Directive NIS 2 : état de la transposition en Europe

En bref

La directive européenne NIS2 (Network and Information Security 2) vise à renforcer la cybersécurité et la résilience des entités essentielles et importantes à travers l’Union Européenne, avec des obligations accrues en matière de gestion des risques et de notification des incidents pour de nombreux secteurs (énergie, santé, transport, télécoms, services numériques, etc.).
Sa transposition progresse de manière très hétérogène entre les États membres, avec des niveaux d’avancement très divers.

La directive européenne NIS 2 (Network and Information Security) doit être transposée dans le droit national de chaque État membre de l’Union Européenne (UE).

Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, NIS 2 renforce les acquis de la NIS pour davantage de sécurité. Le texte européen élargit de manière drastique le volume d’entités concernées par la réglementation. Celle-ci concerne des entreprises de secteurs et de tailles diverses, allant des PME aux grandes entreprises.

La variété de ce périmètre constitue sans nul doute un vrai défi pour les autorités nationales qui, en transposant la NIS 2 doivent décliner et clarifier de nombreux aspects dont :

L’articulation avec les règlementations locales
Les délais de conformité
Les exigences de sécurité applicables
La procédure d’enregistrement des entités auprès des autorités
Les modalités de notification des incidents de cybersécurité

Pour définir ces éléments, les autorités ont parfois pris des orientations différentes quant à la démarche de construction de leur déclinaison de NIS 2 : consultation publique vs. groupes de travail restreints, création de standard de cybersécurité vs. utilisation de standard du marché, communication plus au moins poussée allant jusqu’à la mise à disposition d’outils d’aide en ligne pour les entités.

La grande majorité des pays de l’UE ont dépassé l’échéance de transposition au 17 octobre 2024, fixée par la Commission Européenne (CE). Cette situation a conduit la CE à enclencher des procédures d’infraction. Après une première vague de mises en demeure en novembre 2024, 19 États membres ont reçu un avis motivé en mai 2025, les obligeant à finaliser rapidement leur transposition sous peine de sanctions potentielles.

A date, 20 États membres sur 27 ont officiellement finalisé la transposition de NIS 2 dans leur droit national. Par ailleurs, le Royaume-Uni et la Norvège, non membres de l’UE, ont également lancé des travaux sur le sujet.

Cet article dresse un état des lieux de la transposition de NIS 2 dans les différents États membres de l’UE, à jour au 1er janvier 2026. L’échelle de progression utilisée dans cet article a été mise à jour par rapport aux publications précédentes.

Retrouvez également l’état des lieux de la transposition de la Directive REC.

Transpositions NIS 2 en Europe

Cet article, mis à jour le 1er janvier 2026, présente les différents niveaux de maturité de l’ensemble des pays européens face à la Directive NIS 2.

Niveau de maturité 1 :
Premiers travaux de transposition engagés. Les pays concernés sont : Irlande, Norvège.
Niveau de maturité 2 :
Projet de loi en cours de proposition auprès des instances législatives. Les pays concernés sont : Royaume-uni, Luxembourg, France, Espagne, Pays-Bas, Pologne, Bulgarie.
Niveau de maturité 3 :
Projet de loi approuvé et référentiel de cybersécurité non disponible (ou en version temporaire). Les pays concernés sont : Suède, Danemark, Autriche, Portugal, Malte, Finlande, Estonie, Roumanie, Chypre.
Niveau de maturité 4 :
Projet de loi approuvé et référentiel de cybersécurité disponible en version définitive. Les pays concernés sont : Belgique, Allemagne, Italie, Hongrie, Grèce, République Tchèque, Slovaquie, Slovénie, Lettonie, Lituanie, Croatie.

Pays avec un niveau de maturité 4

Directive NIS2 - Pays maturité 4 (part1) - Jan2026 — Cette carte, mise à jour le 1er janvier 2026, présente les **pays de maturité 4 ayant un projet de loi approuvé et un référentiel de cybersécurité disponible en version définitive**. Les pays concernés sont : Belgique, Allemagne, Italie, Hongrie, Grèce, République Tchèque, Slovaquie, Slovénie, Lettonie, Lituanie, Croatie.

**Belgique :**

La transposition est entrée en vigueur le 18 octobre 2024.

Les entités concernées devaient s’enregistrer auprès du CCB avant le 18 mars 2025.

