France’s long-delayed transposition of the NIS2 cybersecurity directive remains conspicuously absent from the agenda as an extraordinary parliamentary session opens on July 1, 2026—well past the original October 17, 2024 deadline. The French cybersecurity leadership association CESIN warns that the regulatory vacuum is not merely a legal gap but a concrete brake on investment.

“Regulatory uncertainty disrupts cyber procurement and slows investment decisions,” says Fabrice Bru, president of CESIN. “It impacts all organizations, including those already subject to regulatory frameworks, because NIS2 significantly broadens scope and raises requirements.” The slowdown affects both historically regulated entities—whose perimeter expands—and organizations newly covered, which must anticipate still-unsettled obligations. Supply chains also hang in limbo, as the directive’s requirements will cascade to suppliers and service providers lacking visibility.

CESIN formulates three precise demands: a clear parliamentary and regulatory timeline, rapid confirmation of key provisions so companies can prepare action plans, and careful attention to implementation conditions, especially for first-time regulated entities and their subcontractors. The association notes that many firms are moving ahead regardless—compliance efforts are already underway. “The market is ready. The framework must follow,” it says, capturing a sector that accepts the direction but grows impatient for the starting signal.

At the European level, patience is also wearing thin. After formal notices to 23 member states in late 2024 and a reasoned opinion sent to 19 on May 7, 2025, the Commission is now expected to refer lagging countries to the Court of Justice of the EU.

Le projet de loi français de transposition de la directive européenne NIS2 ne figure toujours pas à l’agenda de la session extraordinaire ouverte le 1ᵉʳ juillet 2026.

Pour le CESIN, la première association de RSSI en France, ce vide n’est pas seulement un problème juridique c’est un frein concret à l’investissement en cybersécurité.

Le calendrier parlementaire avance, mais le texte n’y est pas. Rappelons que l’échéance initiale de transposition était fixée au 17 octobre 2024.

Alors que la session extraordinaire s’ouvre le 1ᵉʳ juillet 2026, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité brille par son absence à l’ordre du jour.

Le CESIN tire la sonnette d’alarme sur les effets très pratiques de ce flottement.

Des décisions en suspens

La cybersécurité fonctionne par cycles longs et les directions cyber ont besoin d’un cadre stable.

Faute de texte promulgué, certains projets sont ralentis. D’autres attendent.

« L’incertitude réglementaire perturbe la commande cyber et ralentit les décisions d’investissement », résume Fabrice Bru, président du CESIN. « Elle impacte l’ensemble des organisations, y compris celles déjà soumises à des cadres réglementaires, dans la mesure où NIS2 élargit significativement les périmètres et les niveaux d’exigence. »

Le retard français n’existe pas dans le vide. À l’échelle européenne, certains États membres ont déjà transposé la directive. Des entreprises opérant sur plusieurs marchés s’alignent progressivement sur les cadres les plus avancés, ce qui creuse mécaniquement l’écart avec les organisations françaises, maintenues dans l’incertitude.

Le problème concerne aussi bien les entités historiquement régulées, qui voient leur périmètre s’élargir, que celles nouvellement concernées par NIS2, qui entrent pour la première fois dans le champ de la réglementation cyber et doivent anticiper des exigences encore non définitivement arrêtées.

À quoi s’ajoute la question de la chaîne de sous-traitance. Les exigences de la directive ont vocation à se diffuser aux fournisseurs et prestataires, dont le positionnement dépend lui aussi d’une visibilité qu’ils n’ont pas encore.

Trois demandes précises

Le CESIN formule des attentes précises.

L’association appelle à un calendrier parlementaire et réglementaire lisible, à une confirmation rapide des principales exigences pour permettre aux entreprises de préparer leurs plans d’action, et à une attention particulière aux conditions de mise en œuvre, notamment pour les entités nouvellement régulées et leurs sous-traitants.

Elle souligne au passage que nombre d’entreprises n’attendent pas la loi pour agir. Les démarches de mise en conformité sont déjà engagées.

« Le marché est prêt. Le cadre doit suivre. » La formule résume l’état d’esprit d’un secteur qui ne conteste pas la direction mais s’impatiente de ne pas voir le signal de départ.

L’Europe aussi s’impatiente. Après une mise en demeure adressée à 23 États membres fin 2024, puis un avis motivé envoyé le 7 mai 2025 à 19 pays récalcitrants, l’exécutif européen enclenche la vitesse supérieure. Ce serait la saisine imminente de la Cour de justice de l’Union européenne (CJUE).

The post NIS2 en suspens : les RSSI attendent, le marché aussi appeared first on Silicon.fr.