Transposition NIS2 en 2026 : où en est chaque État membre de l'UE (et ce que cela change pour l'activité transfrontalière)

L'essentiel

La directive NIS2 (directive (UE) 2022/2555) imposait à chaque État membre de l'Union européenne de transposer le texte en droit national avant le 17 octobre 2024. L'échéance est passée — et seules la Belgique, la Croatie, l'Italie et la Lituanie l'ont respectée. En mai 2026, 22 des 27 États membres ont désormais adopté un acte de transposition, mais cinq d'entre eux — la France, l'Irlande, le Luxembourg, les Pays-Bas et l'Espagne — demeurent en procédure législative. La Commission européenne a engagé des procédures d'infraction contre 23 États membres en novembre 2024, puis a transmis des avis motivés à 19 d'entre eux le 7 mai 2025. Pour les entreprises opérant à travers les frontières, cela signifie des dates d'entrée en vigueur différentes, des autorités compétentes différentes, des canaux de notification d'incident différents et des barèmes de sanctions différents — pour une seule et même directive sous-jacente. Cet article dresse l'état vérifié des 27 États membres avec sources primaires à l'appui, identifie les pièges concrets de la conformité transfrontalière et propose un cadre opérationnel pour évoluer dans ce paysage morcelé.

Pourquoi l'écart de transposition est un problème opérationnel, et non un sujet juridique anecdotique

NIS2 est une directive, pas un règlement. À la différence du RGPD — qui s'applique de manière identique dans toute l'Union dès une date d'entrée en vigueur unique — les directives doivent être transposées dans le droit national de chaque État membre avant de produire leurs effets. Chaque pays décide de l'autorité chargée de l'application, des modalités pratiques de notification des incidents, et de la qualification des entités « essentielles » ou « importantes » au-delà des seuils minimaux de la directive (l'article 2, paragraphe 2, autorise expressément l'extension du périmètre).

Cette architecture est défendable en théorie : les États membres connaissent mieux que quiconque leurs propres structures administratives. En pratique, elle engendre une complexité opérationnelle pour toute entreprise présente dans plus d'un pays. Un prestataire de services informatiques avec des clients en Allemagne, en Italie et en Pologne doit désormais composer avec trois actes de transposition issus d'une directive unique mais qui divergent dans leur détail procédural. Une plateforme SaaS dont les utilisateurs sont disséminés dans toute l'Union doit identifier l'autorité nationale à prévenir lors d'un incident — la réponse, sous l'angle de l'article 26, dépend du lieu de son établissement principal, sachant que les établissements secondaires peuvent déclencher des obligations parallèles.

L'échéance d'octobre 2024 était censée imposer l'harmonisation. Cette ambition a échoué. En mai 2026, cinq États membres ont encore un projet de loi en navette, et la Commission européenne a adressé des avis motivés à 19 États membres (deuxième étape de la procédure d'infraction, immédiatement préalable à la saisine de la Cour de justice de l'Union européenne). La Bulgarie a été déférée à la CJUE selon les rapports du secteur. Les entreprises ne peuvent pas interpréter le retard comme une indulgence : une fois la loi nationale adoptée, plusieurs États membres ont retenu des périodes transitoires courtes, voire inexistantes.

Conséquence pratique : connaître le texte de la directive ne suffit pas. Vous devez maîtriser l'acte de transposition de VOTRE pays, et celui de chaque pays où vous opérez.

État vérifié de la transposition par État membre (mai 2026)

Le tableau ci-dessous restitue, pour chacun des 27 États membres, l'acte de transposition, la date de publication au journal officiel, la date d'entrée en vigueur et l'autorité compétente désignée. Chaque ligne a été vérifiée sur le journal officiel national ou le site officiel de l'autorité (voir la section Sources). L'image est mouvante : vérifiez la position spécifique de votre pays avant toute décision de conformité.

Transposé et en vigueur (19 États membres)

