État de la transposition de la directive NIS2 par pays : où en est chaque État membre de l'UE en 2025
L'échéance de la directive NIS2 était fixée au 17 octobre 2024. Pourtant, en juin 2025, seule une poignée des 27 États membres l'ont entièrement transposée en droit national. Si votre organisation est active dans plusieurs juridictions de l'UE, le paysage de la conformité est fragmenté, déroutant et en évolution rapide. Cette page en assure le suivi complet — actualisé chaque mois.
27
États membres de l'UE suivis
160'000+
entités concernées dans l'ensemble de l'UE
Estimation de la Commission européenne, 2023
24 h
délai de notification des incidents
Directive NIS2, article 23
Aucune inscription requise. Ajoutez cette page à vos favoris — nous l'actualisons chaque mois.
Tracker de transposition de la directive NIS2 : les 27 États membres de l'UE
Chaque fiche ci-dessous reflète l'état actuel de la mise en œuvre de la directive NIS2, la loi nationale de transposition, l'autorité compétente, ainsi que les éventuels écarts notables par rapport aux exigences minimales de la directive. Suivre l'état de la transposition de la directive NIS2 par pays est essentiel pour les organisations actives dans plusieurs juridictions de l'UE — ce qui s'applique en Belgique peut différer sensiblement de ce qui est exigé en Allemagne. Actualisé chaque mois par l'équipe de veille réglementaire de Priverion.
Autriche
NISG 2024 — promulguée en décembre 2024
L'Autriche a promulgué fin 2024 sa loi actualisée sur la sécurité des réseaux et des systèmes d'information (NISG 2024). Cette loi élargit considérablement le périmètre des entités réglementées et désigne les autorités sectorielles existantes aux côtés du CERT national. L'approche autrichienne ajoute des exigences plus strictes pour les opérateurs d'infrastructures critiques dans les secteurs de l'énergie et des transports, au-delà du socle prévu par la directive.
Écart principal : exigences plus strictes pour les infrastructures critiques de l'énergie et des transports
Source : Journal officiel fédéral autrichien, décembre 2024 — Dernière mise à jour : juin 2025
Belgique
Loi NIS2 — promulguée en avril 2024
Parmi les premiers États membres de l'UE à avoir achevé la transposition. La loi belge reprend fidèlement la directive, mais élargit la définition des entités essentielles pour y inclure certains organismes des gouvernements régionaux. Le Centre pour la cybersécurité Belgique (CCB) fait office d'autorité nationale compétente, dotée de pouvoirs d'exécution.
Écart principal : champ d'application élargi pour inclure les entités des gouvernements régionaux
Source : Moniteur belge, avril 2024 — Dernière mise à jour : juin 2025
Bulgarie
Aucun avant-projet publié — aucun calendrier estimé
La Bulgarie n'a publié aucun avant-projet de loi de transposition. L'Agence d'État pour l'administration électronique devrait jouer un rôle dans la mise en œuvre, mais aucun processus législatif formel n'a été engagé. La Commission européenne a ouvert une procédure d'infraction. Les organisations actives en Bulgarie devraient s'aligner sur les exigences de base de la directive tout en surveillant les évolutions.
Écart principal : inconnu — aucun avant-projet disponible
Source : tracker des procédures d'infraction de la Commission européenne — Dernière mise à jour : juin 2025
Croatie
Zakon o kibernetičkoj sigurnosti — promulguée en octobre 2024
La Croatie a respecté l'échéance du 17 octobre 2024 avec sa loi sur la cybersécurité. Cette loi s'aligne étroitement sur les exigences de la directive NIS2 et désigne le Conseil national de la cybersécurité comme organe de coordination. La notification des incidents suit le cadre de la directive (alerte précoce sous 24 heures et notification sous 72 heures), sans écarts significatifs.
