NIS2 en droit français : obligations et sanctions des entités essentielles

CAJI

La directive NIS2 a profondément déplacé la logique du droit de la cybersécurité. Sous le régime antérieur, le droit français ciblait un cercle relativement limité d’opérateurs identifiés. Avec NIS2, l’ambition n’est plus seulement de protéger quelques acteurs stratégiques, mais d’élever le niveau général de résilience numérique d’une partie beaucoup plus large du tissu économique et institutionnel. Le projet français de transposition l’assume explicitement : il s’agit de passer d’environ 500 entités régulées à près de 15 000, dans 18 secteurs, avec un changement d’échelle majeur pour les entreprises, les opérateurs publics et l’ANSSI elle-même. (Légifrance)

Il faut toutefois poser d’emblée une précision décisive sur l’état du droit. Au 27 mars 2026, la transposition française de NIS2 n’est pas encore juridiquement achevée sous sa forme complète. Le dossier législatif sur Légifrance indique que le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été adopté en première lecture par le Sénat le 12 mars 2025. De son côté, l’ANSSI précise que NIS2 n’entrera en vigueur en France qu’une fois l’ensemble des textes de transposition — loi, décrets et arrêtés — promulgués. Elle ajoute que l’entrée en vigueur ne se confond pas nécessairement avec l’application immédiate de l’ensemble des exigences réglementaires. Autrement dit, le cadre français est avancé, structuré, déjà lisible dans ses grands choix, mais encore en voie d’achèvement normatif. (Légifrance)

Sur le plan européen, la directive 2022/2555 fixe le socle. Son objet est double : imposer des mesures minimales de gestion des risques de cybersécurité et des obligations de notification d’incidents, tout en organisant la supervision et l’exécution. Elle repose sur une distinction cardinale entre entités essentielles et entités importantes, distinction qui conditionne à la fois le niveau de surveillance et l’intensité des mesures coercitives. Les États membres doivent identifier ces entités et établir une liste nationale, mise à jour régulièrement. (EUR-Lex)

En droit de l’Union, les entités essentielles comprennent notamment les entités des secteurs de l’annexe I qui dépassent les seuils des moyennes entreprises, ainsi que certains acteurs désignés comme essentiels quelle que soit leur taille, par exemple les fournisseurs de services DNS, les registres de noms de domaine de premier niveau et les prestataires de services de confiance qualifiés. Les entités visées par les annexes I et II qui ne relèvent pas de cette catégorie deviennent, par défaut, des entités importantes. Le droit européen adopte donc une logique mêlant criticité sectorielle, taille économique et parfois nature intrinsèque du service rendu. (EUR-Lex)

Le projet français de transposition reprend cette architecture, tout en l’inscrivant dans une logique administrative nationale où l’ANSSI devient l’autorité de référence pour l’enregistrement, le contrôle et, le cas échéant, la sanction. Le rapport du Sénat présente les futurs articles structurants : définition des secteurs, définition des entités essentielles et importantes, enregistrement auprès de l’autorité nationale, mise en place des mesures de cybersécurité, opposabilité du référentiel ANSSI, notification des incidents et mécanismes de contrôle. Cette architecture montre que le droit français cherche moins à recopier mécaniquement NIS2 qu’à l’intégrer dans une police administrative spécialisée de la cybersécurité. (Sénat)

Le cœur matériel des obligations réside dans l’article 21 de NIS2. Les entités essentielles et importantes doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et systèmes d’information utilisés dans le cadre de leurs activités. La directive insiste sur une approche “tous risques” : il ne s’agit pas seulement de se prémunir contre le piratage classique, mais aussi contre les défaillances physiques, les erreurs humaines, les actes malveillants, les incidents de chaîne d’approvisionnement, les pannes électriques, les atteintes à l’intégrité des données ou les interruptions de service. (EUR-Lex)

Ces mesures couvrent en substance la politique d’analyse des risques, la gestion des incidents, la continuité d’activité, la sauvegarde, la reprise, la sécurité de la chaîne d’approvisionnement, la sécurité du développement et de la maintenance, la gestion des vulnérabilités, l’évaluation de l’efficacité des mesures, l’hygiène informatique, le chiffrement lorsque pertinent, la sécurité des ressources humaines, le contrôle d’accès et la formation. Le considérant 78 et les paragraphes de l’article 21 montrent clairement que la cybersécurité, au sens de NIS2, n’est pas un simple empilement d’outils défensifs : c’est une discipline de gouvernance du risque intégrée à l’ensemble du fonctionnement de l’entité. (EUR-Lex)

