Statut de mise en œuvre de NIS2
Suivez l’avancement de la transposition de la directive NIS2 dans tous les États membres de l’UE, y compris les autorités compétentes et les calendriers d’application.
Au mois d'avril 2026
État d'avancement de la mise en œuvre de NIS2
Entièrement notifié (16)
Adopté (6)
Projet (5)
| État membre | Statut | Autorité compétente | Notes |
|---|---|---|---|
| Autriche | Adopté | Federal Ministry of the Interior (BMI) / Bundesamt für Cybersicherheit (operational 1 October 2026) | NISG 2026 promulguée le 23 décembre 2025 ; entrée en vigueur le 1er octobre 2026 ; date limite d'enregistrement des entités : 1er janvier 2027 — la complétude de la notification est en cours d'examen par la Commission. |
| Belgique | Entièrement notifié | Centre for Cybersecurity Belgium (CCB) — CyFun® / Safeonweb@Work | Loi NIS2 en vigueur depuis le 18 octobre 2024 ; enregistrement via Safeonweb@Work clôturé le 18 mars 2025 ; échéance d'auto-évaluation CyFun® ou SoA ISO 27001 le 18 avril 2026 (désormais dépassée) ; certification complète avant le 18 avril 2027. |
| Bulgarie | Adopté | Multiple national competent authorities (Ministry of Defence, Ministry of Interior, State Agency for National Security) — Minister of e-Government maintains national register | Modifications de la loi sur la cybersécurité en vigueur depuis le 17 février 2026 ; sanctions réduites pour les infractions commises avant le 1er juin 2026 ; méthodologie de désignation du Conseil des ministres attendue vers le 17 août 2026 — modèle de désignation administrative. |
| Croatie | Entièrement notifié | Security and Intelligence Agency (SOA) — National Cybersecurity Center (NCSC-HR); CERT.hr (CARNET) for incident reporting via PiXi; autonomous sector supervisors (HNB, HANFA, HACZ) | Loi sur la cybersécurité (NN 14/2024) en vigueur depuis le 15 février 2024 — parmi les premières transpositions de l'UE ; règlement sur la cybersécurité (NN 135/2024) en vigueur depuis le 30 novembre 2024 ; modèle de notification piloté par l'autorité avec une fenêtre de conformité de 12 mois ; les dérogations nationales incluent le secteur de l'Éducation, une auto-évaluation biennale pour les entités importantes et des contrôles techniques plus stricts. |
| Chypre | Adopté | Digital Security Authority (DSA) — primary; Commissioner of Communications also designated as supervisory authority | Loi modificative sur la sécurité des réseaux et des systèmes d'information 60(I)/2025 promulguée le 10 avril 2025, en vigueur depuis le 25 avril 2025 ; les dérogations nationales incluent un délai d'alerte précoce de 6 heures (plus strict que les 24 h de la directive) et un modèle d'identification des entités dirigé par la DSA (pas d'auto-enregistrement) ; la complétude de la notification à la Commission est en cours d'examen. |
| République tchèque | Adopté | National Cyber and Information Security Agency (NUKIB) | Loi sur la cybersécurité n° 264/2025 Rec. en vigueur depuis le 1er novembre 2025 ; auto-identification via le portail NÚKIB (date limite d'enregistrement 31 décembre 2025 pour les entités dans le périmètre) ; fenêtre de conformité de 12 mois pour les mesures de sécurité et de notification à compter de la décision d'enregistrement ; les entités essentielles doivent notifier tous les incidents d'origine cyber (plus strict que la Directive) ; NÚKIB est habilitée à restreindre ou interdire les fournisseurs non sécurisés de la chaîne d'approvisionnement pour les entités d'importance stratégique. |