• Belgique — Loi/Wet du 26 avril 2024 transposant NIS2, publiée au Moniteur belge / Belgisch Staatsblad le 17 mai 2024 ; entrée en vigueur le 18 octobre 2024. Autorité compétente : Centre for Cybersecurity Belgium (CCB). La Belgique a été le premier État membre à mettre en service un portail de notification et renvoie au référentiel CyFun® comme voie pratique vers la conformité.
• Bulgarie — Закон за изменение и допълнение на Закона за киберсигурност, Държавен вестник n° 17 (Journal officiel bulgare) du 13 février 2026 ; entrée en vigueur le 13 février 2026. Coordinateur : National Cybersecurity Coordinator. La Bulgarie a été déférée à la CJUE par la Commission en mai 2025, selon plusieurs sources sectorielles, avant l'adoption de la loi.
• Croatie — Zakon o kibernetičkoj sigurnosti, Narodne novine n° 14/2024 du 14 février 2024 ; entrée en vigueur le 15 février 2024. Premier État membre à transposer, huit mois avant l'échéance. Autorité compétente : Nacionalni centar za kibernetičku sigurnost (NCSC-HR), au sein de la SOA.
• Chypre — Network and Information Systems Security (Amendment) Law L. 60(I)/2025, publiée le 25 avril 2025. Autorité compétente : Digital Security Authority (DSA). A fait l'objet d'un avis motivé de la Commission le 7 mai 2025 (émis avant que la notification de publication ne soit complète).
• République tchèque — Zákon č. 264/2025 Sb. o kybernetické bezpečnosti, Sbírka zákonů du 4 août 2025 ; entrée en vigueur le 1er novembre 2025. Loi nouvelle et autonome (et non un amendement à la précédente loi 181/2014). Autorité compétente : Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Notification d'incident à 24 heures ; échéance d'enregistrement fin décembre 2025.
• Danemark — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (LOV nr. 434 du 6 mai 2025), Lovtidende du 7 mai 2025 ; entrée en vigueur le 1er juillet 2025. Autorité compétente : Center for Cybersikkerhed (CFCS), rattaché au Forsvarets Efterretningstjeneste, complété par des autorités sectorielles. Échéance d'enregistrement le 1er octobre 2025 via Virk avec MitID.
• Estonie — Küberturvalisuse seaduse ja teiste seaduste muutmise seadus, Riigi Teataja décembre 2025 ; entrée en vigueur le 1er janvier 2026. Autorité compétente : Riigi Infosüsteemi Amet (RIA). Périmètre élargi d'environ 3 500 entités à un volume compris entre 5 500 et 7 000. Période transitoire de trois ans pour la conformité complète.
• Finlande — Kyberturvallisuuslaki (Säädöskokoelma 124/2025), adoptée le 13 mars 2025 ; entrée en vigueur le 8 avril 2025. Modèle décentralisé : autorités sectorielles de supervision, avec Liikenne- ja viestintävirasto Traficom hébergeant le National Cyber Security Centre comme point de contact unique. Échéance d'enregistrement le 8 mai 2025 ; modèle opérationnel de gestion des risques attendu pour le 8 juillet 2025.
• Allemagne — NIS-2-Umsetzungsgesetz (NIS2UmsuCG), BGBl. 2025 I Nr. 301, publiée le 5 décembre 2025 ; entrée en vigueur le 6 décembre 2025. Adoption au Bundestag le 13 novembre 2025 ; au Bundesrat le 21 novembre 2025. Autorité compétente : Bundesamt für Sicherheit in der Informationstechnik (BSI). Environ 29 500 entités réparties sur 18 secteurs. Le retard de 14 mois après l'échéance s'explique par l'effondrement de la coalition tricolore (Ampel) à la fin de 2024.
• Grèce — Νόμος 5160/2024, ΦΕΚ A' 188 du 27 novembre 2024 ; entrée en vigueur le 28 novembre 2024. Autorité compétente : Εθνική Αρχή Κυβερνοασφάλειας (Autorité nationale de cybersécurité — NCSA), instituée par la loi 5086/2024, sous la tutelle du ministre de la Gouvernance numérique. Décisions ministérielles d'application 1645/2025 et 1689/2025 publiées au cours de 2025.
• Hongrie — 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (loi LXIX de 2024 sur la cybersécurité de la Hongrie), Magyar Közlöny n° 130 du 20 décembre 2024 ; entrée en vigueur le 1er janvier 2025. Abroge la loi XXIII de 2023. Autorité compétente : Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Décret gouvernemental d'application 418/2024.
• Italie — Decreto Legislativo 4 settembre 2024, n. 138, Gazzetta Ufficiale Serie Generale n. 230 du 1er octobre 2024 ; entrée en vigueur le 16 octobre 2024. Autorité compétente : Agenzia per la Cybersicurezza Nazionale (ACN), assistée d'autorités sectorielles. L'Italie a ajouté des secteurs au-delà du minimum prévu par la directive et exploite un enregistrement annuel glissant via la plateforme ACN à partir du 1er décembre 2024.
• Lettonie — Nacionālās kiberdrošības likums (NKDL), Latvijas Vēstnesis juin 2024 ; entrée en vigueur le 1er septembre 2024. Autorité compétente : Nacionālais kiberdrošības centrs (Centre national de cybersécurité) au sein du ministère de la Défense ; CERT.LV assure la réponse aux incidents. Auto-déclaration au registre attendue pour le 1er avril 2025 ; nomination du responsable de la cybersécurité et première auto-évaluation pour le 1er octobre 2025.
• Lituanie — Kibernetinio saugumo įstatymas (modifié), Teisės aktų registras juillet 2024 ; entrée en vigueur le 18 octobre 2024. Autorité compétente : Nacionalinis kibernetinio saugumo centras (NKSC), placé sous le ministère de la Défense nationale. Le décret gouvernemental d'application adopté le 6 novembre 2024 précise les exigences techniques et organisationnelles.
• Pologne — Ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, Dziennik Ustaw du 2 mars 2026 ; entrée en vigueur le 2 avril 2026. Adoption au Sejm le 23 janvier 2026 ; au Senat le 28 janvier 2026 ; signature présidentielle le 19 février 2026. Les CSIRT (CSIRT GOV, CSIRT MON, CSIRT NASK) opèrent sous l'autorité du ministre du Numérique. Période d'adaptation de 12 mois jusqu'au 2 avril 2027.
• Roumanie — Ordonanța de Urgență 155/2024, Monitorul Oficial 1334 du 30 décembre 2024 ; entrée en vigueur en janvier 2025. Approuvée et amendée par la loi 124/2025, en vigueur depuis le 10 juillet 2025. Autorité compétente : Directoratul Național de Securitate Cibernetică (DNSC). La Roumanie a transposé par ordonnance d'urgence pour répondre à la pression de l'échéance ; échéance d'enregistrement de 30 jours déclenchée en septembre 2025.
• Slovaquie — Zákon č. 366/2024 Z. z., Zbierka zákonov du 19 décembre 2024 ; entrée en vigueur le 1er janvier 2025. Modifie la loi 69/2018 sur la cybersécurité existante plutôt que de la remplacer. Autorité compétente : Národný bezpečnostný úrad (NBÚ) ; SK-CERT assure la réponse aux incidents. Environ 10 000 entités dans le périmètre ; enregistrement JISKB attendu pour le 1er mars 2025 ; conformité complète pour le 31 décembre 2026.
• Slovénie — Zakon o informacijski varnosti (ZInfV-1), Uradni list RS št. 40/25 du 4 juin 2025 ; entrée en vigueur le 19 juin 2025. Le texte transpose également le Cyber Solidarity Act et le Cybersecurity Act (règlement (UE) 2025/38). Autorité compétente : Urad Vlade Republike Slovenije za informacijsko varnost (URSIV) ; SI-CERT assure la réponse aux incidents. A fait l'objet d'une procédure d'infraction ouverte par la Commission en mai 2025. Première échéance d'auto-enregistrement le 19 décembre 2025.
• Suède — Cybersäkerhetslag (SFS 2025:1506), promulguée en décembre 2025 ; entrée en vigueur le 15 janvier 2026. Abroge la précédente loi sur la sécurité de l'information (2018:1174). Modèle décentralisé piloté par les secteurs : autorités sectorielles de supervision (par exemple PTS pour les télécoms), avec la MSB (Myndigheten för samhällsskydd och beredskap) comme coordinateur. L'ordonnance complémentaire de cybersécurité désigne les organismes de supervision.

