Transposition NIS2 France, Allemagne, Espagne, Italie : où en sont les quatre marchés

Dix-huit mois après l'échéance, l'état de la transposition NIS2 en France — et chez ses trois voisins couverts par ce site, l'Allemagne, l'Espagne et l'Italie — est suffisamment hétérogène pour que les conseils d'administration de ces pays opèrent dans des réalités opérationnelles fondamentalement différentes. La directive elle-même est entrée en vigueur le 16 janvier 2023, avec une date limite de transposition nationale fixée au 17 octobre 2024 par l'article 41 de la directive (UE) 2022/2555. L'un des quatre États a achevé sa transposition. Les trois autres opèrent aujourd'hui sur des projets de texte, des mesures conservatoires ou des statuts hérités de NIS1.

Cet article ne propose pas un tour des lois. Il pose un cadre de décision. Pour chaque marché, trois coordonnées : l'instrument de transposition vérifiable (ou son absence), l'autorité compétente, et la question opérationnelle qui en découle ce mois-ci pour une entité essentielle ou importante établie dans ce pays. Le Royaume-Uni est intégré comme marché de référence — hors UE, plus soumis à NIS2, mais suivi parce que les conseils britanniques avec des filiales européennes affrontent le même calendrier.

1. Italie — transposée, l'ACN aux commandes

L'Italie est le seul des quatre marchés dont l'échelon national est verrouillé. Le Decreto Legislativo 4 settembre 2024, n. 138 — Recepimento della direttiva (UE) 2022/2555 — a été publié à la Gazzetta Ufficiale le 1er octobre 2024 et est entré en vigueur peu après. L'autorité compétente est l'Agenzia per la Cybersicurezza Nazionale (ACN), qui hérite des pouvoirs de supervision et du mécanisme d'enregistrement prévus par l'article 3 de la directive.

Le décret impose une fenêtre d'auto-enregistrement — les entités avaient jusqu'au 28 février 2025 pour s'inscrire auprès de l'ACN via le portail national — et un calendrier graduel échelonnant les obligations de gouvernance, de gestion des risques et de notification d'incident sur 2025 et 2026. L'ACN a publié des guidances sectorielles et conduit déjà ses premières inspections, sans qu'une amende NIS2 publique ait pour l'heure été notifiée.

La question opérationnelle pour les conseils italiens en mai 2026 n'est plus de savoir si les obligations s'appliquent, mais si l'entrée au registro NIS est à jour et si la matrice de classification des incidents de l'entité s'aligne sur les seuils du règlement d'exécution 2024/2690 lorsque celui-ci s'applique. L'ACN a indiqué publiquement que ses inspections échantillonneront en priorité les entités dont l'enregistrement paraît figé ou dont le premier cycle de notification s'est révélé incomplet.

2. Allemagne — pas encore adoptée, le BMI à la manœuvre

L'Allemagne n'a pas adopté sa loi de transposition NIS2. La page maintenue par le Bundesamt für Sicherheit in der Informationstechnik (BSI) le formule explicitement : « Ein nationales Gesetz zur Umsetzung der NIS-2-Richtlinie ist noch nicht verabschiedet. » Le ministère porteur du projet est le Bundesministerium des Innern und für Heimat (BMI) ; le titre de travail du projet reste le NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Pour les entités allemandes, plusieurs dispositions de la directive s'appliquent par effet direct — la Cour de justice retient cette voie pour les articles clairs et inconditionnels une fois la date de transposition dépassée — mais l'architecture de supervision, le barème des amendes et le mécanisme d'enregistrement restent en suspens tant que la loi fédérale n'est pas votée. Le BSI agit comme autorité compétente de facto en cybersécurité, mais ses pouvoirs d'exécution au sens de l'article 32 ne sont pas encore consacrés au niveau de NIS2.

