NIS2 en France au 11 avril 2026 : où en est vraiment la transposition ?
Mise à jour au 11 avril 2026
Sur le papier, le calendrier europeen est clair : la directive NIS2 devait etre transposee par les Etats membres au plus tard le 17 octobre 2024. C'est le texte officiel de l'Union europeenne.
En France, la situation est plus nuancee. Au 11 avril 2026, le dossier legislatif du Senat sur le projet de loi relatif a la resilience des infrastructures critiques et au renforcement de la cybersécurité montre encore une loi en construction. Autrement dit : la direction est connue, mais le cadre national definitif n'est pas encore entierement stabilise.
Ce qui est deja officiel
Trois points sont solides.
1. NIS2 existe et s'applique au niveau europeen. La directive (UE) 2022/2555 a ete publiee au Journal officiel de l'Union europeenne en decembre 2022.
2. L'ANSSI demande deja aux futures entites concernees de se preparer. Sur sa page officielle, l'agence explique que NIS2 doit permettre a des milliers d'entites de mieux se proteger et invite les futures entites essentielles et importantes a s'engager des maintenant.
3. L'ANSSI a commence a outiller le terrain. Depuis le 24 novembre 2025, un dispositif de pre-enregistrement est ouvert. Et depuis le 17 mars 2026, l'ANSSI met a disposition le ReCyF (Referentiel Cyber France), diffuse a ce stade comme document de travail.
Ce qui n'est pas encore final
C'est le point le plus important pour eviter les erreurs de communication.
Vous pouvez des maintenant travailler votre perimetre, votre gouvernance et vos mesures de securite. En revanche, vous ne devriez pas affirmer que telle liste de controles ou tel delai procedural est deja fige dans le droit francais si le texte national et ses textes d'application ne sont pas encore finalises.
En pratique, cela veut dire : preparez-vous sur le fond, mais restez prudents sur les formulations juridiques trop definitives.
Qui doit vraiment se sentir concerne ?
NIS2 ne vise pas "toutes les PME" indistinctement.
Le texte europeen cible d'abord des entites de secteurs precis, generalement de taille moyenne ou grande, avec des exceptions lorsqu'une entite est critique par sa fonction, sa position sur le marche ou son importance nationale ou regionale.
Pour une entreprise francaise, la bonne question n'est donc pas "sommes-nous une PME ?" mais plutot :
Beaucoup de startups et de PME ne seront pas directement assujetties. En revanche, elles seront souvent touchees indirectement par les exigences de leurs clients, partenaires, hebergeurs ou donneurs d'ordre.
Ce qu'il faut faire maintenant
1. Verifier votre exposition reelle
Commencez par un travail simple : activites, secteurs, clients, dependances, hebergement, fournisseurs critiques, systemes exposes sur internet. Sans cette cartographie, impossible de savoir si vous etes potentiellement dans le perimetre ou dans la chaine de sous-traitance d'un acteur concerne.
2. Utiliser le pre-enregistrement quand il est pertinent
Si vous pensez faire partie des futures entites essentielles ou importantes, le pre-enregistrement ouvert par l'ANSSI n'est pas un detail administratif. C'est un signal pratique pour entrer dans le dispositif au bon moment.
3. Travailler un socle de securite defendable
Le ReCyF n'est pas encore le texte final obligatoire. Mais c'est deja une base de travail utile. Si vous avancez sur l'authentification forte, la gestion des acces, la journalisation, la sauvegarde, la gestion de crise et la maitrise de votre exposition internet, vous ne travaillez pas a perte.
4. Formaliser la gestion d'incident
NIS2 pousse les organisations vers plus de maturite en detection, qualification et notification. Meme si votre statut exact reste a confirmer, documenter des roles, un circuit d'escalade, un point de contact et une procedure de notification est un investissement rationnel.
5. Garder des preuves
Dans ce type de cadre, la securite reelle compte. Mais la capacite a prouver ce que vous avez mis en place compte aussi. Inventaires, politiques, comptes rendus d'audit, plans d'action, tests et suivis de correction deviennent vite indispensables.
Notre lecture
Au 11 avril 2026, le bon message n'est ni "attendez la loi finale" ni "tout est deja fige".
Le bon message est : la transposition francaise avance encore, mais l'ANSSI vous demande deja de vous preparer. Si votre entreprise est potentiellement concernee, ou si elle vend a des acteurs qui le sont, 2026 est le bon moment pour mettre votre securite applicative et votre gouvernance a niveau.
Un revue externe n'est pas une transposition juridique. En revanche, c'est une facon concrete de verifier ce qu'un attaquant voit deja, de documenter votre exposition reelle et d'alimenter votre dossier de mise en conformite avec des faits.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
NIS2 : les PME de plus de 50 employés doivent se préparer dès maintenant
La directive NIS2 étend les obligations de cybersécurité aux PME. Voici ce qui change et comment vous préparer.
DORA : résilience opérationnelle numérique pour fintech : ce que les startups manquent
Le règlement DORA est applicable depuis janvier 2025. Voici ce que les fintech françaises doivent implémenter concrètement.
CNIL 2025 : 487M€ d'amendes. Ce que les petites équipes SaaS doivent retenir
Record d'amendes CNIL en 2025. Analyse des sanctions et des leçons concrètes pour les équipes produit qui gèrent des données sensibles.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.