Elles doivent se conformer aux exigences du référentiel CyFun® ou à la norme ISO 27001, dans un délai de 18 à 30 mois à compter de la confirmation de leur éligibilité.

Le CCB a publié en octobre 2025 une version mise à jour du CyFun®.

**Allemagne :**

Un projet de loi est entré en vigueur le 6 décembre 2025.

Pour le cadre de sécurité applicable, la BSI n’a pas publié de référentiel unique dédié à NIS 2 mais renvoie vers des réglementations sectorielles déjà existantes. Pour les secteurs non couverts, les entités peuvent choisir le référentiel de cybersécurité à appliquer.

**Italie :**

Le décret législatif n°138 transposant NIS 2 est entré en vigueur le 16 octobre 2024.

Les entités concernées avaient jusqu’au 28 février 2025 pour s’enregistrer sur le portail des services de l’ACN.

L’ACN a publié le référentiel de cybersécurité en avril 2025 qui doit être mis en œuvre sous un délai de 18 mois.

L’Italie a publié en décembre 2025 des décisions administratives complémentaires précisant les modalités d’enregistrement et de notification d’incidents.

**Hongrie :**

La loi XXIII sur la cybersécurité, entrée en vigueur en mai 2023, a été complétée par des règlementations additionnelles suite à une mise en demeure de la Commission Européenne pour transposition incomplète. L’acte LXIX est ainsi entré en vigueur en janvier 2025, complété en juillet par la loi XXXII.

Suite à cette mise à jour, un report des échéances de conformité a été annoncé. Les entités ont dorénavant jusqu’à août 2025 pour sélectionner un organisme d’audit et jusqu’à juin 2026 pour réaliser l’audit.

Le référentiel de cybersécurité repose sur le framework NIST SP 800-53. Les entités sont tenues de se conformer à ces exigences avant janvier 2027.

**Grèce :**

La loi n°5160/2024 transposant la directive NIS 2 est entrée en vigueur le 27 novembre 2024.

L’enregistrement des entités a été prolongé jusqu’au 30 septembre 2025 et doit se faire via la plateforme numérique de la NCSA.

Le 6 mai 2025, un référentiel de cybersécurité composé de 22 thématiques a été publié au Journal Officiel.

Directive NIS2 - Pays maturité 4 (part2) - Jan2026 — Cette carte, mise à jour le 1er janvier 2026, présente les **pays de maturité 4 ayant un projet de loi approuvé et un référentiel de cybersécurité disponible en version définitive**. Les pays concernés sont : Belgique, Allemagne, Italie, Hongrie, Grèce, République Tchèque, Slovaquie, Slovénie, Lettonie, Lituanie, Croatie.

**République Tchèque :**

La loi n° 759 transposant NIS 2 a été publiée au recueil des lois en août 2025. Le texte est entré en vigueur le 1er novembre 2025.

Les entités concernées doivent soumettre leur demande d’enregistrement auprès du NÚKIB dans les 60 jours suivant l’entrée en vigueur de la loi.

Deux décrets d’application publiés en octobre 2025 précisent respectivement les exigences de cybersécurité pour les Entités Essentielles (EE) et les Entités Importantes (EI).

**Slovaquie :**

L’amendement à la loi n°69/2018 sur la cybersécurité, transposant la directive NIS 2, est entré en vigueur le 1er janvier 2025.

Les entités concernées doivent se déclarer auprès de l’autorité de sécurité nationale (NBU) via un portail numérique.

Le 1er septembre, les décrets n° 226/2025 et n° 227/2025 sont entrés en vigueur, précisant les exigences minimales de cybersécurité.

**Slovénie :**

Suite à une mise en demeure de la Commission Européenne, la Slovénie a engagé une procédure d’urgence ayant conduit, en mai 2025, à l’adoption de la loi sur la sécurité de l’information ZInfV-1. Cette dernière, transposant NIS 2, est entrée en vigueur le 19 juin 2025.

Les entreprises doivent s’enregistrer par le biais d’un envoi de mail au Bureau du gouvernement, en attendant la mise en place d’une plateforme officielle.

Un référentiel, annexé à la loi ZInfV-1, définit les exigences de cybersécurité applicables aux entités.

**Lettonie :**

La loi sur la cybersécurité nationale est entrée en vigueur le 1er septembre 2024.

Les entités concernées devaient s’enregistrer auprès du NCSC avant le 1er avril 2025.

