Pourquoi une loi unique pour 3 textes UE ?
Trois directives européennes adoptées entre 2022 et 2023 imposent à la France des obligations distinctes mais profondément liées : la directive (UE) 2022/2555 dite NIS2 sur la cybersécurité d’un haut niveau commun, le règlement (UE) 2022/2554 dit DORA sur la résilience opérationnelle numérique du secteur financier, et la directive (UE) 2022/2557 dite REC sur la résilience des entités critiques [1]. Plutôt que d’éparpiller la transposition dans plusieurs véhicules législatifs, le Gouvernement a fait le choix d’un texte unique, le projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier, ci-après projet de loi Résilience.
Cette consolidation poursuit trois objectifs explicites énoncés dans l’exposé des motifs. D’abord, garantir la cohérence des obligations imposées à un même acteur, lorsqu’il relève à la fois de NIS2 et de DORA (cas typique d’un assureur ou d’une banque). Ensuite, éviter la fragmentation des autorités compétentes en confiant à l’ANSSI un rôle central tout en préservant les compétences sectorielles de l’ACPR et de l’AMF [2]. Enfin, simplifier la lecture des obligations pour les entités concernées, en réunissant dans un seul code les régimes de signalement d’incidents, les mesures techniques minimales et les sanctions.
Le pari n’est pas neutre. Trois textes européens portent chacun leur propre logique : NIS2 vise la cybersécurité au sens large, DORA cible spécifiquement la résilience opérationnelle financière y compris hors cyber, REC traite la résilience physique et organisationnelle de secteurs critiques. La loi française doit donc articuler ces logiques sans dénaturer l’esprit de chacune.
Périmètre et entités concernées
NIS2 introduit une distinction structurante entre deux catégories d’entités. Les entités essentielles correspondent aux acteurs dont la défaillance entraînerait un impact systémique : grandes banques, hôpitaux de référence, opérateurs de réseaux d’énergie, opérateurs télécom de premier plan, administrations centrales de l’État. Les entités importantes désignent un cercle plus large d’organisations dont la défaillance aurait un impact significatif mais non systémique : ETI industrielles, prestataires de services numériques de taille intermédiaire, certains éditeurs de logiciels critiques.
L’estimation publiée par l’ANSSI dans ses documents préparatoires fait état d’environ quinze mille entités assujetties au régime NIS2 en France, contre environ trois cents OIV au titre de la loi de programmation militaire [3]. Le facteur d’élargissement, supérieur à quarante, illustre le saut quantitatif que représente la nouvelle directive pour les autorités de supervision comme pour les entités elles-mêmes.
Les dix-huit secteurs couverts par l’annexe I et l’annexe II de NIS2 incluent l’énergie, les transports, la banque, les infrastructures de marché financier, la santé, l’eau potable, les eaux usées, l’infrastructure numérique, les fournisseurs de services numériques, l’administration publique, l’espace, les services postaux, la gestion des déchets, la fabrication, la production et la distribution de produits chimiques, la production de denrées alimentaires, la recherche, et les fournisseurs de services TIC.
L’intersection avec DORA concerne principalement les établissements financiers (banques, assurances, gestionnaires d’actifs, prestataires de services de paiement, plateformes de négociation). Pour ces entités, le projet de loi prévoit une articulation : DORA s’applique à titre principal pour la résilience opérationnelle numérique, NIS2 restant applicable pour les aspects non couverts par DORA [4]. L’objectif déclaré est d’éviter la double notification d’un même incident et la double sanction.
L’intersection avec la directive REC concerne quant à elle les opérateurs déjà désignés comme OIV au titre de la LPM. Le projet de loi propose un mécanisme de présomption : l’OIV au sens national est considéré comme entité critique au sens REC, sous réserve de notifications complémentaires éventuelles vers la Commission européenne.
Calendrier législatif français
Le projet de loi a suivi un cheminement parlementaire dense depuis sa présentation en Conseil des ministres en octobre 2024. Examiné en première lecture au Sénat à partir de février 2025, il a été adopté par la chambre haute le 12 mars 2025 avec des amendements portant notamment sur le champ d’application aux collectivités territoriales et sur le régime de signalement à 24 heures puis 72 heures [5].