| Danemark | Adopté | Ministry for Societal Resilience and Contingency (MSSB) — coordinator; sector regulators (Danish Energy Agency, Finanstilsynet, telecom regulators) — primary supervisors; CFCS — National CSIRT | Loi NIS2 (L 141) en vigueur depuis le 1er juillet 2025 sans période transitoire ; auto-enregistrement via Virk.dk (date limite 1er octobre 2025 — passée) ; approche de transposition minimale (sans gold-plating) ; dérogations nationales : pas d'amendes administratives directes (les sanctions passent par la procédure pénale du ministère public) et la responsabilité personnelle des dirigeants n'a pas été transposée (régie par le devoir de diligence du droit danois des sociétés) ; la complétude de la notification à la Commission est en cours d'examen. |
| Estonie | Entièrement notifié | Estonian Information System Authority (RIA) | Loi sur la cybersécurité modifiée en vigueur depuis le 1er janvier 2026 ; ~3 500 → ~6 500 entités concernées ; institutions de recherche ajoutées comme secteur national supplémentaire ; gestion des risques alignée sur les contrôles de référence E-ITS ; conformité progressive — échéance d'auto-enregistrement via la RIA vers le 1er avril 2026 (désormais dépassée), contrôles de gouvernance d'ici le 1er janvier 2027, conformité technique complète et premiers audits d'ici le 1er janvier 2028. |
| Finlande | Entièrement notifié | Traficom (NCSC-FI) — coordinator; sector authorities supervise | Loi sur la cybersécurité (124/2025) en vigueur depuis le 8 avril 2025 ; échéance d'enregistrement 8 mai 2025 et système de gestion des risques 8 juillet 2025 toutes deux dépassées ; supervision décentralisée auprès de sept autorités sectorielles coordonnées par le NCSC-FI de Traficom ; amendes administratives prononcées par une commission de sanctions établie séparément sur proposition de l'autorité de supervision ; les entités du secteur public ne peuvent pas être sanctionnées ; secteur financier exclu (couvert par DORA). |
| France | Projet | ANSSI (French National Agency for Information Systems Security) | Loi Résilience (consolidant NIS2, CER, DORA) adoptée par le Sénat le 12 mars 2025 et par la commission spéciale de l'Assemblée nationale le 10 septembre 2025 ; vote final et promulgation en attente, attendus au S1–S2 2026 (non promulguée à avril 2026). Avis motivé de la CE émis le 7 mai 2025. Portail de pré-inscription MonEspaceNIS2 de l'ANSSI déjà actif ; environ 15 000–18 000 entités attendues dans le périmètre, sur 18 secteurs. |
| Allemagne | Entièrement notifié | Bundesamt für Sicherheit in der Informationstechnik (BSI) | NIS2UmsuCG en vigueur depuis le 6 décembre 2025 sans période transitoire ; ~4 500 → ~29 000–30 000 entités dans le champ d'application ; la date limite d'enregistrement BSI du 6 mars 2026 est dépassée ; enregistrement en deux étapes via le portail BSI / Mein Unternehmenskonto (MUK) ; formation obligatoire en cybersécurité de la direction tous les trois ans ; exemption pour "activités négligeables" au titre du § 28(3) BSIG. |
| Grèce | Entièrement notifié | National Cybersecurity Authority (NCSA) | Loi 5160/2024 en vigueur depuis le 28 novembre 2024 ; complétée par la MD 1645/2025 (enregistrement) et la MD 1689/2025 (cadre de sécurité à 22 thèmes) ; les délais d'enregistrement (28 mars 2025 pour l'infrastructure numérique ; 30 septembre 2025 général) sont dépassés ; nomination obligatoire d'un ICSSO (incompatible avec la fonction de DPO) ; les audits de la NCSA ont débuté au T4 2025. |
| Hongrie | Adopté | SZTFH (primary) / NKI/NCSC (CSIRT) | Loi LXIX de 2024 en vigueur depuis le 1er janvier 2025 ; SZTFH est le régulateur principal (enregistrement, registre des auditeurs, redevances de surveillance) ; NKI/NCSC est le CSIRT national ; banque, infrastructure des marchés financiers et administration publique exclues du champ d'application ; délais d'enregistrement et de contrat d'auditeur échus ; première échéance d'audit de cybersécurité 30 juin 2026 (à venir) ; avis motivé CE du 7 mai 2025 — évaluation de la Commission en cours. |
