NIS 2 repoussée à juillet 2026 : l’Anssi demande aux 15 000 organisations d’anticiper dès maintenant

Le calendrier se décale, et ça commence à se voir. La transposition française de la directive NIS 2 n’est pas attendue avant juillet 2026, alors que le texte est présenté comme structurant pour rehausser le niveau de cybersécurité d’une large partie de l’économie. Dans l’intervalle, l’Anssi martèle le même message aux organisations concernées, ne pas attendre le vote final pour se mettre en mouvement.

Ce retard crée une situation inconfortable, la France revendique un rôle moteur sur la régulation cyber en Europe, mais le dispositif national tarde à entrer en régime. L’agence pousse donc une logique d’anticipation, avec des outils concrets et un discours très opérationnel. En clair, tu n’as pas besoin d’un article de loi publié pour lancer une cartographie, renforcer tes mesures de gestion des risques, préparer la déclaration d’incident, et aligner tes pratiques sur ce que demandera NIS 2.

Le projet de loi « résilience » attendu à l’Assemblée en juillet 2026

Le texte qui doit transposer NIS 2 en droit français s’inscrit dans un projet plus large, souvent présenté comme une réforme « résilience » des infrastructures critiques et du cadre cyber. Il ne s’agit pas seulement de NIS 2, le véhicule législatif vise aussi à intégrer d’autres briques européennes, ce qui alourdit mécaniquement la discussion. Résultat, l’examen à l’Assemblée nationale est désormais attendu pour juillet 2026, ce qui repousse d’autant la visibilité pour les futurs assujettis.

Le décalage est d’autant plus commenté que le texte a déjà avancé dans le parcours institutionnel. Il a été adopté en première lecture au Sénat le 15 octobre 2024, puis la commission spéciale de l’Assemblée nationale l’a adopté à l’unanimité le 17 septembre 2025. Malgré ces étapes, il n’a pas encore été inscrit à l’ordre du jour de l’Assemblée. Dans les échanges parlementaires, des rapporteurs ont alerté sur le risque d’enlisement et sur l’effet de ciseau pour les organisations.

Dans ce contexte, l’exécutif a régulièrement laissé entendre une adoption au premier trimestre 2026, mais la date de juillet s’impose comme un nouveau repère. Pour les directions cyber, ça change la gestion de projet, tu peux avoir des budgets 2026 votés sans le texte final, des arbitrages qui glissent, et des équipes qui hésitent à engager des chantiers lourds. Un RSSI d’un groupe industriel, appelons-le Marc pour rester simple, résume le dilemme, « si j’attends le texte, je perds un an, si je lance tout, je prends le risque de devoir ajuster ».

Il y a aussi un effet politique, la France aime rappeler qu’elle a été parmi les pays moteurs sur les sujets cyber, mais le retard rend le discours plus fragile. La nuance, c’est que la transposition s’adosse à une réforme plus large, et que le passage à l’Assemblée dépend d’un agenda parlementaire déjà saturé. Mais pour les entités qui seront classées « essentielles » ou « importantes », le temps administratif ne protège pas du temps des attaquants, et c’est précisément le point sur lequel insiste l’Anssi.

15 000 organisations visées dans 18 secteurs, avec statut « essentiel » ou « important »

La transposition va étendre le périmètre, on ne parle plus d’un petit cercle d’acteurs historiques. L’estimation communiquée pour la France tourne autour de 15 000 organisations concernées, réparties sur 18 secteurs. On retrouve des domaines attendus comme l’énergie ou la santé, mais aussi des activités moins spontanées dans l’imaginaire collectif, comme la gestion des déchets. L’idée de base est simple, si ton activité soutient la continuité du pays, ta cybersécurité devient un sujet d’intérêt général.

