Directive NIS2 : procédure de la Commission européenne contre la France, référentiel ANSSI ReCyF, risques d’astreintes et chantiers prioritaires pour les DSI (audit, gouvernance, budget, articulation avec DORA et IA).
NIS2 : la France devant la CJUE, pourquoi les DSI ne peuvent plus attendre

Procédure de la Commission européenne et risque d’astreintes pour la France

La procédure engagée par la Commission européenne contre la France sur la directive NIS2 change brutalement le rapport de force réglementaire. Par un recours en manquement annoncé dans un communiqué du 26 janvier 2024 (affaire relative à la directive (UE) 2022/2555), la Commission a saisi la Cour de justice de l’Union européenne (CJUE) pour défaut de transposition, en visant la France mais aussi d’autres États membres, avec à la clé des astreintes journalières et des sanctions financières pouvant atteindre plusieurs millions d’euros. Pour un DSI, cette mise en demeure européenne signifie que la conformité en cybersécurité ne relève plus d’un projet optionnel mais d’un impératif de sécurité juridique et budgétaire, directement suivi par Bruxelles.

Le cœur du dossier tient à ce décalage entre l’obligation de transposition de la directive NIS2 et l’absence de loi nationale opérationnelle. La France a engagé un projet de loi de transposition, parfois présenté comme une future loi de résilience numérique, mais son adoption par l’Assemblée nationale reste incertaine alors que la Commission européenne accélère. Tant que le texte de loi n’est pas voté, les entités concernées naviguent entre le droit européen issu de la directive, le RGPD déjà en vigueur et les futures exigences de sécurité, sans visibilité claire sur la trajectoire de mise en conformité attendue ni sur le calendrier précis des contrôles.

Les États membres déjà en avance sur la cybersécurité des réseaux et systèmes d’information verrouillent leur avantage compétitif pendant que la France s’expose à la Cour de justice de l’Union européenne. Chaque mois de retard fragilise la résilience des infrastructures critiques françaises et renchérit la facture, en euros bien réels, pour les entités essentielles et importantes qui devront rattraper plusieurs années de mise en conformité en quelques exercices budgétaires. Pour les COMEX, le sujet n’est plus un débat de juristes mais une ligne de P&L, avec un risque de sanctions financières cumulées à d’éventuelles amendes RGPD en cas de manquement à la sécurité et à l’obligation de notification.

Repères chronologiques pour les DSI
• 2022 : adoption de la directive (UE) 2022/2555 (NIS2) par le législateur européen.
• 2023 : entrée en vigueur de la directive et lancement des travaux nationaux de transposition.
• 26 janvier 2024 : communiqué de la Commission annonçant le recours en manquement contre plusieurs États, dont la France.
• 2024-2025 : période de rattrapage, avec risque d’astreintes et de contentieux devant la CJUE si la transposition reste incomplète.

ANSSI, ReCyF et obligations déjà applicables malgré l’absence de texte

Face à cette transposition en panne, l’ANSSI a publié en 2024 le référentiel ReCyF (Référentiel de cybersécurité pour les entités françaises) pour donner un cadre opérationnel aux organisations françaises. Ce document officiel, disponible sur le site de l’Agence nationale de la sécurité des systèmes d’information, permet aux entités publiques et privées de structurer leur mise en conformité NIS2 sans attendre le texte législatif, en alignant gouvernance, politique de sécurité et notification des incidents sur les attentes européennes. Pour un DSI, s’appuyer dès maintenant sur ce référentiel revient à traiter la future réglementation comme un chantier de résilience à long terme, et non comme une simple réponse à une injonction de la Commission européenne ou à une pression ponctuelle de l’ANSSI.

Selon les estimations publiées par la Commission dans l’étude d’impact accompagnant la directive, plus de 15 000 entités françaises sont potentiellement concernées, des PME aux hôpitaux en passant par les prestataires numériques et les administrations. Parmi elles, les entités essentielles opérant des infrastructures critiques devront démontrer une sécurité renforcée, une capacité de résilience élevée et une gouvernance claire de la cybersécurité, y compris pour les chaînes de sous-traitance et les services cloud. Les obligations de notification des incidents, déjà connues via le RGPD pour les violations de données, s’étendent ici à un périmètre plus large de sécurité des réseaux et systèmes d’information, ce qui impose de revoir les processus internes, les contrats de sous-traitance et les outils de supervision.

En pratique, plusieurs obligations s’appliquent déjà, même sans loi de transposition formellement adoptée par la France. L’analyse de risques, la politique de sécurité, la gestion des vulnérabilités et la notification des incidents majeurs relèvent déjà des bonnes pratiques attendues par l’ANSSI, par la Commission européenne et par la CJUE en cas de contentieux. Les DSI qui structurent dès maintenant leur programme de conformité autour du ReCyF, de la future loi de résilience et des exigences RGPD réduisent le risque de devoir engager, dans l’urgence, des investissements de plusieurs millions d’euros pour rattraper un retard accumulé et justifier, a posteriori, leurs choix techniques et organisationnels.

