France et Espagne déférées devant la CJUE au sujet de NIS2 : que doivent faire les fournisseurs

Le 9 juin 2026, la Commission européenne a saisi la Cour de justice de l'Union européenne contre la France et l'Espagne pour ne pas avoir transposé NIS2 en droit national. Plus de 18 mois après l'échéance, les deux plus grandes économies de l'UE n'ont toujours pas la directive dans leur corpus législatif — et désormais le seul organe pouvant sanctionner financièrement un État membre qui ignore le droit de l'UE est impliqué.

Si vous conseillez des organisations opérant en France ou en Espagne, ce n'est pas une histoire de procédure bruxelloise. Cela change la manière dont vous devez cadrer les travaux de préparation à NIS2 sur ces marchés dès maintenant. Voici ce que la saisine signifie réellement et ce qu'il faut dire à vos clients cette semaine.

La saisine est le terminus, pas un coup de semonce

La Commission ne saisit pas la CJUE en premier. Le chemin vers une saisine est long et délibéré, et la France et l'Espagne l'ont désormais entièrement parcouru.

L'échéance de transposition était le 17 octobre 2024. Seuls quatre États membres l'ont respectée. La Commission a ouvert des procédures d'infraction contre 23 pays le 28 novembre 2024 par des lettres de mise en demeure. Elle a intensifié le 7 mai 2025 avec des avis motivés à 19 gouvernements — la phase formelle « vous avez deux mois pour vous conformer ». La France et l'Espagne figuraient sur cette liste, ne s'y sont pas conformées et sont maintenant déférées devant la Cour.

La saisine est l'étape finale. La CJUE est le seul organe pouvant condamner un État membre à payer pour violation du droit de l'UE, par des sommes forfaitaires et des astreintes journalières qui s'accumulent jusqu'à correction de la loi. Cette pression financière pèse désormais sur Paris et Madrid, ce qui signifie que la transposition nationale a bien plus de chances d'aboutir en 2026 que de glisser à nouveau.

Statut de Mise en Œuvre NIS2 par Pays (2025–2026)
✅
Pleinement en vigueur
🇧🇪Belgique
🇭🇷Croatie
🇭🇺Hongrie
🇱🇹Lituanie
🇱🇻Lettonie
🇮🇹Italie
6 pays
📋
Adopté — fin 2025
🇩🇪Allemagne
🇨🇿République tchèque
🇫🇮Finlande
3 pays
⏳
En cours — prévu 2026
🇳🇱Pays-Bas
🇫🇷France
🇪🇸Espagne
🇵🇱Pologne
🇦🇹Autriche
🇸🇪Suède
🇮🇪Irlande
7 pays

La France et l'Espagne ont emprunté des routes différentes vers le même point

Les deux retards n'ont pas la même cause, et cela compte pour anticiper le calendrier.

L'Espagne a approuvé un projet de loi sur la cybersécurité en Conseil des ministres en janvier 2025, mais le texte définitif n'est toujours pas publié. La loi devrait entrer en vigueur courant 2026. Le cadre existe sur le papier — ce qui manque, c'est la promulgation.

La France a intégré NIS2 dans une loi plus large sur la résilience des infrastructures critiques, un paquet législatif plus vaste qui n'est pas encore pleinement promulgué. La directive est liée à un véhicule plus grand et plus lent, ce qui rend le calendrier français plus difficile à prévoir.

Pour un consultant, la lecture pratique est la suivante : les deux pays auront presque certainement une loi en vigueur dans les 12 prochains mois, et la saisine de la CJUE rend tout nouveau retard politiquement coûteux. Traitez l'absence de loi nationale comme une question de calendrier, non comme une raison d'attendre.

« Pas encore de loi nationale » est la chose la plus dangereuse qu'un client puisse croire

Le plus grand risque en France et en Espagne en ce moment, c'est le client qui lit les gros titres et conclut qu'il bénéficie d'un répit. Ce n'est pas le cas.

Les obligations NIS2 ne découlent pas uniquement du pays où une entreprise a son siège. Si votre client vend à, ou exploite des infrastructures pour, des entités dans des États membres qui ont transposé — l'Allemagne, l'Italie, la Belgique, les Pays-Bas et la majeure partie du bloc —, ces obligations s'appliquent déjà via la chaîne d'approvisionnement. Un fournisseur de services managés français servant des entités essentielles allemandes se voit demander aujourd'hui des preuves au titre de l'Article 21, indépendamment de ce que la France a adopté ou non.