| Irlande | Projet | National Cyber Security Centre (NCSC-IE) | National Cyber Security Bill 2024 non adopté en avril 2026 ; l'Irlande a manqué la date limite de transposition de l'UE du 17 octobre 2024 et fait l'objet de procédures d'infraction de la Commission européenne ; NIS1 (S.I. 360 of 2018) continue de s'appliquer ; modèle de supervision fédéré proposé (NCSC en chef + CRU, ComReg, Banque centrale d'Irlande) ; adoption et portail d'enregistrement attendus en 2026. |
| Italie | Entièrement notifié | Italian National Cybersecurity Authority (ACN) + sector regulators | Décret législatif n° 138/2024 en vigueur depuis le 16 octobre 2024. L'ACN est le régulateur principal et exploite un portail numérique centralisé pour l'enregistrement et la notification. L'Italie a élargi le champ d'application au-delà du minimum de la directive grâce aux annexes III et IV nationales (organismes du gouvernement central, transport public local, entités d'intérêt culturel) et inclut une clause de sauvegarde pour les filiales de groupe indépendantes en matière TIC. La conformité est progressive : les échéances d'enregistrement sont passées début 2025, la notification obligatoire des incidents à l'ACN/CSIRT Italia est en vigueur depuis le 1er janvier 2026 et la conformité totale aux mesures de sécurité est requise au plus tard le 1er octobre 2026. L'Italie est pleinement notifiée à la Commission européenne. |
| Lettonie | Entièrement notifié | National Cybersecurity Centre (NCSC) | La Loi nationale sur la cybersécurité de la Lettonie est en vigueur depuis le 1er septembre 2024 (remplace l'ancienne Loi sur la sécurité des TI) ; le Règlement n° 397 (exigences minimales de cybersécurité) est en vigueur depuis le 2 juillet 2025 ; l'avis motivé de la CE de mai 2025 est résolu. Le Centre national de cybersécurité (NCSC) — ministère de la Défense avec CERT.LV — est le superviseur principal ; le Bureau de protection de la Constitution supervise les infrastructures TIC critiques. Les entités doivent nommer un responsable de la cybersécurité, classer les systèmes en trois niveaux (A/B/C) et réaliser des revues annuelles de sécurité TIC. Toutes les échéances initiales (enregistrement, nomination du responsable, première autoévaluation) sont dépassées ; transposition pleinement notifiée. |
| Lituanie | Entièrement notifié | National Cyber Security Centre (NCSC) | La Loi sur la cybersécurité modifiée de la Lituanie est entrée en vigueur le 18 oct. 2024 ; la Résolution gouvernementale sur la mise en œuvre a suivi le 12 nov. 2024. Le NCSC a notifié le registre initial de 1 443 entités autour du 17 avr. 2025 ; la conformité est échelonnée (mesures organisationnelles ~17 avr. 2026 — imminentes ; mesures techniques ~17 avr. 2027). La Lituanie élargit le champ d'application au-delà de la directive (administration publique locale, entités critiques de R&D, fournisseurs d'hébergement d'informations électroniques), impose la désignation d'un responsable de la cybersécurité et exige des entités essentielles une évaluation de conformité indépendante triennale. Pleinement notifiée à la Commission européenne. |
| Luxembourg | Projet | ILR (proposed) / CSSF (financial, proposed); HCPN coordination | Projet 8364 déposé le 13 mars 2024, non encore adopté en avril 2026 ; délai européen manqué le 17 octobre 2024 ; avis motivé de la CE du 7 mai 2025 ; avis complémentaire du Conseil d'État de décembre 2025 ; le cadre NIS1 reste applicable ; modèle de supervision partagé proposé (ILR la plupart des secteurs / CSSF financier / HCPN coordination) ; périmètre élargi (~6 000–8 000 entités) ; plateforme SERIMA lancée par l'ILR ; adoption attendue au cours de 2026. |
