Cybersécurité : la CSNP presse le Parlement d'examiner sans délai le projet de loi de résilience transposant NIS 2

La pression monte autour de la transposition de la directive européenne NIS 2, censée renforcer le niveau de cybersécurité au sein de l'Union européenne. Dans un communiqué publié le 18 mars 2026, la Commission supérieure du numérique et des postes (CSNP) appelle à inscrire "dans les plus brefs délais" à l'ordre du jour de l'Assemblée nationale le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Ce texte, présenté en octobre 2024 et adopté par le Sénat en mars 2025, n'a toujours pas achevé son parcours législatif, alors même que la directive devait être transposée avant le 17 octobre 2024. Une situation d'autant plus critique que, au 1er janvier 2026, 20 États membres sur 27 avaient déjà procédé à cette transposition, plaçant la France en retrait.

La directive NIS 2 élargit considérablement le périmètre des acteurs concernés : de quelque 300 opérateurs de services essentiels sous NIS 1, elle s'appliquera en France à plus de 15.000 entités dans 18 secteurs, ainsi qu'à près de 1.000 intercommunalités et 300 communes de plus de 30.000 habitants. Autant de collectivités directement exposées à l'absence de cadre juridique stabilisé.

Ce retard intervient dans un contexte de multiplication et d'intensification des cyberattaques. Pour la CSNP, il "fragilise notre écosystème numérique" et entretient "une situation d'incertitude injustifiable" pour les acteurs publics et privés.

Quelques jours plus tôt, les rapporteurs du texte avaient déjà tiré la sonnette d'alarme. Ils évoquaient une transposition "probablement repoussée à juillet", dénonçant un calendrier incompatible avec les enjeux de sécurité et la crédibilité européenne de la France ( lire notre article du 5 mars 2026).

Un blocage politique autour du chiffrement

Selon la CSNP, le retard ne s'explique ni par un manque de consensus parlementaire, ni par un agenda surchargé, mais par un désaccord politique ciblé. En cause : l'article 16 bis, introduit au Sénat, interdit d'imposer aux fournisseurs de services de chiffrement la création de "portes dérobées" ou "backdoors" (1) dans les messageries.  
Cette disposition déplairait à la direction générale de la Sécurité intérieure (DGSI), ce qui bloque l'avancée du texte. Pour la Commission, ce point de clivage ne saurait "justifier de retarder volontairement l'adoption d'un texte aussi essentiel".

Le calendrier transmis aux parlementaires mi-février prévoit désormais un examen en juillet 2026, sous réserve de la tenue d'une session extraordinaire. Un report de plusieurs mois supplémentaires, alors que la France vient parallèlement de dévoiler une nouvelle stratégie nationale de cybersécurité… sans cadre législatif opérationnel.

Cette dissonance entre ambitions affichées et moyens normatifs inquiète la CSNP. Elle y voit un "décalage préoccupant" susceptible d'affaiblir la position française dans les négociations européennes en cours, notamment autour de la révision du Cybersecurity Act.

En toile de fond, c'est aussi la capacité des collectivités territoriales à faire face aux cybermenaces qui est en jeu. Sans transposition effective, elles restent dans l'incertitude quant à leurs obligations, leurs moyens et leur niveau de protection attendu. D'où l'appel appuyé de la Commission à accélérer l'examen du texte pour doter enfin la France "des outils indispensables à la protection de son économie, de ses institutions et de ses citoyens".

(1) Un backdoor (ou porte dérobée) est un programme informatique malveillant utilisé pour donner aux pirates un accès à distance non autorisé à un ordinateur infecté en exploitant les vulnérabilités du système.