L’Assemblée nationale a créé une commission spéciale dédiée, qui a commencé ses travaux à la rentrée parlementaire de septembre 2025. Les auditions menées par cette commission ont porté sur les retours d’expérience NIS1, sur la doctrine ANSSI de gradation des obligations, et sur l’impact économique pour les ETI [6]. Le rapport de la commission spéciale a été déposé au cours du premier trimestre 2026.
Le vote en hémicycle de l’Assemblée est attendu autour du mois de juillet 2026. Une commission mixte paritaire devra ensuite, le cas échéant, trancher les divergences entre les deux chambres. La promulgation pourrait intervenir au cours du second semestre 2026, suivie d’une série de décrets d’application portant notamment sur la liste précise des entités assujetties et sur le calendrier de mise en conformité progressive.
Articulation avec les textes UE
La transposition de NIS2 par la loi Résilience ne modifie pas le contenu de la directive ; elle l’intègre au droit français en précisant les autorités compétentes et les modalités opérationnelles. Le détail des obligations techniques (gestion des risques, chaîne d’approvisionnement, formation des dirigeants, hygiène cyber) demeure tel qu’énoncé par le texte européen et déjà analysé dans notre guide pratique NIS2 entreprise 2026.
DORA, en tant que règlement européen, est d’application directe depuis le 17 janvier 2025. Le projet de loi Résilience n’a donc pas vocation à transposer DORA stricto sensu, mais à désigner les autorités nationales compétentes (ACPR et AMF) et à articuler le régime de signalement DORA avec celui de NIS2. Notre analyse du règlement DORA détaille les obligations directement applicables aux entités financières.
La directive REC, plus discrète médiatiquement, structure les exigences de résilience non strictement cyber : continuité physique, redondance énergétique, protection du personnel critique. Elle se superpose au régime français des OIV et impose un cadre minimal harmonisé à l’échelle de l’Union.
Rôle de l’ANSSI
L’Agence nationale de la sécurité des systèmes d’information est désignée comme autorité compétente NIS2 pour la France [7]. À ce titre, elle assure la supervision des entités essentielles, conduit les audits, instruit les notifications d’incidents et propose les sanctions au ministre chargé du numérique. Elle conserve par ailleurs ses missions historiques liées aux OIV et à la qualification de produits de sécurité.
L’articulation avec le Référentiel cybersécurité fondamental (ReCyF), publié par l’ANSSI le 17 mars 2026, est centrale. Le ReCyF constitue le socle opérationnel sur lequel s’appuieront les contrôles de conformité NIS2, en particulier sur les exigences de détection et de réponse 24/7. Nous analysons en détail ce référentiel dans notre article ReCyF ANSSI : le référentiel cybersécurité publié en mars 2026.
Pour les entités relevant simultanément de NIS2 et de DORA, l’ANSSI travaille en coordination avec l’ACPR et l’AMF via un protocole de coopération signé courant 2025. Ce protocole vise notamment à mettre en place un guichet unique de signalement d’incident pour éviter la duplication des démarches déclaratives.
Sanctions et responsabilité
Le régime de sanctions transposé reprend l’architecture NIS2. Pour les entités essentielles, le plafond est fixé à dix millions d’euros ou 2 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est de sept millions d’euros ou 1,4 % du chiffre d’affaires mondial annuel [8].
Ces sanctions financières sont assorties d’une mesure inédite en droit français de la cybersécurité : la possibilité d’une interdiction temporaire d’exercer des fonctions dirigeantes, prononcée par l’autorité compétente, pour les dirigeants d’entités essentielles ayant manqué de manière caractérisée à leurs obligations. Cette mesure, prévue par l’article 32 §6 de NIS2, marque un basculement vers une responsabilité personnelle des dirigeants en matière de cybersécurité [9].
Le projet de loi prévoit également des sanctions intermédiaires : injonctions de mise en conformité, audits imposés à la charge de l’entité, désignation d’un responsable cyber ad hoc. Ces mesures graduées permettent à l’ANSSI de calibrer la réponse en fonction de la gravité du manquement et de la coopération de l’entité.
Ce qui doit être anticipé en 2026
Au-delà de la lecture du texte, six actions concrètes doivent être engagées sans attendre la promulgation par les DSI et RSSI concernés.