| Malte | Entièrement notifié | CIPD (primary) / MCA (digital + postal); CSIRT Malta (incidents) | NIS2 transposée via le Legal Notice 71 of 2025 (S.L. 460.41), publié le 8 avril 2025 et pleinement en vigueur depuis le 23 janvier 2026 en vertu du L.N. 22 of 2026 ; remplace NIS1 (L.N. 216/2018). Le CIPD est superviseur principal ; la MCA est compétente pour les infrastructures numériques et les services postaux/de messagerie ; CSIRT Malta (au sein du CIPD) assure la réponse aux incidents ; le CIPAB conseille sur les sanctions. Les entités doivent s'auto-enregistrer auprès du CIPD et désigner un CSIRT interne/autonome ; les premiers audits formels sont attendus au S2 2027. |
| Pays-Bas | Projet | Sector-specific competent authorities (proposed under Cbw); NCSC (CSIRT) | Les Pays-Bas transposent NIS2 via la Cyberbeveiligingswet (Cbw), une nouvelle loi qui remplacera la Wbni. La Cbw a été déposée à la Tweede Kamer le 4 juin 2025 et, en avril 2026, n'a pas encore été adoptée ; l'entrée en vigueur est attendue au 2e trimestre 2026 (imminente). Les Pays-Bas n'ont pas respecté le délai de transposition du 17 octobre 2024 et ont reçu un avis motivé de la Commission européenne le 7 mai 2025. La Cbw établit un modèle de supervision multi-régulateurs avec des autorités compétentes sectorielles (par ex. RDI pour les infrastructures numériques, ILT pour les transports) ; le NCSC agit en tant que CSIRT national et coordinateur. La notification d'incidents crée une double obligation (NCSC + autorité sectorielle) ; la formation à la cybersécurité pour la direction est obligatoire. L'enregistrement volontaire via mijn.ncsc.nl est actif depuis le 17 octobre 2024. |
| Pologne | Entièrement notifié | Ministry of Digital Affairs (lead) / sectoral ministries (supervision); CSIRT GOV, NASK, MON (incidents) | La Pologne a achevé la transposition de la NIS2 par une modification de l'UKSC (Loi sur le Système national de cybersécurité); adoptée par le Sejm le 23/01/2026; signée par le Président le 19/02/2026; en vigueur depuis le 03/04/2026 (vacatio legis d'un mois); ~18 mois après le délai du 17/10/2024; avis motivé de la CE du 07/05/2025 — procédure d'infraction réglée à la finalisation de la transposition. Modèle multi-autorités — le Ministère des Affaires numériques pilote + tient le registre; les ministères sectoriels compétents supervisent; trois CSIRT nationaux (GOV/NASK/MON) + CSIRT sectoriels gèrent les incidents. SGSI obligatoire (PN-EN ISO/IEC 27001 + ISO 22301); audit biennal; formation non délégable du conseil + responsabilité personnelle; mécanisme transsectoriel des fournisseurs à haut risque (examen par le Tribunal constitutionnel); sanctions élevées jusqu'à 100 M PLN (~24 M €). Mise en conformité progressive : enregistrement avant le 03/10/2026; SGSI complet avant le 03/04/2027; premier audit avant le 03/04/2028. |
| Portugal | Entièrement notifié | CNCS (lead) / sectoral + special supervisory authorities; Crisis Office (coordination) | Le Portugal a achevé la transposition de NIS2 via le décret-loi n° 125/2025 (Regime Jurídico da Cibersegurança) ; publié le 4 décembre 2025 ; en vigueur depuis le 3 avril 2026 (120 jours après publication) ; remplace intégralement la loi 46/2018 et le décret-loi 65/2021 ; échéance du 17 octobre 2024 manquée ; avis motivé de la CE du 7 mai 2025 résolu lors de la publication. Modèle de supervision à plusieurs niveaux — CNCS comme autorité principale + autorités sectorielles et de supervision spéciales + nouveau Bureau de crise. Responsable de la cybersécurité obligatoire (membre de l'organe de direction ou rapporteur direct) et point de contact permanent 24/7 avec le CNCS, tous deux dus au 4 mai 2026 (20 jours ouvrés après l'entrée en vigueur — à venir). Classification des organismes publics en Groupe A / Groupe B. Conformité par phases — enregistrement sur la plateforme du CNCS 60 jours après le lancement (date à confirmer) ; obligations majeures (gestion des risques, chaîne d'approvisionnement, reporting annuel) 24 mois après la publication des règlements d'application du CNCS. |
