Secu
NIS 2 : un retard qui fragilise notre écosystème numérique
Par La rédaction, publié le 31 mars 2026
NIS 2 n’attend pas, mais la France oui. Pendant que l’Europe durcit le tempo sur la cybersécurité, le bras de fer autour du chiffrement bloque le décollage et laisse les acteurs concernés dans une zone grise à risque. Le retard pris par la France sur NIS 2 ne relève plus d’un simple décalage parlementaire. Il pèse sur la préparation des entités essentielles.
Par Alessandro Fiorentino, Product Owner chez Adequacy
La France accuse aujourd’hui un retard dans la transposition de la directive européenne NIS 2 qui fragilise notre écosystème numérique et place les acteurs concernés dans un situation complexe, pourtant essentielle au renforcement de la cybersécurité des infrastructures critiques.
Alors que cette transposition devait être finalisée avant le 17 octobre 2024, le processus législatif français demeure inachevé. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, censé intégrer NIS 2 ainsi que les directives REC et DORA, a bien été présenté par le gouvernement le 15 octobre 2024, puis adopté par le Sénat le 12 mars 2025. Mais il n’a toujours pas été examiné par l’Assemblée nationale, laissant la France dans une situation de décalage préoccupante par rapport à ses voisins européens.
Au 1ᵉʳ janvier 2026, vingt des vingt‑sept États membres avaient déjà transposé NIS 2 dans leur droit national. La France, elle, accuse désormais près de dix‑huit mois de retard.
Cette inertie affaiblit la position de la France au moment même où se redessine l’architecture européenne de la cybersécurité, notamment à travers les négociations sur la révision du Cybersecurity Act. Il faut imaginer l’accueil réservé à nos parlementaires dans ce type de négociations…
Un blocage politique autour de l’article 16 bis
Si le texte peine à avancer, c’est en grande partie en raison d’un point de friction politique : l’article 16 bis. Introduit au Sénat, cet article marque une avancée significative dans la reconnaissance du chiffrement comme élément fondamental de la sécurité numérique et de la protection des droits fondamentaux. Ce texte interdit explicitement aux autorités d’imposer aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques. Sont visés notamment les mécanismes tels que les clés de déchiffrement maîtresses ou les portes dérobées, qui permettraient un accès non consenti aux données protégées. Une disposition saluée par de nombreux défenseurs des libertés numériques, mais qui suscite l’opposition du gouvernement et de certains services de renseignement.
Le député Philippe Latombe a récemment dénoncé publiquement les pressions exercées pour supprimer cet article, affirmant que certains services souhaitent pouvoir accéder aux communications chiffrées des délinquants. Selon lui, « la DGSI veut mettre un tuyau sur le pipeline pour pouvoir regarder ce qui s’y passe ». Ces tensions politiques contribuent à ralentir l’avancée du texte, au détriment de la mise en conformité du pays avec les exigences européennes.
Au-delà de sa dimension technique, le chiffrement est devenu un enjeu démocratique. Il protège la confidentialité des échanges, la liberté d’expression, le secret professionnel et la vie privée. Dans un monde où la surveillance numérique est omniprésente, qu’elle soit étatique ou commerciale, le chiffrement constitue une barrière essentielle contre les abus. Il permet aux journalistes, avocats, militants, entreprises et citoyens de communiquer sans crainte d’intrusion.
Dans sa version actuelle, l’article 16bis tranche un dilemme récurrent dans les politiques de cybersécurité : faut-il affaiblir la sécurité des systèmes pour permettre aux autorités d’accéder aux communications des criminels, ou faut-il sanctuariser cette sécurité au risque de limiter les capacités d’enquête ? Les sénateurs auteurs de l’amendement ont choisi la seconde voie, estimant que les dispositifs d’affaiblissement volontaire créent des vulnérabilités exploitables non seulement par les autorités légitimes, mais aussi par des acteurs malveillants tels que des cybercriminels, des États hostiles ou des entités privées. Une porte dérobée, une fois créée, ne peut être réservée à un usage vertueux : elle devient une faille systémique.
