Le rôle de l'ANSSI dans l'application de la directive NIS2 en France
L'ANSSI est désignée comme l'autorite nationale unique pour la mise en oeuvre de NIS2 en France. Elle assure la supervision des entités concernees, reçoit les notifications d'incidents et dispose de pouvoirs de contrôle et de sanction.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
L'ANSSI, autorite competente unique
Cree en 2009, l'Agence nationale de la sécurité des systèmes d'information est rattachee au Secretariat général de la défense et de la sécurité nationale (SGDSN). Elle est, depuis NIS1, l'autorite competente pour les opérateurs de services essentiels (OSE) en France. La transposition de NIS2 confirme et etend ce rôle.
La France a fait le choix d'une autorite unique (a la difference d'autres États membres qui ont reparti les missions entre plusieurs agences sectorielles). Ce choix garantit une coherence d'application et evite les conflits de compétence entre regulateurs.
Les missions de l'ANSSI sous NIS2
1. Identification et enregistrement des entités
L'ANSSI tient un registre national des entités essentielles et importantes. Les entités concernees doivent s'enregistrer en fournissant leurs coordonnees, secteurs d'activité, États membres ou elles operent et adresses IP publiques. L'ANSSI peut egalement désignér d'office une entité si elle considere qu'elle rélevé du périmètre.
2. Supervision et contrôle
L'ANSSI dispose de pouvoirs de contrôle gradues selon le statut de l'entité :
- Entités essentielles : supervision ex ante, contrôles programmes, audits sur site, demandes de documentation, évaluations de la posture cyber.
- Entités importantes : supervision ex post, declenchee à la suite d'un incident ou d'un signalement.
L'agence peut mandater des prestataires qualifies (PASSI, prestataires d'audit en sécurité des systèmes d'information) pour réaliser ces contrôles.
3. Reception et traitement des notifications d'incidents
Le CERT-FR, division de l'ANSSI, joue le rôle de CSIRT national. Il reçoit les notifications d'incidents sous 24h, 72h et 1 mois selon le schema impose par l'article 23 de NIS2. Il coordonne la réponse, partage les indicateurs de compromission et alerte les autres opérateurs susceptibles d'etre touches.
4. Pouvoirs d'injonction et de sanction
L'ANSSI peut adresser des injonctions de mise en conformité à une entité defaillante, lui imposer un calendrier d'execution, et en cas de non-respect prononcer des amendes administratives pouvant atteindre 10 millions d'euros ou 2 pourcent du chiffre d'affaires mondial. Elle peut egalement, sur decision motivee, suspendre des certifications ou écarter temporairement un dirigeant. Le bareme complet est détaillé sur notre page sanctions NIS2.
5. Coopération europeenne
L'ANSSI représente la France au sein du groupe de coopération NIS et du réseau CSIRTs europeen. Elle echange avec ses homologues sur les menaces transfrontalieres, contribue aux exercices europeens, et peut recevoir l'aide d'autres autorites en cas d'incident majeur.
6. Production de guides et d'outils
L'ANSSI publié régulièrement des guides, référentiels et outils a destination des entités NIS2. Parmi les ressources phares : le guide d'hygiene informatique, le référentiel de la PSSI, les guides sectoriels, l'outil MonAideCyber pour les TPE-PME. Ces ressources sont gratuites et constituent un point de depart precieux pour batir une feuille de route de mise en conformité.
Comment se préparer à un contrôle de l'ANSSI ?
Un contrôle ANSSI peut être programme ou inopine. Pour s'y préparer, l'entité doit :
- Maintenir à jour la documentation de sa politique de sécurité, de son analyse des risques et de ses procédures.
- Tenir un registre des incidents et de leur traitement.
- Disposer d'indicateurs de mesure de l'efficacite des mesures (KPI cyber).
- Identifier un interlocuteur unique au sein de l'organisation pour repondre aux demandes de l'ANSSI.
- Réaliser des audits internes ou externes reguliers pour identifier les écarts avant qu'ils ne soient rélevés par l'autorite.
Anticiper plutot que subir
L'ANSSI a indique a plusieurs reprises qu'elle privilegierait dans un premier temps une démarche d'accompagnement plutot que de sanction. Mais cette période de tolerance ne durera pas indéfiniment. Les entités qui anticipent leur mise en conformité beneficient d'un dialogue plus serein avec l'autorite. Pour engager la démarche, consultez notre guide de mise en conformité NIS2 et notre guide complet.