Transposé mais entrée en vigueur en attente

• Autriche — Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025 du 23 décembre 2025 ; entrée en vigueur le 1er octobre 2026 (vacatio legis de neuf mois). Autorité compétente : Bundesministerium für Inneres (BMI). Contexte important : un précédent projet « NISG 2024 » avait été REJETÉ par le Conseil national le 3 juillet 2024 ; un nouveau gouvernement de coalition a dû déposer le projet de seconde tentative, ce qui explique le long retard.
• Portugal — Decreto-Lei n.º 125/2025, Diário da República du 4 décembre 2025 ; entrée en vigueur le 3 avril 2026 (différé de 120 jours). Approuve le nouveau Regime Jurídico da Cibersegurança. Autorité compétente : Centro Nacional de Cibersegurança (CNCS). Période d'adaptation de 12 mois : les entités peuvent solliciter une suspension temporaire des sanctions durant la première année sur démonstration d'un effort de conformité de bonne foi.

Transposé (instrument publié, entrée en vigueur ministérielle en attente)

• Malte — Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order, 2025 — Subsidiary Legislation 460.41 (Legal Notice 71 of 2025), publié le 8 avril 2025. Autorité compétente : Critical Infrastructure Protection (CIP) Department, rattaché au Ministry for Home Affairs. Les dispositions de fond deviennent applicables à des dates fixées par le Ministre via des avis d'entrée en vigueur (commencement notices).

En procédure législative (cinq États membres)