| Roumanie | Entièrement notifié | National Cybersecurity Directorate (DNSC) | La Roumanie a achevé la transposition de NIS2 via GEO 155/2024 (adoptée le 30 déc. 2024 ; en vigueur depuis le 31 déc. 2024) ; affinée par la Loi 124/2025 (en vigueur depuis le 10 juil. 2025) étendant le secteur santé à la chaîne d'approvisionnement pharmaceutique et aux pharmacies de détail (NACE 4773) ; opérationnalisée par les Arrêtés DNSC 1/2025 (enregistrement) et 2/2025 (évaluation des risques), tous deux en vigueur depuis le 20 août 2025 ; dispositions de sanction depuis le 30 janv. 2025 ; autorité principale DNSC ; pouvoir de doubler l'amende maximale dans les cas aggravés (incl. plafonds de 10 M€ / 2 %) ; désignation obligatoire d'une personne responsable de la cybersécurité (indépendante du chef opérationnel de l'informatique) et formation cybersécurité obligatoire pour la direction ; enregistrement des entités via la plateforme NIS2@RO — délai initial ~19 sept. 2025 (dépassé) ; seuls les enregistrements postérieurs au 20 août 2025 sont juridiquement valides ; chaîne de conformité en quatre étapes — enregistrement → auto-évaluation du niveau de risque → auto-évaluation de la maturité (sous 60 jours) → plan de remédiation (sous 30 jours) ; entités de la défense nationale, de l'ordre public, de la sécurité nationale, du MAE et de l'application de la loi exclues. |
| Slovaquie | Entièrement notifié | NBÚ (lead) / sector ministries (supervision); SK-CERT (incidents) | La Slovaquie a achevé la transposition de NIS2 via la <strong>Loi n° 366/2024 Coll.</strong>, modifiant la Loi sur la cybersécurité n° 69/2018 Coll. ; adoption par le Conseil national le 28 nov. 2024 ; publication au Recueil des lois le 19 déc. 2024 ; en vigueur depuis le 1er janv. 2025 ; la Slovaquie est le 4e État membre de l'UE à avoir achevé la transposition ; environ 3 500 à 14 000 entités devraient être concernées ; autorité principale NBÚ (Národný bezpečnostný úrad) ; SK-CERT (National Cyber Security Centre, au sein du NBÚ) gère la réponse aux incidents ; les ministères sectoriels (par ex. Santé, Transports) ont des rôles complémentaires ; cadre aligné sur la famille de normes ISO 27000 ; arrêté complémentaire sur les mesures de sécurité élaboré en 2025 ; les tiers de la chaîne d'approvisionnement sont explicitement réglementés en tant qu'entités directes (au-delà du minimum de la directive) ; enregistrement via la plateforme JISKB — délai initial ~1er mars 2025 (dépassé) ; nouvelles entités 60 jours à compter de leur entrée dans le champ ; conformité totale à toutes les obligations requise pour le 31 déc. 2026 ; SK-CERT peut demander un rapport intermédiaire entre la notification à 72 heures et le rapport final. |
| Slovénie | Entièrement notifié | URSIV (lead/NCC-SI/SPOC); SI-CERT (private) / SIGOV-CERT (gov) (incidents) | La Slovénie a achevé la transposition de NIS2 par la Loi sur la sécurité de l'information (ZInfV-1) (Zakon o informacijski varnosti) ; adoptée par l'Assemblée nationale le 23 mai 2025 ; publiée au Journal officiel n° 40/25 le 4 juin 2025 ; en vigueur depuis le 19 juin 2025 ; nouvelle loi globale qui remplace la précédente ZInfV (2018) ; adoptée par procédure d'urgence à la suite de l'avis motivé de la CE du 7 mai 2025 ; autorité principale URSIV (Bureau