LauckedLAUCKED
DiagnosticPentestGuardConformitéTarifs
Obtenir mon diagnostic · 48h
← Blog/18 juillet 20269 min de lecture

Loi Résilience : la transposition de NIS2 arrive, voici ce qui devient obligatoire

Le projet de loi Résilience, qui transpose les directives européennes REC, NIS2 et DORA en droit français, est examiné en séance publique à l'Assemblée nationale en juillet 2026. Promulgation attendue durant l'été, décrets fin 2026, premiers contrôles en 2027 : état du texte, obligations concrètes et fenêtre de préparation restante.

Le volet technique ? Les mesures attendues sont détaillées dans le ReCyF, le référentiel ANSSI. Cet article couvre la loi elle-même : périmètre, calendrier, sanctions.
Lancer le diagnostic gratuitMise en conformité NIS2
R
Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

18 juillet 2026·9 min de lecture·Fondateurs·LinkedIn
OSCP · OSEP · OSWE
NDA avant échange
Méthodologie OWASP / PTES
Rapport exécutif + technique
Re-test inclus
Basé en France

Ce que contient la loi : trois directives en un texte

La loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité regroupe la transposition de trois textes européens que la France devait intégrer séparément. C'est ce qui explique à la fois son ampleur et la lenteur de son parcours parlementaire.

Titre I : résilience des infrastructures critiques (REC)

Remplace le régime des opérateurs d'importance vitale (OIV). Les opérateurs désignés devront cartographier leurs infrastructures critiques, notifier les incidents qui perturbent leurs services essentiels et résister à des risques qui dépassent le cyber : sabotage, catastrophes naturelles, dépendances de la chaîne d'approvisionnement.

Titre II : cybersécurité (NIS2)

Le cœur du texte pour la plupart des entreprises. Il étend la régulation cyber à environ 15 000 entités françaises dans 18 secteurs, réparties en entités essentielles (EE) et entités importantes (EI), avec enregistrement auprès de l'ANSSI, mesures de gestion des risques, notification d'incidents et supervision.

Titre III : secteur financier (DORA)

Aligne le droit national sur le règlement DORA, applicable depuis janvier 2025 : gestion des risques informatiques, tests de résilience opérationnelle (dont les tests TLPT pour les acteurs significatifs) et encadrement des prestataires TIC critiques.

Point débattu au Parlement : l'article 16 bis, qui interdit d'imposer aux services de messagerie chiffrée des portes dérobées (backdoors). Introduit au Sénat, il cristallise une partie des discussions en séance publique, sans remettre en cause l'économie générale du volet NIS2.

Calendrier : du retard de transposition aux premiers contrôles

  • 17 octobre 2024Date limite de transposition de NIS2 fixée par l'UE, dépassée. Une procédure d'infraction vise les États membres en retard, dont la France.
  • 12 mars 2025Le Sénat adopte le projet de loi Résilience en première lecture.
  • 10 septembre 2025La commission spéciale de l'Assemblée nationale achève l'examen du texte.
  • 17 mars 2026L'ANSSI publie le ReCyF en version de travail : le référentiel technique qui déclinera les obligations NIS2 (article 14 du projet de loi).
  • Juillet 2026Examen en séance publique à l'Assemblée nationale. Promulgation attendue durant l'été.
  • Fin 2026Décrets et arrêtés d'application, ouverture de l'enregistrement des entités régulées auprès de l'ANSSI.
  • 2027Premiers contrôles ciblés de l'ANSSI, en priorité sur les entités essentielles.

La fenêtre utile se situe entre la promulgation et les premiers contrôles : environ un an pour construire un dossier de conformité crédible. L'inventaire du SI, la gouvernance et les preuves techniques (audits, tests, exercices) sont les postes les plus longs.

Ce qui devient obligatoire pour les entités régulées

Enregistrement auprès de l’ANSSI

Les entités régulées devront se déclarer, avec leurs points de contact, dans les délais fixés par décret. Le test MonEspaceNIS2 permet d'anticiper votre statut dès maintenant.

Mesures de gestion des risques

Gouvernance, sécurisation de la chaîne d'approvisionnement, gestion des accès, chiffrement, continuité d'activité : les objectifs de l'article 21 de la directive, déclinés en France par le ReCyF et ses 20 objectifs de sécurité.

Notification d'incidents en 3 temps

Alerte précoce sous 24 h, notification détaillée sous 72 h, rapport final sous un mois pour tout incident important. La procédure doit exister, être testée et connue des équipes avant l'incident.

Responsabilité des dirigeants

Les organes de direction approuvent les mesures de gestion des risques, en supervisent la mise en œuvre et se forment à la cybersécurité. La conformité cesse d'être un sujet délégable à la seule DSI.