Écart principal : minime — suit étroitement le socle de la directive
Source : Journal officiel croate, octobre 2024 — Dernière mise à jour : juin 2025
Chypre
Avant-projet de loi sur la cybersécurité — en cours d'examen ministériel
Chypre a publié un avant-projet de loi sur la cybersécurité, actuellement en cours d'examen ministériel. L'Autorité de sécurité numérique (DSA) devrait faire office d'autorité nationale compétente. L'avant-projet suit étroitement la structure de la directive, mais reste susceptible d'être modifié avant sa soumission au parlement. Le calendrier de promulgation demeure incertain.
Écart principal : toujours en cours d'examen — modifications possibles en attente
Source : documents de consultation du gouvernement chypriote, 2024 — Dernière mise à jour : juin 2025
Tchéquie
Zákon o kybernetické bezpečnosti (modifiée) — promulguée en octobre 2024
La Tchéquie a modifié sa loi existante sur la cybersécurité afin d'y intégrer les exigences de la directive NIS2, respectant ainsi l'échéance d'octobre. Le NUKIB (Agence nationale de la cybersécurité et de la sécurité de l'information) conserve son rôle d'autorité centrale, avec des pouvoirs élargis. L'approche tchèque ajoute des audits de cybersécurité obligatoires pour les entités essentielles tous les deux ans — une exigence qui va au-delà de la directive.
Écart principal : audits de cybersécurité obligatoires tous les deux ans pour les entités essentielles
Source : Recueil des lois tchèque, octobre 2024 — Dernière mise à jour : juin 2025
Danemark
Plusieurs lois sectorielles — mise en œuvre échelonnée en cours
Le Danemark a adopté une approche sectorielle de la transposition de la directive NIS2, avec des instruments législatifs distincts pour chaque secteur. Le Centre pour la cybersécurité (CFCS) assure la coordination entre les secteurs. Si certaines lois sectorielles sont promulguées, d'autres demeurent en cours d'examen parlementaire. Cette approche décentralisée implique que les exigences de conformité peuvent varier selon le secteur et le calendrier.
Écart principal : transposition secteur par secteur plutôt qu'une loi unique et unifiée
Source : publications du ministère danois de la Défense, 2024 — Dernière mise à jour : juin 2025
Estonie
Küberturvalisuse seaduse muutmine — avant-projet publié, examen parlementaire
L'Estonie, malgré sa réputation de pionnière du numérique, n'a pas respecté l'échéance d'octobre 2024, mais a publié un avant-projet complet de modifications de sa loi sur la cybersécurité. L'Autorité du système d'information (RIA) restera l'autorité principale. L'avant-projet estonien comporte des dispositions relatives aux services numériques gouvernementaux qui étendent le champ d'application au-delà du socle de la directive.
Écart principal : champ d'application étendu couvrant les services numériques gouvernementaux
Source : ministère estonien des Affaires économiques, 2024 — Dernière mise à jour : juin 2025
Finlande
Kyberturvallisuuslaki — promulguée en janvier 2025
La Finlande a promulgué sa loi sur la cybersécurité début 2025, peu après l'échéance. Cette loi suit étroitement la directive et désigne Traficom comme autorité compétente principale. Les règlements d'application secondaires sont encore en cours de finalisation, notamment concernant les seuils de notification des incidents propres à chaque secteur et les délais d'enregistrement des entités importantes.
Écart principal : règlements secondaires sur les seuils d'incidents encore en attente
Source : tracker législatif du gouvernement finlandais, janvier 2025 — Dernière mise à jour : juin 2025
France
Projet de loi NIS2 — examen parlementaire, attendu au 1er semestre 2025
L'ANSSI prépare activement la directive NIS2 depuis 2023, mais la transposition législative formelle a été retardée par l'instabilité politique. Le projet de loi est actuellement en cours d'examen parlementaire. La France devrait élargir considérablement le nombre d'entités réglementées, d'environ 500 sous NIS1 à plus de 15'000 estimées sous NIS2. L'approche d'exécution de l'ANSSI met l'accent sur la proportionnalité et l'accompagnement des organisations nouvellement concernées.
