The European Commission is preparing to take France to the Court of Justice of the European Union (CJEU) over its failure to transpose the NIS 2 cybersecurity directive, Politico reports. The original deadline was 17 October 2024. After a formal notice sent to 23 member states in late 2024, and a reasoned opinion delivered on 7 May 2025 to 19 laggard countries, the Commission is escalating to the final stage. The referral, targeting both France and Spain, is expected shortly before or after the summer, or at the latest before the year’s end.

The delay carries a heavy political cost. As ransomware attacks and state-backed sabotage of critical infrastructure, digital services and supply chains surge, Brussels warns that a single weak national link endangers the entire EU’s cybersecurity coherence. France, a self-proclaimed champion of European strategic autonomy and digital sovereignty, is caught in a glaring contradiction—its rhetoric on digital defence is undercut by bureaucratic inertia. The Commission insists that uneven transposition fragments the internal market and grants no special treatment.

For industry, the fallout is immediate. NIS 2 massively broadens the scope of regulated entities and imposes stringent obligations for governance, risk management, incident notification and supplier screening. Essential service operators must now build major cyber detection and supervision capabilities without a stabilised national framework from France’s cybersecurity agency, ANSSI. The IT and cybersecurity ecosystem, which views the directive as a powerful demand driver, is left waiting in regulatory limbo.

French parliamentarians have sounded the alarm. Philippe Latombe (MP, President of the National Assembly’s special commission) and Olivier Cadic (Senator, President of the Senate’s special commission) denounced the situation, noting that their commission passed the transposition bill unanimously on 10 September—yet since then the text has been endlessly postponed despite repeated warnings. A CJEU ruling, they stress, could trigger a fine of several tens of millions of euros, an unbearable burden for a strained national budget. “Finalising the legislative path of this text on the protection of critical infrastructure against cyberattacks is an absolute urgency,” they insist.

The transposition bill, officially titled the law on critical infrastructure resilience and strengthened cybersecurity, is technically inching forward. The Senate has made progress and the Assembly’s special commission has met, but unless Paris urgently accelerates and completes the process before Brussels’ year-end deadline, a CJEU condemnation is likely.

C’est un de ces retards bureaucratiques dont Paris a le secret, mais qui commence à coûter très cher en crédibilité et, bientôt, en dizaines de millions d’euros.

Selon Politico, la Commission européenne durcit progressivement le ton contre la France, toujours hors-jeu sur la transposition de la directive de cybersécurité NIS 2.

L’affaire a pris une dimension particulièrement sensible à Bruxelles depuis que la Commission a multiplié les avertissements officiels.

L’échéance initiale de transposition était pourtant fixée au 17 octobre 2024. Près de deux ans plus tard, la France n’a toujours pas finalisé le processus législatif.

Après une mise en demeure adressée à 23 États membres fin 2024, puis un avis motivé envoyé le 7 mai 2025 à 19 pays récalcitrants, l’exécutif européen enclenche la vitesse supérieure. Ce serait la saisine imminente de la Cour de justice de l’Union européenne (CJUE).

Un signal politique dévastateur

Pour Bruxelles, ce retard chronique n’est pas une simple péripétie administrative. Il fragilise directement la cohérence du cadre européen de cybersécurité, à l’heure où les attaques par rançongiciels et les opérations de sabotage d’État contre les infrastructures critiques, les services numériques et les chaînes d’approvisionnement atteignent des sommets.

En tolérant de tels décalages entre les États membres, l’Union européenne prendrait le risque de fracturer son marché intérieur, le rendant illisible pour les acteurs économiques globaux.

Le message envoyé à Paris résonne comme un cinglant désaveu politique. La France, qui se pose traditionnellement en championne de l’« autonomie stratégique européenne » et de la souveraineté numérique, se retrouve prise en flagrant délit de contradiction sur un texte pourtant fondateur.

Ce fossé béant entre le lyrisme des discours et l’inertie de l’exécution nourrit l’embarras de l’exécutif, d’autant que le dossier touche au cœur régalien du pays : l’énergie, les transports, la santé et les télécoms.

L’industrie maintenue dans le brouillard

La directive NIS 2 change radicalement d’échelle par rapport à sa première version.  Elle élargit massivement le spectre des entités régulées et impose des obligations drastiques en matière de gouvernance, de gestion des risques, de notification des incidents et de filtrage des sous-traitants.

Cette vaste zone grise réglementaire suscite l’inquiétude légitime des industriels et des opérateurs de services essentiels (OSE). Ces derniers sont contraints de concevoir des capacités de supervision et de détection cyber majeures sans disposer d’un référentiel national stabilisé par l’Anssi.

Le contrecoup touche également l’écosystème IT et les fournisseurs de solutions de cybersécurité qui voient en NIS 2 un catalyseur de la demande.

« La Commission européenne s’apprête, juste avant ou juste après l’été, au plus tard avant la fin de l’année, à poursuivre la France et l’Espagne devant la plus haute juridiction européenne, la Cour de justice de l’Union (CJUE), pour ne pas avoir adopté une loi transposant dans leur droit les règles européennes sur la protection des infrastructures critiques contre les cyberattaques. » s’alarment Philippe Latombe (Député de la Vendée, Président de la Commission spéciale de l’Assemblée nationale) et Olivier Cadic (Sénateur des Français établis hors de France, Président de la Commission spéciale du Sénat).

Les deux élus rappellent que le 10 septembre dernier, la Commission spéciale de l’Assemblée nationale avait pourtant voté le projet de loi à l’unanimité. « Son examen en hémicycle semblait une formalité […]. Et puis, plus rien ! Ce texte, en dépit de nos alertes répétées, est sans cesse repoussé aux calendes. Une telle décision de la Commission européenne, rare dans son histoire, devrait de surcroît se concrétiser par une amende pouvant atteindre plusieurs dizaines de millions d’euros, une sanction financière dont notre budget national pourrait bien se passer, en ces temps de disette. La finalisation du parcours de ce texte législatif sur la protection des infrastructures critiques contre les cyberattaques est une urgence absolue. »

La méthode Bruxelles : pas de traitement de faveur

La doctrine défendue par la Commission européenne est d’une simplicité redoutable. Sans transposition rapide et rigoureusement homogène, l’efficacité d’une législation transfrontalière s’effondre. Bruxelles insiste sur le fait qu’en matière de sécurité des réseaux, la vulnérabilité d’un maillon national compromet instantanément l’intégrité collective de l’Union. C’est cette intransigeance qui explique pourquoi la Commission refuse d’accorder le moindre passe-droit à l’exécutif français.

Certes, le projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité suit techniquement son cours parlementaire. Le Sénat a avancé et l’Assemblée nationale a réuni sa commission spéciale.

Mais si Paris ne redresse pas la barre de toute urgence avant les échéances fixées à la fin de l’année par Bruxelles, la condamnation par la CJUE tombera.

The post NIS 2 : Bruxelles hausse le ton contre la France appeared first on Silicon.fr.