Mise en œuvre de NIS2 à travers l'Europe
L'échéance de transposition était le 17 octobre 2024. Au début de 2026, la majorité des États membres de l'UE l'avaient manquée, déclenchant des procédures d'infraction et créant un paysage de conformité fragmenté à travers l'Europe.
Dernière mise à jour: 17. Juni 2026
20
Opérationnel
1
Pré-enregistrement
4
Planifié
2
Pas encore disponible
| Pays | Autorité compétente | Portail d'enregistrement | Échéance d'enregistrement | Loi nationale |
|---|---|---|---|---|
| Allemagne | BSI (Bundesamt für Sicherheit in der Informationstechnik) | BSI NIS-2 Portal | 2026-03-06 | NIS2UmsuCG / BSIG |
| Belgique | CCB (Centre for Cybersecurity Belgium) | Safeonweb@Work | 2025-03-18 | NIS2 Law (Loi NIS2) |
| Italie | ACN (Agenzia per la Cybersicurezza Nazionale) | ACN NIS Portal | 2026-02-28 | D.Lgs. 138/2024 |
| République tchèque | NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) | Portál NUKIB | 2025-12-31 | Zákon č. 264/2025 Sb. o kybernetické bezpečnosti |
| Danemark | SAMSIK (Styrelsen for Samfundssikkerhed) | Virk | 2025-10-01 | LOV nr 434 af 06/05/2025 (NIS 2-loven) |
| Pologne | Ministry of Digital Affairs / CSIRTs | System S46 | 2026-10-03 | Amended KSC Act (ustawa o KSC) |
| Suède | MCF (Myndigheten foer civilt foersvar, vormals MSB) + CERT-SE | Pas encore disponible | À déterminer | Cybersaekerhetslagen (SFS 2025:1506) |
| Croatie | NHCSC-HR (National Cybersecurity Center) | Pas encore disponible | À déterminer | Zakon o kibernetičkoj sigurnosti |
| Lituanie | NKSC (National Cybersecurity Center) | Pas encore disponible | À déterminer | Kibernetinio saugumo įstatymas |
| Lettonie | CERT.LV / NCSC | Pas encore disponible | 2025-04-01 | Kiberdrošības likums |
| Grèce | NCSA (National Cyber Security Authority) | Pas encore disponible | 2025-09-30 | Law No. 5160/2024 |
| Slovaquie | NBÚ (Národný bezpečnostný úrad) | Pas encore disponible | À déterminer | Zákon o kybernetickej bezpečnosti |
| Roumanie | DNSC (Directoratul Național de Securitate Cibernetică) | Pas encore disponible | 2025-09-19 | Emergency Ordinance No. 155/2024; Laws No. 52/2025 & No. 124/2025 |
| Finlande | Traficom + sector authorities (NCSC-FI as national CSIRT) | Pas encore disponible | 2025-05-08 | Kyberturvallisuuslaki (124/2025) |
| Estonie | RIA (Riigi Infosüsteemi Amet) | Pas encore disponible | À déterminer | Küberturvalisuse seadus |
| Portugal | CNCS (Centro Nacional de Cibersegurança) + CERT.PT | MyCiber | À déterminer | Decreto-Lei n.º 125/2025 |
| Hongrie | SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) | Pas encore disponible | À déterminer | Act XXIII of 2024 |
| Chypre | DSA (Digital Security Authority) | NIS2 Self-Assessment Tool | À déterminer | Law on Security of Networks and Information Systems (Amendment) 2025 |
| Luxembourg | ILR (Institut Luxembourgeois de Régulation) | ILR Guichet (NISS_EE231) | 2026-07-10 | Loi du 5 mai 2026 relative à des mesures visant à assurer un niveau élevé de cybersécurité |
| Slovénie | URSIV (Information Security Agency) | Pas encore disponible | 2025-12-19 | ZInfV-1 (Information Security Act) |
| Pays | Autorité compétente | Portail d'enregistrement | Échéance d'enregistrement | Loi nationale |
|---|---|---|---|---|
| France | ANSSI (Agence nationale de la sécurité des systèmes d'information) | MonEspaceNIS2 | À déterminer | Loi Résilience (bundles NIS2 + DORA + CER) |
| Pays | Autorité compétente | Portail d'enregistrement | Échéance d'enregistrement | Loi nationale |
|---|---|---|---|---|
| Autriche | Bundesamt für Cybersicherheit | Unternehmensserviceportal (USP) | 2026-12-31 | NISG 2026 |
| Pays-Bas | NCSC-NL (since 1 Jan 2026 merged with DTC and CSIRT-DSP into "versterkt NCSC", SPOC + national CSIRT) + RDI (Rijksinspectie Digitale Infrastructuur, horizontal supervisor) | MijnNCSC / Entiteitenregister | À déterminer | Cyberbeveiligingswet (Cbw, wetsvoorstel 36.764) |
| Bulgarie | State e-Governance Agency / Ministry of e-Government | Pas encore disponible | À déterminer | Cybersecurity Act (amended) |
| Malte | CIPD (Critical Infrastructure Protection Department) | Pas encore disponible | À déterminer | Legal Notice 71/2025, amended by Legal Notice 89/2026 (S.L. 460.41) |
| Pays | Autorité compétente | Portail d'enregistrement | Échéance d'enregistrement | Loi nationale |
|---|---|---|---|---|
| Espagne | CCN-CERT / INCIBE | Pas encore disponible | À déterminer | Pas encore promulguée |
| Irlande | NCSC (National Cyber Security Centre) | Pas encore disponible | À déterminer | National Cyber Security Bill (draft) |
Vendre dans un pays n'est pas la même chose qu'opérer dans un pays
De nombreuses entreprises vendent leurs produits ou services dans toute l'UE via une seule entité juridique enregistrée dans un pays. Dans ce cas, l'enregistrement auprès de l'autorité de votre pays d'origine suffit, vous n'êtes pas « établi » dans chaque pays où vous vendez.