Le 2 juillet 2025, le règlement définissant les exigences de cybersécurité (Minimum Cybersecurity Requirements) est entré en vigueur.

**Lituanie :**

La loi sur la cybersécurité n°XII-1428 est entrée en vigueur le 17 octobre 2024.

Les entités concernées ont été directement identifiées par le Centre National de Cybersécurité (NKSC).

Le référentiel de cybersécurité, défini par la résolution gouvernementale du 12 novembre 2024, est composé de 12 thématiques. Les entités disposent, à compter de leur inscription au registre officiel, de 12 mois pour mettre en œuvre les exigences générales, et de 24 mois pour les exigences techniques.

**Croatie :**

Le Croatian Cyber Security Act (CSA ou Zakon o kibernetičkoj sigurnosti n° 14/2024) est entré en vigueur le 15 février 2024.

Un règlement complémentaire (NN 135/2024) est venu enrichir la transposition en précisant les modalités de notification des incidents et les exigences de cybersécurité.

Les entités concernées par NIS 2 ont été notifiées directement par les autorités sectorielles compétentes au printemps 2025.

Le Centre National de Cybersécurité (NHCSC-HR) a publié, le 3 mars 2025, plusieurs lignes directrices destinées aux autorités sectorielles et aux entités pour faciliter l’application du règlement.

Pays ayant un niveau de maturité 3

Directive NIS2 - Pays maturité 3 - Jan2026 — Cette carte, mise à jour le 1er janvier 2026, présente les **pays de maturité 3 ayant un projet de loi approuvé et un référentiel de cybersécurité non disponible**. Les pays concernés sont : Suède, Danemark, Autriche, Portugal, Malte, Finlande, Estonie, Roumanie, Chypre.

**Suède :**

Le 10 décembre 2025, le parlement a approuvé la nouvelle loi sur la cybersécurité visant à intégrer NIS 2.

L’entrée en vigueur est prévue pour le 15 janvier 2026.

**Danemark :**

La directive NIS 2 a été transposée par une loi principale intersectorielle, complétée par des lois sectorielles pour la finance, l’énergie et les télécommunications. Ces textes sont entrés en vigueur progressivement jusqu’au 1er juillet 2025.

Les entités concernées devaient s’enregistrer au plus tard le 1er octobre 2025 sur la plateforme nationale Virk.

Le CFCS a publié divers guides pour appuyer les entités dans leur mise en conformité.

**Autriche :**

Le 23 décembre 2025 le gouvernement autrichien a publié officiellement la loi de transposition de NIS2 nommée NISG2026 .

Cette dernière entrera en vigueur 9 mois après sa publication, soit le 1er octobre 2026.

**Portugal :**

Le 4 décembre 2025, le gouvernement a officiellement publié la loi-décret n.º 125/2025 qui transpose en droit portugais la NIS 2.

**Malte :**

Le 8 avril 2025, l’ordonnance NIS 2 (Legal Notice 71 of 2025) a été publiée au Journal Officiel, marquant son entrée en vigueur.

Sa mise en œuvre pratique dépend de décisions à venir de la Direction de la Protection des Infrastructures Critiques, notamment sur les modalités d’enregistrement et les exigences de cybersécurité. Cependant, le cadre CyFun®, élaboré par la Belgique, a été reconnu par Malte.

**Finlande :**

La loi sur la cybersécurité est entrée en vigueur le 8 avril 2025.

Les entités concernées par NIS 2 devaient s’enregistrer avant le 8 mai 2025 auprès de leur autorité sectorielle compétente.

Le 8 avril 2025, un premier cadre de cybersécurité à destination des autorités de supervision a été publié. Celles-ci doivent l’adapter aux spécificités de leur secteur.

**Estonie :**

Le 18 décembre 2025, le projet de loi modifiant la loi sur la cybersécurité de 2018 a été approuvé par le Président après validation par le parlement.

Ce dernier est entré en vigueur le 1er janvier 2026.

**Roumanie :**

NIS 2 a été transposée par le biais de l’ordonnance d’urgence n°155/2024 entrée en vigueur en janvier 2025, et des lois n°52/2025 et n°124/2025 entrées en vigueur en juillet 2025.

Les entités concernées devaient soumettre leur notification d’enregistrement à la DNSC avant le 19 septembre 2025.

Aucun référentiel de cybersécurité NIS 2 spécifique à la Roumanie n’a été partagé. Cependant, le cadre CyFun®, élaboré par la Belgique, a été reconnu par la Roumanie.