• France — Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (le « projet de loi Résilience ») qui combine, en un texte unique de transposition, NIS2, la directive REC sur la résilience des entités critiques et le règlement DORA. Première lecture au Sénat en mars 2025 ; vote en commission spéciale à l'Assemblée nationale le 10 septembre 2025. Adoption définitive désormais attendue lors de la session extraordinaire de juillet 2026 ; décrets d'application de l'ANSSI attendus au T2 2026. Autorité compétente désignée : Agence nationale de la sécurité des systèmes d'information (ANSSI). L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026 comme document technique de référence préparatoire.
• Irlande — National Cyber Security Bill 2024 (General Scheme publié le 30 août 2024). Les élections législatives irlandaises de 2024 ont interrompu le calendrier législatif ; l'examen prélégislatif est en cours. A fait l'objet d'un avis motivé de la Commission le 7 mai 2025. Autorité compétente désignée dans le projet : National Cyber Security Centre (NCSC), avec des régulateurs sectoriels dont ComReg.
• Luxembourg — Projet de loi 8364, déposé à la Chambre des Députés le 13 mars 2024 ; avis complémentaire du Conseil d'État de décembre 2025. En attente d'adoption par la Chambre en mai 2026. A fait l'objet d'un avis motivé de la Commission le 7 mai 2025. Autorité compétente désignée dans le projet : Institut Luxembourgeois de Régulation (ILR).
• Pays-Bas — Cyberbeveiligingswet (Cbw), Wetsvoorstel 36764. Adopté par la Tweede Kamer le 15 avril 2026 ; vote de la Eerste Kamer en attente. Entrée en vigueur visée au 1er juillet 2026. À noter : le texte s'intitule Cyberbeveiligingswet, et NON « Wbni2 » — il remplace l'actuelle Wbni plutôt que d'en prolonger l'intitulé. Le projet parallèle Wet weerbaarheid kritieke entiteiten (Wwke) transpose la directive REC. Autorité compétente : Nationaal Cyber Security Centrum (NCSC), rattaché au ministère de la Justice et de la Sécurité, avec des régulateurs sectoriels.
• Espagne — Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Le Conseil des ministres a approuvé l'avant-projet le 14 janvier 2025 ; débat parlementaire en attente devant les Cortes Generales en mai 2026. A fait l'objet d'un avis motivé de la Commission le 7 mai 2025 ; procédure d'infraction ouverte en novembre 2024. L'avant-projet institue un nouveau Centro Nacional de Ciberseguridad (CNC) sous l'autorité du Secrétariat général de la Présidence, tandis que CCN-CERT, INCIBE-CERT et ESPDEF-CERT conservent leurs attributions sectorielles.

Plafonds de sanctions à travers les États membres

La quasi-totalité des actes de transposition reprend mot pour mot les plafonds minimaux de la directive : entités essentielles — 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu ; entités importantes — 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu (article 34, paragraphes 4 et 5, de NIS2). Les variations nationales sont limitées et de nature procédurale plutôt que liées au plafond : la Hongrie ajoute une structure de plafond administratif comprise entre 50 et 350 millions de HUF, tandis que la Roumanie exprime ses plafonds à la fois en euros et en pourcentage. Lorsque des États membres ont laissé subsister des maxima sectoriels antérieurs hérités de la législation pré-NIS2 (par exemple dans l'énergie ou les télécoms), ceux-ci coexistent en règle générale avec les plafonds NIS2 plutôt que de s'y substituer. Retenez les minima de la directive comme hypothèse de modélisation de référence et faites vérifier toute superposition nationale spécifique par un conseil local.

Activité d'infraction de la Commission européenne

Le 28 novembre 2024, la Commission a adressé des lettres de mise en demeure à 23 États membres pour défaut de notification complète de la transposition de NIS2 (tous sauf la Belgique, la Croatie, l'Italie et la Lituanie). Le 7 mai 2025, la Commission est passée au stade de l'avis motivé contre 19 États membres : Bulgarie, Tchéquie, Danemark, Allemagne, Estonie, Irlande, Espagne, France, Chypre, Lettonie, Luxembourg, Hongrie, Pays-Bas, Autriche, Pologne, Portugal, Slovénie, Finlande et Suède. La Bulgarie a été déférée à la CJUE selon les rapports du secteur. Comme les États membres ont continué d'adopter leurs textes de transposition tout au long de 2025 et au début de 2026, plusieurs de ces avis motivés ont été dépassés par les événements ; d'autres (au premier rang desquels ceux visant les cinq États encore en attente) restent d'actualité.

Le champ de mines de la conformité transfrontalière

Si votre organisation opère dans plusieurs États membres, voici les pièges concrets que crée le paysage morcelé actuel.

Piège n° 1 : à quelle autorité compétente notifier ?

En vertu de l'article 23 de NIS2, les incidents importants déclenchent une alerte précoce dans les 24 heures, une notification d'incident dans les 72 heures, et un rapport final dans le mois. L'article 26 fixe les règles de compétence : une entité relève en principe de la compétence de l'État membre où elle est établie ; pour les entités opérant dans plusieurs États membres, l'« établissement principal » est l'État membre dans lequel les décisions de gestion des risques de cybersécurité sont principalement prises. Lorsque ce lieu ne peut pas être déterminé ou se situe hors de l'Union, la compétence revient à l'État membre où s'effectuent les opérations de cybersécurité, et, en dernier recours, à l'État membre comptant le plus grand nombre d'employés. Les entités hors UE qui fournissent des services entrant dans le périmètre doivent désigner un représentant en application de l'article 26, paragraphe 3.

Conséquence pratique : si vous êtes un éditeur SaaS dont le siège est en Allemagne et qui opère en France, en Italie et en Espagne, une panne cloud paneuropéenne déclenche une notification au BSI comme autorité compétente principale. La nécessité de notifications secondaires à l'ANSSI, à l'ACN, à l'INCIBE ou à un régulateur sectoriel dépend de la structure des entités, des dispositifs de point de contact prévus par chaque droit national et des éventuelles surcouches sectorielles. La démarche la plus prudente consiste à établir, en amont de tout incident, une matrice des obligations de notification pays par pays.

