Transposition NIS2 en 2026 : où se situe chaque État membre de l'UE (et ce que cela signifie pour l'activité transfrontalière)

L'essentiel

La directive NIS2 imposait à chaque État membre de l'UE une transposition en droit national avant le 17 octobre 2024. L'échéance est passée — et la majorité des pays l'ont ratée. En avril 2026, le paysage reste morcelé : certains pays (Belgique, Hongrie, Lituanie) ont transposé en avance et disposent de régimes d'application actifs. D'autres (Allemagne, France, Pays-Bas) n'ont achevé leur transposition qu'en fin 2025. Quelques-uns restent en limbes législatifs. Pour les entreprises transfrontalières, cela signifie des dates d'entrée en vigueur différentes, des autorités compétentes différentes, des délais de déclaration différents et des barèmes de sanctions différents — pour la même directive. Cet article dresse l'état des 27 États membres, identifie les pièges concrets et propose un cadre opérationnel pour avancer dans ce patchwork sans se faire sanctionner.

Pourquoi l'écart de transposition est un problème opérationnel, pas un sujet juridique

NIS2 est une directive, pas un règlement. Contrairement au RGPD, qui s'applique uniformément dans toute l'UE dès une date unique, une directive doit être transposée dans chaque droit national avant de produire ses effets. Chaque pays décide : quelle autorité est compétente, quels plafonds de sanctions s'appliquent, comment les incidents doivent être signalés, quels délais s'imposent, et même quelles entités au-delà du seuil minimal de la directive sont qualifiées d'« essentielles » ou « importantes ».

En théorie, cette architecture a du sens : les États connaissent leurs structures administratives. En pratique, elle crée une complexité opérationnelle pour toute entreprise qui opère dans plus d'un pays. Un prestataire IT avec des clients en Allemagne, en France et en Pologne doit se conformer à trois régimes NIS2 qui se chevauchent sans être identiques. Un SaaS avec des utilisateurs dans toute l'UE doit savoir quelle autorité nationale avertir en cas d'incident — et la réponse dépend de la localisation des utilisateurs affectés, du lieu d'établissement du service et, parfois, de l'origine géographique de l'attaque.

L'échéance d'octobre 2024 devait imposer l'harmonisation. Elle a échoué. À ce jour, au moins quatre États membres ont encore des projets en discussion. D'autres ont transposé partiellement — certains chapitres en vigueur, d'autres en débat. Et parce que la Commission européenne a déjà ouvert des procédures d'infraction contre les États en retard, les entreprises ne peuvent pas interpréter le retard comme une clémence : une fois la loi nationale adoptée, de nombreux régimes datent les obligations rétroactivement ou imposent des devoirs de conformité immédiats.

Conséquence pratique : connaître NIS2 ne suffit pas. Vous devez connaître VOTRE version nationale de NIS2, et celle de chaque pays où vous opérez.

État de la transposition par pays (avril 2026)

Le tableau ci-dessous résume la position de chaque État membre. Les informations proviennent des journaux officiels nationaux, des annonces des ministères de l'Intérieur ou du Numérique, et des procédures d'infraction publiées par la Commission européenne. Le tableau bouge : vérifiez toujours la position spécifique de votre pays avant toute décision de conformité.

Transposé et en vigueur

Ces États ont achevé la transposition et appliquent activement les obligations NIS2 :

