Notre Article Stratégie

La directive NIS2, publiée au Journal officiel de l’Union européenne le 27 décembre 2022, devait être transposée avant le 17 octobre 2024. Deux ans plus tard, la France avance, mais par étapes successives. Le projet de loi “Résilience”, présenté en Conseil des ministres le 15 octobre 2024, a été adopté par le Sénat en mars 2025, puis examiné par l’Assemblée nationale à l’automne. Les décrets et arrêtés d’application, eux, sont encore en cours de finalisation en 2026.

Autrement dit : la transposition n’est pas totalement achevée, mais les obligations, elles, s’imposent déjà dans les faits. Et les responsables politiques ne cessent de le rappeler.
Du côté européen, la philosophie de NIS2 est limpide. Ursula von der Leyen l’a résumé en une phrase devenue emblématique : « La cybersécurité n’est plus un sujet technique. C’est une condition de souveraineté. »
Cette vision explique l’ambition du texte : renforcer la résilience collective, protéger les infrastructures critiques et harmoniser les exigences entre États membres.

Thierry Breton, commissaire européen au marché intérieur, a été encore plus direct dans ses interventions publiques : « Nous ne pouvons plus laisser des pans entiers de notre économie vulnérables. NIS2 fixe un niveau minimal, mais indispensable. »
C’est cette logique qui a conduit à élargir le périmètre de 7 à 18 secteurs critiques, incluant désormais la santé, la logistique, la recherche, les services numériques, l’alimentation ou encore les infrastructures industrielles.

En France, le gouvernement a fait de NIS2 un enjeu de sécurité nationale. Lors de la présentation du projet de loi, le ministre chargé du Numérique a rappelé que « la France doit être au rendez-vous. Les attaques ne nous attendront pas. »
L’ANSSI, de son côté, martèle depuis 2023 que les organisations doivent anticiper. Son directeur général l’a formulé sans détour : « Attendre les textes définitifs serait une erreur stratégique. »

En 2026, la situation est donc claire : la loi est en phase finale d’adoption, les textes d’application arrivent, les contrôles se préparent, et les entreprises doivent déjà démontrer leur montée en maturité.
Ce qui change avec NIS2, ce n’est pas seulement l’élargissement du périmètre, mais la philosophie même du texte. La directive place la gouvernance au cœur de la cybersécurité. Les dirigeants deviennent responsables de la stratégie, de la supervision et de la capacité de leur organisation à gérer les risques.

Lors des débats parlementaires, un député spécialiste du numérique l’a résumé ainsi : « NIS2 engage la responsabilité des dirigeants. Ce n’est plus un sujet que l’on peut déléguer sans contrôle. »
Cette responsabilisation est renforcée par un régime de sanctions inédit : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, et des sanctions individuelles possibles.

Des milliers d’organisations françaises sont concernées : grandes entreprises, ETI, PME stratégiques, opérateurs industriels, laboratoires, acteurs du numérique, entreprises de transport, d’énergie, de santé, de logistique…
Beaucoup découvrent qu’elles entrent dans le champ NIS2 non pas par leur taille, mais par leur rôle dans une chaîne de valeur essentielle.
Un sénateur l’a d’ailleurs rappelé lors des auditions : « La question n’est plus : suis-je une grande entreprise ? La question est : suis-je indispensable au fonctionnement du pays ? »

Au-delà des contraintes, NIS2 est une opportunité. Une occasion de structurer une gouvernance cyber robuste, de clarifier les responsabilités, de renforcer la résilience opérationnelle et de gagner la confiance des clients, partenaires et investisseurs.
La Commission européenne l’a d’ailleurs souligné : « La cybersécurité est un avantage compétitif. Ceux qui investissent aujourd’hui seront les leaders de demain. »