A défaut de texte national voté, quelles modalités d’application et d’appropriation des exigences de NIS 2 pour les entreprises et administrations françaises dans l’immédiat et à moyen terme ? Les réponses de Pierre Affagard, avocat au sein du bureau parisien de Clyde & Co. Il a une activité dédiée aux nouvelles technologies, à la protection des données et à la cybersécurité.
La Directive n° 2022/2555 du 14 décembre 2022, dite Directive NIS 2, visant à assurer un niveau élevé de cybersécurité dans l’ensemble de l’UE, laisse toujours les entreprises concernées dans une relative incertitude.
Entrée en vigueur le 16 janvier 2023, NIS 2 devait être transposée et appliquée pour le 17 octobre 2024. En France, comme dans la majorité des autres Etats membres, la transposition se fait toujours attendre.
Un premier projet de loi[1] relatif à « la résilience des infrastructures critiques et au renforcement de la cybersécurité » a été déposé auprès du Sénat le 15 octobre dernier.
Peu d’information sur les modalités d’application
Le législateur n’aurait pas prévu de période de transition au bénéfice des organismes concernés. Ce choix exigeant et relevé comme tel par la Commission supérieure du numérique et des postes (CSNP)[2] et le Conseil d’Etat[3] implique une mise en application sans délai des exigences de NIS 2 à compter de la promulgation de la loi de transposition.
Mais à quelle date ? La commission spéciale chargée d’examiner le projet s’est réunie le 12 novembre. Elle doit imminemment publier son compte rendu, et un examen en séance public serait programmé pour février. A part ces éléments, aucun calendrier n’a été communiqué.
Les enseignements du droit européen sur l’opposabilité de NIS 2
Face à cette situation – certes inconfortable pour les entreprises mais en rien inédite – d’une directive déjà en vigueur mais non transposée, les tribunaux ont depuis longtemps fixé les règles pour déterminer ce qui est opposable de ce qui ne l’est pas.
Les acteurs privés peuvent sur ce point être rassurés. Depuis 1979, le principe est inchangé : « L’État ne peut opposer aux particuliers le non-accomplissement des obligations que la Directive comporte ». En d’autres termes, l’Etat ne peut imposer aux entreprises essentielles et importantes sous la Directive NIS 2 d’être dès à présent en conformité[4].
Similairement, NIS 2 ne peut pas être opposée dans un litige entre deux particuliers[5].
Les directives ne peuvent créer d’obligations qu’à l’égard des États membres qui en sont destinataires[6]. On parle « d’effet vertical ascendant », permettant aux justiciables d’invoquer une directive non ou mal transposées devant les juges nationaux[7].
Quid des collectivités territoriales qui peuvent être par ricochet tributaires de cet effet direct[8]?
En usant de la marge de la manœuvre de NIS 2, la France a étendu les obligations de cybersécurité à des collectivités qui, à l’origine, n’étaient pas directement visées[9] comme les départements, les communes et groupements de communes de plus de 30.000 habitants, et à certains égard les collectivités d’Outre-Mer[10].
Même si théoriquement le non-respect de NIS 2 pourrait à certaines conditions être aujourd’hui reproché aux collectivités territoriales, cela apparait hautement improbable.
Des décrets d’application nécessaires
À ces difficultés inhérentes de mise en conformité d’une loi qui n’est encore qu’un projet, s’ajoute le fait que NIS 2 nécessite des décrets d’application pour préciser les contours de nombreuses obligations.
C’est le cas des incidents de sécurité par exemple[11]qui doivent être notifiées à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) dans les 24 et 72 heures pour lesquels un décret en Conseil d’État apportera une partie des précisions pratiques et techniques attendues.
C’est aussi le cas concernant la déclaration que doivent faire les entités essentielles et importantes au plus tard le 17 avril 2025 auprès de l’ANSSI.[12].
En résumé, face à une visibilité sur le calendrier d’application et d’appropriation réduite, il est recommandé d’anticiper la mise en œuvre des grandes obligations de sécurité et de gouvernance exigées par NIS 2.
[1] Ce projet de loi prévoit aussi de transposer les Directives du 14 décembre 2022 n° 2022/2557 sur la résilience des entités critiques « Directive REC ») et n° 2022/2556 concernant la résilience opérationnelle numérique du secteur financier qui met en cohérence les nouvelles dispositions du règlement DORA avec les Directives existantes
[2] Avis n° 2024-03 du 21 mai 2024 du CSNP sur le projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier
[3] Avis du 6 juin 2025 du Conseil d’Etat sur un projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier
[4] CJCE 5 avr. 1979, Ministère public c/ Ratti, aff. 148/78
[5] CJCE 26 févr. 1986, Marshall c/Southampton and South-West Hampshire Area Health Authority, aff. 152/84, spéc. pt 48
[6] Article 288, alinéa 3, du Traité sur le fonctionnement de l’Union Européenne (TFUE).
[7] CJCE 4 déc. 1974, Van Duyn c/ Home Office, aff. 41/74
[8] CJCE, 22 juin 1989, Fratelli Costanzo c/ Commune de Milan, aff. 103/88 – CJCE 18 juin 1991, Impresa Donà Alfonso, aff. C-295/89
[9] Seules les régions étaient explicitement concernées dans l’Article 2.2 de la Directive NIS 2
[10] Article 9 du projet de loi
[11] Article 17 du projet de loi
[12] Article 3.3 de la Directive NIS II