Écart principal : élargissement significatif du champ d'application ; exécution fondée sur la proportionnalité
Source : déclarations publiques de l'ANSSI, décembre 2024 — Dernière mise à jour : juin 2025
Allemagne
NIS2-Umsetzungsgesetz (NIS2UmsuCG) — attendue en 2025
La transposition de la directive NIS2 en Allemagne a été retardée par l'effondrement de la coalition gouvernementale fin 2024. L'avant-projet NIS2UmsuCG élargit considérablement le nombre d'entités concernées — estimé à plus de 29'000 organisations — et introduit des dispositions plus strictes en matière de responsabilité des dirigeants. Le BSI (Office fédéral de la sécurité des technologies de l'information) fera office d'autorité centrale, dotée de pouvoirs d'exécution élargis.
Écart principal : champ d'application élargi à ~29'000 entités ; responsabilité des dirigeants renforcée
Source : avant-projet de loi du BMI, juillet 2024 — Dernière mise à jour : juin 2025
Grèce
Avant-projet de loi sur la cybersécurité — en cours d'examen en commission parlementaire
La Grèce a publié un avant-projet de loi transposant la directive NIS2, actuellement en cours d'examen par la commission parlementaire compétente. L'Autorité nationale de cybersécurité, créée en 2022, est désignée comme autorité compétente. L'avant-projet comporte des dispositions spécifiques aux secteurs maritime et touristique, reflétant les priorités économiques de la Grèce et étendant légèrement les exigences au-delà du socle de la directive pour ces secteurs.
Écart principal : exigences supplémentaires pour les secteurs maritime et touristique
Source : ministère grec de la Gouvernance numérique, 2024 — Dernière mise à jour : juin 2025
Hongrie
Décret gouvernemental 418/2024 — promulgué en octobre 2024
La Hongrie a transposé la directive NIS2 au moyen d'un décret gouvernemental plutôt que d'une loi parlementaire autonome, ce qui a permis une mise en œuvre plus rapide. La Direction générale nationale de la cyberdéfense fait office d'autorité principale. L'approche hongroise comporte des exigences d'enregistrement supplémentaires pour les entités, allant légèrement au-delà du minimum prévu par la directive.
Écart principal : exigences supplémentaires d'enregistrement des entités
Source : Journal officiel hongrois, octobre 2024 — Dernière mise à jour : juin 2025
Irlande
Aucun avant-projet publié — attendu en 2025
Bien qu'elle accueille le siège européen de nombreuses grandes entreprises technologiques, l'Irlande n'a pas encore publié d'avant-projet de loi de transposition. Le NCSC Ireland devrait faire office d'autorité compétente. Compte tenu de l'importance de l'Irlande en tant que pôle de traitement des données, la future loi nationale pourrait avoir un impact démesuré sur les fournisseurs de services technologiques et cloud actifs partout en Europe. La Commission européenne a ouvert une procédure d'infraction.
Écart principal : inconnu — impact significatif attendu pour le secteur technologique
Source : procédures d'infraction de la Commission européenne, novembre 2024 — Dernière mise à jour : juin 2025
Italie
Decreto Legislativo NIS2 — promulgué en octobre 2024, mise en œuvre en cours
L'Italie a publié son décret de transposition en octobre 2024, respectant techniquement l'échéance. Toutefois, des dispositions d'application essentielles — notamment les exigences d'enregistrement des entités et les procédures détaillées de notification des incidents — sont encore en cours de finalisation par voie de législation secondaire. L'ACN (Agence nationale de la cybersécurité) pilote la mise en œuvre, avec des jalons de conformité échelonnés jusqu'en 2025. L'approche italienne comporte une surtransposition en matière d'exigences de gestion des risques liés à la chaîne d'approvisionnement.