La question opérationnelle pour le conseil allemand en mai 2026 est ce que l'on s'engage à mettre par écrit dès maintenant. La posture défendable consiste à reproduire les exigences de la directive directement — devoirs de gouvernance de l'article 20, mesures de l'article 21, cadence de notification de l'article 23 — en partant du principe que le NIS2UmsuCG, lorsqu'il sera adopté, ne descendra pas en deçà. Ce n'est pas confortable pour la direction juridique ; c'est la position prudente sur un sujet de responsabilité.

Les conseils en Allemagne et en Espagne opèrent sur le seul texte de la directive — l'autorité de supervision existe, le barème national d'amende n'existe pas encore.

3. France — projet de loi Résilience, le ReCyF de l'ANSSI comme passerelle

La France n'a pas encore promulgué sa loi de transposition. Selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI), le véhicule législatif est le projet de loi Résilience, avec son ancrage opérationnel à l'article 14. À la date de la présente publication, le projet n'a pas terminé son parcours parlementaire ; le site de l'ANSSI parle d'un projet, pas d'une loi.

Pour combler l'intervalle, l'ANSSI a publié en 2026 le Référentiel Cyber France (ReCyF) — un référentiel non obligatoire qui liste les mesures de sécurité que l'ANSSI acceptera comme preuve de conformité aux exigences de fond de NIS2 lorsque la loi sera votée. Les entités qui adoptent le ReCyF pourront s'en prévaloir comme gage de conformité en cas d'inspection ultérieure. L'ANSSI est l'autorité compétente désignée, appuyée par les CSIRT sectoriels.

La question opérationnelle pour les conseils français en mai 2026 est de décider d'aligner ou non leur programme sur le ReCyF dès maintenant, en acceptant que certains détails puissent évoluer à la promulgation. La plupart des grandes entités s'y sont mises — le double rôle de l'ANSSI, à la fois rédacteur et superviseur, fait de l'alignement précoce, en pratique, le chemin de moindre risque.

4. Espagne — transposition en attente, INCIBE-CERT comme ancrage opérationnel

L'Espagne n'a pas encore transposé NIS2. L'Instituto Nacional de Ciberseguridad (INCIBE) est explicite sur sa FAQ publique : à la question de savoir quelle entité sera l'autorité compétente espagnole chargée de tenir les listes des entités essentielles et importantes, la réponse est « Para responder a esta pregunta es necesario esperar a la trasposición de la directiva. » Le cadre national en vigueur reste le Real Decreto-ley 12/2018 et son règlement d'application, le Real Decreto 43/2021 — la transposition de NIS1, pas de NIS2.

INCIBE-CERT continue d'agir comme CSIRT opérationnel pour le secteur privé et reste le point de contact pratique pour les notifications d'incident. Le Centro Criptológico Nacional (CCN-CERT) couvre le secteur public. Le choix architectural entre une autorité unique ou un découpage sectoriel — et l'éventuel rôle de coordination du Departamento de Seguridad Nacional — sera arbitré par le texte de transposition lorsqu'il sera publié au Boletín Oficial del Estado.

La question opérationnelle pour les conseils espagnols en mai 2026 reflète celle de l'Allemagne. Appliquer dès aujourd'hui les obligations de fond de la directive, y compris la cadence 24h–72h–1 mois auprès d'INCIBE-CERT, et accepter que le régime formel de sanction arrivera plus tard. Une non-conformité sous-seuil aujourd'hui est invisible pour le régulateur ; elle n'est pas invisible pour un futur superviseur qui relira un registre des risques de 2026 à rebours.

5. Royaume-Uni — hors champ, mais le calendrier suit

Le Royaume-Uni n'est pas soumis à NIS2. Le cadre britannique reste les Network and Information Systems Regulations 2018, avec le National Cyber Security Centre (NCSC) comme autorité technique et les autorités sectorielles compétentes (Ofcom, ICO, Ofgem, etc.) en supervision. En septembre 2024, le gouvernement britannique a annoncé le Cyber Security and Resilience Bill, qui propose d'élargir les NIS Regs dans une direction qui suit en partie NIS2 — plus de secteurs, déclaration renforcée, exécution plus mordante.

