La directive NIS2 (UE) 2022/2555 imposait aux États membres de transposer le texte avant le 17 octobre 2024. La France n’a pas respecté ce délai : la loi Résilience, qui constitue la transposition nationale, est en cours d’examen parlementaire avec un vote en hémicycle prévu pour juillet 2026. En parallèle, l’ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui décline NIS2 en 4 piliers opérationnels. Les entités concernées - environ 15 000 en France - peuvent d’ores et déjà s’appuyer sur ce référentiel pour structurer leur conformité sans attendre la loi définitive.
La France en retard : ce que ça signifie vraiment
Le 17 octobre 2024 est passé. La France n’a pas adopté la loi Résilience à cette date. Formellement, elle est en infraction vis-à-vis de ses obligations européennes, et la Commission peut engager une procédure. C’est inconfortable diplomatiquement - mais ça ne signifie pas que les entreprises françaises sont hors du champ d’application de NIS2.
La directive NIS2 produit des effets directs en droit européen dès son entrée en vigueur. Les entités opérant dans les 18 secteurs critiques sont dans le viseur des autorités de supervision nationales, même en l’absence de loi de transposition formellement adoptée. La question n’est pas "dois-je attendre la loi ?", c’est "combien de temps puis-je encore différer sans risque ?"
Plusieurs États membres de l’UE sont dans la même situation de retard. Mais les contrôleurs nationaux - l’ANSSI en France - ont commencé à cartographier les entités concernées via MonEspaceNIS2. Le pré-enregistrement est ouvert. Votre secteur et votre taille vous désignent déjà comme entité soumise, loi ou pas.
La France n’est pas seule : à fin 2024, moins d’un tiers des États membres avaient transposé NIS2 dans les délais. La Commission surveille, mais la priorité reste l’effectivité des mesures de sécurité, pas la date du journal officiel.
Le ReCyF : le référentiel qui anticipe la loi
L’ANSSI n’a pas attendu la loi pour agir. Le 17 mars 2026, elle a publié le Référentiel Cyber France, dit ReCyF - un document technique structurant qui traduit les exigences de la directive NIS2 en mesures concrètes adaptées au contexte français.
Le ReCyF est organisé autour de 4 piliers :
- Gouvernance - responsabilité des dirigeants, politique de sécurité, gestion des risques cyber ;
- Protection - mesures techniques minimales, gestion des accès, sécurité des systèmes ;
- Défense - détection des incidents, réponse, notification aux autorités ;
- Résilience - continuité d’activité, plans de reprise, gestion des crises.
Ces 4 piliers correspondent exactement aux 10 mesures de l’article 21 de NIS2. Le ReCyF est, en pratique, la feuille de route que les entités françaises doivent suivre - et que la loi Résilience formalisera ensuite dans le code national de la cybersécurité.
Le Référentiel Cyber France (ReCyF), publié par l’ANSSI le 17 mars 2026, constitue la déclinaison opérationnelle de la directive NIS2 pour les entités françaises. Il s’articule autour de 4 piliers - Gouvernance, Protection, Défense, Résilience - correspondant aux 10 mesures de l’article 21 de la directive (UE) 2022/2555.
En pratique : les RSSI qui structurent leur programme de conformité autour du ReCyF aujourd’hui construisent exactement ce que la loi Résilience leur demandera demain. Pas de double travail. Pour une analyse détaillée du ReCyF, consultez notre page dédiée au ReCyF ANSSI.
Ce que contient la loi Résilience
La loi Résilience est le projet de loi français qui transpose NIS2 et la directive CER (résilience des entités critiques) en même temps. Elle introduit dans le droit français :
- la définition des entités essentielles (EE) et entités importantes (EI) selon les critères de taille et de secteur de NIS2 ;
- les obligations de gouvernance cyber (formation des dirigeants, politique de sécurité) ;
- les obligations de gestion des risques et de notification des incidents ;
- le régime de contrôle et de sanctions adapté au droit français ;
- le rôle de supervision de l’ANSSI comme autorité compétente nationale.
