Date limite : octobre 2024

17 octobre 2024 : c’était la date limite pour transposer le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, plus connu sous le nom NIS2. Vincent Strubel (patron de l’ANSSI) avait déjà prévenu début 2024 : « le 17 octobre, il ne va pas se passer grand-chose de spécial, en tout cas dans le domaine de NIS2 ». Effectivement, rien le 17 octobre et toujours en attente d’un vote final mi-2026.

Quelques semaines auparavant, le 9 juin, Emmanuel Macron décidait de dissoudre l’Assemblée nationale. Le gouvernement démissionnaire s’occupait alors simplement d’expédier « les affaires courantes ». Les gouvernements se sont ensuite enchaînés : Attal, Barnier et Bayrou sur les derniers mois de 2024. NIS2 n’était pas la priorité des équipes respectives.

Passage au Sénat début 2025

Début 2025, les transpositions des directives européennes NIS2, DORA et REC passaient l’étape du Sénat. Avant d’être applicable, le texte doit aussi être examiné par l’Assemblée nationale. Nous avions contacté la Commission des lois à l’époque, qui nous répondait que le gouvernement avait évoqué la fin mai (spoiler : c’est loin d’être le cas), mais que la date précise ne serait connue qu’un mois avant environ.

En juin, la Cour des comptes publiait un long rapport sur la cybersécurité et y parlait évidemment de NIS2. Elle souhaitait à ce sujet que l’ANSSI évolue davantage vers une logique de contrôle et de sanction. Vincent Strubel a déjà fait part de son opposition à plusieurs reprises, affirmant son rôle de cyber-pompier et pas cyber-gendarme: « Un cyber pompier, ça ne remplit pas un PV en même temps que ça a éteint le feu ».

• Sécurité

  Cybersécurité : les ambitions de NIS 2 décortiquées par Vincent Strubel (ANSSI)

  Sécurité

  Vendredi 27 décembre 2024 à 14h03 27/12/2024 14h03

  8

En commission spéciale de l’Assemblée nationale en septembre 2025

En septembre 2025, le projet de loi était adopté par une commission spéciale de l’Assemblée nationale. Philippe Latombe, président de cette commission, ajoutait au passage un amendement afin de sanctuariser le chiffrement de bout en bout (dans l’article 16 bis). Ne restait donc que l’examen final du texte et son vote en séance publique.

Quelques semaines plus tard, toujours sans passage à l’Assemblée nationale (ni calendrier prévisionnel), l’ANSSI ouvrait son bureau de pré-enregistrement. C’était « la première brique de l’entrée en vigueur de NIS 2 et un premier pas pour les entités dans le respect de leurs obligations ».

Blocage début 2025 : il faut choisir entre « plusieurs mauvaises solutions »

En février, retournement de situation : la DGSI était accusée par deux députés (les présidents de la commission spéciale) de bloquer l’adoption de la loi. « Je le dis de façon claire et je ne vais pas me faire de copains en disant ça mais c’est pas grave, la DGSI et les services veulent la fin de l’article 16 bis », expliquait Philippe Latombe en conférence de presse.

En mars, l’ANSSI publiait son REférentiel CYber France (ReCyF), en version bêta. Il « liste les mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité fixés par NIS2 ». Vincent Strubel expliquait qu’il « restera un document de travail jusqu’à la transposition de NIS2 en droit français, mais il ne faut surtout pas attendre pour le mettre en œuvre ».

En avril, Vincent Strubel revenait une nouvelle fois sur ce sujet et expliquait l’impasse actuelle : « On est face à deux impératifs de même valeur : celui de la protection de la vie privée et de la sécurité nationale […]. S’il y avait une solution magique qui permette de les préserver ensemble sans impact sur l’un ou sur l’autre, elle aurait déjà été trouvée… In fine, cela relèvera d’une décision politique du législateur, qui sera un choix entre plusieurs mauvaises solutions ».

• Sécurité

  La DGSI accusée de bloquer l’adoption d’une loi renforçant la cybersécurité

  Sécurité

  Mercredi 25 février 2026 à 13h24 25/02/2026 13h24

  13

Dix-huit mois après la date butoir de transposition, la Commission supérieure du numérique et des postes (CSNP) venait mettre son grain de sel. Elle expliquait que ce retard venait « d’un point de clivage politique : l’article 16 bis, introduit au Sénat afin de consacrer dans la loi la protection du chiffrement et d’interdire l’imposition de dispositifs de portes dérobées (« backdoors ») aux messageries instantanées, fait l’objet d’une opposition du gouvernement ».

Toujours selon la Commission, le programme législatif du gouvernement « prévoit désormais un examen du texte en juillet 2026, et ce sous réserve de la convocation d’une session extraordinaire ». Caramba, encore raté.

NIS2 aux abonnés absents de la session extraordinaire de juillet

Comme le rapporte Éric Bothorel sur X, un décret a bien été publié au Journal officiel pour une convocation du Parlement en session extraordinaire à partir du mercredi 1ᵉʳ juillet 2026. Les députés devraient siéger jusqu’à la semaine du 20 juillet incluse pour examiner plusieurs textes.

L’ordre du jour comprend une trentaine d’examens sur des projets et propositions de loi. Mais, on a beau chercher, rien sur NIS2 ou le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (le mot cyber n’apparait pas dans le décret).

Il y a quelques jours, nous apprenions que l’Europe serait sur le point de déposer plainte contre la France (devant la Cour de justice de l’Union européenne) pour son retard dans la transposition de la directive. Sur le site de l’European Cyber Security Organisation (ECSO), on peut voir que l’Espagne, l’Irlande et les Pays-Bas sont également en retard et n’ont toujours pas de transposition.

On se souviendra d’une phrase de Vincent Strubel aux Assises de la cybersécurité de Monaco en octobre 2025 à propos de l’ultime vote de la transposition de NIS2 en droit français : c’est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ». Pas si sûr.