Alors qu’elle est supposée s’appliquer depuis le 17 octobre à plus de 15 000 administrations et entreprises françaises, la directive NIS 2, dont l’objectif est de renforcer la cybersécurité dans de nombreux secteurs, n’a toujours pas été transposée en droit français. Un texte a toutefois été présenté en Conseil des ministres sans qu’une date d’examen au Parlement n’ait été fixée. Une fois ce projet de loi adopté, les entités concernées auront trois ans pour se mettre en conformité avec les exigences de la directive, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le régulateur de référence en matière de cybersécurité, préférant pour l’heure privilégier la pédagogie aux sanctions. Mais ceux qui seraient tentés de ne rien faire durant ce délai pourraient fortement le regretter car, à l’issue de ces trois ans, les amendes pourront atteindre 1,4 % du chiffre d’affaires et 7 millions d’euros pour les entités importantes, et jusqu’à 2 % du chiffre d’affaires et 10 millions d’euros pour les entités essentielles.