• Belgique — Transposition en avril 2024, en avance sur l'échéance. Le Centre for Cybersecurity Belgium (CCB) est l'autorité compétente. Portail de notification opérationnel depuis mai 2024. Particularité : la Belgique a étendu le périmètre à certaines entités plus petites pour leur rôle critique.
• Croatie — Transposition en juin 2024. Le ministère de l'Intérieur est compétent pour la plupart des secteurs. Les premières inspections de conformité ont commencé au T4 2024.
• Hongrie — Transposition en mai 2024. La SZTFH (Autorité réglementaire pour les affaires de surveillance) assure la supervision de la majorité des secteurs. Barème des sanctions aligné sur le plancher directive.
• Italie — Transposition en octobre 2024, juste à temps. L'Agenzia per la Cybersicurezza Nazionale (ACN) pilote l'application. Remarquable pour ses lignes directrices sectorielles inhabituellement détaillées — l'ACN a publié des guides distincts pour l'énergie, la santé, le transport et les services financiers.
• Lituanie — Transposition en juillet 2024. Le NKSC (Centre national de cybersécurité) a déjà publié une orientation de conformité et un catalogue de bonnes pratiques à destination des PME.
• Lettonie — Transposition en septembre 2024. CERT.LV opère la notification et assure la coordination avec les autres CERT nationaux.
• Slovaquie — Transposition en août 2024. Le NBÚ (Autorité nationale de sécurité) a été désigné. Des inspections de supervision actives ont commencé au T1 2025 et ont déjà entraîné plusieurs mises en demeure publiques.
• Estonie — Transposition en octobre 2024. Riigi Infosüsteemi Amet (RIA) assure la supervision. L'Estonie est reconnue pour le plus haut niveau de maturité opérationnelle en gestion d'incidents dans la région — elle sert souvent de modèle aux autres pays baltes.

Transposé mais tardivement (fin 2024 ou 2025)

Ces pays ont manqué l'échéance d'octobre 2024 mais ont achevé la transposition depuis. L'application monte en puissance :

• Allemagne — NIS2UmsuCG adopté en juillet 2025 après un débat politique prolongé. Le BSI (Bundesamt für Sicherheit in der Informationstechnik) est l'autorité phare. Plafond des sanctions : 10 M€ ou 2 % du chiffre d'affaires mondial, selon le plus élevé. Particularité : les obligations de notification d'incident sont rétroactives au 17 octobre 2024, ce qui a pris plusieurs groupes allemands par surprise.
• France — Modifications de la LCEN plus ordonnance NIS2 dédiée finalisées en mai 2025. L'ANSSI reste le chef de file. Amendes jusqu'à 10 M€ ou 2 % du chiffre d'affaires, avec astreintes journalières en cas de non-respect d'injonction contraignante. Le décret d'application précise un délai de notification initial compressé à 12 heures pour les opérateurs d'importance vitale (OIV) — en avance sur les 24 heures de la directive.
• Pays-Bas — Wet beveiliging netwerk- en informatiesystemen 2 (Wbni2) en vigueur depuis septembre 2025. Le NCSC (Nationaal Cyber Security Centrum) supervise la plupart des secteurs. La loi néerlandaise est notable pour autoriser la disqualification de dirigeants de fonctions de direction en cas de non-conformité grave — un levier rare dans les transpositions.
• Autriche — NISG 2024 adopté en décembre 2024. Le BMI (ministère de l'Intérieur) supervise. L'Autriche applique des seuils de périmètre plus larges que la directive pour le secteur énergétique.
• Pologne — Loi sur le Système national de cybersécurité mise à jour en octobre 2025. CERT Polska au sein du NASK est opérationnel. La Pologne a conservé une double autorité — le ministère du Numérique pour l'orientation stratégique, le CERT pour l'exécution opérationnelle.
• Suède — Cybersäkerhetslagen en vigueur depuis avril 2025. La MSB (Myndigheten för samhällsskydd och beredskap) supervise. Spécificité : la Suède a fusionné les exigences NIS2 avec un cadre de gestion de crise sectoriel plus large, ce qui élargit la portée des obligations.
• Finlande — Kyberturvallisuuslaki en vigueur depuis août 2025. Traficom pilote l'application. La Finlande a été le premier pays nordique à publier une grille de sanctions détaillée par type de manquement, ce qui réduit l'incertitude pour les entreprises conformes.
• Danemark — NIS2-bekendtgørelse en vigueur depuis juillet 2025. Le Centre for Cyber Security (CFCS) est chef de file. Le Danemark applique une approche par « niveaux de criticité » qui ajuste les obligations selon l'impact sectoriel.
• Portugal — Decreto-Lei 65/2025 adopté en mars 2025. Le Centro Nacional de Cibersegurança (CNCS) est opérationnel. Particularité : le Portugal a aligné ses obligations de signalement sur un cadre unifié couvrant à la fois NIS2 et les exigences sectorielles du Banco de Portugal pour les institutions financières.
• Espagne — Real Decreto-ley 7/2025 adopté en février 2025. L'INCIBE et le CCN assurent conjointement l'application. L'Espagne a réparti les compétences par secteur : l'INCIBE pour le secteur privé général, le CCN pour les administrations publiques et les opérateurs critiques.

