NIS 2, ReCyF et l’impatience du CSNP en France La transposition de NIS 2 en France traîne, le ReCyF arrive en bêta et le CSNP exige un examen rapide. NIS 2 doit être transposé en droit français, mais la France accuse un retard important.
NIS 2 doit être transposé en droit français, mais la France accuse un retard important. Le texte doit être présenté à l’Assemblée nationale en juillet 2026, tandis que le CSNP appelle à un examen dans les plus brefs délais. En attendant, l’ANSSI publie son RECyF — Référentiel Cyber France — qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2.
Retard de la transposition de NIS 2 et enjeux pour la France
La transposition de NIS 2 était théoriquement due avant le 17 octobre 2024. Au 1ᵉʳ janvier 2026, 20 des 27 États membres l’avaient transposée. En France, le texte n’a pas encore été examiné par l’Assemblée nationale. Pour la CSNP, ce décalage fragilise l’écosystème numérique et crée une incertitude injustifiable. Le cadre européen s’appuie sur une architecture plus robuste et sur la révision du Cybersecurity Act afin d’harmoniser les exigences de sécurité.
La CSNP affirme que ce retard fragilise notre écosystème numérique et place l’ensemble des acteurs concernés dans une situation d’incertitude injustifiable.
Le RECyF: ce que contient le référentiel et comment il s’applique
Le RECyF, version bêta 2.5 du 17 mars 2026, liste les mesures recommandées par l’ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. L’ANSSI a ouvert un guichet de pré-enregistrement, première brique vers l’entrée en vigueur de la directive, et insiste sur le fait que ce document est un outil de travail, à concrétiser lors de la transposition. Le directeur général de l’agence, Vincent Strubel, précise que le RECyF a été co-construit avec de nombreuses organisations professionnelles et acteurs de l’écosystème pour répondre à la réalité de la menace et à la taille des entités concernées.
« il restera un document de travail jusqu’à la transposition de NIS2 en droit français, mais il ne faut surtout pas attendre pour le mettre en œuvre », déclare Strubel.
Contestation autour de l’article 16 bis et conséquences politiques
Le CSNP pointe un point de clivage politique autour de l’article 16 bis, destiné à protéger le chiffrement et à interdire les portes dérobées dans les messageries instantanées. Le gouvernement s’y oppose, ce qui complique l’avancement du texte. Philippe Latombe a exprimé une position directe sur le sujet, indiquant que la DGSI souhaite accéder aux communications chiffrées des délinquants, ce qui alourdit le débat parlementaire.
« Je le dis clairement, la DGSI et les services veulent la fin de l’article 16 bis », affirme Philippe Latombe.
Ce qui vient ensuite et ce qu’il faut surveiller
Selon la Commission, l’examen du texte est prévu en juillet 2026, sous réserve d’une session extraordinaire. Ce calendrier reporte l’adoption du texte de plusieurs mois. Le CSNP appelle à l’inscription rapide du projet à l’ordre du jour de l’Assemblée nationale et à une mise en œuvre effective du RECyF, afin que la France se dote enfin des outils nécessaires à la protection de son économie, de ses institutions et de ses citoyens.
- Point A : calendrier politique déterminant la préparation des acteurs et le rythme d’application.
- Point B : nécessité d’une coordination entre acteurs publics et privés pour la mise en œuvre.
- Point C : gestion des risques et suivi opérationnel des mesures du RECyF.
Pour terminer
En définitive, la France fait face à une échéance européenne qui arrive tard, mais qui demeure nécessaire pour protéger l’économie et les infrastructures critiques. Le RECyF apporte une marche opérationnelle dès maintenant, mais son adoption dépendra du parcours parlementaire et de la position autour de l’article 16 bis. Il faudra suivre les prochaines étapes et l’éventuelle accélération du calendrier.