gouvernemental pour la sécurité de l'information), faisant également office de NCC-SI et de point de contact unique national ; SI-CERT (exploité par ARNES) comme CSIRT national pour le secteur privé ; SIGOV-CERT pour les entités gouvernementales ; champ étendu au-delà du minimum prévu par la Directive aux institutions de recherche et d'enseignement supérieur ; cadre d'exigences en cybersécurité annexé à la loi ; ISO/IEC 27001 comme norme applicable ; ISMS + BCMS obligatoires ; délai d'enregistrement auprès d'URSIV 19 décembre 2025 (expiré) ; nouvelles entités 30 jours à compter de leur entrée dans le champ d'application ; délais échelonnés de gestion des risques — 19 juin 2026 (fournisseurs de services essentiels sous la précédente ZInfV) / 19 décembre 2026 (autres entités essentielles/importantes) ; évaluation de la conformité par un CAB accrédité au moins tous les 2 ans pour les entités essentielles. |
| Espagne | Projet | CNC (proposed lead/SPOC); CCN-CERT (public) / INCIBE-CERT (private) / ESPDEF-CERT (defence) (CSIRTs) | L'Espagne n'a pas encore adopté sa transposition de NIS2 ; l'Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a été approuvé par le Conseil des ministres le 14 janvier 2025 ; en attente de débat parlementaire aux Cortes Generales en avril 2026 ; délai du 17 octobre 2024 manqué ; avis motivé de la CE du 7 mai 2025 ; un renvoi devant la CJUE reste possible ; le cadre NIS1 existant (RD-Loi 12/2018) continue de s'appliquer ; le projet établit un nouveau Centro Nacional de Ciberseguridad (CNC) comme autorité principale, point de contact unique pour l'UE et coordinateur de crise ; trois CSIRT de référence désignés — CCN-CERT (secteur public), INCIBE-CERT (entités privées), ESPDEF-CERT (Forces armées) ; notification des incidents via la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes ; champ étendu au-delà du minimum de la Directive aux universités, centres de recherche, grandes municipalités, entreprises de sécurité privée, entités à implication de défense nationale et entreprises étrangères disposant d'un établissement permanent en Espagne ; structure d'amendes nationales graduée (mineures 10 000 €–100 000 € ; graves 100 001 €–500 000 € ; très graves 500 001 €–2 M€ ; plafonds supérieurs de type NIS2 pour les cas les plus graves) ; un Responsable de Seguridad de la Información sera requis par entité une fois la loi adoptée. |
| Suède | Entièrement notifié | MSB/MCF (lead/coordinator/SPOC/CSIRT); PTS (digital sectors); sector authorities | La Suède a achevé sa transposition NIS2 avec la Cybersäkerhetslagen (loi sur la cybersécurité, SFS 2025:1506), adoptée par le Riksdag le 10 décembre 2025 et en vigueur depuis le 15 janvier 2026 — une nouvelle loi complète qui remplace l'Information Security Act 2018:1174 ; la Cybersäkerhetsförordningen a été publiée en parallèle. La Suède a manqué l'échéance du 17 octobre 2024 et a reçu un avis motivé de la CE le 7 mai 2025 (résolu après l'entrée en vigueur). MSB (Myndigheten för samhällsskydd och beredskap) a été renommée MCF (Myndigheten för civilt försvar — Agence suédoise de défense civile et de résilience) au 1er janvier 2026 ; MSB/MCF agit comme coordinateur national, point de contact unique de l'UE et CSIRT national. La Suède applique un modèle de supervision décentralisé — les autorités sectorielles supervisent leurs secteurs respectifs, PTS (Post- och telestyrelsen — Agence suédoise des postes et télécommunications) corégulant l'infrastructure numérique, les fournisseurs numériques, la gestion des services TIC (B2B), le spatial et les services postaux et de courrier. Approche d'entité entière — l'ensemble de l'empreinte informatique des entités dans le champ doit être conforme. La