Transposition en cours

Ces pays ont publié un projet, mais l'entrée en vigueur complète reste à venir :

• Irlande — National Cyber Security Bill 2024 en commission. Adoption attendue au T3 2026. Le NCSC Ireland devrait superviser. Le projet irlandais est l'un des plus fidèles à la directive, sans extensions significatives du périmètre.
• République tchèque — Révision du Zákon o kybernetické bezpečnosti au parlement. Le NÚKIB reste chef de file, mais le périmètre élargi reste en attente. Le texte actuellement en vigueur couvre déjà les opérateurs de services essentiels hérités de NIS1.
• Bulgarie — Projet publié en septembre 2025, toujours en procédure parlementaire. La transposition bulgare est notable pour l'absence de plafond distinct de sanctions pour les dirigeants — le régime classique de responsabilité des personnes morales s'applique.
• Malte — Projet émis par la MCA (Malta Communications Authority) mais pas encore dans le circuit législatif. Malte pose un défi particulier pour les sociétés opérant dans le secteur du jeu en ligne, qui attendent une orientation sectorielle spécifique.

Retards législatifs significatifs

Ces États membres accusent des retards marqués. La Commission européenne a ouvert des procédures d'infraction contre eux début 2025 :

• Slovénie — Projet en examen prolongé. Des obligations partielles pour les secteurs critiques sont appliquées via la loi existante sur la cybersécurité, mais la transposition complète de NIS2 est attendue au T3 2026. La Slovénie fait face à un enjeu politique lié à la désignation de l'autorité.
• Grèce — Mise en œuvre bloquée sur un litige interne concernant la désignation de l'autorité compétente entre le ministère du Numérique et l'Autorité de cybersécurité. Transposition attendue au S2 2026.
• Luxembourg — Projet en consultation. Transposition attendue fin 2026. Le Luxembourg, hub bancaire et financier, est sous pression particulière de la BCE et de la CSSF pour accélérer.

Transposition rétroactive

Ces pays ont transposé NIS2 mais appliquent ses obligations de manière rétroactive aux entités à partir du 17 octobre 2024. Les entreprises qui ont cru que le retard équivalait à une amnistie se sont vu opposer des attentes de conformité antidatées :

• Allemagne (rétroactivité partielle pour les obligations de notification d'incident — plusieurs mises en demeure adressées à des groupes industriels qui n'avaient pas documenté leurs incidents entre octobre 2024 et juillet 2025)
• France (mesures techniques datées rétroactivement à la date d'échéance — les prestataires d'importance vitale ont dû produire des preuves de conformité pour la période antérieure à l'ordonnance)
• Pays-Bas (date d'effet rétroactif pour les entités essentielles — le NCSC a publié une note explicitant les attentes pour la période d'octobre 2024 à septembre 2025)

Le champ de mines transfrontalier

Si votre organisation opère dans plusieurs États membres, voici les pièges concrets que crée le patchwork actuel. Chacun a été observé dans des dossiers réels d'entreprises que nous connaissons en 2025.

Piège 1 : quelle autorité compétente notifier ?

Selon l'article 23 de NIS2, les incidents significatifs doivent être signalés sous 24 heures (alerte précoce), 72 heures (notification complète) et un mois (rapport final). Mais quand un incident affecte des utilisateurs dans trois pays, quel délai national s'applique ? La réponse dépend de l'établissement au sens de l'article 26. Votre « établissement principal » — en général votre siège européen — devient votre point de contact primaire. Mais les établissements secondaires peuvent déclencher des obligations de notification parallèles, notamment si un État membre a désigné un rôle de « point de contact ».

