NIS2 Conformité Réglementation Loi Résilience

NIS2 en France : Loi Résilience, statut 2026 et obligations pour votre entreprise

Par Meldis

En résumé

  • La directive NIS2 devait être transposée avant le 17 octobre 2024 — délai non respecté par la France. NIS2 n’est pas encore applicable (source : ANSSI), mais se préparer maintenant est fortement recommandé
  • Loi Résilience : Sénat adopté (mars 2025), examen à l’AN en cours — promulgation estimée T1-T2 2026
  • ~15 000 entités concernées en France, contre ~500 sous NIS1
  • L’effet cascade : de nombreuses PME non assujetties sont exposées via leurs clients régulés
  • MonEspaceNIS2 ouvert depuis le 24 novembre 2025 : pré-enregistrez-vous dès maintenant

La France a 18 mois de retard sur NIS2. Et paradoxalement, c’est exactement pour ça que vous n’avez plus une minute à perdre.

La directive européenne NIS2 avait pour échéance de transposition le 17 octobre 2024. Mais la loi française qui la transpose dans le droit national — le projet de loi de résilience — n’était pas encore promulgué début 2026. L’ANSSI est explicite : NIS2 n’est pas encore applicable en France. Cette situation, beaucoup d’entreprises l’interprètent comme une permission d’attendre. C’est une erreur qui pourrait coûter cher.

Ce guide vous donne l’état exact des lieux sur NIS2 en France : où en est la loi, qui est vraiment concerné, ce que vous risquez, et surtout ce que vous devez faire maintenant. Notre guide complet sur la directive NIS2 couvre le cadre européen dans son ensemble ; cet article se concentre sur les spécificités françaises et les actions concrètes pour les PME d’Occitanie.

La Loi Résilience : le véhicule de transposition française de NIS2

Qu’est-ce que la Loi Résilience ?

Le nom officiel est long : « Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité » (référence PRMD2412608L). Les praticiens l’appellent la Loi Résilience. Ce texte est ambitieux : il transpose non pas une, mais trois directives européennes dans le droit français.

Les trois directives transposées par la Loi Résilience

Directive Portée
NIS2 (UE 2022/2555) Élargit les entités régulées de ~500 à ~15 000 en France
REC (Résilience des Entités Critiques) Modernise la protection des infrastructures critiques physiques
DORA (règl. UE 2022/2554) Résilience numérique dans les services financiers — règlement directement applicable, la Loi Résilience désigne les autorités compétentes françaises

L’avantage de cette approche : créer un cadre cohérent unique plutôt que trois textes distincts. La Loi Résilience transpose les directives NIS2 et REC, et adapte le droit français pour désigner les autorités compétentes au titre du règlement DORA (déjà directement applicable). Ce périmètre élargi explique en partie le retard de promulgation.

Où en est la Loi Résilience au 24 février 2026 ?

Le chemin parlementaire a été semé d’embûches, principalement en raison de l’instabilité gouvernementale française depuis la dissolution de l’Assemblée nationale en juin 2024.

Calendrier d'adoption de la Loi Résilience

Étape Date Statut
Présentation en Conseil des ministres 15 octobre 2024 Accompli
Adoption au Sénat (1re lecture) 12 mars 2025 Accompli
Avis motivé de la Commission européenne (2ᵉ étape de la procédure d'infraction) 7 mai 2025 Accompli
Commission spéciale AN (244 amendements adoptés) 10 septembre 2025 Accompli
Vote en séance plénière AN Début 2026 En attente
Promulgation au Journal Officiel T1-T2 2026 (estimé) En attente
Décrets d'application techniques T2 2026 (estimé) En attente

La France n’est pas seule dans cette situation : 23 États membres sur 27 ont reçu une mise en demeure de la Commission européenne en novembre 2024 pour retard de transposition. Seules la Belgique, l’Italie, la Croatie et la Lituanie avaient respecté l’échéance. Le 7 mai 2025, la Commission a franchi une étape supplémentaire en adressant un avis motivé (2ᵉ étape de la procédure d’infraction) à 19 États membres, dont la France.

Point essentiel

NIS2 n’est pas encore applicable en France (l’ANSSI le confirme), mais l’ANSSI exerce déjà ses missions de supervision préparatoires. Anticiper la conformité maintenant permet d’être prêt dès la promulgation de la Loi Résilience. Suivre l’avancement du texte est possible via le dossier législatif sur Vie Publique.

Qui est concerné par NIS2 en France ?

La question que chaque dirigeant de PME pose en premier : « Mon entreprise est-elle concernée ? »

Deux critères cumulatifs déterminent votre éligibilité : la taille de votre entreprise et votre secteur d’activité. Vous pouvez vérifier si votre entreprise est concernée par NIS2 en quelques minutes.