Un point important que beaucoup d’analyses manquent : la loi Résilience ne se contente pas de copier-coller NIS2. Elle l’adapte. Par exemple, elle précise le statut des collectivités territoriales françaises - un point que la directive laissait à l’appréciation des États membres. Pour mieux comprendre le socle européen, lire notre guide complet de la directive NIS2.
| Volet | Ce que dit NIS2 | Ce que précise la loi Résilience |
|---|---|---|
| Périmètre | 18 secteurs, taille moyenne ou grande | Précise les seuils applicables en droit français |
| Gouvernance | Dirigeants responsables, formation obligatoire | Définit les modalités de mise en oeuvre |
| Supervision | Autorité compétente à désigner | Désigne l’ANSSI comme autorité nationale |
| Collectivités | Renvoi aux États membres | Inclut explicitement les collectivités françaises |
| Sanctions | Jusqu’à 10 M€ ou 2 % CA (EE), 7 M€ ou 1,4 % CA (EI) | Intégration dans le code pénal / administratif français |
Calendrier : où en est vraiment la France
On nous demande souvent "mais quand est-ce que c’est applicable en France ?" La réponse courte : maintenant, via le ReCyF et la portée directe de NIS2. La réponse longue :
| Date | Étape | Statut |
|---|---|---|
| 14 décembre 2022 | Adoption de la directive NIS2 par le Parlement européen | Accompli |
| 17 octobre 2024 | Échéance de transposition nationale | France en retard - procédure d’infraction possible |
| 17 mars 2026 | Publication du ReCyF par l’ANSSI | Accompli - référentiel opérationnel disponible |
| Printemps 2026 | Ouverture de MonEspaceNIS2 au pré-enregistrement | Accompli - entités peuvent s’enregistrer |
| Juillet 2026 | Examen de la loi Résilience en hémicycle | Prévu - selon calendrier législatif |
| 2026-2027 | Décrets d’application et mise en oeuvre | À venir après adoption de la loi |
Ce calendrier est à suivre de près. Pour toutes les dates importantes, consultez notre page calendrier NIS2 mise à jour régulièrement.
Quelles entités sont concernées en France
L’ANSSI estime entre 10 000 et 15 000 le nombre d’entités françaises soumises à NIS2 - contre environ 500 sous l’ancien régime NIS1. C’est une multiplication par 20 à 30 du périmètre. La loi Résilience reprend les critères européens de classification.
Entités essentielles (EE)
Grandes entreprises (plus de 250 salariés ou chiffre d’affaires supérieur à 50 millions d’euros) opérant dans les secteurs de l’Annexe I de NIS2 : énergie, transports, banques, marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion de services TIC, administration publique, espace. Les sanctions encourues vont jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
Entités importantes (EI)
Entreprises moyennes (plus de 50 salariés ou chiffre d’affaires supérieur à 10 millions d’euros) dans les secteurs de l’Annexe I, ou entreprises - quelle que soit leur taille - dans les secteurs de l’Annexe II : services postaux, gestion des déchets, chimie, alimentation, fabrication industrielle, fournisseurs numériques, recherche. Pour elles : jusqu’à 7 millions d’euros ou 1,4 % du CA mondial.
Une PME sous-traitante d’une entité essentielle peut être considérée comme entité importante même sans dépasser les seuils de taille. Si votre client direct est soumis à NIS2, son obligation de gérer la chaîne d’approvisionnement (article 21.2.d de NIS2) se reporte sur vous. C’est souvent le point le plus mal compris des directions achats.
Les obligations clés en droit français
La loi Résilience reprend les obligations de l’article 21 de NIS2, traduits dans le ReCyF en mesures opérationnelles. En synthèse, les entités françaises devront :
- Gouvernance - faire valider par le CODIR la politique de cybersécurité, assurer la formation des dirigeants, désigner un responsable de la sécurité des systèmes d’information ;
- Gestion des risques - conduire une analyse de risques documentée, la renouveler au moins annuellement ;
- Sécurité des accès - mettre en place l’authentification multifacteur (MFA) sur tous les accès sensibles ;
- Chaîne d’approvisionnement - évaluer et contractualiser les exigences cyber auprès des fournisseurs critiques ;
- Notification des incidents - alerter l’ANSSI dans les 24h, notifier dans les 72h, rapport final sous 1 mois ;
- Continuité d’activité - disposer d’un PCA/PRA testé et documenté ;
- Chiffrement - protéger les données en transit et au repos par chiffrement adapté.
