NIS 2 devait être transposé avant le 17 octobre 2024, la France est donc largement en retard. Aux dernières nouvelles, le texte devrait passer à l’Assemblée nationale en juillet (2026). Trop tard pour le CSNP qui appelle à un examen « dans les plus brefs délais ». De son côté, l’ANSSI présente en attendant son REférentiel CYber France (ReCyF), « qui liste les mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 ».

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité doit transposer les directives NIS 2, REC et Dora. Il a été présenté le 15 octobre 2024 par le gouvernement, puis adopté le 12 mars 2025, mais n’a toujours pas été examiné par l’Assemblée
nationale.

La transposition a presque 18 mois de retard

Son parcours législatif n’est donc pas terminé, alors que la transposition de NIS 2 devait en théorie être faite par chaque État membre avant le 17 octobre 2024. Au 1ᵉʳ janvier 2026, 20 des 27 États membres l’avaient transposé. Dans un communiqué (pdf) publié sur les réseaux sociaux, la Commission supérieure du numérique et des postes (CSNP) « appelle à l’examen du projet de loi Résilience dans les plus brefs délais ».

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Pour la Commission mixte (Assemblée nationale et Sénat), « ce retard fragilise notre écosystème numérique et place l’ensemble des acteurs concernés dans une situation d’incertitude injustifiable ». D’autant que « ce retard affaiblit fortement la position de la France au moment même où se redessine l’architecture européenne de la cybersécurité, notamment par les négociations sur la révision du Cybersecurity Act ».

« Un point de clivage politique : l’article 16 bis »

Le CSNP affirme que ce retard vient « d’un point de clivage politique : l’article 16 bis, introduit au Sénat afin de consacrer dans la loi la protection du chiffrement et d’interdire l’imposition de dispositifs de portes dérobées (« backdoors ») aux messageries instantanées, fait l’objet d’une opposition du gouvernement ».

Philippe Latombe était récemment monté au créneau sur le sujet : « Je le dis de façon claire et je ne vais pas me faire de copains en disant ça mais c’est pas grave, la DGSI et les services veulent la fin de l’article 16 bis […] la DGSI a un problème, elle veut savoir ce qui se passe dans les communications chiffrées des délinquants, elle veut mettre un tuyau sur le pipeline pour pouvoir regarder ce qui s’y passe ».

• La DGSI accusée de bloquer l’adoption d’une loi renforçant la cybersécurité

Examen du texte à l’Assemblée nationale prévue en juillet 2026…

La Commission indique que le programme législatif transmis par le gouvernement « prévoit désormais un examen du texte en juillet 2026, et ce sous réserve de la convocation d’une session extraordinaire. Un tel calendrier reporte de plusieurs mois encore l’adoption de ce texte, si toutefois il est examiné avant l’été 2026 ».

Trop tard pour la CSNP. Ses membres « appellent à l’inscription, dans les plus brefs délais, du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité à l’ordre du jour de l’Assemblée nationale, afin que la France se dote enfin des outils indispensables à la protection de son économie, de ses institutions et de ses citoyens ».

Le REférentiel CYber France (ReCyF) liste les mesures recommandées

Aux Assises de la cybersécurité de Monaco en octobre 2025, Vincent Strubel (patron de l’ANSSI) expliquait que ce vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile »… pas si sûr finalement avec les remous autour de l’article 16 bis. Le plus dur, ajoutait-il, c’est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire ».

Dans la foulée, l’Agence ouvrait un guichet de pré-enregistrement. C’est « la première brique de l’entrée en vigueur de NIS 2 et un premier pas pour les entités dans le respect de leurs obligations ». Cette semaine, l’ANSSI a mis à disposition son REférentiel CYber France (ReCyF), en version bêta, « qui liste les mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2 ».

Sur LinkedIn, Vincent Strubel explique que ce document a été « co-construit avec de nombreuses organisations professionnelles, associations d’élus et acteurs de l’écosystème pour définir une réponse adaptée, d’une part à la réalité de la menace, et d’autre part à la taille et à la maturité des entités qui doivent s’en protéger ».

Le patron de l’ANSSI presse les entités concernées de s’y intéresser : « il restera un document de travail jusqu’à la transposition de NIS2 en droit français, mais il ne faut surtout pas attendre pour le mettre en œuvre ».

• Cybersécurité : les ambitions de NIS 2 décortiquées par Vincent Strubel (ANSSI)

Le mot de la fin par Vincent Strubel : pourquoi RéCyF ? « Parce que le récif (corallien), c’est à la fois quelque chose de vivant et le socle qui protège de l’érosion et autour duquel se construisent certains des écosystèmes les plus florissants du monde naturel. Bon, en vrai, on a fait comme tout le monde, on a trouvé un acronyme et ensuite on a rétrofitté une belle histoire par-dessus, mais je trouve que pour le coup ça marche bien ».