Piège n° 2 : des seuils de périmètre différents

NIS2 fixe des critères minimaux de périmètre (entités moyennes et grandes des secteurs énumérés). L'article 2, paragraphe 2, autorise expressément les États membres à étendre le périmètre, et plusieurs s'en sont saisis. L'Italie a ajouté des secteurs au-delà du minimum directif dans le D.Lgs. 138/2024. La NIS2UmsuCG allemande couvre environ 29 500 entités réparties sur 18 secteurs. La Hongrie superpose une couche supplémentaire de « classes de sécurité » (basique, significative, élevée) à la distinction entre entités essentielles et importantes. L'extension de périmètre estonienne double approximativement la population d'entités régulées par rapport à NIS1.

Une organisation peut être hors périmètre dans son pays d'origine et y entrer pour ses activités dans un État membre voisin. Considérer « nous sommes trop petits pour NIS2 » sur la seule base du texte de la directive constitue un piège. Vérifiez toujours séparément le droit national applicable.

Piège n° 3 : des plafonds de sanctions majoritairement uniformes — mais un détail procédural divergent

Comme indiqué plus haut, la quasi-totalité des États membres a appliqué les minima directifs à la lettre. La variation substantielle est procédurale plutôt qu'absolue : différences dans le mode de calcul des amendes par rapport au chiffre d'affaires, dans les facteurs pris en compte par les autorités pour fixer le quantum, dans la possibilité d'astreintes journalières en cas de non-respect d'injonctions contraignantes, et dans l'articulation entre la procédure administrative et la responsabilité pénale. Lorsque vous modélisez votre investissement de conformité, prenez les plafonds directifs comme plancher et faites vérifier les mécanismes aggravants nationaux par un conseil local.

Piège n° 4 : la responsabilité du conseil d'administration diverge

L'article 20, paragraphe 1, de NIS2 impose aux organes de direction des entités essentielles et importantes d'approuver les mesures de gestion des risques de cybersécurité, de superviser leur mise en œuvre, et prévoit qu'ils peuvent être tenus responsables des manquements. Les États membres déclinent cette obligation de manière différenciée. Le D.Lgs. 138/2024 italien dispose expressément que l'ACN peut prononcer, à titre de sanction administrative accessoire, une « incapacité temporaire à exercer des fonctions de direction » à l'encontre des membres du conseil d'administration des entités essentielles récidivistes. La NIS2UmsuCG allemande prévoit la responsabilité personnelle des Geschäftsführer et Vorstand, y compris d'éventuelles amendes personnelles et des interdictions temporaires d'exercer des fonctions de direction. La Cyberbeveiligingswet néerlandaise (telle qu'adoptée par la Tweede Kamer en avril 2026) permet d'escalader des injonctions correctives jusqu'aux amendes et à la disqualification des dirigeants responsables en cas de non-conformité grave.

L'exposition personnelle de votre directeur général ou de votre RSSI dépend donc en partie du lieu de votre siège social et en partie du seuil de gravité retenu par l'autorité nationale. Faites cartographier ces points en amont ; ne les découvrez pas en cours de procédure de sanction.

Piège n° 5 : canaux de notification et langues

Chaque autorité nationale exploite son propre portail de signalement : le Melde- und Informationsportal du BSI en Allemagne, la plateforme MonEspaceNIS2 de l'ANSSI en France (lorsque le projet de loi sera adopté), la plateforme de l'ACN en Italie, le système INCIBE-CERT en Espagne, NCSC.nl et english.ncsc.nl aux Pays-Bas. La plupart de ces portails fonctionnent essentiellement dans la langue nationale ; le NCSC néerlandais fournit explicitement un portail entièrement bilingue néerlandais/anglais. Pour les autres États membres, la soumission en langue nationale doit être présumée sauf indication contraire des documents d'orientation de l'autorité. Un incident paneuropéen exige donc, en règle générale, une notification multilingue dans la même fenêtre de 24 heures. Disposer de modèles pré-traduits de notification d'incident et de manuels de procédure en langues locales fait gagner des heures décisives pendant un événement réel.

Un cadre pratique pour évoluer dans le paysage morcelé

Face à cette complexité, que doit concrètement faire une entreprise transfrontalière ? Voici un cadre en sept étapes qui fonctionne quels que soient votre pays d'origine ou votre secteur.

Étape 1 : cartographier votre empreinte d'entités et d'activités dans l'UE

Commencez par un inventaire : où êtes-vous immatriculé, où avez-vous des salariés, où sont vos clients, où sont vos sous-traitants ? Pour chaque pays où vous avez une présence matérielle, vous devez déterminer si NIS2 s'applique et quel régime national vous gouverne. Ce n'est pas un exercice purement juridique — il requiert l'apport de votre directeur financier, de votre RSSI et de votre direction des opérations. Beaucoup d'organisations découvrent avec surprise qu'une structure de holding luxembourgeoise déclenche les obligations NIS2 luxembourgeoises alors même que l'activité opérationnelle est ailleurs.