Le point crucial, souvent sous-estimé, est la gouvernance. L’article 20 de la directive prévoit que les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre et pouvoir être tenus responsables en cas de violation. Les membres de ces organes doivent en outre suivre une formation adéquate. Juridiquement, cela signifie que NIS2 fait sortir la cybersécurité du seul périmètre de la direction informatique : elle devient une question de direction générale, de contrôle interne et de responsabilité de gouvernance. (EUR-Lex)

Le projet français s’inscrit dans cette logique de responsabilisation, mais lui ajoute une dimension pratique : depuis le 17 mars 2026, l’ANSSI met à disposition le Référentiel Cyber France (ReCyF), présenté comme un document de travail listant les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. L’ANSSI précise que ce référentiel correspond à celui mentionné à l’article 14 du projet de loi Résilience et que, bien qu’il soit par défaut non obligatoire, les futurs assujettis qui choisissent de l’appliquer pourront s’en prévaloir lors d’un contrôle. Cette précision est essentielle : elle laisse entrevoir une technique juridique d’“opposabilité” du respect d’un référentiel, qui pourrait sécuriser les entités dans la démonstration de leur conformité. (cyber.gouv.fr)

Autrement dit, le droit français semble s’orienter vers un modèle intéressant : l’obligation légale reste formulée de manière générale — mesures appropriées et proportionnées — mais l’ANSSI fournit un référentiel susceptible de servir d’étalon probatoire. C’est une forme de normativité souple, mais puissante. Elle n’équivaut pas à une immunité automatique, mais elle peut constituer un argument de conformité lors d’un contrôle ou d’un contentieux. Cette lecture est une inférence juridique fondée sur les indications publiques de l’ANSSI sur l’article 14 du projet et sur la logique générale du futur article 15 relatif à l’opposabilité du référentiel. (cyber.gouv.fr)

L’autre pilier de NIS2 est l’obligation de notification des incidents. Lorsqu’une entité essentielle ou importante prend connaissance d’un incident important, elle doit, selon l’article 23, transmettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures, puis une notification d’incident dans les 72 heures, puis un rapport final au plus tard un mois après la notification, avec, si nécessaire, un rapport intermédiaire lorsque l’incident est toujours en cours. La directive prévoit également que l’alerte précoce indique, le cas échéant, si l’incident est soupçonné d’être lié à des actes illicites ou malveillants et s’il présente un impact transfrontière. (EUR-Lex)

Le droit français reprend cette logique à travers l’article 17 du projet de loi, que le rapport du Sénat présente comme l’obligation de notification à l’ANSSI des incidents importants, ainsi que, dans certaines hypothèses, l’information des destinataires des services et du public. Il faut mesurer la portée de cette évolution : l’incident cyber n’est plus seulement un problème technique interne ; il devient un fait juridiquement qualifié, susceptible d’activer une chaîne d’obligations déclaratives, de coopération avec l’autorité nationale, et potentiellement de communication externe. (Sénat)

S’agissant du champ d’application, la directive couvre les entités publiques ou privées d’un type visé par ses annexes I et II qui constituent des entreprises moyennes ou plus grandes, ainsi que certaines catégories d’acteurs quel que soit leur gabarit. Le rapport français relève que le texte transpose cette logique par une définition légale des secteurs “hautement critiques” et “critiques”, et la commission spéciale du Sénat a précisément estimé qu’il n’était pas acceptable de renvoyer entièrement cette liste au seul décret, tant cette question est structurante pour le champ d’assujettissement. Cela montre bien que, dans le débat français, la sécurité juridique du périmètre d’application est déjà un enjeu central. (EUR-Lex)

En pratique, une entité devra donc se poser quatre questions successives. Premièrement : appartient-elle à l’un des secteurs ou sous-secteurs couverts par NIS2 ? Deuxièmement : atteint-elle les seuils de taille requis, ou relève-t-elle d’une catégorie visée quelle que soit sa taille ? Troisièmement : doit-elle être qualifiée d’essentielle ou d’importante ? Quatrièmement : existe-t-il pour son secteur une réglementation spéciale équivalente venant jouer comme lex specialis ? Le rapport sénatorial rappelle à cet égard que, pour certaines entités financières, le règlement DORA est traité comme l’acte sectoriel spécial de référence, ce qui peut écarter ou réarticuler l’application de NIS2. (Sénat)

La question des sanctions est évidemment centrale. Au niveau européen, l’article 34 de NIS2 impose aux États membres de prévoir des amendes administratives effectives, proportionnées et dissuasives. Pour les violations des obligations prévues aux articles 21 et 23, les entités essentielles doivent être exposées à une amende maximale d’au moins 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Pour les entités importantes, le seuil est d’au moins 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total, là encore en retenant le montant le plus élevé. La directive autorise aussi les États membres à prévoir des astreintes. (EUR-Lex)