Pour illustrer l’ordre de grandeur, une entité essentielle de 2 000 salariés qui part d’un niveau de maturité moyen peut facilement devoir consacrer entre 3 et 5 % de son budget IT annuel pendant trois ans à la mise à niveau (renforcement des équipes, outils de détection, audits, formation), soit de 1 à 2 millions d’euros au total. À l’inverse, une préparation progressive, étalée sur plusieurs exercices, permet de lisser ces dépenses et de limiter l’exposition aux sanctions financières et aux contentieux devant la Cour de justice. Les DSI peuvent ainsi transformer une contrainte réglementaire en levier de résilience, plutôt qu’en simple coût de conformité imposé par l’Union européenne, comme le résumait récemment un RSSI de groupe : « nous avons choisi d’anticiper NIS2 pour sécuriser notre modèle, pas seulement pour cocher une case ».

Chantiers prioritaires pour les DSI : audit, gouvernance et articulation avec DORA et l’IA

Sur le terrain, la pression réglementaire européenne se traduit par des arbitrages budgétaires immédiats pour les directions informatiques. Beaucoup d’entreprises ont gelé leurs investissements en cybersécurité dans l’attente du texte français, créant un décalage avec les États membres déjà alignés sur la directive NIS2 et sur les futures exigences du règlement DORA pour le secteur financier. Ce gel est un faux calcul, car il reporte la dépense sans réduire le risque, alors que les infrastructures critiques et les entités essentielles restent exposées à des attaques de plus en plus sophistiquées, parfois dopées à l’intelligence artificielle et à l’automatisation des campagnes malveillantes.

Le premier chantier prioritaire consiste à lancer un audit de cybersécurité structuré, au-delà d’un simple scan automatisé. Un audit complet, tel que décrit dans une analyse sur l’audit de cybersécurité en entreprise, doit couvrir la gouvernance, les processus de notification des incidents, la gestion des prestataires et la cartographie des systèmes critiques. Ce type d’audit permet de quantifier les écarts de conformité, d’anticiper les exigences de la future loi de résilience et de prioriser les investissements en euros sur les mesures qui améliorent réellement la sécurité et la résilience opérationnelle, avec des plans d’action chiffrés et des jalons trimestriels.

Encadré pratique – 5 priorités immédiates pour un DSI

  1. Cartographier les actifs critiques (systèmes, données, prestataires) et identifier les dépendances clés, avec une revue annuelle.
  2. Mettre à jour l’analyse de risques en intégrant les scénarios d’incidents majeurs et les obligations de notification, d’ici 6 à 9 mois.
  3. Formaliser une gouvernance cyber claire (rôles, comités, reporting au COMEX) et un plan de réponse aux crises, testé au moins une fois par an.
  4. Lancer un programme de mise en conformité progressive aligné sur le référentiel ReCyF et les exigences RGPD, avec des jalons semestriels.
  5. Prévoir un budget pluriannuel dédié à la résilience numérique, articulé avec DORA et les futurs textes sur l’IA, en modulant l’effort selon le niveau de maturité (1 à 2 % du budget IT pour une organisation avancée, 3 à 5 % pour une structure en retard).

Deuxième chantier, la gouvernance de la conformité doit intégrer NIS2, DORA, le RGPD et, demain, le futur règlement européen sur l’intelligence artificielle dans une même feuille de route. Les DSI ont intérêt à produire des livres blancs internes qui alignent les exigences de la directive, du règlement DORA et du futur Resilience Act, afin d’éviter les silos réglementaires et les surcoûts de mise en conformité. Cette approche intégrée permet aussi de mieux dialoguer avec les métiers, par exemple en s’appuyant sur des ressources internes pour structurer une présence digitale performante, afin de relier les enjeux de sécurité aux projets de croissance numérique et aux priorités stratégiques du COMEX.

Enfin, la relation avec les autorités devient un actif stratégique pour les grandes entités comme pour les PME. Entre l’ANSSI, la Commission européenne, la CJUE et les autorités de protection des données, les organisations doivent anticiper les contrôles, documenter leur mise en conformité et préparer des scénarios de réponse en cas d’incident majeur. Dans ce contexte, la pression autour de la directive NIS2 n’est pas seulement un dossier juridique ; c’est un test de maturité pour la fonction DSI, qui doit prouver qu’elle sait transformer la contrainte réglementaire en avantage compétitif durable, en démontrant une capacité à piloter la résilience numérique au même niveau que les autres risques stratégiques.

Publié le