**Chypre :**

La loi modifiant le cadre existant sur la cybersécurité pour intégrer NIS 2 est entrée en vigueur le 25 avril 2025.

Les modalités d’enregistrement des entités seront définies par la Digital Security Authority (DSA), qui a mis à disposition un outil d’auto-évaluation permettant aux entités de vérifier leur éligibilité.

Pays ayant un niveau de maturité 2

Directive NIS2 - Pays maturité 2 - Jan2026 — Cette carte, mise à jour le 1er janvier 2026, présente les **pays de maturité 2 ayant un projet de loi en cours de proposition auprès des instances législatives**. Les pays concernés sont : Royaume-uni, Luxembourg, France, Espagne, Pays-Bas, Pologne, Bulgarie.

**Royaume-Uni :**

En tant qu’ex Etat membre de l’UE, le Royaume-Uni avait transposé la directive NIS 1 en droit national en 2018. Bien que non soumis à la directive NIS 2, le gouvernement britannique avait partagé son projet de moderniser la NIS locale.

En novembre 2025, le projet de loi Cyber Security and Resilience a été adopté en première lecture au parlement.

**Luxembourg :**

Le projet de loi transposant NIS 2 est en attente d’adoption par la Chambre des Députés, suite aux propositions d’amendements du Gouvernement sur la base de plusieurs avis institutionnels.

Il devrait être mis en œuvre d’ici début 2026.

**France :**

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, incluant la transposition de NIS 2, REC et DORA, a été adopté par le Sénat en mars 2025.

Le gouvernement prévoit le passage du projet de loi en plénière de l’Assemblée nationale à partir de janvier 2026. Le calendrier exact reste incertain.

L’ANSSI a partagé à certains acteurs et lors des consultations une version provisoire du référentiel de cybersécurité.

Une plateforme de pré-enregistrement a également été publié en novembre 2025.

**Espagne :**

En janvier 2025, le Conseil des ministres a approuvé le projet de loi transposant NIS 2, avec un traitement administratif d’urgence.

Le texte doit encore recevoir plusieurs avis avant sa transmission au Parlement.

**Pays-Bas :**

Le projet de loi sur la cybersécurité a été soumis à la Chambre des représentants en juin 2025 et est en discussion, avec une entrée en vigueur prévue au deuxième trimestre 2026.

Le centre national de la cybersécurité (NCSC) néerlandais a partagé un référentiel de contrôles de cybersécurité (Cbw NIS 2 Control Framework) à destination des entités assujetties.

**Pologne :**

Le projet de loi (UC32) a été approuvé par le gouvernement en octobre 2025 et approuvé en première lecture à l’Assemblée nationale le 5 décembre 2025.

**Bulgarie :**

Le projet de loi transposant NIS 2 a été adopté en première lecture en février 2025.

Pays ayant un niveau de maturité 1

Directive NIS2 - Pays maturité 1 - Jan2026 — Cette carte, mise à jour le 1er janvier 2026, présente les **pays de maturité 1 ayant des premiers travaux de transposition engagés**. Les pays concernés sont : Irlande, Norvège.

**Irlande :**

Le retard sur le processus de transposition s’explique notamment par la tenue des élections générales en 2024, qui a ralenti l’agenda législatif.

Le projet de loi figure parmi les priorités législatives du gouvernement. Les obligations actuelles restent celles de la législation NIS 1 pour les opérateurs désignés.

L’Irlande a rejoint en tant que co-propriétaire le cadre CyFun®, développé par la Belgique, qu’elle recommande comme référentiel privilégié.

**Norvège :**

Bien que la Norvège ne soit pas membre de l’UE, elle transpose certaines directives européennes.

Une loi sur la sécurité numérique s’appuyant sur la directive NIS 1 a été adoptée fin 2023.

Le ministère de la Justice et de la Sécurité Publique a confirmé que l’intégration de la directive NIS 2 dans la législation norvégienne est prévue.