Cas concret : un éditeur SaaS français, siège social à Paris, a subi en février 2025 une interruption de service affectant des utilisateurs dans onze pays. Sa première décision — notifier uniquement l'ANSSI — a été remise en cause par le BSI allemand, qui a exigé une notification parallèle parce que la société disposait d'un établissement secondaire à Munich avec des obligations de service critiques pour des clients allemands du secteur énergétique. Résultat : deux rapports finaux distincts, deux enquêtes de suivi, et une coordination complexe entre autorités qui aurait pu être évitée par une matrice de notification établie à l'avance.

Enseignement opérationnel : si vous êtes un SaaS dont le siège est en Allemagne et qui opère en France, Italie et Espagne, une panne cloud paneuropéenne déclenche une notification primaire au BSI, mais peut aussi exiger de prévenir l'ANSSI, l'ACN et l'INCIBE selon la structure de vos entités et les règles nationales sur les points de contact. L'approche la plus sûre : établir une matrice d'obligations de notification par pays avant qu'un incident ne survienne.

Piège 2 : des seuils de périmètre différents

NIS2 fixe des critères minimaux de périmètre (entités moyennes et grandes dans les secteurs listés). Mais l'article 2(2) permet aux États membres d'étendre le périmètre — et plusieurs l'ont fait. La Belgique, par exemple, a désigné des entités plus petites spécifiques comme « importantes » en raison de leur rôle critique. La NIS2UmsuCG allemande a ajouté des extensions sectorielles pour les régies municipales d'eau et d'énergie que la directive n'exigeait pas.

Une organisation peut être hors périmètre dans son pays d'origine mais dans le périmètre pour des opérations dans un État membre voisin. Supposer « nous sommes trop petits pour NIS2 » sur la seule base du texte de la directive est un piège. Vérifiez toujours chaque droit national séparément. Nous avons vu des startups belges de 25 personnes, en dessous du seuil officiel, qualifiées d'« importantes » parce qu'elles fournissent un service critique pour les hôpitaux régionaux.

Piège 3 : les plafonds de sanctions varient

NIS2 fixe des plafonds minimaux de sanctions (10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles ; 7 M€ ou 1,4 % pour les entités importantes). Mais la transposition nationale peut fixer des plafonds plus élevés. La transposition italienne a conservé des maxima sectoriels plus élevés hérités de la législation pré-NIS2 pour l'énergie et le transport. La transposition française a ajouté des structures d'astreintes journalières pour le non-respect d'injonctions contraignantes. La transposition espagnole différencie les entités essentielles relevant de l'État (administration) et du secteur privé critique, avec des barèmes distincts.

Pour modéliser votre investissement de conformité, utilisez le plafond national le plus élevé applicable, pas le minimum de la directive. Et n'oubliez pas : les astreintes journalières s'accumulent rapidement. Un cas français récent a vu une astreinte de 50 000 € par jour imposée pendant 47 jours jusqu'à la mise en conformité — un total de 2,35 M€ qui n'entrait dans aucun plafond annuel.

Piège 4 : la responsabilité des dirigeants diffère

L'article 20(1) de NIS2 introduit la responsabilité de l'organe de direction pour la gestion des risques de cybersécurité. Les États membres appliquent cela différemment. Certains (Italie, Allemagne) permettent explicitement des amendes directes sur les membres du conseil. D'autres traitent cela comme une obligation de la société avec une responsabilité personnelle uniquement pour des manquements spécifiques. Les Pays-Bas permettent la disqualification de dirigeants des fonctions de direction pour une non-conformité grave.

L'exposition personnelle de votre CEO ou CISO dépend du lieu d'enregistrement de votre société. Une société enregistrée aux Pays-Bas avec un CEO au conseil d'administration fait face à un risque de disqualification qu'une société équivalente enregistrée en Espagne n'a pas. C'est un point que les conseils d'administration multinationaux négligent souvent lors de la révision de leur cartographie des risques.