Le texte introduit la logique de classification en entités « essentielles » et « importantes« , avec des exigences et une supervision adaptées. Dans les faits, ça oblige les organisations à se poser des questions très concrètes, quelles filiales entrent dans le périmètre, quels services numériques sont critiques, quel niveau d’externalisation est acceptable, et qui porte la responsabilité en cas d’incident. Un DSI de collectivité, autre exemple, peut se retrouver à devoir qualifier ses prestataires, ses hébergeurs, et ses outils métiers, sans attendre la liste finale des obligations.

Ce périmètre large a une conséquence immédiate, il touche des structures qui n’ont pas, historiquement, une culture de conformité cyber. Une clinique privée ou un opérateur de traitement des déchets peut avoir une équipe IT réduite, des automates industriels, des logiciels métiers vieillissants, et des contrats de maintenance très verrouillés. Dans ce type d’organisation, la mise en conformité ne se résume pas à acheter un nouvel outil, elle implique une gouvernance, des procédures, une gestion des droits, une capacité de détection, et une relation structurée avec les prestataires.

La critique qu’on entend sur le terrain, c’est le risque de « même règle pour tous » alors que la maturité varie énormément. L’argument inverse, c’est que la menace ne trie pas, et qu’une petite entité peut devenir une porte d’entrée. Ce qui change avec NIS 2, c’est le passage à l’échelle, et la nécessité d’industrialiser des pratiques de sécurité de base, inventaire, gestion des vulnérabilités, segmentation, sauvegardes, et procédures de crise. Même sans texte publié, ces chantiers ont déjà un sens opérationnel.

L’Anssi publie le Référentiel Cyber France pour guider les mesures NIS 2

Face au décalage du calendrier, l’Anssi pousse une logique d’accompagnement et met des outils sur la table. L’un des éléments les plus visibles est le Référentiel Cyber France, présenté comme un document de travail listant des mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2. L’agence ne dit pas « attendez la loi », elle dit plutôt « engagez-vous sans attendre dans une démarche cohérente ». Et ça, pour un RSSI, c’est un feu vert implicite pour lancer un programme.

Le référentiel sert à traduire une directive européenne en actions compréhensibles par des équipes techniques et des directions générales. Typiquement, tu peux t’en servir pour cadrer une feuille de route, définir des priorités, et éviter le piège des projets qui partent dans tous les sens. Un exemple concret, une entité de santé peut s’appuyer sur ce cadre pour renforcer l’authentification sur ses accès distants, documenter ses procédures d’escalade, et clarifier qui décide d’une coupure de service en cas d’attaque.

L’Anssi a aussi mis en avant des ressources complémentaires, dont un outil de comparaison des référentiels. L’intérêt est pratique, beaucoup d’organisations ont déjà des briques de conformité, ISO, politiques internes, exigences sectorielles, et elles veulent savoir ce qui recoupe quoi. En rapprochant les cadres, tu limites la redondance et tu évites de produire de la documentation pour la documentation. Marc, consultant cyber, le dit sans détour, « si tu ne fais que remplir des tableaux, tu n’augmentes pas ta résilience, tu augmentes ton stress ».

Il faut aussi lire ce mouvement comme une tentative d’éviter un embouteillage en 2026. Si 15 000 structures attendent la publication pour se réveiller, tu vas avoir une ruée sur les prestataires, les audits, les outils, et les profils rares. L’accompagnement vise à lisser la charge, et à faire monter le niveau progressivement. La nuance, c’est que le référentiel reste un document de travail, et que certains attendront le cadre final pour sécuriser leurs budgets. Mais l’agence insiste, la menace est déjà là, et les mesures de base sont utiles même si un article de loi change une formulation.

Pré-enregistrement et webinaires, l’Anssi accélère l’accompagnement depuis deux ans

Le message de l’Anssi ne date pas d’hier. L’agence explique mener depuis plus de deux ans une dynamique d’accompagnement pour préparer les futures entités concernées et l’écosystème. Concrètement, ça passe par des consultations sur les mesures, des supports pédagogiques, des webinaires, et des événements. Un moment marquant a eu lieu le 17 mars 2026 au Campus Cyber, avec un rassemblement d’acteurs institutionnels, sectoriels et publics pour pousser cette dynamique de sécurisation à grande échelle.