En revanche, si votre entreprise est pleinement opérationnelle dans un pays, c'est-à-dire si vous y avez une présence juridique enregistrée, des salariés sur place et que vous y payez l'impôt sur les sociétés, alors la loi NIS2 de ce pays s'applique à vous en tant qu'entité établie dans cette juridiction.
L'article 26 de NIS2 crée une exception importante pour certains types de services numériques : fournisseurs d'informatique en nuage, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de centres de données, réseaux de diffusion de contenu, fournisseurs de services DNS, places de marché en ligne, moteurs de recherche en ligne et plateformes de réseaux sociaux. Ces entités s'enregistrent dans un seul État membre de l'UE, celui où les décisions de gestion des risques de cybersécurité sont principalement prises. Si vous exploitez l'un de ces services, vous n'avez pas besoin de vous enregistrer dans chaque pays où vous êtes établi. Tous les autres types d'entités (fabricants, entreprises alimentaires, fournisseurs d'énergie, opérateurs de transport, hôpitaux, etc.) relèvent de la règle standard et doivent s'enregistrer dans chaque pays où ils disposent d'un établissement juridique.
Questions fréquentes
J'ai un bureau de vente en Allemagne mais mon siège est en France, dois-je m'enregistrer auprès du BSI ?▾
Cela dépend de la structure du bureau de vente allemand. S'il s'agit d'une GmbH ou d'une Zweigniederlassung (succursale) enregistrée qui dépose sa propre déclaration fiscale en Allemagne, vous devrez probablement vous enregistrer auprès du BSI en plus de l'ANSSI en France. S'il s'agit simplement d'un centre de coûts de la société mère française sans statut juridique distinct en Allemagne, l'enregistrement français seul peut suffire. Consultez un avocat familier de NIS2 dans les deux juridictions.
Dois-je me conformer à des exigences de sécurité différentes dans chaque pays ?▾
NIS2 fixe une base harmonisée, mais la transposition de chaque pays peut ajouter des exigences sectorielles plus strictes. En pratique, mettre en œuvre la base NIS2 - gestion des risques, déclaration d'incidents, contrôle d'accès, sécurité de la chaîne d'approvisionnement - satisfera aux exigences dans la plupart des pays de l'UE. Vérifiez le droit national de chaque pays pour toute obligation supplémentaire.
Que se passe-t-il si un pays n'a pas encore achevé la transposition de NIS2 ?▾
Certains pays de l'UE ont transposé la directive en retard (le délai était fixé à octobre 2024). Tant que le droit national n'est pas en vigueur, l'enregistrement peut ne pas encore être possible. Surveillez le site de l'autorité nationale concernée et enregistrez-vous dès l'ouverture de la procédure. Une transposition tardive par le gouvernement ne réduit pas votre obligation légale à terme.
Puis-je m'enregistrer une seule fois au niveau de l'UE et couvrir tous les pays ?▾
Non. Il n'existe pas de registre NIS2 unique au niveau de l'UE. Chaque pays exploite son propre système d'enregistrement. C'est l'une des complexités connues de la mise en œuvre décentralisée de la directive et cela crée une charge de conformité importante pour les entreprises paneuropéennes.
- Directive (UE) 2022/2555 : directive NIS2, Journal officiel de l'Union européenne (27 décembre 2022)
- Commission européenne : suivi de transposition de NIS2 et mises à jour des procédures d'infraction (2024-2025)
- Wavestone : NIS2 Transposition Radar, état de mise en œuvre pays par pays (2025)
- NIS2UmsuCG : Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit (Allemagne)
- Loi NIS2 : loi belge de transposition de NIS2 (avril 2024)
- D.Lgs. 138/2024 : décret italien de transposition de NIS2
- ENISA : aperçu de la mise en œuvre de NIS2 et orientations de coordination transfrontalière (2025)
- BMI/BSI : documentation parlementaire et orientations sur la mise en œuvre du NIS2UmsuCG