Entités essentielles et entités importantes

Catégorie Critère taille Secteurs Supervision ANSSI
Entité Essentielle (EE) > 250 salariés OU > 50 M€ CA Annexe I : énergie, santé, transport, eau, numérique, banque Ex-ante (proactive)
Entité Importante (EI) 50-250 salariés ET 10-50 M€ CA Annexes I et II Ex-post (réactive)
Exception Toute taille Entités désignées comme critiques par arrêté Variable

NIS2 couvre désormais 18 secteurs contre 7 sous NIS1, incluant des domaines absents jusqu’ici : agroalimentaire, gestion des déchets, recherche, fabrication industrielle. En France, environ 1 500 collectivités territoriales entrent également dans le périmètre : régions, départements, métropoles et communes de plus de 30 000 habitants.

L’effet cascade : pourquoi beaucoup de PME non assujetties sont quand même concernées

Un dirigeant de PME de services informatiques à Nîmes, 18 salariés, dont le principal client est un CHU régional, découvre au moment de renouveler leur contrat en janvier 2026 un nouveau paragraphe : « Le prestataire s’engage à fournir, sur demande, une preuve de conformité aux exigences de cybersécurité NIS2 et à se soumettre à tout audit sollicité. »

Cette entreprise n’est pas directement soumise à NIS2. Mais son client — une entité essentielle du secteur santé — l’est. Et les obligations NIS2 incluent explicitement la gestion des risques liés à la chaîne d’approvisionnement : les entités régulées doivent évaluer et maîtriser les risques que leurs fournisseurs font peser sur leur sécurité.

C’est ce qu’on appelle l’effet cascade : si vous êtes prestataire informatique, de maintenance, de conseil ou de tout service critique pour des organisations soumises à NIS2, attendez-vous à recevoir ce type d’exigences contractuelles. Ne pas pouvoir y répondre peut signifier la perte du contrat.

Les obligations NIS2 en France : les 10 mesures de l’article 21

NIS2 définit 10 catégories de mesures que chaque entité concernée doit mettre en œuvre. Voici leur synthèse, orientée vers les enjeux concrets pour les PME et ETI.

  1. Analyse des risques et politiques de sécurité : Cartographier vos actifs critiques, évaluer les menaces, documenter vos mesures.
  2. Gestion des incidents : Détecter, répondre et notifier les incidents significatifs à l’ANSSI dans les délais requis.
  3. Continuité d’activité : Mettre en place et tester régulièrement des plans de continuité (PCA) et de reprise d’activité (PRA).
  4. Sécurité de la chaîne d’approvisionnement : Évaluer vos fournisseurs, intégrer des clauses de cybersécurité dans vos contrats.
  5. Formation et sensibilisation : Former les équipes aux bonnes pratiques d’hygiène cyber — sensibilisation et simulation phishing incluses.
  6. Authentification multifacteur (MFA) : Sur tous les accès critiques (messagerie, VPN, applications métier).
  7. Chiffrement : Protéger les données sensibles en transit et au repos.
  8. Gestion des accès : Contrôler les droits, réviser régulièrement les habilitations.
  9. Évaluation de l’efficacité des mesures : Auditer et tester vos défenses régulièrement.
  10. Hygiène cyber : Maintenir les systèmes à jour, corriger les vulnérabilités en continu.

Les délais de notification d’incidents : ce qui change vraiment

L’obligation de notification est la mesure qui génère le plus d’anxiété dans nos accompagnements NIS2. En cas d’incident significatif — attaque ransomware, compromission de données, interruption de service — votre équipe doit contacter l’ANSSI selon ce calendrier strict :

  • 24 heures : Alerte initiale dès détection de l’incident
  • 72 heures : Rapport intermédiaire avec évaluation préliminaire de l’impact
  • 1 mois : Rapport final avec analyse complète et mesures correctives

Tenir ces délais suppose d’avoir une procédure de réponse à incident cybersécurité opérationnelle avant que l’incident se produise. Une procédure rédigée le jour J de l’attaque n’existe pas.

Les sanctions NIS2 : amendes et responsabilité des dirigeants

Des amendes calculées sur le chiffre d’affaires mondial

Les plafonds sont harmonisés à l’échelle européenne et repris dans la loi française :

Type d'entité Amende maximale
Entités Essentielles 10 millions d'euros ou 2% du CA annuel mondial (le plus élevé)
Entités Importantes 7 millions d'euros ou 1,4% du CA annuel mondial (le plus élevé)
Entités publiques Exemptées d'amendes financières, mais soumises aux mesures correctives

Ces plafonds sont des maximums théoriques. La sanction effective tiendra compte de la gravité du manquement, de son caractère délibéré ou négligent, des mesures prises pour atténuer les dommages et des antécédents de l’entité. Pour comparaison, le coût moyen d’une cyberattaque pour une PME française se situe entre 25 000 et 50 000 € (Hiscox/CPME 2024) — la conformité NIS2 coûte souvent moins cher que l’incident qu’elle prévient.

