La directive NIS 2 est aujourd’hui transposée dans 19 États membres. L’Allemagne a finalisé sa transposition début décembre, et la Belgique applique déjà NIS 2 depuis un an. La dynamique européenne est donc bien enclenchée.

En France, le projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité a franchi plusieurs étapes parlementaires. Son adoption est attendue au premier semestre, sous réserve du contexte politique que vous connaissez . Une fois la loi votée, viendront les décrets d’application, le référentiel technique de l’ANSSI, puis un label de conformité, avec une période de transition de trois ans.

Ce décalage crée aujourd’hui une incertitude juridique pour les organisations concernées. Les DSI doivent investir dans la sécurité de leurs SI sans disposer encore de référentiels nationaux stabilisés. Dans le contexte géopolitique actuel, il faut aussi anticiper une possible exigence renforcée sur la souveraineté numérique, notamment dans le choix des prestataires.

Cela dit, plusieurs repères existent déjà. Le projet de loi permet de se prévaloir du recours à des prestataires qualifiés pour démontrer le respect de NIS 2. Il prévoit également la reconnaissance de l’équivalence des normes européennes et internationales, mais aussi des normes et spécifications adoptées par d’autres États membres, selon des conditions qui seront précisées par décret. Les prestataires qualifiés et produits certifiés par l’ANSSI constituent donc des options assez sûres. A noter que les nouvelles certifications EUCC sont délivrées depuis février 2025.

Nos voisins belges offrent également un retour d’expérience intéressant avec leur Framework et leur label CyberFund. En France, l’ANSSI permet dès à présent aux entités concernées de se préenregistrer sur MonEspaceNIS2, avec des guides et outils déjà disponibles.

En conclusion, il ne faut pas attendre la transposition française pour agir. Les acteurs européens avancent, le travail de normalisation est en cours, et le risque d’une divergence majeure des référentiels français demeure limité, notamment en raison des effets de fragmentation du marché qu’une telle divergence pourrait induire.