NIS 2 France — FAQ
NIS 2 en France — questions fréquentes
Réponses courtes et honnêtes sur NIS 2 en France : transposition, périmètre, ReCyF, enregistrement, notification et sanctions.
Transposition en cours
La loi Résilience n'est pas promulguée (attendue été 2026). Les seuils et sanctions issus du projet de loi sont provisoires ; le ReCyF v2.5 est un document de travail.
La directive NIS 2 est-elle transposée en France ?
Pas encore. La France a manqué l'échéance du 17 octobre 2024 et fait l'objet d'une procédure d'infraction. La transposition passe par le projet de loi Résilience (qui transpose aussi REC et DORA), adopté au Sénat en mars 2025 et examiné à l'Assemblée nationale ; la promulgation est attendue courant été 2026.
Suis-je une entité essentielle ou importante ?
Selon le projet : les entités essentielles (EE) sont les grandes entités des secteurs à haute criticité (annexe I), supervision a priori ; les entités importantes (EI) sont les entités moyennes de l'annexe I et les entités de l'annexe II, supervision a posteriori. Le critère de taille (à partir de 50 salariés / 10 M€) et certains fournisseurs (DNS, cloud, centres de données…) concernés quelle que soit la taille s'appliquent. Les anciens OIV devraient basculer en EE.
Qu'est-ce que le ReCyF et est-il obligatoire ?
Le ReCyF (Référentiel Cyber France) est le référentiel de l'ANSSI listant les mesures recommandées pour atteindre les objectifs de sécurité NIS 2 (une vingtaine d'objectifs en 4 domaines). Il est diffusé en document de travail (v2.5, 17 mars 2026) : non obligatoire par défaut, mais opposable. Aucune version définitive avant le vote de la transposition et une consultation.
Où s'enregistrer et notifier un incident ?
Sur MesServicesCyber, le portail de l'ANSSI, dont l'espace NIS2 intègre et remplace progressivement MonEspaceNIS2. À ce stade, seul le pré-enregistrement volontaire est ouvert ; l'enregistrement obligatoire ouvrira à la promulgation. Les incidents significatifs se notifient au CERT-FR : 24 h (pré-alerte) / 72 h (notification) / 1 mois (rapport final).
Quelles sanctions sont prévues ?
D'après le projet de loi (provisoire jusqu'à promulgation) : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes. En amont, l'ANSSI peut prononcer mise en demeure, injonction et astreinte (jusqu'à 5 000 €/jour) ; l'amende est prononcée par une commission des sanctions distincte.
Faut-il attendre la promulgation pour agir ?
Non. Les grandes lignes (entités EE/EI, objectifs du ReCyF, rythme de notification 24h/72h/1 mois) sont déjà connues. Se préparer dès maintenant — pré-enregistrement volontaire, alignement sur les objectifs du ReCyF, mise en place du processus de notification — permet d'être prêt le jour de la promulgation plutôt qu'après.
Pourquoi une plateforme qui n'est pas « française » ?
Reglyze est une plateforme européenne, hébergée dans l'UE (Hetzner, Allemagne), et reflète le cadre français (ANSSI, ReCyF, loi Résilience) tout en couvrant l'Allemagne, l'Italie et d'autres marchés. L'atout est la résidence des données dans l'UE et la profondeur multi-pays — utile pour les groupes et les MSP présents dans plusieurs États membres.