Étape 2 : identifier votre établissement principal au sens de l'article 26

En vertu de l'article 26 de NIS2, pour la plupart des entités, l'« établissement principal » est l'État membre de l'UE où les décisions de gestion des risques de cybersécurité sont principalement prises. Il s'agit souvent de votre siège, mais cela peut diverger — par exemple si votre SOC ou la direction de la sécurité de l'information est implanté dans un autre pays. Faites établir cette détermination par écrit, validée par votre direction juridique. Elle conditionne votre relation primaire avec l'autorité compétente et simplifie substantiellement la notification d'incident.

Étape 3 : construire une matrice de conformité par pays

Pour chaque État membre où vous opérez, élaborez une matrice de conformité structurée recensant :

• Statut juridique (transposé et en vigueur / transposé en attente d'entrée en vigueur / en procédure législative)
• Nom de l'autorité compétente et canaux de contact
• Délais de notification (alerte précoce à 24 heures, notification à 72 heures, rapport final dans le mois)
• Extensions locales du périmètre au-delà des minima directifs
• Plafonds de sanctions applicables et éventuelles surcouches procédurales
• Mécanismes de responsabilité du conseil d'administration (amendes sur l'entité, amendes personnelles, interdictions d'exercer des fonctions de direction)
• Documents d'orientation sectorielle publiés par l'autorité nationale

Cette matrice constitue votre centre de pilotage opérationnel. Lorsqu'un incident survient, votre équipe de réponse l'ouvre et sait précisément qui notifier, quand, et comment.

Étape 4 : établir la gestion des risques de cybersécurité au socle de la directive

L'article 21 de NIS2 exige des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » dans dix domaines spécifiques : politiques d'analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité dans l'acquisition, le développement et la maintenance des réseaux et systèmes d'information, mesure de l'efficacité, formation, cryptographie, contrôle d'accès et authentification multifacteur. Construire votre programme de référence pour répondre au texte de la directive — et non à la transposition d'un seul pays — est l'approche la plus sûre. Les lois nationales superposent des spécificités supplémentaires, mais le socle directif est uniforme.

Étape 5 : mettre à l'épreuve votre capacité de notification d'incident

L'obligation d'alerte précoce à 24 heures constitue le test opérationnel le plus tranchant de votre préparation à NIS2. La plupart des organisations sous-estiment la rapidité avec laquelle ce délai court : il commence dès que vous avez connaissance d'un incident important, et non lorsque votre équipe de réponse est entièrement mobilisée. Vous avez besoin de documents préparatoires, de chemins de décision pré-autorisés, et d'un modèle de notification par État membre où vous opérez.

Organisez un exercice de simulation sur table. Simulez un incident important dans votre scénario multi-pays le plus complexe et mesurez le délai avant la première notification. Si vous dépassez 20 heures, vous avez un problème.

Étape 6 : intégrer la sécurité de la chaîne d'approvisionnement

L'une des nouveautés les plus exigeantes de NIS2 par rapport à NIS1 est l'extension formelle aux fournisseurs. L'article 21, paragraphe 2, point d), impose la « sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ». Cela suppose : une cartographie de vos fournisseurs critiques, l'intégration de clauses de sécurité dans les contrats, la conduite de revues régulières ou l'acceptation d'alternatives telles que des certifications par tiers, et le maintien de procédures d'escalade si un fournisseur subit un incident. Les États membres et la politique européenne de cybersécurité orientent de plus en plus les organisations vers les schémas européens de certification de cybersécurité plutôt que vers des questionnaires fournisseurs ouverts ; concevez votre programme fournisseurs de manière à pouvoir absorber cette trajectoire.

Étape 7 : suivre les procédures d'infraction et la jurisprudence émergente

Les procédures d'infraction de la Commission européenne contre les États membres en retard ne relèvent pas de l'anecdote — elles signalent où la transposition est sur le point de se cristalliser et où l'application risque de s'intensifier. Les États sous pression de la Commission ont tendance à transposer avec des périodes transitoires raccourcies pour démontrer leur bonne foi. Suivre ces procédures via les communiqués de la Commission (et le flux quotidien EUR-Lex du Journal officiel pour les actes nationaux de transposition nouvellement publiés) permet d'anticiper les zones où les attentes de conformité sont sur le point de se durcir. Suivez la Cour de justice de l'Union européenne (CJUE) pour les premiers renvois préjudiciels relatifs à NIS2 ; les premiers arrêts, lorsqu'ils interviendront, redessineront la lecture des juridictions nationales en matière d'application.

Questions fréquentes

Mon pays n'a pas encore transposé NIS2. Puis-je différer la conformité ?

Non. Trois raisons. Premièrement, les cinq États membres restants sont sous pression de la Commission (avis motivés du 7 mai 2025), et plusieurs devraient transposer avec des périodes transitoires courtes. Deuxièmement, si vous opérez dans un pays ayant déjà transposé, ces obligations vous lient dès à présent pour cette juridiction. Troisièmement, NIS2 représente un socle d'hygiène de cybersécurité que le marché — clients, auditeurs, assureurs — traite déjà comme une pratique attendue. Différer pour s'aligner sur l'échéance officielle de votre pays d'origine est un calcul à courte vue.

Je suis une petite entreprise de moins de 50 salariés. Suis-je hors périmètre ?

