Les 9 et 10 septembre 2025, la commission spéciale de l’Assemblée nationale a adopté à l’unanimité le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Cette adoption marque une étape majeure dans la transposition en droit français des directives NIS2 et DORA, deux piliers de la stratégie européenne de cybersécurité.
Ces textes visent à élever le niveau de protection des organisations face à l’explosion des cybermenaces et à instaurer une gouvernance commune à l’échelle européenne.
La directive NIS2 (Network and Information Security) élargit considérablement le champ des entités soumises à des obligations de cybersécurité.
Parmi les acteurs désormais concernés :
Les éditeurs de logiciels,
Les établissements de santé et médico-sociaux,
Les collectivités territoriales,
Les établissements d’enseignement et de recherche.
Ces entités rejoignent la catégorie des entités essentielles, soumises au contrôle de l’ANSSI. Elles devront mettre en place des politiques de gestion des risques, renforcer leur continuité d’activité et signaler rapidement tout incident de sécurité.
Le projet de loi introduit une distinction importante :
Les entreprises privées pourront être sanctionnées financièrement en cas de manquement,
Les collectivités territoriales, elles, échappent à ces sanctions, malgré les critiques du Conseil d’État qui dénonçait une inégalité de traitement.
Cette différence pourrait créer des débats sur l’équité de l’application des règles, alors même que les collectivités sont des cibles de plus en plus fréquentes pour les cyberattaques.
La directive DORA (Digital Operational Resilience Act) s’applique spécifiquement au secteur financier. Elle vise à renforcer la résilience opérationnelle des banques, assurances, sociétés de financement et prestataires de services financiers face aux risques numériques.
Deux points majeurs ressortent de la transposition française :
Inversion de la charge de la preuve : en cas de sinistre lié à un conflit armé systémique, ce sont les prestataires financiers qui devront démontrer qu’ils ne sont pas responsables,
Application progressive : les petites sociétés de financement ne seront concernées qu’à partir du 17 janvier 2027.
La transposition de NIS2 et DORA s’articule avec d’autres textes européens en préparation ou déjà adoptés, comme le Cyber Resilience Act, qui imposera des obligations de cybersécurité aux fournisseurs de produits numériques.
L’objectif est clair : bâtir un écosystème numérique européen plus sûr, plus résilient et plus compétitif, en réduisant les failles exploitées par les cybercriminels et en instaurant une confiance accrue dans les services numériques.
Avec la transposition de NIS2 et DORA, les entreprises et entités publiques concernées devront :
Mettre en place une gouvernance des risques cyber structurée,
Définir des plans de continuité d’activité robustes,
Adopter des procédures de gestion et de signalement des incidents,
Se préparer à des contrôles renforcés par l’ANSSI.
Ces nouvelles obligations impliquent des investissements techniques, organisationnels et juridiques pour rester conformes et éviter les sanctions.
La transposition des directives NIS2 et DORA marque une étape déterminante dans la montée en puissance de la cybersécurité en France et en Europe.
Elle traduit une volonté claire : protéger les secteurs stratégiques et assurer la continuité des activités face à des menaces toujours plus sophistiquées.
Mais au-delà de l’obligation légale, c’est une véritable opportunité pour les organisations d’améliorer leur résilience et de gagner la confiance de leurs clients, partenaires et usagers.
👉 Découvrez notre accompagnement en cybersécurité : cliquez ici