Loi Résilience : ou en est la transposition NIS2 en France en 2026 ?
La France accumule le retard. Adoptee en première lecture au Senat le 12 mars 2025, la loi Résilience ne sera examinee en hemicycle qu'en juillet 2026. Entre-temps, l'ANSSI a publié le ReCyF et ouvert MonEspaceNIS2. État des lieux complet.
- Senat : adoptee le 12 mars 2025
- Assemblee : commission speciale le 10 septembre 2025, hemicycle reporte a juillet 2026
- ReCyF publié le 17 mars 2026 (référence de facto)
- 19 procédures d'infraction engagees par la Commission en novembre 2024
Le calendrier legislatif
Le projet de loi relatif à la résilience des infrastructures critiques (PRMD2412608L) transpose simultanement trois textes europeens : la directive NIS2, la directive REC sur la résilience des entités critiques, et le reglement DORA pour le secteur financier. Le Senat a adopte le texte en première lecture le 12 mars 2025. La commission speciale de l'Assemblee nationale a vote une nouvelle version le 10 septembre 2025.
L'examen en hemicycle, initialement prévu debut 2026, a ete repousse a juillet 2026 selon le depute Philippe Latombe et la Banque des Territoires.
Le blocage de l'article 16bis
Le retard est en partie du a l'article 16bis, introduit par le Senat, qui interdit les backdoors dans le chiffrement de bout en bout. La DGSI s'y oppose fermement, arguant que cette disposition empeche l'accès aux communications chiffrees dans le cadre d'enquetes judiciaires et de renseignement. Ce bras de fer politique entre sécurité nationale et cybersécurité retarde l'ensemble du calendrier.
Ce que l'ANSSI a fait sans attendre la loi
Sans attendre la promulgation, l'ANSSI a pris les devants avec deux initiatives majeures :
- ReCyF (17 mars 2026) : le Référentiel Cyber France structure les mesures de sécurité en 4 piliers (Gouvernance, Protection, Défense, Résilience). Non juridiquement obligatoire mais référence de facto.
- MonEspaceNIS2 : plateforme de pre-enregistrement des entités avec simulateur d'éligibilité. Accèssible sur monespace.cyber.gouv.fr.
Consequences pour les entités concernees
Le retard de transposition n'exempte pas les entités de se préparer. Les raisons d'agir maintenant :
- La mise en conformité prend 12 a 24 mois.
- Le ReCyF fait déjà office de référence pour les contrôles.
- Les assureurs cyber commencent a intégrér NIS2 dans leurs exigences.
- Les donneurs d'ordre imposent des clauses NIS2 a leurs sous-traitants.
Consultez notre guide de mise en conformité pour demarrer. Voir aussi le calendrier complet et les obligations de l'article 21.
Sources
- Senat, compte-rendu du 12 mars 2025
- Banque des Territoires, interview P. Latombe, 2026
- Commission europeenne, procédures d'infraction, novembre 2024
- ANSSI, ReCyF, 17 mars 2026
Dernière mise à jour :