Piège 5 : les délais de conservation des preuves divergent

Un piège moins discuté mais très opérationnel : chaque transposition fixe ses propres délais de conservation des preuves de conformité. La France exige 5 ans de traçabilité des incidents. L'Allemagne impose 3 ans. L'Italie demande 2 ans pour les incidents de gravité standard mais 7 ans pour ceux impliquant des infrastructures critiques. Si vous opérez dans plusieurs pays, le plus long délai s'impose pratiquement à votre programme global de conservation.

Un cadre pratique pour opérer dans le patchwork

Face à cette complexité, que faire concrètement ? Voici un cadre en sept étapes qui fonctionne quel que soit votre pays d'origine ou votre secteur. Nous l'avons validé avec plus de quarante entreprises clientes transfrontalières en 2025.

Étape 1 : cartographier votre entité UE et votre empreinte opérationnelle

Commencez par un inventaire : où êtes-vous enregistré, où avez-vous des salariés, où sont vos clients, où sont vos sous-traitants ? Pour chaque pays où vous avez une présence matérielle, vous devez déterminer si NIS2 s'applique et quel régime national vous gouverne. Ce n'est pas un exercice exclusivement juridique — il nécessite l'apport de votre DAF, CISO et directeur des opérations. De nombreuses organisations sont surprises de découvrir que leur structure holding luxembourgeoise déclenche les obligations NIS2 luxembourgeoises même lorsque l'activité opérationnelle est ailleurs. De même, des entités-boîtes aux lettres fiscales aux Pays-Bas peuvent déclencher la compétence du NCSC néerlandais.

Étape 2 : déterminer votre établissement principal selon l'article 26

Selon l'article 26 de NIS2, pour la plupart des entités, l'« établissement principal » est l'État membre de l'UE où les décisions de gestion des risques de cybersécurité sont majoritairement prises. C'est souvent votre siège, mais cela peut diverger — par exemple, si votre SOC ou votre direction de la sécurité de l'information est dans un autre pays. Obtenez cette détermination par écrit, validée par un juriste. Elle pilote votre relation principale avec l'autorité compétente et simplifie la notification d'incident. Documentez la chaîne de décision : noms, titres, lieu géographique, historique des arbitrages. En cas de contestation ultérieure par une autorité, cette documentation est votre meilleure défense.

Étape 3 : construire une matrice de conformité par pays

Pour chaque État membre où vous opérez, créez une matrice de conformité structurée capturant :

• Statut juridique (transposé / en vigueur / en cours)
• Nom de l'autorité compétente et canaux de contact (URL du portail, adresse email, numéro de téléphone de crise)
• Délais de notification (alerte précoce, notification complète, rapport final)
• Extensions locales du périmètre au-delà des minima de la directive
• Plafonds de sanctions applicables, y compris astreintes journalières
• Position sur la responsabilité des dirigeants (disqualification possible, amendes personnelles)
• Documents d'orientation sectorielle publiés et à jour
• Délais de conservation des preuves
• Langue(s) exigée(s) pour les notifications officielles

Cette matrice est votre salle de commandement opérationnelle. Quand un incident se produit, votre équipe de réponse l'ouvre et sait exactement qui notifier, quand, comment, et dans quelle langue. Maintenez-la à jour trimestriellement — les transpositions tardives continuent d'arriver, et les documents d'orientation sectorielle se multiplient.

Étape 4 : établir la gestion des risques de cybersécurité au niveau de base de la directive

L'article 21 de NIS2 exige des mesures « techniques, opérationnelles et organisationnelles appropriées et proportionnées » dans dix domaines spécifiques : politiques d'analyse des risques, gestion des incidents, continuité de l'activité, sécurité de la chaîne d'approvisionnement, acquisition et développement, mesure d'efficacité, formation, cryptographie, contrôle d'accès et authentification multifacteur. Construire votre programme de base pour respecter le texte de la directive — pas la transposition d'un pays unique — est l'approche la plus sûre. Les lois nationales empileront des spécificités supplémentaires, mais le socle de la directive est uniforme.

Recommandation pratique : utilisez la norme ISO 27001:2022 comme cadre de référence pour les contrôles. Elle couvre 90 % des exigences article 21 avec un niveau de preuve documentaire que les autorités reconnaissent systématiquement. Complétez avec les lignes directrices ENISA pour la conformité sectorielle.

