Cybersécurité & Numérique · 16/07/2026

NIS2 : la France traînée devant la justice européenne pour son retard — et toujours pas de loi avant septembre. Ce que les 15 000 entités concernées, des collectivités aux PME des Hauts-de-France, doivent faire sans attendre

Le 8 juillet 2026, la Commission européenne a saisi la CJUE contre la France pour défaut de transposition de NIS2, sanctions financières à la clé. Au même moment, la loi Résilience disparaissait de l'agenda parlementaire de l'été. Ce que ce double blocage change pour les 15 000 entités concernées — et pourquoi les PME et collectivités des Hauts-de-France doivent avancer sans attendre le vote.

NIS2 : la France traînée devant la justice européenne pour son retard — et toujours pas de loi avant septembre. Ce que les 15 000 entités concernées, des collectivités aux PME des Hauts-de-France, doivent faire sans attendre
Cybersécurité & Numérique
La transposition française de la directive européenne NIS2 vient de franchir un cap inédit : celui du contentieux. Le 8 juillet 2026, la Commission européenne a saisi la Cour de justice de l'Union européenne (CJUE) contre la France pour défaut de transposition de la directive sur la sécurité des réseaux et des systèmes d'information, avec demande de sanctions financières à la clé. Au même moment, à Paris, le projet de loi « Résilience » — le texte qui doit précisément transposer NIS2 en droit français — ne figure pas à l'ordre du jour de la session extraordinaire du Parlement convoquée au 1er juillet. Son examen en séance publique à l'Assemblée nationale est donc renvoyé à la rentrée, en septembre au plus tôt. La France n'est pas seule sur le banc des accusés : l'Irlande, l'Espagne et les Pays-Bas font l'objet de la même saisine. Mais le retard hexagonal a de quoi interpeller : l'échéance de transposition était fixée au 17 octobre 2024, soit plus de vingt mois avant la décision de Bruxelles. Et sur les 23 États membres initialement visés par la procédure d'infraction ouverte fin 2024, 19 ont depuis régularisé leur situation. Pour les quelque 15 000 entités françaises qui seront régulées par NIS2 — collectivités territoriales, hôpitaux, industriels, PME et ETI de 18 secteurs d'activité —, cette double actualité prolonge une incertitude réglementaire qui dure depuis bientôt deux ans. Dans les Hauts-de-France, où les annonces d'investissement numérique se sont enchaînées tout au long du semestre, le contraste devient saisissant : l'infrastructure avance à marche forcée, le cadre de sécurité qui doit l'accompagner reste en suspens. On fait le point sur ce qui s'est passé, ce qui bloque, et surtout sur ce que les organisations concernées doivent faire sans attendre le vote.

Ce que Bruxelles reproche exactement à la France

La chronologie de la procédure, détaillée dans le communiqué de la Commission européenne du 8 juillet 2026, ne laisse guère de place au doute sur la patience déjà consommée. La directive (UE) 2022/2555, dite NIS2, devait être transposée dans les droits nationaux au plus tard le 17 octobre 2024. Faute de notification, Bruxelles a adressé des lettres de mise en demeure à 23 États membres le 28 novembre 2024, puis des avis motivés le 7 mai 2025, assortis d'un délai supplémentaire de deux mois. Dix-neuf pays ont fini par se mettre en règle. Quatre restent en défaut : la France, l'Irlande, l'Espagne et les Pays-Bas, désormais renvoyés devant les juges de Luxembourg. La nouveauté de cette étape, c'est l'argent. La Commission demande explicitement à la Cour d'imposer des sanctions financières : une somme forfaitaire, assortie d'astreintes journalières qui continueraient de courir jusqu'à la notification d'une transposition complète. Autrement dit, chaque jour de retard supplémentaire alourdit mécaniquement la facture potentielle pour les finances publiques. Le montant exact n'est pas connu à ce stade — il sera fixé par la Cour si elle suit la Commission —, mais la presse spécialisée l'évalue en millions d'euros, hors astreintes. Comme le résume IT-Connect, cette menace financière est surtout « un levier supplémentaire pour faire pression sur la classe politique française ».