Pour le détail de chacune des 10 mesures, notre page obligations NIS2 analyse l’article 21 mesure par mesure.
Diagnostic conformité
Ù en est votre organisation vis-à-vis du ReCyF ?
Évaluation de votre niveau de maturité sur les 4 piliers, identification des écarts prioritaires, plan d’action personnalisé.
Demander un diagnostic gratuitLes sanctions prévues : alignées sur NIS2
La loi Résilience reprendra le barème de sanctions de NIS2, en l’intégrant dans le droit administratif français. C’est sur ce point que le parallèle avec le RGPD est le plus frappant - et le plus utile pour anticiper la réaction des organisations.
Pour les entités essentielles : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Pour les entités importantes : jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel.
Mais le point que personne ne mentionne assez : la loi Résilience maintient la responsabilité personnelle des dirigeants. L’ANSSI peut demander la suspension temporaire d’un dirigeant d’entité essentielle s’il fait obstruction aux mesures de contrôle ou si un manquement grave lui est directement imputable. Ce n’est pas une menace théorique : c’est une disposition qui a déjà fait évoluer les pratiques de gouvernance cyber dans les entreprises proactives.
Pour un panorama complet du régime de sanctions, voir notre page dédiée aux sanctions NIS2.
Pourquoi anticiper sans attendre la loi définitive
La tentation est réelle : attendre que la loi soit votée, les décrets publiés, les obligations précisément calibrées. C’est humain. Et c’est une erreur stratégique.
Voici ce qu’on observe sur le terrain : les organisations qui ont commencé leur démarche en 2024-2025 arrivent aujourd’hui avec une analyse de risques documentée, un premier gap analysis réalisé, et les mesures prioritaires (MFA, PCA, gestion des identités) déjà déployées. Elles sont à 60-70 % de conformité avant même que la loi soit votée. Les autres partent de zéro en 2026, avec 12 à 18 mois pour rattraper.
Le ReCyF de l’ANSSI donne exactement ce qu’il faut pour commencer : un référentiel structuré, les mesures hiérarchisées par pilier, les critères d’évaluation. Pour savoir où vous en êtes, notre outil d’auto-diagnostic NIS2 permet une première évaluation en 15 minutes. Et pour entrer dans la démarche complète, la page mise en conformité détaille le parcours d’accompagnement.
L’ANSSI encourage les entités à s’enregistrer sur MonEspaceNIS2 dès maintenant et à initier leur démarche de conformité sur la base du ReCyF, sans attendre la promulgation de la loi Résilience. Celles qui anticipent bénéficieront de délais de mise en oeuvre plus souples et d’un dialogue constructif avec l’autorité de supervision.
Questions fréquentes sur la loi Résilience
Qu’est-ce que la loi Résilience en France ?
La loi Résilience est le texte législatif français qui transpose la directive européenne NIS2 (UE) 2022/2555 en droit national. Elle est en cours d’examen au Parlement en 2026 et redéfinit les obligations de cybersécurité pour les entités essentielles et importantes opérant en France.
Quand la loi Résilience sera-t-elle adoptée en France ?
L’examen en hémicycle est prévu pour juillet 2026. La France accuse un retard sur l’échéance de transposition du 17 octobre 2024, mais dispose du ReCyF publié par l’ANSSI le 17 mars 2026 comme référentiel opérationnel.
La France est-elle en retard sur la transposition de NIS2 ?
Oui. La directive NIS2 fixait au 17 octobre 2024 l’échéance de transposition nationale. La France n’avait pas encore adopté la loi Résilience à cette date. La Commission européenne peut engager une procédure d’infraction contre les États membres en retard.
Qu’est-ce que le ReCyF de l’ANSSI ?
Le ReCyF, ou Référentiel Cyber France, est le référentiel technique publié par l’ANSSI le 17 mars 2026. Il décline les exigences de NIS2 en mesures concrètes autour de 4 piliers : Gouvernance, Protection, Défense, Résilience.
Dois-je attendre la loi Résilience pour me mettre en conformité avec NIS2 ?
Non. Le ReCyF de l’ANSSI fournit dès maintenant le référentiel opérationnel. Les entreprises qui anticipent bénéficient de délais de mise en oeuvre plus confortables. Attendre la loi finale revient à perdre 12 à 18 mois utiles.