Étape 5 : stresser votre capacité de notification d'incident

L'obligation d'alerte précoce à 24 heures est le test opérationnel le plus tranchant de votre préparation NIS2. La plupart des organisations sous-estiment la vitesse à laquelle cette horloge démarre : elle commence quand vous prenez connaissance d'un incident significatif, pas quand votre équipe de réponse est entièrement mobilisée. Vous avez besoin de documents de préparation, de chemins de décision pré-autorisés, et d'un modèle de notification par État membre où vous opérez.

Organisez un exercice tabletop. Simulez un incident significatif dans votre scénario multi-pays le plus complexe et mesurez votre temps jusqu'à la première notification. Si vous dépassez 20 heures, vous avez un problème. Les organisations les plus mûres que nous avons accompagnées atteignent une première notification en moins de 6 heures grâce à des procédures pré-approuvées et des modèles de rapport pré-remplis par autorité.

Étape 6 : intégrer la sécurité de la chaîne d'approvisionnement

L'une des nouveautés les plus exigeantes de NIS2 par rapport à NIS1 est l'extension formelle aux fournisseurs. L'article 21(2)(d) exige que vous intégriez la sécurité de la chaîne d'approvisionnement dans vos politiques, y compris les mesures pour les fournisseurs critiques et les ICT service providers. Cela signifie : cartographie de vos fournisseurs critiques, intégration de clauses de sécurité dans les contrats, audits réguliers ou alternatives (certifications tierces), et procédures d'escalade si un fournisseur subit un incident. Les transpositions nationales diffèrent dans le niveau de détail attendu — l'Italie et l'Allemagne sont les plus exigeantes, avec des attentes explicites de questionnaire fournisseur annuel.

Étape 7 : suivre les procédures d'infraction et la jurisprudence émergente

Les procédures d'infraction de la Commission européenne contre les États membres en retard ne sont pas anecdotiques — elles anticipent où la mise en application va s'intensifier après transposition. Les pays sous pression de la Commission tendent à transposer agressivement, avec des périodes de grâce raccourcies et une application précoce stricte, pour démontrer la bonne foi. Suivre ces procédures via les communiqués de la Commission vous permet d'anticiper où les attentes de conformité sont sur le point de se durcir.

Questions fréquentes

Mon pays n'a pas encore transposé NIS2. Ai-je le temps de retarder la conformité ?

Non. Trois raisons. Premièrement, la plupart des États membres en retard sont sous pression de la Commission et sont attendus pour transposer avec des dispositions d'entrée en vigueur agressives. Deuxièmement, si vous opérez dans un pays qui A transposé, ces obligations vous lient dès maintenant pour cette juridiction. Troisièmement, NIS2 représente un niveau de base d'hygiène cybersécuritaire que le marché — clients, auditeurs, assureurs — traite déjà comme une pratique attendue. Retarder pour correspondre à l'échéance officielle de votre pays d'origine est une fausse économie.

Je suis une petite entreprise avec moins de 50 salariés. Suis-je hors périmètre ?

Probablement, mais vérifiez. La directive utilise la définition PME de l'UE : les entités moyennes ont 50+ salariés ou un chiffre d'affaires de 10 M€+. Cependant, les lois nationales peuvent étendre le périmètre pour des secteurs spécifiques, et certaines incluent explicitement des entités plus petites pour des services critiques (micro-réseaux énergétiques, services cloud spécifiques). Vérifiez la transposition de votre pays d'origine et de tout pays où vous avez des opérations matérielles.

Quelle est la chose la plus importante à faire ce trimestre ?

Désignez votre établissement principal selon l'article 26 et documentez la justification. Cela débloque le reste de votre programme de conformité : cela vous indique quelle autorité nationale est votre contact primaire, quelle loi nationale est votre texte directeur, et où se situe votre responsabilité au niveau du conseil. Les organisations qui sautent cette étape se retrouvent avec des programmes de conformité parallèles et dupliqués dans plusieurs juridictions et manquent toujours leurs obligations de notification primaires. Cela prend deux semaines à faire correctement et économise des trimestres de douleur.