Écart principal : gestion plus stricte des risques liés à la chaîne d'approvisionnement ; mise en œuvre échelonnée
Source : Journal officiel italien, octobre 2024 — Dernière mise à jour : juin 2025
Lettonie
Kiberdrošības likums — promulguée en septembre 2024
La Lettonie a été l'un des premiers pays à transposer la directive, en promulguant sa loi sur la cybersécurité avant l'échéance d'octobre 2024. Le CERT.LV fait office de CSIRT national, doté de responsabilités de coordination élargies. La loi lettone suit étroitement la directive, avec des écarts minimes, offrant un socle de conformité clair aux entités actives dans les pays baltes.
Écart principal : minime — suit étroitement le socle de la directive
Source : Journal officiel letton, septembre 2024 — Dernière mise à jour : juin 2025
Lituanie
Kibernetinio saugumo įstatymas (modifiée) — promulguée en octobre 2024
La Lituanie a modifié sa loi existante sur la cybersécurité afin de respecter l'échéance de la directive NIS2. Le Centre national de cybersécurité (NKSC) conserve son rôle principal. L'approche lituanienne ajoute un dispositif national de certification en cybersécurité pour les fournisseurs d'infrastructures critiques, allant au-delà du socle de la directive et reflétant l'accent mis par le pays sur la résilience de la chaîne d'approvisionnement, compte tenu de sa position géopolitique.
Écart principal : dispositif national de certification des fournisseurs pour les infrastructures critiques
Source : archives du Seimas lituanien, octobre 2024 — Dernière mise à jour : juin 2025
Luxembourg
Projet de loi NIS2 — avant-projet publié, examen parlementaire
Le Luxembourg a publié son avant-projet de loi de transposition de la directive NIS2, actuellement en cours d'examen parlementaire. Compte tenu du rôle du Luxembourg en tant que grand pôle de services financiers, l'avant-projet comporte des dispositions spécifiques coordonnant la conformité à NIS2 avec les exigences existantes de DORA (règlement sur la résilience opérationnelle numérique). L'ILR et la CSSF devraient se partager les responsabilités d'autorité compétente selon les secteurs.
Écart principal : cadre coordonné de conformité NIS2-DORA pour le secteur financier
Source : archives de la Chambre des députés du Luxembourg, 2024 — Dernière mise à jour : juin 2025
Malte
Aucun avant-projet publié — attendu en 2025
Malte n'a pas encore publié d'avant-projet de loi de transposition. L'Agence maltaise des technologies de l'information (MITA) et la Direction de la protection des infrastructures critiques devraient jouer un rôle dans la mise en œuvre. Compte tenu de l'essor des secteurs maltais de l'igaming et de la fintech, qui peuvent tous deux entrer dans le champ d'application de la directive NIS2, une transposition rapide revêt une importance commerciale. La Commission européenne a ouvert une procédure d'infraction.
Écart principal : inconnu — impact potentiel sur les secteurs de l'igaming et de la fintech
Source : tracker des procédures d'infraction de la Commission européenne — Dernière mise à jour : juin 2025
Pays-Bas
Cyberbeveiligingswet (Cbw) — avant-projet déposé, attendu au 1er semestre 2025
Les Pays-Bas ont publié leur avant-projet de loi sur la cybersécurité (Cbw) destiné à remplacer la loi Wbni existante, mais l'approbation parlementaire reste en attente. L'approche néerlandaise désigne des régulateurs sectoriels comme autorités compétentes plutôt qu'un organe central unique — ce qui signifie des régulateurs différents pour l'énergie, la santé, les transports et les infrastructures numériques. Ce modèle décentralisé ajoute de la complexité pour les organisations multisectorielles actives aux Pays-Bas.
