Non, et c’est même le contraire. Le projet de loi Résilience, qui transpose la directive européenne NIS 2 en droit français, doit être examiné en séance publique à l’Assemblée nationale en juillet 2026, pour une promulgation attendue dans l’été. Mais l’ANSSI a déjà publié sa feuille de route opérationnelle, le ReCyF, et appelle les quelque 15 000 entités concernées à ne pas attendre le vote pour engager leur mise en conformité. Pour une PME, une ETI ou une collectivité, les mois qui viennent sont une fenêtre à saisir, pas une période d’attente.
Où en est la transposition française
La directive NIS 2 aurait dû être transposée par tous les États membres avant octobre 2024. La France a pris du retard : le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui transpose en réalité trois textes européens (REC, NIS 2 et DORA), a été adopté par le Sénat en mars 2025, puis examiné en commission spéciale à l’Assemblée nationale en septembre 2025. Son examen en séance publique est désormais annoncé pour juillet 2026, dans le cadre d’une session extraordinaire, et la Commission supérieure du numérique et des postes presse le Parlement d’aller au bout sans délai.
Ce retard législatif ne doit pas créer de fausse impression de répit. Une fois la loi promulguée, les décrets d’application suivront rapidement, et les obligations s’imposeront à des organisations qui, pour beaucoup, partent de loin. Les structures qui auront engagé le travail en amont absorberont l’échéance sereinement. Les autres devront tout faire en même temps, sous contrainte de calendrier et dans un marché de la cybersécurité déjà très sollicité.
Êtes-vous concerné ? Probablement plus que vous ne le pensez
C’est le changement d’échelle majeur de NIS 2 : on passe d’environ 500 entités régulées sous NIS 1 à une fourchette de 10 000 à 15 000 entités en France, réparties en deux catégories (entités essentielles et entités importantes) sur 18 secteurs d’activité. Concrètement, beaucoup de PME et d’ETI industrielles, agroalimentaires, du transport, de la santé, du numérique ou de la gestion des déchets entrent dans le périmètre sans en avoir encore conscience.
Les collectivités territoriales sont également en première ligne : la France a fait le choix d’inclure environ 1 500 collectivités, groupements et organismes sous tutelle, avec un seuil abaissé à 30 000 habitants. Pour une commune ou une intercommunalité du Var ou des Bouches-du-Rhône, la question n’est donc plus de savoir si la cybersécurité est un sujet, mais comment structurer la démarche avec des équipes informatiques souvent réduites.
Premier réflexe utile : vérifier votre situation avec le test en ligne MonEspaceNIS2, mis à disposition par l’ANSSI. Quelques minutes suffisent pour savoir si votre organisation relève du dispositif, et dans quelle catégorie.
Le ReCyF : la feuille de route que l’ANSSI a déjà publiée
Depuis le 17 mars 2026, l’ANSSI diffuse le Référentiel Cyber Français (ReCyF), en version document de travail dans l’attente du vote de la loi. C’est la pièce qui manquait : un cadre opérationnel qui traduit les exigences de NIS 2 en 20 objectifs de sécurité concrets. Les objectifs 1 à 15 s’appliquent à toutes les entités régulées ; les objectifs 16 à 20 sont réservés aux entités essentielles, soumises à un niveau de protection supérieur.
Deux points méritent l’attention des dirigeants et des DSI. D’abord, le principe de proportionnalité : l’effort attendu est adapté à la maturité et aux moyens de chaque organisation, ce qui rend la démarche accessible à une PME comme à une métropole. Ensuite, le contenu lui-même : on y retrouve les fondamentaux que nos équipes déploient au quotidien, gouvernance et analyse de risque, authentification forte, cloisonnement des réseaux, supervision et journalisation, sauvegardes testées, gestion des incidents. Autrement dit, se préparer à NIS 2, ce n’est pas cocher des cases administratives, c’est élever le niveau de sécurité réel de votre système d’information.