Focus sur certains pays européens

Allemagne

Niveau de maturité : 4

Le projet de loi NIS 2 a été approuvé une première fois par le Gouvernement fédéral allemand le 24 juillet 2024. Toutefois, en raison d’élections anticipées, le processus parlementaire n’a pas pu être finalisé. À la suite de la formation du nouveau gouvernement en mai 2025, une nouvelle version du texte a été publiée. Ce projet actualisé a été approuvé par le Bundestag et le Bundesrat en novembre 2025. Il est entré en vigueur le 5 décembre 2025. Pour le cadre de cybersécurité applicable, la BSI n’a pas publié de référentiel unique dédié à NIS 2 mais renvoie vers des réglementations sectorielles déjà existantes. Pour les secteurs non couverts, les entités peuvent choisir le référentiel de cybersécurité à appliquer.

Étapes clés :

13 novembre 2025 : Adoption du projet de loi par le Parlement (Bundestag).
21 novembre 2025 : Adoption du projet de loi par le Conseil fédéral (Bundesrat).
5 décembre 2025 : Publication de la loi au journal officiel.
6 décembre 2025 : Entrée en vigueur de la loi.

Spécificités nationales :

Le BSI Act adopté en 1991, confère au BSI le mandat de garantir la sécurité des SI.
L’IT Security Act, promulgué en 2015 et mis à jour en 2021 à travers l’IT Security Act 2.0, étend les responsabilités du BSI et impose des mesures de sécurité aux opérateurs d’infrastructures critiques. Parallèlement, le règlement KRITIS identifie une liste de secteurs critiques au sein de l’économie allemande (énergie, eau, alimentation, santé,…) et renforce les mesures de sécurité à appliquer par ces entités.
La BSI n’impose aucun référentiel de cybersécurité spécifique à NIS 2 mais renvoie vers des référentiels existants:
- Si l’entité est soumise à des réglementations sectorielles existantes, elle doit utiliser le cadre associé à ces réglementations.
- Les entités qui ne sont pas soumises à ce type de réglementation peuvent choisir le cadre de cybersécurité. Le BSI recommande certains cadres tels que ISO 27001, le BSI-400 ou les cadres sectoriels B3S.

Autorité(s) compétente(s) :

BSI (Bundesamt für Sicherheit in der Informationstechnik)

Belgique

Niveau de maturité : 4

La loi transposant la directive NIS 2 est entrée en vigueur en octobre 2024. Les entités concernées devaient s’enregistrer auprès du CCB avant le 18 mars 2025. Un délai de 18 à 30 mois à compter de la notification de leur éligibilité par le CCB est accordé aux entités pour se mettre en conformité avec les exigences de cybersécurité, soit en suivant le référentiel CyFun®, soit via la norme ISO/IEC 27001. Par ailleurs, une version mise à jour du CyFun® a été publiée en octobre 2025. A partir du 18 avril 2027, elle remplacera l’ancienne version de 2023.

Etapes clés :

10 novembre 2023 : Le Conseil des ministres belge approuve, en première lecture, l’avant-projet de loi visant à transposer la directive européenne NIS 2.
16 novembre 2023 – 21 décembre 2023 : Le CCB organise une consultation publique sur cet avant-projet.
27 mars 2024 : Le projet de loi de transposition de NIS 2 est approuvé en Commission intérieure de la Chambre des représentants.
26 avril 2024 : La loi NIS 2 est votée en séance plénière par la Chambre des représentants et publiée au Moniteur Belge le 17 mai 2024. Nom officiel de la loi : loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique.
9 juin 2024 : Un arrêté royal d’exécution est publié. Cet arrêté précise les modalités pratiques liées à la mise en œuvre de la loi : les modalités d’évaluation régulière des entités (obligatoires pour les Entités Essentielles et volontaires pour les Entités Importantes) et les conditions d’agrégation des organismes de contrôle.
18 octobre 2024 : Entrée en vigueur de la loi.
18 mars 2025 : Date limite d’enregistrement des entités.
1er octobre 2025 : Une version mise à jour du référentiel CyFun® appelée CyFun® 2025 a été publiée. Cette version intègre la version 2.0 du NIST CSF. Les mesures liées à la gouvernance ont été développée. Au total, 23 nouvelles obligations sont ajoutées et 24 sont supprimées par rapport à la version précédente. A partir du 18 avril 2027, seule la nouvelle version sera acceptée pour les auto-évaluations et les évaluations de conformité.