Écart principal : exécution décentralisée entre régulateurs sectoriels
Source : consultation du ministère néerlandais de la Justice, septembre 2024 — Dernière mise à jour : juin 2025
Pologne
Nowelizacja ustawy o KSC — avant-projet publié, processus parlementaire
La Pologne a publié un avant-projet de modifications de sa loi sur le système national de cybersécurité (ustawa o KSC), mais son adoption parlementaire a été retardée. L'avant-projet élargit considérablement le périmètre des entités concernées et introduit un nouveau système national de classification des incidents de cybersécurité. Le NASK et les CSIRT sectoriels se partageront les responsabilités. L'approche polonaise comporte des exigences renforcées pour les entités de l'administration publique.
Écart principal : nouveau système de classification des incidents ; champ d'application élargi à l'administration publique
Source : ministère polonais des Affaires numériques, 2024 — Dernière mise à jour : juin 2025
Portugal
Aucun avant-projet publié — aucun calendrier estimé
Le Portugal figure parmi les États membres ne disposant d'aucun avant-projet de loi accessible au public pour la transposition de la directive NIS2. Le Centre national de cybersécurité (CNCS) devrait faire office d'autorité compétente, mais aucun calendrier formel d'action législative n'a été communiqué. Les organisations actives au Portugal devraient suivre de près les évolutions et envisager de s'aligner sur les exigences de base de la directive dans l'intervalle.
Écart principal : inconnu — aucun avant-projet disponible
Source : tracker des procédures d'infraction de la Commission européenne — Dernière mise à jour : juin 2025
Roumanie
Proiect de lege NIS2 — avant-projet en cours d'examen gouvernemental
La Roumanie a publié un avant-projet de loi de transposition de la directive NIS2, actuellement en cours d'examen gouvernemental avant sa soumission au parlement. Le DNSC (Direction nationale de la cybersécurité) est désigné comme autorité compétente. L'avant-projet comporte des dispositions relatives à un programme national d'exercices de cybersécurité et à des évaluations des risques obligatoires pour les entités exploitant des infrastructures critiques, allant légèrement au-delà du socle de la directive.
Écart principal : programme national obligatoire d'exercices de cybersécurité
Source : portail législatif du gouvernement roumain, 2024 — Dernière mise à jour : juin 2025
Slovaquie
Zákon o kybernetickej bezpečnosti (modification) — avant-projet publié
La Slovaquie a publié un avant-projet de modifications de sa loi sur la cybersécurité, actuellement en cours de processus législatif. L'Autorité nationale de sécurité (NBU) est désignée comme autorité compétente centrale. L'avant-projet slovaque suit étroitement la directive, mais prévoit un calendrier accéléré d'enregistrement des entités, exigeant la mise en conformité dans les 90 jours suivant la promulgation de la loi.
Écart principal : exigence d'enregistrement accéléré des entités sous 90 jours
Source : ministère slovaque de l'Investissement, du Développement régional et de l'Informatisation, 2024 — Dernière mise à jour : juin 2025
Slovénie
Zakon o informacijski varnosti (ZInfV-1) — promulguée fin 2024, mesures secondaires en attente
La Slovénie a promulgué sa loi actualisée sur la sécurité de l'information fin 2024, mais les mesures d'application secondaires sont encore en cours d'élaboration. Le Bureau du gouvernement de la République de Slovénie pour la sécurité de l'information (URSIV) fait office d'organe de coordination. La loi couvre les exigences essentielles de la directive NIS2, mais renvoie plusieurs détails opérationnels à des règlements d'application attendus en 2025.
Écart principal : mise en œuvre échelonnée avec mesures secondaires en attente
Source : Journal officiel slovène, 2024 — Dernière mise à jour : juin 2025
Espagne
Anteproyecto de Ley NIS2 — avant-projet publié, examen du Conseil d'État
L'Espagne a publié son avant-projet de loi de transposition de la directive NIS2 (anteproyecto), actuellement examiné par le Conseil d'État avant sa soumission au parlement. Le CCN-CERT et l'INCIBE se partagent les responsabilités d'autorité compétente selon le type d'entité. L'avant-projet espagnol introduit un dispositif national de certification de conformité et comporte des dispositions spécifiques aux secteurs du tourisme et de l'hôtellerie.
