France : le Sénat adopte la loi transposant NIS2 dans le droit français

Le Sénat français a adopté en première lecture, le 12 mars 2025, le projet de loi transposant dans le droit français les directives européennes NIS2 et REC, ainsi que le règlement DORA. Retardée par la dissolution de l’Assemblée nationale en 2024, cette transposition bénéficie d’une procédure accélérée, avec un unique passage devant les deux chambres. Les députés l’examineront en mai-juin 2025, avant une probable adoption finale.

Adoptée le 14 décembre 2022 par l’Union européenne, NIS2 met à jour de la directive NIS de 2016, transposée en droit français depuis 2018. Elle impose des obligations de cybersécurité et une surveillance de l’Anssi aux organisations jugées sensibles. Avec NIS, 500 entités
« critiques » étaient concernées ; NIS2 porte ce nombre à plus de 15 000 organisations, divisées en deux catégories, les « essentielles » et les « importantes ».

Les premières appartiennent à un secteur « hautement critique » et dépassent les 250 employés ou les 50 millions d’euros de chiffre d’affaires, avec un bilan annuel supérieur à 43 millions d’euros. Les secondes comptent 50 à 250 employés dans des secteurs « critiques » ou « hautement critiques », avec un bilan compris entre 10 et 43 millions d’euros. Le gouvernement y a ajouté 1 500 collectivités territoriales, groupements de collectivités et organismes sous tutelle, dont des établissements d’enseignement supérieur.

Le projet de loi instaure une obligation de notification des incidents cyber à l’Anssi, et la création d’un guichet unique pour simplifier ces déclarations. Un système de sanctions administratives imposera à ces entités, en cas de manquement aux obligations de protection ou de déclaration, des amendes allant jusqu’à 2 % du chiffre d’affaires ou 10 millions d’euros.