

L’exécution des amendes NIS2 en France peut également inclure :

• Injonctions de remédiation contraignantes
• Identification publique des entités non conformes
• Suspension d’autorisations ou de certifications
• Pouvoirs de suspension de fonctions managériales

La responsabilité pénale ne s’applique que lorsqu’elle est explicitement prévue par la législation française.

11. Chaîne d’approvisionnement et sécurité des fournisseurs au titre de NIS2 en France

Les entités doivent gérer l’exposition aux risques de cybersécurité des tiers au moyen :

• D’évaluations des risques fournisseurs
• D’exigences contractuelles de sécurité en cascade
• D’une surveillance continue des fournisseurs TIC
• D’analyses du risque de concentration
• De mesures d’atténuation de la propagation des incidents

L’approche française s’aligne sur les attentes de base de la directive en matière de gestion des risques fournisseurs.

12. Obligations d’enregistrement et d’auto-identification en France

Entities within scope must:

• Préparer l'inscription auprès de l'ANSSI via la plateforme de pré-inscription MonEspaceNIS2 (monespacenis2.cyber.gouv.fr), déjà opérationnelle. Les délais et procédures formels d'inscription seront définis par décret après promulgation de la Loi Résilience.
• Fournir les éléments d'identification de l'entreprise
• Communiquer la classification sectorielle
• Tenir à jour les informations de contact

Les délais formels d'inscription et les modalités procédurales seront fixés par décrets d'application après la promulgation de la Loi Résilience. Dans l'intervalle, le portail MonEspaceNIS2 de l'ANSSI offre un outil d'évaluation du périmètre et permet de préparer la conformité à l'avance. L'auto-identification deviendra obligatoire une fois la loi promulguée ; les entités sont invitées à utiliser dès à présent l'outil MonEspaceNIS2 pour évaluer leur classification probable en entité essentielle ou importante.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux.

13. Articulation avec le RGPD et d’autres lois en France

Le règlement général sur la protection des données (RGPD) continue de s’appliquer concomitamment.

Les points de recoupement incluent :

• Notification des violations de données à caractère personnel sous 72 heures
• Coordination entre autorités de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Règles françaises de cybersécurité propres à certains secteurs

Un même incident cyber peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal se situe en France sont supervisées par les autorités françaises pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en France peuvent être soumis à la supervision française selon leur structure d’établissement.

Les exigences de représentation suivent les normes de la directive pour les prestataires hors UE desservant les marchés français.

15. Calendrier de mise en œuvre en France

• Adoption de la Directive : 2022
• Modifications législatives nationales : Loi Résilience présentée au Conseil des ministres le 15 octobre 2024 ; adoptée par le Sénat le 12 mars 2025 ; approuvée par la commission spéciale de l'Assemblée nationale le 10 septembre 2025 ; vote en séance plénière et promulgation en attente
• Entrée en vigueur : En attente de promulgation par le Président de la République, attendue au cours de l'année 2026 ; les décrets d'application (normes techniques, procédures de notification) suivront la promulgation
• Notification à la Commission : Avis motivé de la CE émis le 7 mai 2025 pour défaut de notification de la transposition complète ; la France demeure sous procédure d'infraction
• Étape de conformité : À définir par décrets d'application après la promulgation ; le portail de pré-inscription MonEspaceNIS2 est déjà actif ; les délais formels de conformité devraient suivre l'entrée en vigueur de plusieurs mois

La France a manqué le délai de transposition de l'UE du 17 octobre 2024 et reste sous procédure d'infraction de la CE. La promulgation de la Loi Résilience est attendue au cours de l'année 2026, suivie de ses décrets d'application. Les entités doivent utiliser le portail MonEspaceNIS2 de l'ANSSI pour évaluer leur périmètre et amorcer dès maintenant la préparation à la conformité.

16. Points clés pour les PME en France

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d'application.
• Les petites entités peuvent être désignées si elles sont opérationnellement critiques.
• La supervision de la gouvernance au niveau du conseil est obligatoire.
• La notification des incidents suit des délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est une obligation centrale.
• Une planification précoce de la conformité est essentielle — utilisez dès maintenant le portail MonEspaceNIS2 de l'ANSSI pour évaluer votre périmètre. Notez que la certification ISO 27001 seule ne satisfait pas les exigences NIS2 de la France : elle ne couvre que 2 des 20 objectifs de sécurité définis dans le cadre du projet.

FAQ : Guide NIS2 pour les PME en France