1. Confirmer le statut de l’entité. Une analyse juridique et opérationnelle doit déterminer si l’organisation relève des entités essentielles, des entités importantes, ou si elle est hors périmètre. Le seuil de cinquante salariés et dix millions d’euros de chiffre d’affaires reste un repère utile, mais des exceptions sectorielles existent.
2. Cartographier les obligations applicables. Pour une entité relevant à la fois de NIS2 et de DORA, il convient d’établir une matrice des obligations en distinguant les exigences identiques, complémentaires et potentiellement contradictoires. L’objectif est d’éviter les doublons de contrôle interne.
3. Adapter la gouvernance cyber. Le projet de loi exige la formation des dirigeants et une approbation formelle par le conseil d’administration ou l’organe équivalent du plan de gestion des risques cyber. Cette exigence dépasse la simple information : elle impose une responsabilité active.
4. Préparer la capacité de détection-réponse 24/7. Le ReCyF impose une couverture continue, qu’elle soit assurée en interne, externalisée ou hybride. Notre comparatif EDR vs MDR vs XDR détaille les options techniques disponibles.
5. Mettre à jour la procédure de notification d’incident. Le délai d’alerte précoce à 24 heures et la notification complète à 72 heures imposent des processus opérationnels rodés, avec des modèles préétablis et une chaîne de validation rapide.
6. Auditer la chaîne d’approvisionnement. NIS2 impose la prise en compte des risques liés aux fournisseurs critiques et aux prestataires de services TIC. Une revue contractuelle est nécessaire, en particulier pour les contrats infogérance, cloud et SaaS.
L’anticipation est d’autant plus importante que les premiers contrôles de l’ANSSI sur les entités essentielles sont attendus dès la fin 2026, sans attendre la pleine maturité des entités importantes.
Un point de vigilance complémentaire concerne les collectivités territoriales. Les amendements adoptés au Sénat ont précisé l’inclusion des régions, départements et communes au-delà d’un seuil démographique, ainsi que les groupements de communes et les établissements publics de coopération intercommunale exerçant des compétences sensibles (eau, déchets, transports urbains). Les services informatiques mutualisés et les opérateurs publics locaux (syndicats mixtes, sociétés publiques locales) sont également concernés lorsqu’ils gèrent des systèmes d’information critiques pour la continuité du service public.
Pour les groupes internationaux présents en France, la transposition NIS2 dans chaque État membre impose une cartographie des obligations par filiale. La règle générale veut que la filiale française soit soumise au droit français de la transposition, mais des règles spécifiques s’appliquent aux fournisseurs de services numériques transfrontaliers, pour lesquels l’État membre d’établissement principal est compétent. Cette articulation appelle une revue juridique dédiée, en lien avec la fonction conformité du groupe.
Enfin, la coordination avec les prestataires d’externalisation doit faire l’objet d’une attention particulière. Les contrats d’infogérance, de cloud, de services managés et d’éditeurs logiciels doivent être revus à la lumière des exigences NIS2 sur la chaîne d’approvisionnement. Les clauses minimales attendues comprennent : la transparence sur les sous-traitants critiques, l’obligation de notification d’incident dans des délais compatibles avec les 24 et 72 heures NIS2, le droit d’audit, et la coopération en cas d’enquête de l’ANSSI. Une approche par criticité est recommandée : tous les prestataires ne nécessitent pas le même niveau d’exigence contractuelle.
Références
[1] Commission européenne, Directive (UE) 2022/2555 (NIS2), Directive (UE) 2022/2557 (REC), Règlement (UE) 2022/2554 (DORA), publiés au JOUE en décembre 2022. [2] ANSSI, dossier de presse projet de loi Résilience, 2024-2025. [3] ANSSI, communications publiques sur le périmètre NIS2 en France. [4] EUR-Lex, articles 1 et 4 de DORA sur l’articulation avec NIS2. [5] Sénat, dossier législatif, première lecture mars 2025. [6] Assemblée nationale, commission spéciale loi Résilience. [7] Article L. 1332-1 et suivants du code de la défense, modifiés. [8] Article 34 de NIS2 sur les sanctions administratives. [9] Article 32 §6 de NIS2 sur la responsabilité des dirigeants.
Sources primaires : ANSSI, ENISA, EUR-Lex, Légifrance, Sénat, Assemblée nationale.