NIS 26 min de lectureMis à jour mars 2026

Transposition nationale de NIS 2 : comment les États membres mettent en œuvre la directive

NIS 2 est une directive européenne, ce qui signifie qu'elle fixe des exigences minimales que chaque État membre doit transposer en droit national. Contrairement à un règlement européen (comme le RGPD), qui s'applique directement, une directive donne aux États membres une flexibilité dans la manière dont ils mettent en œuvre les exigences. Cela crée des variations à travers l'UE que les organisations doivent naviguer, particulièrement celles opérant dans plusieurs pays.

Robin Coste

•

Co-founder

Robin is a co-founder of Bastion, bringing extensive experience in compliance automation and security strategy. Previously, he led compliance as a tech lead at Palantir. He helps startups navigate the complexities of SOC 2 and ISO 27001 certification.

SOC 2ISO 27001Compliance AutomationSecurity Strategy

Points clés

Point	Résumé
Délai de transposition	17 octobre 2024
Flexibilité des États membres	Les États peuvent adopter des exigences plus strictes que le minimum de la directive
Variations de périmètre	Certains États peuvent inclure des entités ou secteurs supplémentaires
Structure des autorités	Chaque État désigne sa propre autorité compétente et son CSIRT
Exigences d'enregistrement	Les entités doivent s'enregistrer auprès de leur autorité nationale

Réponse rapide : Chaque État membre de l'UE transpose NIS 2 en droit national, potentiellement en ajoutant des exigences plus strictes ou un périmètre plus large. Les organisations doivent identifier leur autorité nationale, comprendre les détails de mise en œuvre locaux et s'enregistrer là où c'est requis. Les organisations multi-pays doivent se conformer à chaque transposition nationale pertinente.

Comment fonctionne la transposition

Le processus

L'UE adopte la directive NIS 2 (16 janvier 2023)
Les États membres transposent la directive en législation nationale (délai : 17 octobre 2024)
Les lois nationales entrent en vigueur, incorporant les exigences NIS 2 avec des ajouts locaux potentiels
Les autorités nationales commencent la supervision et l'application

Ce que les États doivent inclure

Chaque transposition nationale doit, au minimum :

Mettre en œuvre toutes les mesures de gestion des risques de cybersécurité de l'Article 21
Établir le cadre de signalement des incidents en plusieurs étapes
Définir les autorités compétentes et les CSIRT
Créer un cadre de supervision et d'application
Mettre en œuvre la structure de sanctions (au moins les minimums de la directive)
Établir les exigences d'enregistrement des entités

Où les États ont de la flexibilité

Les États membres peuvent aller au-delà des exigences minimales de la directive :

Domaine	Flexibilité
Périmètre	Inclure des secteurs supplémentaires ou abaisser les seuils de taille
Exigences	Ajouter des mesures de sécurité au-delà de l'Article 21
Sanctions	Fixer des amendes maximales plus élevées que le plancher de la directive
Supervision	Mettre en œuvre une supervision plus proactive pour les entités importantes
Enregistrement	Ajouter des exigences d'enregistrement ou d'obligations d'information
Spécifique au secteur	Créer des orientations ou exigences sectorielles

Variations clés entre États membres

Structure des autorités

Chaque État membre désigne :

Autorité	Rôle
Autorité compétente	Responsable de la supervision et de l'application (peut être spécifique au secteur)
Point de contact unique	Point de coordination national pour les questions NIS 2 transfrontalières
CSIRT	Équipe de réponse aux incidents de sécurité informatique pour la gestion des incidents

Certains États désignent une autorité nationale unique, tandis que d'autres peuvent avoir plusieurs autorités sectorielles (ex. une pour l'énergie, une autre pour la santé).

Exigences d'enregistrement

NIS 2 exige des entités qu'elles s'enregistrent auprès de leur autorité nationale. L'enregistrement inclut généralement :

Nom et adresse de l'entité
Classification secteur et sous-secteur
Coordonnées de l'entité
Plages d'adresses IP et noms de domaine
Liste des États membres de l'UE où l'entité fournit des services

Les entités multi-pays s'enregistrent généralement dans l'État membre où elles ont leur établissement principal ou, pour certains types d'entités (fournisseurs DNS, services cloud, etc.), où leur représentant est situé.

