NIS2 Calendrier 2026 : Toutes les Dates Clés et Échéances

La transposition de NIS2 en France a pris du retard, mais le calendrier NIS2 continue d’avancer. Entre dates européennes déjà passées, vote du Sénat, report à l’Assemblée nationale et publication du ReCyf par l’ANSSI, les échéances s’accumulent. Le problème : ces dates sont dispersées entre sources institutionnelles, articles de presse et textes juridiques. Difficile de distinguer ce qui est confirmé de ce qui reste estimé.

Ce calendrier consolidé rassemble toutes les dates NIS2 en un seul endroit — passées, présentes et à venir. Pour chaque échéance, vous saurez ce qu’elle signifie concrètement pour votre PME et ce que vous devez anticiper. Si vous découvrez le sujet, commencez par notre guide complet sur la directive NIS2 avant de revenir ici.

Rappel : les dates fondatrices de NIS2 (2022-2024)

Adoption et entrée en vigueur

La directive NIS2 (UE 2022/2555) a été adoptée le 14 décembre 2022 par le Parlement européen et le Conseil de l’Union européenne. Publiée au Journal officiel le 27 décembre 2022, elle est entrée en vigueur le 16 janvier 2023.

L’objectif : élever le niveau de cybersécurité dans l’ensemble de l’UE. Là où NIS1 ne concernait qu’environ 500 opérateurs de services essentiels (OSE) et fournisseurs de services numériques (FSN) en France, NIS2 élargit le périmètre à 15 000 à 18 000 entités (source : ANSSI). La directive couvre désormais 18 secteurs d’activité et introduit des critères objectifs basés sur la taille et le secteur.

17 octobre 2024 : la deadline de transposition non respectée

L’article 41 de la directive fixait au 17 octobre 2024 la date limite pour que chaque État membre transpose NIS2 dans sa législation nationale. La France, comme 22 autres États membres, n’a pas respecté ce délai.

En novembre 2024, la Commission européenne a mis en demeure les 23 États en retard. Cette mise en demeure n’est pas symbolique : elle ouvre la voie à une procédure d’infraction. Pour les entreprises françaises, cette situation crée une incertitude juridique temporaire — la directive européenne existe, mais le cadre national n’est pas encore en place. Les entreprises concernées ont tout intérêt à anticiper leur mise en conformité NIS2 plutôt qu’attendre le cadre national définitif.

Le 18 octobre 2024, la directive NIS1 a été officiellement abrogée (Art. 44), quel que soit l’état d’avancement de la transposition nationale.

2025 : les premières échéances concrètes

Malgré le retard de la transposition, deux jalons importants ont marqué 2025.

Le 12 mars 2025, le Sénat a voté le projet de Loi Résilience, le texte français qui transpose la directive NIS2. Ce vote constitue une étape parlementaire confirmée, mais le texte doit encore passer devant l’Assemblée nationale pour être définitivement adopté.

Le 17 avril 2025 marquait la date limite fixée par l’article 3.3 de la directive pour que chaque État membre établisse la liste des entités essentielles et importantes sur son territoire. Cette obligation européenne s’applique indépendamment de l’avancement de la transposition nationale.

En parallèle, l’ANSSI a ouvert la plateforme MonEspaceNIS2 pour permettre aux entreprises de vérifier si elles sont concernées et de commencer leur démarche d’inscription.

Calendrier NIS2 en France : la Loi Résilience

Parcours parlementaire

Le projet de Loi Résilience a été présenté en Conseil des Ministres le 15 octobre 2024, la veille de la deadline européenne. Le Sénat l’a voté le 12 mars 2025.

L’examen à l’Assemblée nationale, initialement prévu début 2026, a été reporté. Selon les informations de ZDNet et de la Banque des Territoires (mars 2026), l’examen pourrait avoir lieu en juillet 2026. Ce report s’explique par les turbulences du calendrier parlementaire. La date reste conditionnelle et pourrait encore évoluer.

Le ReCyf : premier signal concret de l’ANSSI

Le 17 mars 2026, l’ANSSI a publié le ReCyf (Référentiel Cyber France). Ce référentiel donne les premières orientations concrètes sur les exigences de cybersécurité qui s’appliqueront aux entités françaises. Le ReCyf est distinct des décrets d’application — il s’agit d’un cadre de référence, pas d’un texte contraignant. Mais il indique clairement la direction que prendront les futures obligations.

Pour comprendre le détail du parcours législatif et les implications pour votre entreprise, consultez notre article sur NIS2 en France et la Loi Résilience.

Décrets d’application et période de transition

Les décrets d’application de l’ANSSI préciseront les obligations techniques par catégorie d’entité (essentielle ou importante). Ces décrets ne pourront être publiés qu’après la promulgation de la Loi Résilience.

Après promulgation, les entités concernées disposeraient d’une période de transition de 3 ans pour se mettre en conformité — une disposition standard des directives européennes. Si la loi était promulguée au T4 2026 au plus tôt, cette période s’étendrait jusqu’en 2029-2030. Certaines obligations, comme l’inscription sur MonEspaceNIS2 et la gouvernance cybersécurité, pourraient toutefois être exigées plus tôt.

Échéances NIS2 2026-2027 : le calendrier consolidé

Voici le tableau récapitulatif de toutes les échéances à venir. Les dates estimées sont clairement identifiées.

Ce que chaque échéance NIS2 signifie pour votre PME

Inscription MonEspaceNIS2 : agissez dès maintenant

L’ANSSI recommande de ne pas attendre la promulgation de la loi pour agir. La plateforme MonEspaceNIS2 permet de vérifier si votre entreprise entre dans le périmètre NIS2 et d’identifier votre statut : entité essentielle (EE) ou entité importante (EI).