Probablement, mais vérifiez. La directive utilise la définition européenne de la PME : les entités moyennes ont 50 salariés ou plus, ou un chiffre d'affaires d'au moins 10 M€. Néanmoins, les droits nationaux peuvent étendre le périmètre en application de l'article 2, paragraphe 2, pour des secteurs spécifiques, et certains incluent expressément des entités plus petites pour des services critiques (micro-réseaux énergétiques, certains prestataires de services cloud et services managés, certaines infrastructures numériques). Vérifiez la transposition de votre pays d'origine et de tout pays dans lequel vous avez des activités matérielles.

Quelle est la mesure la plus importante à prendre ce trimestre ?

Désignez votre établissement principal au sens de l'article 26 et documentez la justification. Cela débloque le reste de votre programme de conformité : cela vous indique quelle autorité nationale est votre interlocuteur principal, quel droit national est votre texte directeur, et où se situe votre exposition au niveau du conseil d'administration. Les organisations qui sautent cette étape se retrouvent avec des programmes de conformité parallèles et redondants à travers plusieurs juridictions, tout en manquant leurs obligations primaires de notification. Cela demande deux semaines de travail bien fait et épargne des trimestres entiers de difficultés.

Avons-nous besoin d'un DPO distinct pour NIS2 (comme pour le RGPD) ?

Non, NIS2 n'exige pas de délégué à la protection des données. La directive impose une responsabilité de l'organe de direction au titre de l'article 20 et la formation de l'ensemble du personnel à la cybersécurité. La plupart des organisations matures disposent d'un RSSI ou d'un responsable de la sécurité de l'information qui exerce le rôle opérationnel équivalent. Ce qui compte, c'est que la responsabilité soit formellement attribuée, documentée et dotée de ressources — non l'intitulé spécifique.

Quelles sont les premières amendes NIS2 observées ?

Au mois de mai 2026, aucune amende administrative NIS2 majeure visant nommément des entités n'a été rendue publique. L'activité de mise en application s'est jusqu'ici limitée au stade des notifications de supervision. Le BSI allemand a commencé à émettre des injonctions formelles (Anordnungen) au quatrième trimestre 2025 — environ 47 notifications adressées à des entités n'ayant pas procédé à leur enregistrement ou à la désignation d'un point de contact, en priorisant l'énergie et les infrastructures numériques. L'ACN italienne a identifié près de 2 000 entités qui n'ont pas finalisé leur enregistrement annuel à l'échéance du 28 février 2026 et conduit à leur encontre des procédures d'application. La Commission a transmis des avis motivés à 19 États membres pour défaut de transposition complète, ce qui constitue une forme distincte (au niveau étatique) d'application. Les premières amendes matérielles substantielles sont attendues au cours de 2026 ; le motif émergent à travers ces notifications de supervision est cohérent : les autorités ne sanctionnent pas encore les imperfections de cybersécurité, mais elles sanctionnent les manquements documentaires et le non-respect des échéances d'enregistrement.

Comment rester à jour quand le paysage évolue aussi vite ?

Trois sources à suivre en priorité : les communiqués de presse de la Commission européenne (pour les procédures d'infraction et les actes d'exécution), les publications de l'ENISA (lignes directrices techniques sectorielles) et les rapports annuels de votre autorité nationale (BSI, ANSSI, ACN, NCSC et équivalents). Évitez de vous reposer sur les synthèses de cabinets de conseil, qui vieillissent rapidement — l'environnement bouge trop vite. Abonnez-vous directement aux flux RSS officiels. Pour les actualités réglementaires, le flux quotidien EUR-Lex du Journal officiel est la source de référence pour les actes nationaux de transposition nouvellement publiés — vous les recevez le jour même de leur publication, et non lorsqu'un consultant en parle des semaines plus tard.

Comment NIS2 s'articule-t-il avec le RGPD lorsqu'un incident implique des données personnelles ?

Vous devez notifier au titre des deux régimes, à des autorités différentes, sur des calendriers différents. L'article 33 du RGPD impose une notification à votre autorité de protection des données dans les 72 heures. L'article 23 de NIS2 impose une alerte précoce à l'autorité compétente de cybersécurité dans les 24 heures. Il s'agit d'obligations distinctes, devant des autorités distinctes, assorties d'amendes distinctes. Construisez votre runbook d'incident pour déclencher les deux flux en parallèle dès l'instant de la prise de connaissance.

Ce qu'il faut retenir

NIS2 devait harmoniser le droit européen de la cybersécurité. En 2026, elle a harmonisé le socle (mesures de l'article 21, calendrier de notification de l'article 23, plafonds de l'article 34) mais fragmenté le détail procédural. Pour les entreprises transfrontalières, votre programme de conformité doit donc être nativement aligné sur la directive et localement adapté — bâti sur le texte NIS2 et configuré État membre par État membre. Les organisations qui s'en sortent le mieux sont celles qui ont investi tôt dans une matrice pays par pays, désigné formellement leur établissement principal et bâti des capacités de réponse aux incidents capables d'atteindre le seuil de notification à 24 heures simultanément à travers plusieurs juridictions.