Conformité multi-pays

Les organisations opérant dans plusieurs États membres de l'UE font face à une complexité supplémentaire :

Règles de juridiction

Type d'entité	Juridiction
Entités générales	État membre où l'entité est établie
DNS, TLD, cloud, centres de données, CDN	État membre de l'établissement principal dans l'UE
Entités hors UE	État membre où leur représentant est situé
Entités dans plusieurs États	Peuvent être soumises à supervision dans chaque État où elles opèrent

Considérations pratiques

Surveiller l'avancement de la transposition dans tous les États membres pertinents
Identifier l'autorité compétente dans chaque juridiction
Établir des canaux de signalement avec chaque CSIRT national
Assurer la conformité avec les exigences nationales les plus strictes
Coordonner les processus internes entre juridictions

Le rôle de l'ENISA et du Groupe de coopération

Bien que la transposition soit nationale, la coordination au niveau de l'UE assure la cohérence :

Organisme	Rôle
ENISA	Agence de l'Union européenne pour la cybersécurité, fournit des orientations, des revues par les pairs et une base de données des vulnérabilités
Groupe de coopération	Coordination stratégique entre États membres sur la mise en œuvre de NIS 2
Réseau des CSIRT	Coopération opérationnelle entre CSIRT nationaux pour les incidents transfrontaliers
EU-CyCLONe	Réseau de liaison cyber de l'UE pour la gestion des crises transfrontalières à grande échelle

Ce que les organisations doivent faire

Avant la transposition

Surveiller le statut de transposition dans votre/vos État(s) membre(s)
Commencer à mettre en œuvre les exigences de l'Article 21 (celles-ci ne changeront pas)
Identifier votre autorité compétente et CSIRT probables
Commencer le processus de préparation interne basé sur le texte de la directive

Pendant la transposition

Examiner la législation nationale au fur et à mesure de sa publication
Identifier toute exigence au-delà du minimum de la directive
S'engager avec les associations professionnelles qui peuvent fournir des orientations
Mettre à jour les plans de conformité internes pour refléter les spécificités nationales

Après la transposition

S'enregistrer auprès des autorités nationales comme requis
Assurer la pleine conformité avec la loi nationale (pas seulement la directive)
Établir une communication continue avec les autorités compétentes
Surveiller tout acte d'exécution ou orientation sectoriel

Questions fréquentes

Que se passe-t-il si notre État membre n'a pas transposé NIS 2 avant le délai ?

Une transposition tardive s'est produite avec des directives européennes précédentes et peut se produire avec NIS 2. Bien que la directive ne soit pas directement applicable aux entités privées avant la transposition (contrairement à un règlement), les organisations devraient tout de même se préparer à la conformité. Une transposition tardive n'élimine pas l'obligation ; elle ne fait que retarder le mécanisme d'application. Lorsque la loi nationale est finalement promulguée, la conformité peut être attendue immédiatement ou avec une courte période de grâce.

Devons-nous nous conformer aux transpositions d'autres pays ?

Si vous fournissez des services dans plusieurs États membres de l'UE, vous pouvez être soumis à supervision dans chaque État où vous opérez. Bien que NIS 2 établisse une règle de juridiction principale, les mécanismes de coopération garantissent que les autorités peuvent demander des informations et prendre des mesures au-delà des frontières. La conformité avec la transposition nationale la plus stricte est l'approche la plus sûre.

Comment découvrir notre transposition nationale ?

Vérifiez les bases de données législatives officielles de votre gouvernement national, les sites web des autorités de cybersécurité et le suivi de la transposition NIS 2 par l'ENISA dans les États membres. Les associations professionnelles de votre secteur fournissent souvent des orientations pratiques sur la mise en œuvre nationale. Bastion peut également vous aider à identifier et interpréter les exigences spécifiques à votre juridiction.

← PrécédentExigences d'hygiène cyber et de formation NIS 2 Suivant →Secteurs couverts par NIS 2 : guide complet des 18 secteurs

Retour aux guides NIS 2

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company