Pour les conseils de groupes britanniques disposant de filiales en UE ou de services consommés en UE, les obligations NIS2 s'appliquent via ces établissements européens au titre de l'article 26 de la directive — c'est-à-dire via leurs entités italiennes, allemandes, françaises ou espagnoles, sur le calendrier de chacune de ces quatre juridictions. La réciproque est vraie : un groupe européen avec une filiale britannique suit les NIS Regs 2018 et, bientôt, le Cyber Security and Resilience Bill.

La question opérationnelle pour le marché de référence britannique est celle des achats et de la consolidation au niveau du groupe. Un playbook unique de notification d'incident qui satisfait la cadence 24/72h de NIS2 satisfera, dans la plupart des cas, l'obligation des 72h des NIS Regs 2018 — mais les seuils diffèrent, et la matrice d'incident du conseil doit réconcilier explicitement les deux.

Ce à quoi ça ressemble quand c'est bien fait

Trois artefacts reviennent systématiquement dans les pratiques de supervision de l'ACN, de l'ANSSI, du BSI et de l'INCIBE. Aucun n'exige d'attendre le texte national manquant :

1. Une cartographie des juridictions signée par le conseil — un document d'une page, daté dans les douze derniers mois, qui liste chaque établissement en périmètre, son autorité compétente de référence, le statut d'enregistrement auprès de cette autorité (Italie : enregistré ; DE/ES : en attente ; FR : pré-enregistrement via le portail ANSSI le cas échéant), et la base juridique que le conseil considère comme contraignante aujourd'hui.
2. Une note d'effet direct rédigée par la direction juridique — un mémorandum bref sur les mesures de gestion des risques de l'article 21 et la cadence de notification de l'article 23 que le conseil applique dès aujourd'hui, en supposant que les futures lois allemande et espagnole ne descendront pas en deçà. La note renvoie aux cinq responsabilités non délégables de l'article 20 et est revue dès la publication de chaque loi nationale.
3. Un registre des évolutions réglementaires — un fichier partagé qui consigne, à la date, chaque déclaration publique de l'ACN, de l'ANSSI, du BSI et de l'INCIBE qui affecte le périmètre, la déclaration ou les sanctions. Revu par le comité d'audit à chaque réunion trimestrielle. Une posture de conformité figée dérive vite dans des juridictions qui rédigent encore.

Le travail des six prochains mois, pour les entités qui opèrent sur ces quatre marchés, est de tenir le cadre cohérent au niveau du groupe tout en adaptant la relation avec chaque superviseur national à l'état réel de sa loi. La directive est le plancher ; la loi nationale, lorsqu'elle arrive, est le plafond opérationnel.

Sources

1. Directive (UE) 2022/2555, article 41 (date limite de transposition au 17 octobre 2024) et article 26 (compétence territoriale).
2. Règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024.
3. Italie — Decreto Legislativo 4 settembre 2024, n. 138, Recepimento della direttiva (UE) 2022/2555, Gazzetta Ufficiale. Page de l'autorité compétente : Agenzia per la Cybersicurezza Nazionale (ACN).
4. Allemagne — BSI, NIS-2-Richtlinie : la loi nationale de transposition de NIS2 n'est pas encore adoptée à la date de consultation. Ministère porteur : BMI.
5. France — ANSSI, Directive NIS 2 : véhicule de transposition = projet de loi Résilience, article 14 ; non promulguée. Référentiel Cyber France (ReCyF) publié en 2026 comme cadre passerelle.
6. Espagne — INCIBE, FAQ NIS2 : transposition NIS2 en attente ; cadre en vigueur = Real Decreto-ley 12/2018 et Real Decreto 43/2021.
7. Royaume-Uni — GOV.UK, Cyber Security and Resilience Bill : projet de loi annoncé en septembre 2024 ; cadre en vigueur = Network and Information Systems Regulations 2018.