Statut de mise en œuvre de NIS2
Suivez l’avancement de la transposition de la directive NIS2 dans tous les États membres de l’UE, y compris les autorités compétentes et les calendriers d’application.
Au 10 avril 2026
État d'avancement de la mise en œuvre de NIS2
| État membre | Statut | Autorité compétente | Notes |
|---|---|---|---|
| Autriche | Adopté | Federal Chancellery (Bundeskanzleramt) | Loi de transposition nationale adoptée (23 déc. 2025) ; entrée en vigueur / mesures secondaires prévues pour 2026 — complétude de la notification en cours d'examen par la Commission. |
| Belgique | Entièrement notifié | Centre for Cybersecurity Belgium (CCB) | Loi nationale de mise en œuvre adoptée en avril 2024 et enregistrée ; non répertoriée parmi les cas d'avis motivés de la Commission. |
| Bulgarie | Projet | Ministry of Transport, Information Technologies & Communications | Des projets d'amendements ont été diffusés mais la transposition nationale finale est bloquée et la Bulgarie a été incluse dans la liste des avis motivés de la Commission. |
| Croatie | Entièrement notifié | National Cybersecurity Authority(s) | Législation de transposition (loi/règlement sur la cybersécurité) adoptée et opérationnelle ; ne figure pas sur la liste des avis motivés en suspens de la Commission. |
| Chypre | Adopté | Digital Security Authority | Amendement publié (loi sur la sécurité des réseaux et des systèmes d'information (amendement) de 2025 publiée le 25 avril 2025) ; la Commission a demandé des détails de notification supplémentaires. |
| République tchèque | Adopté | National Cyber and Information Security Agency (NUKIB) | La nouvelle loi sur la cybersécurité (n° 264/2025) est entrée en vigueur le 1er nov. 2025 — la loi est en vigueur tandis que la complétude de la notification formelle est en cours d'évaluation par la Commission. |
| Danemark | Adopté | Center for Cybersecurity (CFCS) + sector authorities | Loi de transposition NIS2 en vigueur depuis le 1er juil. 2025 ; la date limite d'enregistrement des entités est passée. Un avis motivé de la Commission a été émis en mai 2025 avant la promulgation ; la complétude de la notification est en cours d'examen. |
| Estonie | Projet | Estonian Information System Authority (RIA) | Processus d'ébauche/amendement en cours (premières lectures signalées) ; l'Estonie a été incluse dans la liste des avis motivés de la Commission. |
| Finlande | Adopté | Finnish Transport and Communications Agency (Traficom) / DVV | Loi de transposition NIS2 en vigueur ; la date limite d'enregistrement des entités est passée. Avis motivé de la Commission émis en mai 2025 ; la complétude de la notification est en cours d'examen. Remarque : les amendes administratives ne peuvent pas être imposées aux entités de l'administration publique. |
| France | Projet | ANSSI (French National Agency for Information Systems Security) | Transposition incorporée dans des projets de loi plus larges sur la résilience ; activité parlementaire en cours et la Commission a émis un avis motivé demandant l'achèvement. |
| Allemagne | Entièrement notifié | Bundesamt für Sicherheit in der Informationstechnik (BSI) | Le NIS2UmsuCG a été adopté en novembre 2025 et est en vigueur ; non inclus dans les cas d'avis motivés en suspens de la Commission. La date limite d'enregistrement des entités BSI est avril 2026. |
| Grèce | Entièrement notifié | Ministry of Digital Governance / National Cybersecurity Authority | La Grèce a adopté sa transposition en droit national et n'est pas répertoriée parmi les cas d'avis motivés de la Commission. |
| Hongrie | Adopté | National Cybersecurity Agency & Ministry of Defence | La loi primaire est en vigueur mais les décrets d'application restent retardés ; la Commission a émis un avis motivé en mai 2025. Le délai du premier audit de conformité a été prolongé de décembre 2025 à juin 2026. |
| Irlande | Projet | National Cyber Security Centre (NCSC-IE) | L'Irlande a un projet de loi actif (projet de loi sur la cybersécurité nationale) mais la Commission a émis un avis motivé pour notification incomplète. |
| Italie | Entièrement notifié | Italian National Cybersecurity Authority (ACN) + sector regulators | L'Italie a adopté et notifié la législation d'application et ne figure pas sur la liste des avis motivés de la Commission. |
| Lettonie | Adopté | Latvian National Cyber Security Authority | La Lettonie a adopté une loi nationale sur la cybersécurité (mi-2024) et a des règles secondaires en attente ; la Commission a signalé l'exhaustivité de la notification en mai 2025. |
| Lituanie | Entièrement notifié | Lithuanian National Cyber Security Centre | La Lituanie a transposé NIS2 en 2024 et a mis en vigueur des dispositions clés le 18 oct. 2024 ; elle est répertoriée parmi les États ayant achevé la transposition. |
| Luxembourg | Projet | Institut Luxembourgeois de Regulation (ILR) | Le Luxembourg a été inclus dans la liste des avis motivés de la Commission et reste dans la phase de projet/législative. |
| Malte | Entièrement notifié | Malta Information Technology Agency (MITA) | Malte a transposé NIS2 via une ou des notices légales en 2025 et a mis le cadre en vigueur (notices légales effectives en janv. 2026) ; elle ne figure pas sur la liste des avis motivés de la Commission de mai 2025. |
