NIS2 : vingt mois de retard et un marché cyber à l’arrêt

La France n’a toujours pas transposé la directive NIS2, dont l’échéance européenne était fixée au 17 octobre 2024. Le projet de loi « Résilience » ne figure pas à l’ordre du jour de la session parlementaire extraordinaire de juillet 2026. Pour les entreprises, ce vide juridique a des effets directs et concrets : budgets gelés, appels d’offres en suspens, feuilles de route impossibles à boucler. Le CESIN tire la sonnette d’alarme.

Le texte a été adopté en première lecture au Sénat dès le 15 octobre 2024, deux jours avant la date-butoir fixée par Bruxelles. Depuis, il tourne en rond. Au 2 juin 2026, la loi est toujours en navette parlementaire, adoptée au Sénat, en attente d’examen à l’Assemblée nationale. Et le projet de loi ne figurait toujours pas à l’agenda de la session extraordinaire ouverte le 1er juillet 2026. Le blocage tient pour partie à un désaccord institutionnel. En effet, l’article 16 bis du texte interdit l’imposition de backdoors dans les services de chiffrement, une disposition qui déplairait à la DGSI. Conséquence directe de cet enlisement, la Commission européenne s’apprête à saisir la Cour de justice de l’Union européenne contre la France pour non-transposition.

Des décisions d’investissement bloquées en cascade

Et l’enjeu dépasse le seul calendrier juridique. Car NIS2 devait faire passer le nombre d’entités régulées en France de 500 sous NIS1 à 10 000 à 15 000 entreprises, réparties sur 18 secteurs, de l’énergie aux services postaux en passant par la gestion des déchets. Pour toutes ces organisations, l’absence de cadre finalisé crée une réelle paralysie. Sans connaître le périmètre exact des obligations, les seuils et les sanctions, les directions cybersécurité ne peuvent ni arbitrer leurs budgets ni rédiger leurs cahiers des charges. Le CESIN, qui regroupe les RSSI des grandes entreprises françaises, confirme que le problème concerne aussi bien les entités historiquement régulées, qui voient leur périmètre s’élargir, que celles nouvellement concernées, qui entrent pour la première fois dans le champ de la réglementation cyber et doivent anticiper des exigences encore non définitivement arrêtées. La chaîne de sous-traitance est logée à la même enseigne. Les exigences de la directive ont vocation à se diffuser aux fournisseurs et prestataires, dont le positionnement dépend lui aussi d’une visibilité qu’ils n’ont pas encore.

Un écart compétitif qui se creuse avec le reste de l’Europe

L’incertitude française contraste avec la progression du reste du continent. Plusieurs États membres ont déjà transposé NIS2 et structurent leur marché cyber en conséquence. Les chantiers de mise en conformité prennent typiquement quatre à huit mois pour une organisation qui part d’un niveau de maturité cyber moyen. Chaque trimestre perdu se traduit donc par un retard équivalent sur l’exécution. Et le risque de décrochage est réel. Des entreprises françaises opérant à l’échelle européenne s’alignent déjà sur les cadres des pays les plus avancés, contournant de fait l’attente hexagonale.

Pour le marché de la sécurité, la tension monte sur les ressources. Les équipes expérimentées en audit et conformité sont en forte demande dès le premier semestre 2026. L’ANSSI a tenté de combler partiellement le vide en publiant en mars 2026 le référentiel ReCyF, qui liste les mesures recommandées pour atteindre les objectifs de NIS2, mais aucune version définitive ne sera publiée tant que les travaux législatifs et réglementaires n’auront pas abouti.

Le CESIN résume assez bien la situation : les entreprises sont prêtes à agir. Nombre d’entre elles n’attendent pas la loi pour avancer sur leurs fondamentaux. Ce qu’elles attendent, c’est la visibilité suffisante pour exécuter leurs plans à l’échelle. Cette visibilité dépend d’un seul acteur, à savoir le Parlement.

Sur le même sujet