Le pré-enregistrement fait partie des outils mis à disposition. L’idée est de permettre aux organisations de se situer, de préparer les informations attendues, et d’anticiper les échanges avec l’autorité compétente. Même si tout n’est pas encore obligatoire tant que la loi n’est pas en vigueur, le dispositif pousse à structurer des données de base, identité de l’entité, périmètre, points de contact, et capacité de déclaration d’incident. Dans les organisations complexes, rien que l’identification du bon « propriétaire » des systèmes prend des semaines.

Ce travail d’appropriation vise aussi les sous-traitants et prestataires, parce que la cybersécurité ne s’arrête pas au mur du SI interne. Dans les recommandations diffusées, l’accent est mis sur la responsabilité partagée et sur l’intégration de clauses cyber dans les nouveaux contrats. Un exemple simple, un opérateur d’énergie qui externalise une supervision ou une maintenance doit clarifier les délais de notification, les obligations de journalisation, et le droit d’audit. Sans ça, le jour de l’incident, tu découvres que chacun attend l’autre.

La critique, là encore, tient au décalage entre l’effort demandé et les moyens disponibles, surtout dans des structures publiques ou para-publiques. Participer à des webinaires, c’est utile, mais ça ne remplace pas une équipe SOC, des outils de détection, ou un plan de continuité testé. L’Anssi met en avant une ambition de résilience collective, mais la montée en maturité dépendra des arbitrages budgétaires et de la capacité à recruter. Et sur le marché cyber, les profils expérimentés restent rares, ce qui rend l’anticipation encore plus rationnelle.

Gestion des risques et déclaration d’incident, les obligations NIS 2 à préparer dès maintenant

Le cur de NIS 2, ce sont des obligations opérationnelles, pas une simple déclaration d’intention. Les entités devront renforcer leurs défenses, mettre en place des mesures de gestion des risques adaptées, et déclarer leurs incidents à l’Anssi. Même sans entrer dans des détails juridiques, on voit tout de suite ce qui coince dans la vraie vie, la gestion des risques suppose une cartographie, des scénarios, des priorités, et des responsabilités. Si tu n’as pas d’inventaire fiable, tu gères surtout des angles morts.

Sur la déclaration d’incident, l’anticipation est cruciale. Déclarer, ça veut dire détecter, qualifier, horodater, conserver des preuves, et savoir qui parle à qui. Une organisation qui n’a jamais fait d’exercice de crise découvre souvent que les canaux de décision sont flous, que l’astreinte n’est pas formalisée, et que les prestataires ne répondent pas à 3 heures du matin. Marc, RSSI dans une ETI, raconte un test interne, « on a simulé un ransomware, on a mis 2 heures à retrouver le bon numéro du prestataire sauvegarde, c’était un signal d’alarme ».

La logique de délai de mise en conformité est aussi un point de gestion. Des éléments de planning évoquent un délai de 3 ans après promulgation pour atteindre la conformité, ce qui peut donner un faux sentiment de confort. Trois ans, c’est court pour transformer des architectures, renégocier des contrats, former des équipes, et déployer des mesures sur des sites industriels. Et si tu attends la dernière année, tu subis la hausse des prix des prestataires et la saturation des auditeurs. L’anticipation, ici, c’est une stratégie de maîtrise des coûts autant que de sécurité.

Enfin, il y a une implication souvent sous-estimée, la conformité ne s’arrête pas aux frontières de l’entreprise. Les chaînes de sous-traitance deviennent un sujet central, et les entités vont demander des garanties à leurs fournisseurs, qui eux-mêmes devront se structurer. Un éditeur logiciel qui travaille avec des hôpitaux, par exemple, peut se voir réclamer des engagements sur la gestion des vulnérabilités, la réversibilité, ou la notification. Même si l’évolution reste incertaine sur certains détails d’application, les fondamentaux sont déjà connus, et c’est précisément pour ça que l’Anssi pousse à démarrer maintenant.