Spécificités nationales :

Le CyFun® propose 4 niveaux d’assurance (Small, Basic, Important, Essential) et est accompagné de 4 outils :
- Self-Assessment Tool : Un questionnaire basé sur la cartographie du CyFun® pour évaluer si une entité atteint le niveau de sécurité requis.
- CyFun® Selection Tool : Permet d’évaluer les risques spécifiques au secteur d’activité et de déterminer le niveau de conformité nécessaire (outil d’analyse de risques).
- Modèles de Politiques de Sécurité : Fournissent une base pour les entités ayant moins d’expérience en cybersécurité.
- Cartographie du CyberFundamentals Framework : Offre un aperçu des exigences et des liens avec d’autres frameworks du marché.
Le cadre CyFun® a été reconnu par plusieurs pays européens (Roumanie, Malte, Irlande).
Les entités optant pour la norme ISO/IEC 27001 doivent transmettre leur champ d’application et SoA au CCB avant avril 2026 et obtenir la certification avant avril 2027.
Une inspection directe par le CCB reste possible.
En Belgique, 1500 entités essentielles et 2500 entités importantes se sont enregistrées.

Autorité(s) compétente(s) :

CCB (Centre pour la Cybersécurité Belgique)

France

Niveau de maturité : 2

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui englobe la transposition de NIS 2, REC et DORA, a été présenté au Conseil des ministres le 15 octobre 2024. Il a été adopté par le Sénat le 12 mars 2025 et est désormais en cours d’examen à l’Assemblée nationale. L’ANSSI a partagé un référentiel temporaire de mesures de cybersécurité à certains acteurs et lors des consultations. Une plateforme de pré-enregistrement a également été publié en novembre 2025.

Etapes clés :

L’ANSSI a privilégié une méthode participative, impliquant des acteurs clés du secteur, y compris des fédérations professionnelles sectorielles comme l’UFE (Union Française de l’Électricité), des associations en cybersécurité (CLUSIF, CESIN) et des prestataires qualifiés (PASSI, PRIS, PDIS etc.) .
La phase de consultation portait sur 3 thèmes :
- Le périmètre des entités assujetties
- Les modalités d’interaction entre l’ANSSI et les entités assujetties
- Les exigences de cybersécurité
15 octobre 2024 : Un projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité » est présenté en Conseil des ministres. Ce projet est constitué de 3 titres, chacun dédié à une réglementation (NIS 2, REC, DORA).
12 mars 2025 : Le projet de loi a été adopté par le Sénat, après son examen en séance publique les 11 et 12 mars.
Avril 2025 : L’Assemblée nationale a désigné les rapporteurs pour l’examen du projet de loi résilience. Un rapporteur a été nommé pour chaque titre du projet de loi (NIS 2, REC, DORA).
Mai – juillet 2025 : Des auditions ont été menées par une commission spéciale de l’Assemblée nationale, plusieurs acteurs ont été auditionnés (ANSSI, SGDSN, CNIL, …). Ces auditions se sont clôturées le 15 juillet 2025 avec l’audition de Vincent Strubel, directeur général de l’ANSSI.
9 au 11 septembre 2025 : Examen du projet de loi à l’Assemblée nationale par les députés de la Commission spéciale. 245 amendements ont été adoptés.
Le 24 novembre 2025 : L’ANSSI a ouvert sa plateforme de pré-enregistrement pour les entités NIS 2 dans le but de simplifier le futur processus d’enregistrement obligatoire.

Prochainement :

Le projet de loi doit passer en plénière de l’Assemblée nationale à partir de janvier 2026. Le calendrier exact reste incertain.

Spécificités nationales :

L’ANSSI a prévu de mettre en place plusieurs outils d’aide en ligne, dont certains sont accessibles en version bêta :
- Un outil d’évaluation de l’éligibilité d’une organisation à NIS 2
- Un service d’accompagnement à la mise en place d’une démarche de sécurité
- Un outil de pilotage de mesures de sécurité
- Une plateforme de pré-enregistrement

Autorité(s) compétente(s) :

ANSSI (Agence nationale de la sécurité des systèmes d’information)

Royaume-Uni

Niveau de maturité : 2

Bien que non concerné par la directive NIS 2, à la suite du Brexit, le Royaume-Uni envisage de faire évoluer sa réglementation cybersécurité actuelle, issue de la transposition britannique de la directive NIS 1. Un projet de loi baptisé Cyber Security and Resilience Bill est en préparation et a été présenté en première lecture au Parlement en novembre 2025. Il vise à moderniser et élargir le cadre réglementaire pour mieux répondre aux enjeux actuels de cybersécurité. Inspiré de la directive NIS 2 tout en conservant une certaine autonomie, ce texte devrait entrer en vigueur progressivement en 2026.