Sanctions : le régime NIS2 repris en droit français

Le texte reprend les plafonds fixés par la directive : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, jusqu'à 7 M€ ou 1,4 % pour les entités importantes, le montant le plus élevé étant retenu. S'y ajoutent des pouvoirs de supervision gradués : injonctions, astreintes, et pour les entités essentielles des contrôles proactifs sur pièces et sur place.

Le changement le plus structurant reste la responsabilité des organes de direction. La directive impose que les dirigeants approuvent les mesures de gestion des risques et se forment : lors d'un contrôle, l'absence de gouvernance documentée pèsera autant qu'une faiblesse technique.

Êtes-vous dans le périmètre ?

Le volet NIS2 couvre 18 secteurs (énergie, transports, santé, numérique, industrie manufacturière critique, services postaux, agroalimentaire, gestion des déchets, entre autres) et s'applique en général aux entreprises de plus de 50 salariés ou plus de 10 M€ de chiffre d'affaires dans ces secteurs, avec des inclusions indépendantes de la taille pour certaines activités. L'ANSSI estime à environ 15 000 entités le périmètre français, contre quelques centaines d'opérateurs sous NIS1.

Le test d'éligibilité MonEspaceNIS2 de l'ANSSI croise secteur et taille pour déterminer votre statut : entité essentielle (objectifs ReCyF 1 à 20, supervision proactive), entité importante (objectifs 1 à 15, supervision réactive) ou hors périmètre.

Hors périmètre ne veut pas dire hors sujet : les entités régulées doivent maîtriser leur chaîne d'approvisionnement, donc leurs sous-traitants recevront des exigences contractuelles. Voir NIS2 pour les sous-traitants.

FAQ loi Résilience

Qu'est-ce que la loi Résilience ?

C'est le texte qui transpose en droit français trois directives européennes : REC (résilience des entités critiques), NIS2 (cybersécurité) et DORA (secteur financier). Adoptée au Sénat en mars 2025, elle est examinée en séance publique à l'Assemblée nationale en juillet 2026, pour une promulgation attendue durant l'été.

Quand entrera-t-elle en vigueur ?

Promulgation attendue été 2026, décrets et arrêtés d'application fin 2026, enregistrement des entités auprès de l'ANSSI dans la foulée, premiers contrôles ciblés attendus en 2027. La date limite européenne de transposition (17 octobre 2024) est dépassée : la France fait partie des États membres visés par une procédure d'infraction pour retard.

Mon entreprise est-elle concernée ?

Si vous opérez dans l'un des 18 secteurs couverts et dépassez 50 salariés ou 10 M€ de chiffre d'affaires, très probablement. L'ANSSI estime le périmètre français à environ 15 000 entités. Le test MonEspaceNIS2 donne une réponse en quelques minutes, et notre checklist NIS2 PME détaille les 18 secteurs et les seuils.

Quelles sanctions sont prévues ?

Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes, plus des pouvoirs d'injonction et d'astreinte. Les organes de direction doivent approuver les mesures de gestion des risques et se former à la cybersécurité.

Faut-il attendre la promulgation pour agir ?

Non. Le référentiel technique est déjà public : le ReCyF décline les obligations en 20 objectifs avec leurs moyens acceptables de conformité. Inventaire, gouvernance, preuves techniques : les postes longs se lancent maintenant, pas à la publication des décrets.

Un an avant les premiers contrôles : mesurez votre écart maintenant

Le diagnostic gratuit Laucked cartographie votre surface d'attaque exposée et la met en regard des objectifs techniques du ReCyF. Sans engagement, restitution sous quelques jours.

Lancer le diagnostic gratuitDemander un devis pentest

À lire ensuite

  • → ReCyF : les 20 objectifs du référentiel ANSSI
  • → NIS2 : le guide complet pour les PME
  • → Checklist NIS2 PME : 10 obligations à cocher
  • → NIS2 pour les sous-traitants
  • → NIS2 en France vs Belgique : le comparatif
  • → DORA et tests TLPT : le pendant financier
LauckedLAUCKED

Diagnostic de surface, pentest expert (web, API, IA) et Guard pour les PME françaises exposées.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 6 95 27 70 36
6 certifications et qualifications →
Ils nous font confiance
Occi ServicesStorees+ missions sous NDA →

« Rapport opposable, clair pour la direction et actionnable côté tech. »CEO · retail PME · pentest web 2026

200+
pentests réalisés
40+
vulns critiques
10+
PME accompagnées

Produit

  • Diagnostic gratuit
  • Guard, suivi post-pentest
  • Exemple de rapport pentest
  • Comparatifs neutres
  • Audit Active Directory
  • Red Team
  • SOC managé / MDR
  • Cas d'usage PME
  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Pentest Paris
  • Pentest Belgique
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse

Entreprise

  • À propos
  • Centre de confiance
  • Auteur
  • Contact
Laucked · SIREN 907 522 304 · TournefeuillePartenaire Vigeon
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données