Il faut bien comprendre que ces montants ne signifient pas que toute violation donnera automatiquement lieu à une sanction maximale. La directive exige une appréciation contextualisée, tenant compte notamment des circonstances de l’espèce. Mais elle fixe un niveau plancher de sévérité pour les plafonds nationaux. Elle prévoit aussi que les amendes peuvent se cumuler avec d’autres mesures d’exécution : injonctions, ordres de mise en conformité, recommandations issues d’audits, obligation de rendre publique la violation, voire désignation d’un responsable du contrôle pour superviser la conformité. Pour les entités essentielles, lorsque les premières mesures demeurent inefficaces, la directive va jusqu’à permettre, dans certaines conditions prévues par le droit national, des mesures visant temporairement certaines fonctions dirigeantes. (EUR-Lex)

Sur le versant français, les sources publiques disponibles montrent déjà clairement l’orientation retenue : l’ANSSI sera dotée de larges pouvoirs de supervision, de contrôle et de sanction ; le projet de loi organise des contrôles, des sanctions administratives et, dans certains cas, des dispositions pénales. Le Conseil d’État, dans son avis sur le projet, souligne précisément que la directive NIS2 suppose la mise en place d’une ou plusieurs autorités nationales investies de larges pouvoirs de supervision, de contrôle et de sanction. Le rapport sénatorial insiste de son côté sur le changement de paradigme pour l’ANSSI, appelée à superviser un volume d’entités sans précédent. (Légifrance)

La distinction entre entités essentielles et importantes a ici une conséquence pratique importante : la directive soumet les premières à une supervision plus intensive, tandis que les secondes relèvent en principe d’une logique plus réactive, déclenchée par indices, plaintes, signaux ou manquements apparents. Ce point est fondamental pour comprendre la philosophie de NIS2 : toutes les entités régulées ne sont pas traitées de façon identique, non par faveur, mais par proportionnalité. La criticité systémique justifie une densité de contrôle plus élevée pour les entités essentielles. (EUR-Lex)

Il faut aussi souligner un point souvent négligé : la conformité NIS2 ne se réduit pas à la sécurité interne des systèmes. La directive insiste à plusieurs reprises sur la chaîne d’approvisionnement. Les entités doivent évaluer la qualité et la résilience de leurs fournisseurs et prestataires, intégrer des clauses pertinentes dans leurs contrats, et exercer une vigilance accrue à l’égard des prestataires de services gérés ou de sécurité gérée. Dans le contexte français, cela signifie que la conformité cyber a vocation à irriguer le droit des achats, le droit des contrats et la gouvernance des tiers. L’obligation devient donc systémique, et non purement informatique. (EUR-Lex)

D’un point de vue juridique plus large, NIS2 produit un effet de transformation profonde de la responsabilité. Le droit français de la cybersécurité, traditionnellement marqué par quelques régimes spécialisés et par l’intervention de l’ANSSI auprès des opérateurs les plus sensibles, se mue progressivement en un droit de compliance cyber. Le vocabulaire change : on parle moins seulement de “protection” que de gestion du risque, de démonstration de conformité, de traçabilité des mesures, de formation des dirigeants, de notification structurée et de référentiel opposable. La cybersécurité devient un objet de gouvernance au même titre que la conformité anticorruption, la protection des données ou la vigilance supply chain. Cette affirmation relève d’une interprétation juridique de l’évolution des textes, mais elle est solidement appuyée par l’architecture de NIS2 et du projet français. (EUR-Lex)

En définitive, la note de synthèse que l’on peut tirer à ce stade est la suivante. En droit français, NIS2 est déjà normativement lisible, même si sa transposition complète n’est pas encore définitivement achevée. Les entités essentielles seront soumises à des obligations fortes de gouvernance, de gestion des risques, de maîtrise de la chaîne d’approvisionnement et de notification des incidents ; les entités importantes supporteront un régime comparable dans ses principes, mais sous une intensité de supervision plus graduée. L’ANSSI est appelée à devenir l’acteur central de ce dispositif, avec un rôle non seulement répressif, mais aussi prescriptif et accompagnateur, notamment à travers le ReCyF. Quant aux sanctions, elles s’annoncent potentiellement très élevées, conformément aux planchers européens, ce qui confirme que la cybersécurité a quitté le registre de la simple recommandation technique pour entrer pleinement dans celui de l’obligation juridique opposable. (cyber.gouv.fr)