Cette inscription est gratuite et sans engagement. Elle vous donne une visibilité claire sur vos futures obligations. Notre guide d’inscription MonEspaceNIS2 détaille la procédure étape par étape.

Promulgation : le déclencheur de la transition

La promulgation de la Loi Résilience déclencherait officiellement la période de transition pour toutes les entités concernées en France. À partir de cette date, le calendrier de mise en conformité deviendrait contraignant.

En attendant, les 10 mesures de sécurité de l’article 21 de la directive donnent déjà un cadre clair : analyse des risques, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, formation des collaborateurs. Les entreprises qui commencent maintenant prendront une avance considérable.

Décrets ANSSI : les obligations techniques précisées

Le ReCyf publié en mars 2026 donne les grandes orientations. Les futurs décrets d’application préciseront les niveaux d’exigence par catégorie d’entité. Les entités essentielles seront soumises à des obligations plus strictes que les entités importantes.

En attendant ces décrets, une démarche pragmatique consiste à réaliser un audit de maturité cybersécurité pour mesurer vos écarts par rapport aux 10 mesures de l’article 21.

Premiers contrôles : à quoi s’attendre

Une fois la loi en vigueur, l’ANSSI exercera sa mission de supervision. Les contrôles seront proactifs pour les entités essentielles (l’ANSSI peut déclencher un audit sans attendre un incident) et réactifs pour les entités importantes (contrôle en cas de signalement ou d’incident).

L’ANSSI pourra demander des preuves de conformité : politique de sécurité, analyse des risques, procédures de notification d’incident, preuves de formation des dirigeants. Les sanctions prévues sont dissuasives : jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 M€ ou 1,4 % du CA pour les entités importantes. Les dirigeants engagent aussi leur responsabilité personnelle (Art. 20).

Comment préparer votre PME avant chaque échéance NIS2

Plutôt qu’attendre la promulgation, voici les actions à lancer dès maintenant, organisées par période.

Dès maintenant (T1-T2 2026) :

• S’inscrire sur MonEspaceNIS2 et vérifier son statut
• Identifier si votre entreprise est entité essentielle ou entité importante
• Nommer un responsable conformité NIS2
• Consulter le ReCyf publié par l’ANSSI le 17 mars 2026

Avant la promulgation (T4 2026 au plus tôt) :

• Réaliser un audit de maturité cybersécurité
• Cartographier vos systèmes d’information critiques
• Former les dirigeants aux enjeux cybersécurité et à leur responsabilité (Art. 20)
• Évaluer la sécurité de vos fournisseurs critiques

Après promulgation (2027+) :

• Mettre en place les 10 mesures de sécurité de l’article 21
• Établir une procédure de notification d’incidents conforme à l’article 23 (alerte sous 24h, notification sous 72h, rapport final sous 1 mois)
• Documenter votre conformité pour les contrôles de l’ANSSI
• Tester vos procédures avec un exercice de gestion de crise

Pour une feuille de route complète avec budget et timeline, consultez notre checklist conformité NIS2 pour PME.

Questions Fréquentes

NIS2 est-elle déjà applicable en France ?

La directive NIS2 est entrée en vigueur au niveau européen le 16 janvier 2023, mais la transposition française (Loi Résilience) n'est pas encore promulguée. Le Sénat a voté le texte en mars 2025, et l'examen à l'Assemblée nationale pourrait avoir lieu en juillet 2026. Les entités concernées sont encouragées à anticiper leur mise en conformité dès maintenant.

Quel est le délai de mise en conformité NIS2 ?

Après la promulgation de la Loi Résilience, les entités disposeraient d'une période de transition estimée à 3 ans. Ce délai permet de mettre en place progressivement les 10 mesures de sécurité exigées par l'article 21 de la directive. Les actions les plus critiques (diagnostic, MFA, formation) peuvent être traitées en 1 à 2 mois.

Que se passe-t-il si une PME dépasse les échéances NIS2 ?

Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % pour les entités importantes. Les dirigeants engagent aussi leur responsabilité personnelle (Art. 20). Au-delà des sanctions, l'absence de mesures de sécurité expose à des cyberattaques dont le coût moyen pour une PME se situe entre 25 000 et 50 000 € (Hiscox/CPME 2024).

Quand les sanctions NIS2 commencent-elles à s'appliquer en France ?

Les sanctions ne pourront être appliquées qu'après la promulgation de la Loi Résilience et la publication des décrets d'application par l'ANSSI. Aucune date précise n'est confirmée à ce stade. En attendant, l'ANSSI recommande de commencer sa mise en conformité via MonEspaceNIS2.

Calendrier NIS2 : anticiper plutôt qu’attendre

Le calendrier NIS2 mélange dates européennes confirmées et échéances françaises encore incertaines. Les jalons UE (adoption, entrée en vigueur, deadline de transposition) sont passés. Côté France, le vote du Sénat et la publication du ReCyf marquent des avancées concrètes, mais la promulgation de la Loi Résilience et les décrets ANSSI restent à venir.

L’incertitude sur les dates françaises ne doit pas être un prétexte pour attendre. Les 10 mesures de l’article 21 sont connues, le ReCyf donne les orientations, et MonEspaceNIS2 est opérationnel. Les entreprises qui anticipent seront mieux préparées et éviteront la panique de dernière minute — un scénario que les retards de la transposition RGPD avaient déjà illustré.

Meldis accompagne les PME d’Occitanie dans leur mise en conformité NIS2, du diagnostic initial jusqu’à la préparation des contrôles ANSSI. Contactez nos experts pour un diagnostic personnalisé.