formation obligatoire des dirigeants est sanctionnable. Les prestataires de services de confiance doivent transmettre à la fois l'alerte précoce et la notification d'incident dans un délai de 24 heures (dérogation au délai de 72h). Interdiction temporaire d'exercer des fonctions de direction possible pour les membres d'organes de direction d'entités essentielles. Délai d'enregistrement 16 février 2026 (expiré) ; portail de notification MSB/MCF lancé le 2 février 2026 ; toutes les obligations s'appliquent immédiatement à partir du 15 janvier 2026 sans période de grâce générale. |
Beaucoup de ces États membres ont adopté des lois primaires mais nécessitent encore une législation secondaire complète et une notification à la Commission avant que l'application ne soit considérée comme complète.
Légende de l'état
- Entièrement notifié = transposition nationale adoptée et aucun avis motivé ouvert de la Commission concernant une notification incomplète.
- Adopté = loi de transposition nationale adoptée (ou publiée) mais la Commission a demandé des informations complémentaires / la complétude de la notification (ou la notification reste à confirmer). Si la loi est déjà en vigueur mais que la notification est en attente d'examen, cela est indiqué.
- Projet = processus législatif en cours / aucune loi nationale finale publiée.
Notes clés de mise en œuvre
Date limite et action de la Commission
Tous les États membres étaient tenus de transposer NIS2 avant le 17 octobre 2024 ; la plupart ont manqué ce délai. Le 7 mai 2025, la Commission européenne a adressé des avis motivés à 19 États membres pour non-notification de la transposition complète.
"Adopté" vs "Entièrement notifié"
Certains États membres ont promulgué des lois nationales mais n'ont pas encore entièrement notifié toutes les mesures d'exécution à la Commission. D'autres États membres sont encore en phase de projet ou d'examen législatif/parlementaire.
Application et préparation réglementaire
Lorsque la loi nationale est en vigueur, l'enregistrement des entités, la déclaration d'incidents, les pouvoirs de surveillance et les sanctions (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires pour les entités essentielles) sont mis en œuvre progressivement par le biais de réglementations secondaires.
Application en attente
Dans les États membres ayant le statut Adopté ou Projet, les obligations d'enregistrement et de déclaration ne sont pas encore exécutoires tant que la loi nationale n'est pas en vigueur et que les autorités n'ont pas publié les instruments juridiques et les portails. Cela n'empêche pas les PME diligentes de commencer dès maintenant leur parcours de conformité NIS2.
Clarifications sur les autorités compétentes
Dans l'ensemble de l'UE, les États membres désignent une ou plusieurs autorités compétentes chargées de la mise en œuvre et de l'application de NIS2.
Superviser la conformité
Surveiller le respect des obligations NIS2 par les entités essentielles et importantes
Réception des signalements d'incidents
Traiter et coordonner les réponses aux notifications d'incidents de cybersécurité
Tenir des listes d'entités
Tenir des registres des entités essentielles et importantes relevant de leur juridiction
Appliquer les exigences
Mettre en œuvre les exigences de gestion des risques et de gouvernance par des actions réglementaires
Types d'autorités typiques
- Autorités/agences nationales de cybersécurité ou régulateurs dédiés à la cybersécurité (par exemple, CCB, ACN, NUKIB, ANSSI)
- Régulateurs sectoriels pour la finance, les télécommunications, l'énergie lorsque les responsabilités sont déléguées
- Les CSIRTs exercent des fonctions de coordination et de signalement en vertu du droit national