Amendes, responsabilité personnelle, interdiction d'exercer : un arsenal complet

L'ANSSI dispose de pouvoirs étendus pour contrôler la conformité des entités régulées. Les manquements graves peuvent donner lieu à des sanctions administratives et pénales cumulées.

Évaluer mon exposition NIS2

La responsabilité personnelle des dirigeants : la vraie nouveauté

Au-delà des amendes d’entreprise, NIS2 introduit quelque chose que les textes précédents ne prévoyaient pas : la mise en cause personnelle des membres de la direction — consultez notre article pour le détail des amendes et responsabilités dirigeants.

En cas de manquements graves, les PDG, DG, membres du conseil d’administration et gérants peuvent être :

  • Interdits d’exercer des fonctions de direction similaires
  • Poursuivis pénalement dans les cas les plus graves (négligence caractérisée)

L’ANSSI dispose également du pouvoir de name and shame : publier le nom des entités non conformes. Pour des entreprises dont la réputation conditionne les relations clients, cet impact peut être aussi lourd que l’amende financière.

Dans notre retour d’expérience sur les accompagnements NIS2, nous observons un changement net : les projets de conformité qui stagnaient dans les couloirs depuis des mois avancent beaucoup plus vite quand le PDG comprend que c’est sa responsabilité personnelle qui est en jeu, et non seulement celle de son DSI.

À savoir

Nier son éligibilité alors qu’on est concerné, ne pas notifier un incident dans les délais ou refuser de coopérer avec l’ANSSI sont les comportements les plus susceptibles de déclencher des sanctions immédiates.

Pour approfondir la dimension sanctions et sa comparaison avec d’autres cadres réglementaires, consultez notre article NIS2 vs ISO 27001 : différences et complémentarité.

MonEspaceNIS2 : comment s’enregistrer maintenant

L’ANSSI a ouvert le portail MonEspaceNIS2 en pré-enregistrement le 24 novembre 2025. C’est une opportunité à saisir immédiatement.

Le pré-enregistrement vous permet de :

  • Confirmer votre éligibilité via le simulateur intégré (secteur d’activité + taille)
  • Signaler votre démarche à l’ANSSI avant que l’enregistrement devienne obligatoire
  • Accéder aux ressources ANSSI adaptées à votre catégorie d’entité
  • Recevoir les communications officielles sur les échéances et décrets d’application

Ce pré-enregistrement est aujourd’hui volontaire. Il deviendra obligatoire dès la promulgation de la Loi Résilience. S’y inscrire maintenant signale à l’ANSSI votre bonne foi et votre démarche proactive — ce qui compte si un contrôle intervient avant la publication des décrets.

L’information officielle de l’ANSSI sur NIS2 et l’aide en ligne de MonEspaceNIS2 répondent aux questions pratiques sur le processus d’enregistrement.

Ce que vous devez faire maintenant, sans attendre la promulgation

Ne pas attendre la loi. C’est la recommandation que nous faisons à tous nos clients en Occitanie, et les raisons sont simples : la conformité NIS2 2026 ne s’improvise pas en quelques semaines. La démarche complète prend entre 12 et 24 mois selon votre niveau de maturité actuel. Ceux qui commencent maintenant seront prêts quand la loi entrera en vigueur. Les autres s’exposeront à des délais impossibles à tenir.

Étape 1 — Vérifier votre éligibilité (30 minutes)

Utilisez le simulateur de MonEspaceNIS2 ou consultez notre page pour évaluer votre éligibilité NIS2 en quelques minutes. Cette étape conditionne tout le reste et peut se faire sans prestataire.

Étape 2 — Se pré-enregistrer sur MonEspaceNIS2

Dès votre éligibilité confirmée, inscrivez-vous sur le portail ANSSI. Pas besoin d’attendre la promulgation.

Étape 3 — Lancer un diagnostic d’écart NIS2

Le diagnostic d’écart évalue votre situation réelle face aux 10 catégories de mesures NIS2. Il identifie vos lacunes et vous donne une feuille de route priorisée. Pour une PME de 50 à 150 employés, ce travail se réalise en 1 à 3 jours avec notre équipe d’audit de sécurité informatique.

Vous souhaitez démarrer rapidement ? Notre accompagnement NIS2 inclut ce diagnostic comme première étape, avec un premier échange gratuit de 30 minutes. Demandez votre diagnostic NIS2 — nous intervenons directement dans vos locaux dans toute l’Occitanie.