Etapes clés :

2018 : Le Royaume-Uni, alors membre de l’UE, transpose la directive européenne NIS 1 dans son droit national. Pour chaque secteur d’activité concerné, une autorité compétente est identifiée (NIS Regulator). Des guides (guidance) contenant des mesures de sécurité ont également été mis à disposition par secteur d’activité.
2022 : À la suite d’une consultation publique sur les moyens d’accroître la résilience cyber du Royaume-Uni, le Gouvernement annonce son intention de mettre à jour la réglementation NIS afin de renforcer la cybersécurité nationale.
Juillet 2024: Le Gouvernement réaffirme sa volonté de mettre à jour les réglementations britanniques existantes en matière de cybersécurité, héritées de l’UE (notamment la NIS 1), via un projet de loi dédiée à la cybersécurité et la résilience.
Avril 2025 : Le Gouvernement britannique a déclaré que le projet de loi Cyber Security and Resilience Bill sera proposé au parlement en 2025.
12 novembre 2025 : Une première lecture du Cyber Security and Resilience Bill a eu lieu au Parlement.
6 janvier 2026 : Le projet de loi est passé en deuxième lecture parlementaire.

Prochainement :

À l’issue de la deuxième lecture, le projet de loi sera examiné en commission au Parlement. L’entrée en vigueur potentielle pourrait avoir eu cours de l’année 2026.

Spécificités nationales :

Le projet de loi Cyber Security and Resilience Bill prévoit notamment les changements suivants :
- L’élargissement du champ d’application pour inclure les fournisseurs de services numériques (fournisseurs cloud, marchés en ligne, moteurs de recherche, etc.), l’ajout de deux services essentiels (data centers et load controllers) et la possibilité pour les autorités de désigner certains acteurs (y compris parmi les PME) comme fournisseurs essentiels en se basant sur leur impact potentiel dans leur secteur
- Le renforcement des pouvoirs des régulateurs ainsi qu’une plus grande flexibilité réglementaire pour s’adapter aux menaces et évolutions technologiques
- L’amélioration de la notification des incidents de cybersécurité aux autorités.

Autorité(s) compétente(s) :

DSIT (Department for Science, Innovation and Technology)
Et un régulateur par secteur d’activité

Luxembourg

Niveau de maturité : 2

Le projet de loi 8364 de transposition a été déposé auprès de la Chambre des Députés le 13 mars 2024. Le Conseil d’État a publié son avis ainsi que plusieurs recommandations en octobre 2024. Plusieurs sessions d’information ont été organisées par l’Institut Luxembourgeois de Régulation (ILR), et la mise en œuvre est attendue pour début 2026.

Etapes clés :

Mars 2024 : Un projet de loi est déposé auprès de la Chambre des Députés.
Avril 2024 : L’Institut Luxembourgeois de Régulation (ILR) organise une session publique de partage d’information, complétée par une seconde session en septembre 2024.
Juillet 2024 : La Chambre de Commerce a publié son avis sur le projet de loi, recommandant l’exclusion des entreprises artisanales et insistant sur l’assistance financière des entités.
Octobre 2024 : Le Conseil d’Etat a émis son avis sur le projet de loi en formulant 25 recommandations. Il recommande notamment une coordination avec la directive sur la Résilience des Entités Critiques (REC), met en garde contre les risques de divergence entre l’ILR et la CSSF (autorité de supervision du secteur financier) et souligne la nécessité de clarifier la procédure de classification des entités.
Décembre 2024 : La Chambre des Métiers a également publié un avis sur le projet de loi.
13 mai 2025 : Le gouvernement a publié un amendement au projet de loi.
Décembre 2025 : Le Conseil d’État a également émis un avis complémentaire validant partiellement les amendements du projet de loi NIS2 (PL 8364), avec des demandes d’ajustements.

Prochainement :

Le projet de loi est en attente d’adoption par la Chambre des Députés. Une fois adoptée par cette dernière, la loi devra alors être promulguée et publiée dans le Journal Officiel.

Spécificités nationales :

Lors de la 4ᵉ conférence NISDUC des 6 et 7 mai 2025, organisée par l’ILR, il a été annoncé que la transposition est attendue d’ici début 2026, sans changements majeurs par rapport au texte provisoire tu projet de loi.