Le paysage finira par converger à mesure que les cinq États membres restants adopteront leurs textes de transposition et que la Commission publiera des actes d'exécution. D'ici là, traiter NIS2 comme une obligation unique et uniforme vous coûtera — en amendes, en perturbation opérationnelle, et en exposition au niveau du conseil d'administration. Le traiter comme un maillage de régimes nationaux interconnectés, ancrés sur une directive commune, est plus exigeant, mais c'est la seule manière de se conformer effectivement.

L'évaluation Viktoria Compliance couvre précisément ce maillage, pays par pays. Notre questionnaire adaptatif compare votre structure d'entités à l'état vérifié de la transposition de chaque État membre où vous opérez et signale les obligations spécifiques qui vous lient aujourd'hui, et non le texte directif dans l'abstrait. Si vous n'avez pas encore passé votre empreinte par cette évaluation, c'est le moment — la mise en application n'arrive pas, elle est là.

Sources

Toutes les données de transposition par État membre ont été vérifiées en mai 2026 sur les journaux officiels nationaux, les publications des autorités compétentes désignées et le traceur de transposition NIS2 de la Commission européenne. Les dispositions de la directive NIS2 sont citées d'après EUR-Lex, directive (UE) 2022/2555.

• Directive NIS2 (UE) 2022/2555 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
• Traceur de transposition NIS de la Commission européenne — https://digital-strategy.ec.europa.eu/en/policies/nis-transposition
• Autriche — BGBl. I Nr. 94/2025 (NISG 2026) : https://ris.bka.gv.at/eli/bgbl/I/2025/94/20251223
• Belgique — CCB NIS2 : https://ccb.belgium.be/regulation/nis2
• Bulgarie — analyse des amendements à la loi sur la cybersécurité : https://cms.law/en/bgr/legal-updates/bulgaria-adopts-nis2-aligned-cybersecurity-law
• Croatie — Narodne novine 14/2024 : https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
• Chypre — Digital Security Authority : https://www.dsa.cy
• République tchèque — NÚKIB : https://www.nukib.gov.cz
• Danemark — Lov nr. 434/2025 : https://www.retsinformation.dk/eli/lta/2025/434
• Estonie — portail NIS2 du RIA : https://nis2.ee/
• Finlande — annonce de Traficom sur la loi de cybersécurité : https://traficom.fi/en/news/cybersecurity-act-passed-parliament-obligations-under-nis-2-directive-enter-force-8-april-2025
• France — ANSSI Directive NIS 2 : https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2/
• Allemagne — BGBl. 2025 I Nr. 301 : https://www.recht.bund.de/bgbl/1/2025/301/VO.html
• Grèce — Autorité nationale de cybersécurité : https://www.ncsa.gov.gr
• Hongrie — SZTFH : https://sztfh.hu
• Irlande — General Scheme du National Cyber Security Bill 2024 : https://www.gov.ie/en/department-of-justice-home-affairs-and-migration/publications/general-scheme-of-the-national-cyber-security-bill-2024/
• Italie — ACN Normativa : https://www.acn.gov.it/portale/en/nis/la-normativa
• Lettonie — Centre national de cybersécurité : https://www.cyber.gov.lv/lv/nis2
• Lituanie — loi de cybersécurité : https://kam.lt/kibernetinio-saugumo-istatymas/
• Luxembourg — Chambre des Députés, projet de loi 8364 : https://www.chd.lu/en/directive-NIS2-cybersecurite
• Malte — analyse du Legal Notice 71 of 2025 : https://gvzh.mt/insights/nis2-malta-cybersecurity-legal-notice-71-2025/
• Pays-Bas — Eerste Kamer Cyberbeveiligingswet 36764 : https://www.eerstekamer.nl/wetsvoorstel/36764_cyberbeveiligingswet
• Pologne — amendement à la loi de cybersécurité au Sejm : https://www.gov.pl/web/cyfryzacja/sejm-uchwalil-nowelizacje-ustawy-o-krajowym-systemie-cyberbezpieczenstwa
• Portugal — Decreto-Lei 125/2025 : https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401
• Roumanie — DNSC : https://www.dnsc.ro
• Slovaquie — NBÚ : https://www.nbu.gov.sk
• Slovénie — Uradni list ZInfV-1 : https://www.uradni-list.si/glasilo-uradni-list-rs/vsebina/2025-01-1571
• Espagne — CCN NIS2 : https://www.ccn.cni.es/es/normativa/directiva-nis2
• Suède — SFS 2025:1506 Cybersäkerhetslag : https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/cybersakerhetslag-20251506_sfs-2025-1506/
• NCSC Pays-Bas, signalement d'incidents : https://www.ncsc.nl/cyberincidenten-melden-bij-het-ncsc
• BSI Allemagne, signalement d'incidents : https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Meldung/Anleitung-Meldung_node.html
• ANSSI France, notifications réglementaires : https://cyber.gouv.fr/notifications-reglementaires
• INCIBE Espagne, FAQ NIS2 : https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2