Pourquoi la loi Résilience reste bloquée à l'Assemblée nationale

En France, NIS2 n'est pas transposée seule. Le gouvernement a choisi de l'intégrer au projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui transpose en un seul texte trois cadres européens : NIS2, la directive REC sur la résilience des entités critiques et le règlement DORA pour le secteur financier. Déposé en octobre 2024 avec procédure accélérée, adopté par le Sénat le 12 mars 2025, le texte a passé l'étape de la commission spéciale de l'Assemblée nationale le 10 septembre 2025. Depuis : plus rien. Il attend toujours son examen en séance publique. L'espoir d'un vote estival s'est éteint début juillet : le décret convoquant le Parlement en session extraordinaire à compter du 1er juillet 2026 ne mentionne pas le texte. Sauf surprise, l'examen glisse donc à septembre — un calendrier que le gouvernement n'a pas confirmé officiellement. Le point de friction reste le même depuis des mois : l'article 16 bis, introduit au Sénat, qui inscrirait dans la loi l'interdiction pour les fournisseurs de services de chiffrement d'intégrer des portes dérobées dans leurs produits. Une partie des parlementaires et les services de renseignement y voient une entrave à l'accès ciblé, sous contrôle judiciaire, aux communications de personnes surveillées ; les acteurs de la cybersécurité y voient au contraire une garantie indispensable — affaiblir le chiffrement pour tous afin de surveiller quelques-uns revient à fragiliser tout l'édifice. Ce désaccord de fond tient le texte en otage. Le paradoxe n'échappe pas aux autorités elles-mêmes. Vincent Strubel, directeur général de l'ANSSI, a publiquement regretté devant le Sénat l'absence de transposition, tout en rappelant que ce retard ne dispense personne de se préparer. Côté entreprises, l'agacement monte : « L'incertitude réglementaire perturbe la commande cyber et ralentit les décisions d'investissement. Elle impacte l'ensemble des organisations, y compris celles déjà soumises à des cadres réglementaires, dans la mesure où NIS2 élargit significativement les périmètres et les niveaux d'exigence », alerte Fabrice Bru, président du CESIN, la première association française de RSSI, cité par Silicon.fr.

Le point sur l'actualité de la transposition de NIS2 en France, avec Yann Lonlas (Orange Cyberdefense).

NIS2, rappel express : êtes-vous concerné ?

Pour mémoire, NIS2 remplace la première directive NIS de 2016 et change complètement d'échelle. Le nombre de secteurs régulés passe de 6 à 18 — santé, énergie, transports, eau, secteur public, infrastructures numériques, mais aussi de nouveaux sous-secteurs comme les réseaux de chaleur et de froid, l'hydrogène ou le traitement des eaux usées, selon le dossier de vie-publique.fr. En France, on passe d'environ 500 entités régulées sous NIS1 à plus de 15 000, collectivités territoriales comprises. Le texte distingue deux statuts — entités essentielles et entités importantes — selon la taille et la criticité du secteur, avec des obligations graduées. Sur le fond, les obligations sont connues depuis la publication de la directive fin 2022 : gouvernance des risques documentée et portée par la direction, mesures techniques et organisationnelles proportionnées, notification des incidents significatifs à l'ANSSI (première alerte sous 24 heures, notification sous 72 heures), sécurité de la chaîne d'approvisionnement, le tout sous la supervision de l'ANSSI et sous peine de sanctions. Pour savoir si votre organisation entre dans le périmètre, l'agence a mis en ligne un service officiel de test : MonEspaceNIS2, qui permet en quelques questions de déterminer votre statut probable et documente l'avancement de la transposition.

« NIS 2 : êtes-vous concerné par la directive ? » — un webinaire de RSM France pour situer votre organisation dans le périmètre.

Hauts-de-France : une région qui investit massivement dans le numérique… sans cadre cyber stabilisé

Le calendrier de ce blocage parlementaire percute frontalement l'actualité économique régionale. Depuis le début de l'année, les Hauts-de-France se sont installés au cœur de la stratégie française d'infrastructure numérique : le méga-projet de data centers porté par SoftBank — 45 milliards d'euros annoncés autour de Dunkerque, Bouchain et Le Bosquel — doit faire de la région une « vallée de l'IA » européenne, pendant que les entreprises accélèrent leurs déploiements d'intelligence artificielle, souvent sans gouvernance formalisée. Autrement dit : la surface d'attaque régionale s'étend beaucoup plus vite que le cadre juridique censé la protéger. Les chiffres nationaux publiés par l'ANSSI dans son Panorama de la cybermenace 2025 donnent la mesure du risque pour le tissu régional. En 2025, 1 366 incidents ont été portés à la connaissance de l'agence (un niveau stable par rapport aux 1 361 de 2024, après 1 112 en 2023 et 831 en 2022), et quatre secteurs concentrent 76 % d'entre eux : l'éducation et la recherche (34 %), les ministères et collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %). Côté rançongiciels, 128 compromissions ont été signalées en 2025, et les PME, TPE et ETI restent la catégorie d'entités la plus touchée, devant les collectivités (11 % des cas) et les établissements de santé (8 %, en hausse). Ce sont très exactement les profils d'organisations que NIS2 doit faire monter en maturité — et très exactement le tissu des Hauts-de-France : collectivités nombreuses, CHU et centres hospitaliers, industrie agroalimentaire, logistique, énergie. La région n'attend pas la loi pour structurer sa filière : le Campus Cyber Hauts-de-France, à Lille, fédère entreprises, chercheurs et institutions autour de la montée en compétence cyber du territoire, et constitue un point d'entrée naturel pour les PME qui découvrent leurs futures obligations. Reste que, sans texte voté, ni les décrets d'application, ni les échéances précises, ni les modalités de contrôle ne sont connus — ce qui alimente l'attentisme que dénonce le CESIN.