Écart principal : certification nationale de conformité ; dispositions pour le secteur touristique
Source : ministère espagnol de la Transformation numérique, 2024 — Dernière mise à jour : juin 2025
Suède
Cybersäkerhetslag — promulguée début 2025, règlements secondaires en cours
La Suède a promulgué sa loi sur la cybersécurité début 2025, à l'issue d'une enquête gouvernementale approfondie. Le MSB (Agence suédoise de protection civile) fait office d'autorité centrale de coordination, les régulateurs sectoriels étant chargés de l'exécution. Les règlements secondaires précisant les exigences détaillées de conformité pour les différentes catégories d'entités sont encore en cours de finalisation, l'achèvement étant attendu pour la mi-2025.
Écart principal : modèle d'exécution par les régulateurs sectoriels ; règlements secondaires en attente
Source : rapports officiels du gouvernement suédois, 2024 — Dernière mise à jour : juin 2025
200+
Heures économisées sur la documentation de conformité
Medtec a économisé plus de 200 heures dans sa préparation à la certification ISO 27001 en remplaçant la documentation manuelle par des flux de conformité automatisés — au cours de sa première année avec Priverion.
60 %
Moins de temps administratif consacré à la conformité
Un constructeur aéronautique a réduit de 60 % le temps administratif consacré à la conformité au cours de ses six premiers mois — avec une tarification prévisible fondée sur le nombre d'entités, sans pièges d'extension par utilisateur ou par module.
3 mois
D'avance sur le calendrier ISO 27001
Medtec a achevé sa préparation à l'ISO 27001 trois mois avant son calendrier prévisionnel grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion.
Pourquoi les équipes du mid-market passent de OneTrust à Priverion
Les plateformes de protection des données pour grands comptes ont été conçues pour les budgets et la complexité des Fortune 500. Si vous gérez la conformité de 5 à 50 filiales, il vous faut autre chose — pas une version réduite.
Plateforme grand compte type
Ce que vous obtenez avec OneTrust
Tarification par module et par utilisateur
Les coûts grimpent de façon imprévisible à mesure que vous ajoutez des filiales, des utilisateurs ou des fonctionnalités. Les discussions budgétaires ont lieu chaque trimestre, et non chaque année.
Siège aux États-Unis, hébergement mondial
Les données peuvent être traitées aux États-Unis ou dans d'autres juridictions non européennes. Depuis l'arrêt Schrems II, cela engendre une exposition juridique permanente pour les transferts transfrontaliers.
Plus de 200 intégrations, mais peu approfondies
Un nombre de connecteurs impressionnant, mais nombre d'entre eux requièrent une configuration sur mesure et une maintenance continue qui pèsent sur les équipes informatiques du mid-market.
Conçue pour les acheteurs du Fortune 500
Riche en fonctionnalités, mais déroutante pour les équipes de moins de 20 personnes. Les DPD rapportent passer des semaines en onboarding rien que pour configurer des modules dont ils n'ont pas besoin.
Mise en œuvre s'étalant sur plusieurs mois
Les déploiements pour grands comptes prennent couramment de 6 à 12 mois avant que les équipes en perçoivent la valeur. Les coûts de prestations de services s'accumulent rapidement.
Conçue pour le mid-market multi-entités
Ce que vous obtenez avec Priverion
Tarification prévisible selon le nombre de sociétés
Pas de licences par utilisateur, pas de ventes additionnelles par module. Une seule plateforme, toutes les fonctionnalités incluses. Votre directeur financier obtient un montant qui ne change pas en cours d'année.
Conçue en Suisse, hébergée en Suisse — garanti
Toutes les données sont traitées au sein d'une infrastructure suisse. La résidence européenne des données n'est pas une option de configuration — c'est