| Pays-Bas | Projet | Minister of Digital Affairs + NCSC units | Les Pays-Bas figurent parmi les États membres cités par la Commission pour notification incomplète ; les travaux de transposition étaient en cours au niveau national. |
| Pologne | Projet | Ministry of Digital Affairs (Cybersecurity Dept) | La Pologne a été incluse dans la liste des avis motivés de la Commission et les amendements nationaux étaient encore en développement. |
| Portugal | Entièrement notifié | National Cyber Security Directorate (DNSC) | Le décret-loi n° 125/2025 (publié le 4 déc. 2025) est entré en vigueur en avril 2026 ; le Portugal n'a pas été inclus dans la liste des avis motivés de la Commission de mai 2025 confirmant la complétude de la notification. |
| Roumanie | Entièrement notifié | National Cybersecurity Directorate (DNSC) | La Roumanie aurait achevé sa transposition nationale et ne figure pas sur la liste des avis motivés en suspens de la Commission. |
| Slovaquie | Entièrement notifié | National Cybersecurity Authority (Prime Minister's Office) | La Slovaquie a adopté la législation de mise en œuvre et n'est pas incluse dans la liste des avis motivés de la Commission. |
| Slovénie | Entièrement notifié | Information Security Administration (ASIM-SI) | La Slovénie a promulgué sa loi de transposition NIS2 et figure parmi les pays de maturité de niveau 4 dotés d'une loi approuvée et d'un cadre de cybersécurité finalisé ; ne figure pas parmi les pays encore en attente début 2026. |
| Espagne | Projet | National Cybersecurity Institute (INCIBE) / Security Council | L'Espagne a été citée par la Commission pour notification incomplète ; les mesures législatives et secondaires sont toujours en cours. |
| Suède | Adopté | Swedish Civil Contingencies Agency (MSB) | La loi NIS2 suédoise est entrée en vigueur le 15 janvier 2026 ; la complétude de la notification à la Commission est en cours d'examen. Les entités doivent s'enregistrer rapidement. Les fournisseurs de services de confiance sont soumis à un délai de notification d'incident de suivi plus strict de 24 heures que la base NIS2. |
Beaucoup de ces États membres ont adopté des lois primaires mais nécessitent encore une législation secondaire complète et une notification à la Commission avant que l'application ne soit considérée comme complète.
Légende de l'état
- Entièrement notifié = transposition nationale adoptée et aucun avis motivé ouvert de la Commission concernant une notification incomplète.
- Adopté = loi de transposition nationale adoptée (ou publiée) mais la Commission a demandé des informations complémentaires / la complétude de la notification (ou la notification reste à confirmer). Si la loi est déjà en vigueur mais que la notification est en attente d'examen, cela est indiqué.
- Projet = processus législatif en cours / aucune loi nationale finale publiée.
Notes clés de mise en œuvre
Date limite et action de la Commission
Tous les États membres étaient tenus de transposer NIS2 avant le 17 octobre 2024 ; la plupart ont manqué ce délai. Le 7 mai 2025, la Commission européenne a adressé des avis motivés à 19 États membres pour non-notification de la transposition complète.
"Adopté" vs "Entièrement notifié"
Certains États membres ont promulgué des lois nationales mais n'ont pas encore entièrement notifié toutes les mesures d'exécution à la Commission. D'autres États membres sont encore en phase de projet ou d'examen législatif/parlementaire.
Application et préparation réglementaire
Lorsque la loi nationale est en vigueur, l'enregistrement des entités, la déclaration d'incidents, les pouvoirs de surveillance et les sanctions (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires pour les entités essentielles) sont mis en œuvre progressivement par le biais de réglementations secondaires.
Application en attente
Dans les États membres ayant le statut Adopté ou Projet, les obligations d'enregistrement et de déclaration ne sont pas encore exécutoires tant que la loi nationale n'est pas en vigueur et que les autorités n'ont pas publié les instruments juridiques et les portails. Cela n'empêche pas les PME diligentes de commencer dès maintenant leur parcours de conformité NIS2.
Clarifications sur les autorités compétentes
Dans l'ensemble de l'UE, les États membres désignent une ou plusieurs autorités compétentes chargées de la mise en œuvre et de l'application de NIS2.
Superviser la conformité
Surveiller le respect des obligations NIS2 par les entités essentielles et importantes
Réception des signalements d'incidents
Traiter et coordonner les réponses aux notifications d'incidents de cybersécurité
Tenir des listes d'entités
Tenir des registres des entités essentielles et importantes relevant de leur juridiction
Appliquer les exigences
Mettre en œuvre les exigences de gestion des risques et de gouvernance par des actions réglementaires
Types d'autorités typiques
- Autorités/agences nationales de cybersécurité ou régulateurs dédiés à la cybersécurité (par exemple, CCB, ACN, NUKIB, ANSSI)
- Régulateurs sectoriels pour la finance, les télécommunications, l'énergie lorsque les responsabilités sont déléguées
- Les CSIRTs exercent des fonctions de coordination et de signalement en vertu du droit national
Restez informé sur NIS2
Recevez les dernières orientations, rappels de délais et conseils de conformité directement dans votre boîte de réception.
Pas de spam. Désabonnez-vous à tout moment.