N'attendez pas le vote : ce qu'il faut faire dès maintenant

Le message de l'ANSSI est constant, et la saisine de la CJUE le renforce : le retard législatif français ne suspend pas la réalité de la menace, et il ne changera pas le contenu des obligations, déjà fixé par la directive. Toute organisation qui découvrirait le sujet aujourd'hui peut avancer sur des fondations qui seront valables quel que soit le texte final : vérifier son statut via MonEspaceNIS2 ; cartographier ses systèmes d'information et ses actifs critiques ; réaliser une analyse de risques digne de ce nom ; généraliser l'authentification multifacteur et durcir les sauvegardes (hors ligne et testées) ; se doter d'un plan de réponse à incident capable de tenir la future exigence de notification sous 24 puis 72 heures ; et intégrer la sécurité dans les contrats fournisseurs. Nous détaillons cette feuille de route pas à pas dans notre guide de mise en conformité NIS2 pour les PME et ETI des Hauts-de-France. Il y a aussi un argument de calendrier, presque paradoxal : plus la loi tarde, plus son application risque d'être brutale. Avec une procédure devant la CJUE et des astreintes journalières en perspective, la France aura intérêt, une fois le texte voté, à notifier une transposition complète au plus vite — décrets compris. Les périodes de transition pourraient s'en trouver compressées. Les organisations qui auront anticipé absorberont ce choc de conformité ; les autres devront tout faire en même temps, dans un marché de la cybersécurité déjà tendu sur les compétences.

Et maintenant ? Trois échéances à surveiller

D'abord, la rentrée parlementaire : si le projet de loi Résilience est inscrit à l'ordre du jour de septembre, son adoption définitive pourrait intervenir à l'automne — près de deux ans après l'échéance européenne. Ensuite, la procédure devant la CJUE : ce type de contentieux se compte en mois, voire en années, mais une transposition complète notifiée avant l'arrêt de la Cour limiterait fortement la note. Enfin, le front réglementaire européen ne ralentit pas pour autant : l'échéance du 2 août 2026 de l'AI Act approche, et ses nouvelles obligations concerneront une partie des mêmes entreprises. La conformité cyber et la conformité IA convergent — et aucune des deux n'attendra les retardataires.

Les chiffres clés

  • 8 juillet 2026 : la Commission européenne saisit la CJUE contre la France, l'Irlande, l'Espagne et les Pays-Bas pour défaut de transposition de NIS2.
  • 17 octobre 2024 : date limite de transposition fixée par la directive — plus de 20 mois de retard.
  • 23 → 4 : États membres visés par la procédure d'infraction fin 2024 → encore en défaut aujourd'hui.
  • ~15 000 : entités qui seront régulées en France (contre ~500 sous NIS1), dans 18 secteurs (contre 6).
  • 1 366 : incidents portés à la connaissance de l'ANSSI en 2025 ; 128 compromissions par rançongiciel, PME/TPE/ETI en première ligne (Panorama de la cybermenace 2025).
  • Septembre 2026 : horizon le plus proche pour l'examen de la loi Résilience en séance publique à l'Assemblée nationale.

FAQ — Saisine de la CJUE, loi Résilience et NIS2

La saisine de la CJUE change-t-elle quelque chose pour mon entreprise ?

Pas directement : les sanctions demandées visent l'État français, pas les entreprises. En revanche, elle accroît la pression pour un vote rapide de la loi Résilience — et donc rapproche le moment où vos obligations deviendront contraignantes, potentiellement avec des délais de mise en conformité plus courts que prévu.

Quand la loi transposant NIS2 sera-t-elle votée en France ?

Aucune date officielle n'est fixée. Le texte n'étant pas inscrit à la session extraordinaire de juillet 2026, son examen en séance publique à l'Assemblée nationale ne pourra pas intervenir avant septembre. Le blocage de fond sur l'article 16 bis (interdiction des portes dérobées dans le chiffrement) devra être tranché d'ici là.

Comment savoir si mon organisation est concernée par NIS2 ?

Utilisez le service officiel de l'ANSSI, MonEspaceNIS2, qui détermine en quelques questions si vous relevez probablement du statut d'entité essentielle ou importante. En résumé : 18 secteurs d'activité, et en règle générale les entreprises de plus de 50 salariés ou 10 M€ de chiffre d'affaires dans ces secteurs, ainsi que de nombreuses collectivités.

Quelles sanctions risquera une entité non conforme une fois la loi votée ?

La directive prévoit des amendes administratives pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 M€ ou 1,4 % pour les entités importantes). Les montants et modalités définitifs pour la France dépendront du texte final et de ses décrets d'application.

Que risque concrètement la France devant la CJUE ?

La Commission demande une somme forfaitaire et des astreintes journalières courant jusqu'à la notification d'une transposition complète. Le montant sera fixé par la Cour si elle condamne la France ; une transposition achevée avant l'arrêt réduirait fortement l'addition.

— Fin de l'article · #NIS2-FRA · 16/07/2026 —