Sur le plan juridique, l’article 16bis s’inscrit dans une logique de protection des droits fondamentaux. La Cour européenne des droits de l’homme et le Conseil constitutionnel français reconnaissent la confidentialité des communications comme un droit fondamental. Le chiffrement, en tant que moyen technique de garantir cette confidentialité, peut être considéré comme une extension de ce droit. L’article 16bis ne crée pas un nouveau droit, mais protège un outil indispensable à l’exercice de droits existants.
Un calendrier législatif inacceptable pour la CNSP
La Commission Supérieure du Numérique et des Postes (CNSP) a indiqué que le programme législatif transmis par le gouvernement prévoit désormais un examen du projet de loi en juillet 2026, sous réserve de la convocation d’une session extraordinaire. Un calendrier qui repousse encore de plusieurs mois l’adoption du texte, et qui pourrait même glisser au‑delà de l’été si les conditions politiques ne sont pas réunies.
Pour la CSNP, ce délai supplémentaire est inacceptable : elle appelle à inscrire le projet de loi à l’ordre du jour de l’Assemblée nationale au plus vite, afin que la France puisse enfin se doter des outils indispensables à la protection de son économie, de ses institutions et de ses citoyens.
L’ANSSI avance malgré tout : le ReCyF comme guide opérationnel
Face à ces retards, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) tente de maintenir la dynamique. Aux Assises de la cybersécurité de Monaco en octobre 2025, son directeur, Vincent Strubel, rappelait que le vote de la loi n’est qu’une étape, et « pas la plus difficile ». Selon lui, le véritable défi réside dans la mise en œuvre opérationnelle des obligations imposées par NIS 2. Et pour cela, il ne faut surtout pas attendre : « On sait tout ce qu’il faut faire », affirmait‑il.
Dans cette logique, l’ANSSI a ouvert un guichet de pré‑enregistrement destiné aux entités concernées, première brique de l’entrée en vigueur de NIS 2. Le 17 mars 2026, elle a publié la version 2.5 de son Référentiel CYber France (ReCyF), un document qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par la directive. Ce référentiel a été co‑construit avec de nombreuses organisations professionnelles, associations d’élus et acteurs de l’écosystème, afin de proposer une réponse adaptée à la réalité des menaces et à la diversité des structures concernées.
Vincent Strubel encourage vivement les organisations à s’emparer dès maintenant de ce référentiel, même si la transposition n’est pas encore finalisée. Selon lui, attendre la loi serait une erreur stratégique : le ReCyF constitue déjà un cadre solide pour anticiper les obligations à venir et renforcer la posture de sécurité des entités exposées.
Alors que l’Agence de Cybersécurité de nos voisins belges (CCB) a privilégié une approche graduelle et simplifiée avec son référentiel CyberFundamentals publié en octobre 2025, pensé comme un socle de maturité accessible à toutes les organisations, l’ANSSI adopte avec le ReCyF une stratégie beaucoup plus opérationnelle et structurante, directement orientée vers la conformité aux exigences de NIS 2 et la mise en œuvre concrète de mesures de sécurité robustes.
Un enjeu stratégique majeur pour la France
Le retard français dans la transposition de NIS 2 dépasse la simple question du calendrier législatif. Il interroge la capacité du pays à se positionner comme un acteur crédible et influent dans la construction de la cybersécurité européenne. Alors que les cybermenaces se multiplient et que les infrastructures critiques deviennent des cibles privilégiées, l’absence de cadre juridique clair fragilise les organisations et complique leur préparation.
La France dispose pourtant d’une expertise reconnue en matière de cybersécurité, portée notamment par l’ANSSI. Mais sans transposition rapide, cette expertise risque de perdre en influence dans les discussions européennes, au moment même où se définissent les standards et les mécanismes de coopération de demain.
À LIRE AUSSI :
À LIRE AUSSI :
