Veille — état du droit au 05/07/2026

En France, la loi de transposition ne serait pas encore promulguée : le projet de loi « résilience » (PRMD2412608L) poursuit son parcours parlementaire. NIS 2 n'entrerait pleinement en vigueur qu'une fois la loi, puis ses décrets et arrêtés d'application, publiés. Le contenu de ce projet demeure susceptible d'évoluer. Anticiper dès aujourd'hui, à partir du texte de la directive et de la doctrine de l'ANSSI, c'est aborder l'échéance sans précipitation et faire de la conformité un atout.

Qui est concerné ?

La directive distingue les entités essentielles et les entités importantes, déterminées en croisant le secteur d'activité — 18secteurs répartis entre l'annexe I (haute criticité) et l'annexe II (autres secteurs critiques) — et la taille de l'organisation. Certaines entités sont par ailleurs assujetties indépendamment de leur taille. Le diagnostic gratuit vous situe en quelques réponses.

I

Annexe I — haute criticité

  • Énergie
  • Transports
  • Secteur bancaire
  • Infrastructures des marchés financiers
  • Santé
  • Eau potable
  • Eaux usées
  • Infrastructure numérique
  • Gestion des services TIC (interentreprises)
  • Administration publique
  • Espace
II

Annexe II — autres secteurs critiques

  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication (industrie manufacturière)
  • Fournisseurs numériques
  • Recherche

Ce que couvre le parcours de conformité

Un cheminement structuré, ancré sur le texte de la directive, pour bâtir une conformité méthodique : la gouvernance attendue des organes de direction, les mesures techniques et organisationnelles de gestion des risques, et la chaîne de notification des incidents.

Gouvernance

Article 20

Approbation et supervision des mesures par les organes de direction, formation des dirigeants : la cybersécurité devient une responsabilité de gouvernance, non un simple sujet technique.

Mesures de gestion des risques

Article 21

Les 10mesures minimales — de l'analyse des risques à l'authentification multifacteur — structurées et documentées, jusqu'au registre de conformité.

  • Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information
  • Gestion des incidents
  • Continuité des activités
  • Sécurité de la chaîne d'approvisionnement
  • … et 6 autres mesures

Notification à l'ANSSI

Article 23

La chaîne de notification d'un incident important, avec ses jalons :

  • 24 heuresAlerte précoce
  • 72 heuresNotification d'incident
  • 1 moisRapport final

En France, l'autorité nationale compétente est l'ANSSI, sous réserve des règles définitives fixées par la loi de transposition.

Vos données de conformité restent chez vous

Les informations que vous saisissez au fil du parcours — inventaire, réponses, éléments de preuve — décrivent votre posture de sécurité : elles sont sensibles par nature. C'est pourquoi votre fiche de conformité est chiffrée (AES-GCM) et conservée sur votre propre poste, dans votre navigateur. Rien n'est déposé sur un serveur : vous restez maître de vos données, que vous pouvez ré-importer ou imprimer à tout moment.

Chiffrement local · aucune donnée transmise à un serveur

Commencer gratuitement, aller plus loin avec l'offre PRO

Situez-vous sans engagement grâce au diagnostic, puis engagez la mise en conformité avec le parcours complet et ses livrables, avec l'appui du cabinet.

Diagnostic

Gratuit
  • Auto-diagnostic d'assujettissement en moins d'une minute
  • Qualification : entité essentielle, importante ou hors champ
  • Prise en compte des annexes I & II et de la taille
  • Signalement des cas d'assujettissement indépendants de la taille
Faire le diagnostic

Parcours PRO

PRO
  • Parcours guidé de mise en conformité, étape par étape
  • Les mesures de l'article 21 structurées et documentées
  • Gouvernance (art. 20) et kit de notification ANSSI (art. 23)
  • Fiche de conformité chiffrée sur votre poste, ré-importable
Nous consulter

Tarification adaptée à votre organisation

Espace édité par le cabinet AVCA Legal (Barreau de Thonon-les-Bains, Léman et Genevois). Cet outil vous informe et vous outille ; il ne constitue pas un conseil juridique personnalisé (loi n° 71-1130). Pour un accompagnement adapté à votre situation, contactez le cabinet à contact@avca-avocats.fr.