Étape 4 — Prioriser les mesures à fort impact immédiat

En attendant votre plan de conformité complet, quatre mesures réduisent immédiatement votre exposition :

  • MFA sur tous les accès critiques : messagerie, VPN, applications métier
  • Sauvegardes 3-2-1 : trois copies, deux supports différents, une hors site ou déconnectée
  • Correctifs critiques sous 48h : particulièrement pour les équipements exposés sur Internet
  • Procédure de notification d’incidents : définir qui contacte l’ANSSI, dans quel délai, avec quelles informations

Notre checklist NIS2 pour PME détaille les 40 points de contrôle essentiels pour structurer votre démarche complète.

FAQ

Quand la loi NIS2 entre-t-elle en vigueur en France ?

La directive NIS2 devait être transposée avant le 17 octobre 2024. La France n'a pas respecté ce délai — l'ANSSI confirme que NIS2 n'est pas encore applicable en France. Le projet de loi Résilience était en cours d'adoption à l'Assemblée nationale début 2026. Ne pas attendre pour agir : la conformité prend 12 à 24 mois et l'ANSSI exerce déjà ses missions préparatoires.

Mon entreprise est-elle concernée par NIS2 ?

Votre entreprise est directement concernée si vous employez 50 salariés ou plus ET que votre chiffre d'affaires ou total de bilan dépasse 10 M€, et si vous opérez dans l'un des 18 secteurs couverts par NIS2 (énergie, santé, transport, numérique, agroalimentaire, etc.). Si vous êtes en dessous de ces seuils mais prestataire d'entités régulées, attendez-vous à des exigences contractuelles de leur part.

Quelle est la différence entre entité essentielle et entité importante ?

Les entités essentielles (plus de 250 salariés ou plus de 50 M€ de CA) font l'objet d'un niveau de supervision et d'obligations maximales, avec des contrôles proactifs de l'ANSSI. Les entités importantes (50-250 salariés, 10-50 M€ de CA) ont un niveau d'exigence légèrement inférieur et une supervision réactive. Les plafonds de sanctions restent très significatifs dans les deux cas.

Puis-je déjà me pré-enregistrer sur MonEspaceNIS2 ?

Oui. Le portail MonEspaceNIS2 est ouvert depuis le 24 novembre 2025. Ce pré-enregistrement est volontaire aujourd'hui mais deviendra obligatoire à la promulgation de la loi. Il est fortement recommandé de s'y inscrire dès maintenant.

Que risque mon entreprise si elle n'est pas conforme à NIS2 ?

Les amendes peuvent atteindre 10 millions d'euros ou 2% du CA mondial pour les entités essentielles, 7 millions d'euros ou 1,4% pour les entités importantes. Les dirigeants peuvent être personnellement mis en cause (interdiction d'exercer, poursuites pénales dans les cas graves). L'ANSSI peut également publier le nom des entités non conformes. Les premières sanctions visent les entités qui nient leur éligibilité ou refusent de coopérer.

NIS2 France : agir maintenant, pas quand la loi sera promulguée

La Loi Résilience arrivera — T1-T2 2026 est l’horizon probable. Mais attendre sa promulgation pour commencer serait comme attendre d’avoir une crevaison pour acheter une roue de secours.

Ce que les entreprises les mieux préparées ont compris : la conformité NIS2 n’est pas un sprint à faire en urgence après la publication de la loi, c’est une démarche progressive qui prend 12 à 24 mois. Celles qui ont lancé leur diagnostic d’écart en 2025 ont aujourd’hui six à douze mois d’avance. Il est encore possible de rattraper ce retard — à condition d’agir maintenant.

Trois points à retenir :

  • La transposition NIS2 était attendue pour octobre 2024 — NIS2 n’est pas encore applicable en France mais se préparer maintenant est indispensable
  • L’effet cascade touche de nombreuses PME non directement assujetties via leurs clients régulés
  • MonEspaceNIS2 est ouvert depuis novembre 2025 : chaque entité potentiellement concernée devrait s’y pré-enregistrer

Chez Meldis, nous accompagnons les PME et ETI d’Occitanie dans toutes les étapes de leur conformité NIS2 : diagnostic d’éligibilité, analyse d’écart, plan d’action, mise en œuvre des mesures et préparation aux contrôles ANSSI. Basés à Montpellier, nous intervenons directement dans vos locaux dans toute la région, sans plateforme de ticketing, avec un interlocuteur dédié.

Demandez votre diagnostic NIS2 gratuit — 30 minutes pour évaluer votre situation et définir vos priorités avec un expert local en Occitanie.

Mis à jour le 24 février 2026 — Statut législatif susceptible d’évoluer. Sources : ANSSI (cyber.gouv.fr), vie-publique.fr, Sénat français, Assemblée nationale, Commission européenne.