Alors que le futur cadre cyber européen entre dans sa phase finale de transcription en droit français, l’ANSSI, représentée par Vincent Strubel, a été entendue par la commission de travail de l’Assemblée nationale. L’objectif était de clarifier certains points clés et de préciser le calendrier de mise en conformité aux directives NIS2 et REC ainsi qu’au règlement DORA.
Planning, référentiel de conformité, investissement à prévoir, sous-traitance et ressources disponibles, voici une synthèse de l’état de la transposition en France.
Article mis à jour le 26/11/2025
Planning de la transposition NIS 2 en France
Après le vote du projet de loi par le Sénat au printemps, les députés ont auditionné de nombreuses parties prenantes du dossier dont notamment l’ANSSI. Le travail préparatoire touche à sa fin et les échanges aboutissent au planning suivant :
- Présentation et débats parlementaires prévus début 2026
- Promulgation attendue premier trimestre 2026
- Délai pour la mise en conformité : 3 ans après promulgation
Attention : L’ANSSI insiste : la menace est déjà présente, il faut agir dès maintenant. Dans tous les cas, un travail d’analyse de risque et de cartographie peut être initié sans attendre!
Référentiel de conformité NIS 2 en France
Le ReCyF , Référentiel Cyber France, est disponible dans une version 2.5 quasi définitive. Il s’articule autour de 20 objectifs de sécurité pour les entités essentielles et 15 pour les importantes. Visitez notre page dédiée pour le prendre en main !
En outre, l’ANSSI a évoqué la création d’un modèle européen de certification , une démarche que nous saluons et qui pourrait simplifier l’homogénéisation des transpositions NIS 2 et REC en Europe, notamment pour les entités présentes dans plusieurs pays.
Mise en conformité NIS 2 : quel investissement prévoir ?
L’ANSSI et la SGDSN (Secrétariat général de la défense et de la sûreté nationale) ont donné une fourchette d’investissement initial à prévoir pour lancer la mise en conformité (année 1), ainsi que du coût annuel de maintenance et de mise à jour:
- Entités Importantes : 100 à 200k € + 10% par an
- Entités essentielles : 450 à 880k € + 10% par an
Ces sommes sont à comparer au coût moyen d’une attaque. Selon l’étude de la Cour des comptes (juin 2025), il est en moyenne de 5 à 10% du chiffre d’affaires, sans distinction de taille ou de secteur d’activité.
Pré-enregistrement sur le Club SSI
Pour savoir si vous êtes dans le scope NIS 2, vous pouvez faire le test sur le site Mon Espace NIS 2. Le cas échéant, vous avez désormais la possibilité de faire de même sur le site du Club SSI, site officiel permettant d’accéder aux services numériques proposés par le CERT-FR.
Voici les informations qui devront être fournies :
- Adresse du siège social en France et, le cas échéant, numéro SIREN ;
- Secteur(s), sous-secteur(s) et type(s) d’entité au sens des annexes I et II de la directive NIS 2 ;
- Nombre d’employés, chiffre d’affaires et bilan financier ;
- États membres dans lesquels l’entité réalise ses activités (fabrique, fournit ses produits ou services) ;
- Coordonnées d’une personne de contact pour le traitement d’incidents de cybersécurité et éventuellement de rôles additionnels ;
- Raison sociale et adresses des établissements dans l’UE ;
- Adresses ou plages d’adresses IPv4 / IPv6 et, de manière facultative, les noms de domaines de plus haut niveau et numéros de systèmes autonomes (AS).
Une fois la loi publiée, cet enregistrement sera obligatoire afin de répondre aux obligations de communiquer certaines informations pour répondre aux articles 3 et 27 de la NIS 2.
Recommandations de l’ANSSI pour la sous-traitance
De nombreuses entreprises seront concernées au titre de la notion de responsabilité partagée. L’ANSSI recommande de débuter le travail d’analyse de risque au plus tôt (réalisation d’une cartographie) et d’intégrer des clauses relatives à la cybersécurité dans les nouveaux contrats.
Ressources et accompagnement NIS 2 en France
Vincent Strubel a détaillé les dispositifs d’accompagnement existants en France. Il les qualifie de pertinents et adéquats:
- GIP Acyma (cybermalveillance.gouv.fr) pour orienter vers des prestataires privés
- Dispositif 17Cyber de la Gendarmerie nationale
- CSIRT régionaux, points d’appui aux structures locales
- Solutions mutualisées proposées par les OPSN
- Audit possible via des prestataires qualifiés par l’ANSSI
Vous souhaitez évaluer votre niveau de sécurité en moins de 10 minutes ?
Découvrez notre Audit de sûreté en ligne (anonyme et gratuit)
Ne confondez pas sécurité et conformité
« Nous avons une équipe de France de la cyber, un collectif solide qui mixe privé, public et plus de 70 fédérations professionnelles. Les entités disposeront d’un délai de mise en conformité mais attention : la menace est déjà présente. » – Vincent Strubel – Directeur Général de l’ANSSI.
SPAC Alliance partage totalement cette mise en garde : la conformité doit être considérée comme une étape, un guide, mais en aucun cas comme une finalité. Il est nécessaire de lancer dès aujourd’hui les chantiers structurants en matière de sécurité :
- Initiez une analyse de risques (logique ET physique) en incluant vos sous-traitants
- Réalisez une cartographie de vos systèmes d’information et de contrôle des accès
- Évaluez votre gouvernance de sécurité en simulant une attaque réussie
De la qualité de ces travaux préliminaires dépendra la fluidité de votre mise en conformité.
Notre meilleur conseil est de vous appuyer sur l’expertise de nos membres pour poser les bases d’une sécurité pérenne avec des partenaires et technologies de confiance.
N’hésitez pas à demander des informations sur les services à votre disposition dans notre shop !