Par où commencer, concrètement
Inutile d’attendre le décret pour lancer les chantiers qui prennent du temps. Voici l’ordre de marche que nous recommandons à nos clients de la région PACA :
- Cartographier votre système d’information : on ne protège bien que ce que l’on connaît. Inventaire des équipements, des applications critiques, des accès distants et des prestataires.
- Désigner un responsable de la démarche et impliquer la direction : NIS 2 fait de la cybersécurité une responsabilité de l’organe de direction, pas seulement du service informatique.
- Traiter les écarts les plus rentables : authentification forte sur les comptes sensibles, sauvegardes conformes à la règle 3-2-1 et restaurations testées, mise à jour des équipements exposés. Nous les détaillons dans notre article sur les 5 mesures prioritaires.
- Cloisonner le réseau : la segmentation, que nous mettons en oeuvre sur les commutateurs Alcatel-Lucent OmniSwitch et les pare-feux Stormshield (technologie française, qualifiée par l’ANSSI), limite la propagation d’une attaque et répond directement à plusieurs objectifs du ReCyF. Les sites industriels disposent d’une gamme dédiée, comme le nouveau SNi50.
- Mettre en place la détection et la supervision : un EDR supervisé, comme les solutions Trend Micro que nos équipes déploient et surveillent, plus une journalisation centralisée, pour être capable de détecter un incident et de le déclarer dans les délais que la loi imposera.
Ces chantiers s’étalent naturellement sur plusieurs mois. C’est précisément pour cela que les engager maintenant, avant la promulgation, fait la différence entre une mise en conformité maîtrisée et une course contre la montre.
Transformer une obligation en opportunité
NIS 2 arrive dans un contexte où les TPE et PME concentrent déjà l’essentiel des attaques traitées par l’ANSSI. La directive ne fait que rendre obligatoire ce que le niveau de menace justifiait déjà : pour la plupart des organisations, le vrai bénéfice n’est pas d’éviter une sanction, c’est de ne pas s’arrêter trois semaines après un rançongiciel.
IT1 Connect accompagne les PME, ETI et collectivités de la région PACA sur l’ensemble de la démarche : état des lieux de votre exposition, priorisation des écarts au regard du ReCyF, déploiement du matériel adapté, supervision et infogérance dans la durée. Si vous voulez savoir où vous en êtes, ou simplement vérifier si votre organisation entre dans le périmètre, un ingénieur qui connaît les contraintes de votre territoire répond au 04 22 14 04 63.
Mise en conformité NIS 2
- Un état des lieux de votre exposition et de vos écarts au regard du ReCyF
- Une feuille de route priorisée, adaptée à votre taille et à vos moyens
- Le matériel qualifié déployé et configuré : Stormshield, OmniSwitch, Trend Micro
- La supervision et la journalisation pour détecter et déclarer les incidents
- Un interlocuteur unique qui connaît déjà votre environnement
À lire aussi

17Cyber, le bon réflexe en cas d’attaque
Cyberattaque : 17Cyber, le bon réflexe (et comment ne pas en arriver là)
17Cyber, le guichet unique public et gratuit pour réagir à une cyberattaque. Comment l’utiliser pour votre PME, ETI ou collectivité, et l’éviter.


SNi50, le nouveau pare-feu Stormshield
SNi50 : le nouveau pare-feu industriel Stormshield prend la relève du SNi40
Disponible à la commande depuis le 9 juin 2026, le SNi50 de Stormshield succède au SNi40 : plus de connectivité, une fiabilité accrue et un boîtier durci pour vos réseaux industriels. Nos équipes assurent la transition, sans rupture de stock.

Cybersécurité PME : 5 mesures clés
Cybersécurité des PME : 5 mesures prioritaires
Les TPE et PME concentrent près de 77 % des attaques traitées par l’ANSSI. Voici cinq mesures concrètes, et pour chacune le matériel dimensionné à votre taille, pour réduire fortement votre exposition.