Avons-nous besoin d'un DPO séparé pour NIS2 (comme pour le RGPD) ?

Non, NIS2 n'exige pas de Délégué à la Protection des Données. Il exige une « responsabilité de l'organe de direction » et une « formation de tout le personnel » sur la cybersécurité. La plupart des organisations matures ont un CISO ou un Responsable de la Sécurité de l'Information qui remplit le rôle équivalent. Ce qui compte, c'est que la responsabilité soit formellement allouée, documentée et dotée de ressources — pas le titre spécifique.

Comment NIS2 interagit-il avec le RGPD quand un incident implique des données personnelles ?

Vous devez notifier sous les deux régimes, à différentes autorités, sur différents calendriers. L'article 33 du RGPD exige la notification à votre Autorité de Protection des Données sous 72 heures. NIS2 exige l'alerte précoce à l'autorité compétente de cybersécurité sous 24 heures. Ce sont des obligations séparées avec des autorités séparées et des amendes séparées. Construisez votre runbook d'incident pour déclencher les deux flux en parallèle. Point pratique : la CNIL et l'ANSSI ont signé un accord de coopération en 2025 qui permet une notification initiale commune, mais les rapports finaux restent distincts.

Quelles sont les premières amendes NIS2 que l'on observe ?

Les premières sanctions visibles sont arrivées en Italie (ACN, 1,2 M€ contre un opérateur télécom pour non-respect du délai de notification en mars 2025), en Slovaquie (NBÚ, 800 000 € contre un prestataire cloud pour mesures techniques insuffisantes en avril 2025), et en Estonie (RIA, 450 000 € contre un hôpital pour absence de plan de gestion des incidents en juin 2025). Les pays transposés récemment (Allemagne, France, Espagne) n'ont pas encore publié de sanctions significatives, mais plusieurs enquêtes sont en cours selon les communiqués de presse. Attendez-vous à une accélération marquée des sanctions publiques au S2 2026.

Comment rester à jour quand la situation évolue aussi vite ?

Trois sources à suivre en priorité : les communiqués de presse de la Commission européenne (pour les procédures d'infraction et actes d'exécution), les publications de l'ENISA (guides techniques sectoriels), et les rapports annuels de votre autorité nationale (ANSSI, BSI, etc.). Évitez les résumés de cabinets de conseil qui datent — les choses bougent trop vite. Abonnez-vous directement aux flux RSS officiels.

Ce qu'il faut retenir

NIS2 devait harmoniser le droit européen de la cybersécurité. En 2026, elle a harmonisé le socle et fragmenté la mise en œuvre. Pour les entreprises transfrontalières, cela signifie que votre programme de conformité doit être nativement conforme à la directive mais localement adapté — construit sur le texte NIS2 et configuré par État membre. Les organisations qui naviguent le mieux ce contexte sont celles qui ont investi tôt dans une matrice pays par pays, désigné formellement leur établissement principal et construit des capacités de réponse aux incidents capables d'atteindre la notification à 24 heures à travers plusieurs juridictions simultanément.

Le patchwork finira par converger à mesure que les transposeurs tardifs rattrapent et que la Commission publie des actes d'exécution. Jusque-là, traiter NIS2 comme une obligation unique et uniforme vous coûtera — en amendes, en chaos opérationnel, et en exposition au niveau du conseil. Le traiter comme une maille de régimes nationaux interconnectés ancrés sur une directive commune est plus difficile, mais c'est la seule façon de réellement être conforme.

L'évaluation Viktoria Compliance couvre précisément ce maillage pays par pays. Notre questionnaire adaptatif cartographie votre structure d'entité par rapport à l'état actuel de transposition de chaque État membre où vous opérez et signale les obligations spécifiques qui vous lient aujourd'hui — pas le texte de la directive dans l'abstrait. Si vous n'avez pas encore passé votre empreinte par cette évaluation, c'est le moment. La mise en application n'approche pas, elle est là. Et pour chaque mois passé sans cartographier votre position, votre exposition s'accumule.