Autorité(s) compétente(s) :

ILR (Institut Luxembourgeois de Régulation)

Italie

Niveau de maturité : 4

Le décret législatif transposant la directive NIS 2 est entré en vigueur le 16 octobre 2024. Depuis avril 2025, l’Italie a entamé une seconde phase dans la mise en œuvre de NIS 2 qui consiste en la publication de divers décisions administratives et guides complémentaires. Ces éléments viennent préciser les modalités pratiques liées à la mise en place des obligations NIS 2 par les entités (enregistrement, référentiel de cybersécurité, notification des incidents de cybersécurité etc.).

Etapes clés :

10 juin 2024 : Le Conseil des Ministres approuve le projet de décret législatif de transposition de NIS 2
7 août 2024 : Le projet de loi est définitivement approuvé par le Gouvernement et publié au Journal Officiel le 1er octobre 2024.
16 octobre 2024 : Entrée en vigueur de la loi.
26 novembre 2024 : L’ACN publie un portail pour l’enregistrement des entités.
Avril 2025 : L’ACN publie des décisions administratives complémentaires pour préciser des modalités associées à la loi NIS 2 dont :
- La décision n°164179, qui définit respectivement les mesures minimales de sécurité pour les EE et les EI et précise la caractérisation d’un incident significatif.
- La décision n°136117, qui définit les modalités d’accès au portail d’enregistrement ACN, la désignation du point de contact de l’entité, ainsi que la mise à jour annuelle des données remontées.
Décembre 2025 : Des nouvelles décisions administratives sont publiées. Celles-ci viennent compléter ou mettre à jour des décisions existantes.

Prochainement :

Du 1er janvier au 28 février 2026, chaque entité devra s’enregistrer via le portail de l’ACN.
A compter du 1er janvier 2026, les entités devront notifier leurs incidents de cybersécurité au CSIRT Italia.
Ensuite, du 15 avril au 31 mai, une mise à jour annuelle des informations devra être effectuée.

Spécificités nationales :

En plus des secteurs essentiels (Annexe 1) et importants (Annexe 2), le texte de loi détaille 2 autres catégories de secteurs concernés:
- Les administrations centrales, régionales, locales et autres entités publiques (Annexe 3)
- Les autres types d’entités : entités qui fournissent des services de transports publics locaux, établissements d’enseignement menant des activités de recherche, … (Annexe 4)

Autorité(s) compétente(s) :

ACN (Agenzia per la Cybersicurezza Nazionale)

Votre organisation est-elle prête pour NIS 2 ?

Cartographions vos prochaines étapes et évaluons votre niveau de préparation

NIS 2 : où en sont les pays européens dans la transposition ? [mise à jour : janvier 2026]

En bref

Transpositions NIS 2 en Europe

Pays avec un niveau de maturité 4

Pays ayant un niveau de maturité 3

Pays ayant un niveau de maturité 2

Pays ayant un niveau de maturité 1

Focus sur certains pays européens

Allemagne

Belgique

France

Royaume-Uni

Luxembourg

Italie

Votre organisation est-elle prête pour NIS 2 ?

Contactez-nous

Vous souhaitez échanger
avec nous ?

Votre choix
Assurance
Banque
Énergie & Utilities
Transport, voyage et logistique
Automobile & industrie
Distribution, Luxe & Beauté
Life Sciences
Secteur public & institutions internationales
Transition écologique et sociétale
Cybersécurité
Data & Intelligence artificielle
SAP Consulting
Stratégie IT & Conseil au CTO
Compliance & Résilience
Finance, RH, Risques & Achats
Développement de logiciel "coeur"
Supply chain
Industrie 4.0 & IoT
Expérience client
Conduite du changement
Agile et modèle opérationnel
Sourcing & Optimisation de services
Transformations technologiques
Règlementations & risques

NIS 2 : où en sont les pays européens dans la transposition ? [mise à jour : janvier 2026]

En bref

Transpositions NIS 2 en Europe

Pays avec un niveau de maturité 4

Pays ayant un niveau de maturité 3

Pays ayant un niveau de maturité 2

Pays ayant un niveau de maturité 1

Focus sur certains pays européens

Allemagne

Belgique

France

Royaume-Uni

Luxembourg

Italie

Votre organisation est-elle prête pour NIS 2 ?

Contactez-nous

Vous souhaitez échanger avec nous ?

Vous souhaitez échanger
avec nous ?