Les dispositions de la directive sur la chaîne d'approvisionnement sont le mécanisme. Les entités essentielles et importantes doivent gérer la sécurité de leurs fournisseurs, ce qui signifie qu'elles répercutent des exigences de sécurité contractuelles sur les fournisseurs, où qu'ils soient situés. L'obligation se propage en cascade de la juridiction conforme vers la non conforme.

Escalade des sanctions NIS2 — Au-delà de l'amende
!
Déclencheur
Non-conformité détectée ou incident survenu
Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2
Les autorités peuvent imposer
▼
Sanctions non financières
1
Ordres de mise en conformité avec délais contraignants
2
Audits de sécurité obligatoires à vos frais
3
Divulgation publique des violations
4
Instructions contraignantes sur des mesures de sécurité spécifiques
Escalade vers
▼
Conséquences opérationnelles et personnelles
1
Suspension de certifications ou licences d'exploitation
2
Interdiction temporaire de fonctions de direction pour les individus
3
Désignation publique des personnes physiques responsables
Déclencheur
Non financier
Opérationnel / personnel

Le message honnête à un client français ou espagnol est donc : la loi nationale arrive, vos clients dans d'autres États membres sont déjà liés, et les exigences contractuelles vous parviennent dès maintenant. L'écart entre « notre pays n'a pas transposé » et « nous n'avons aucune obligation » est précisément là où les organisations non préparées se font piéger.

Déterminer le périmètre quand le texte national n'est pas définitif

La complication en France et en Espagne est que les définitions nationales finales — annexes sectorielles, seuils de taille, ligne de partage entre entités essentielles et importantes — ne sont pas figées. La détermination du périmètre s'appuie normalement sur les spécificités de la loi de transposition. Vous ne les avez pas encore ici.

Travaillez à partir de la directive elle-même. Les listes sectorielles de NIS2 et le seuil de moyenne entreprise (50+ salariés ou 10 M€+ de chiffre d'affaires, avec des exceptions pour certains prestataires critiques quelle que soit leur taille) sont fixés au niveau de l'UE et changeront peu lors de la transposition. Un client clairement dans le périmètre de la directive le sera sous la loi française ou espagnole. Construisez l'évaluation de préparation sur la base de la directive dès maintenant, et traitez le texte national à venir comme un affinage plutôt qu'un point de départ.

La NIS2 s'applique-t-elle à votre organisation ?
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼
Non▼
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗
La NIS2 ne s'applique pas directement à votre organisation.
Oui▼
Non▼
✓
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1
Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →
2
Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →
3
Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →
✗
La NIS2 ne s'applique pas directement à votre organisation.
✓
La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!
La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'applique
Possiblement applicable
Ne s'applique pas

C'est aussi là que vous protégez votre propre crédibilité. Dites aux clients quelles conclusions sont fermes (issues de la directive et peu susceptibles de changer) et lesquelles sont provisoires (dépendant de spécificités nationales encore à publier). Une analyse d'écarts bâtie sur la directive sera durable à 90 % ; signalez les 10 % qui peuvent évoluer.

Que faire cette semaine avec les clients français et espagnols

La saisine est une incitation, pas un exercice d'urgence. Mesures concrètes :

Cartographiez d'abord l'exposition des clients. Pour chaque client, listez les États membres que touchent ses clients et ses activités. Toute juridiction conforme sur cette liste signifie des obligations actives aujourd'hui, loi nationale ou non. C'est souvent le moyen le plus rapide de montrer à un client sceptique pourquoi « attendons la loi » est la mauvaise posture.

Réalisez l'analyse d'écarts par rapport à la base de la directive. N'attendez pas le texte national. Les mesures de l'Article 21 — gestion des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, gestion des vulnérabilités, hygiène cyber de base, MFA — sont au niveau de l'UE et stables. Évaluez par rapport à elles.

Mettez en ordre le langage contractuel fournisseur. La cascade de la chaîne d'approvisionnement arrive par les contrats. Les clients recevant de nouvelles clauses de sécurité de leurs acheteurs allemands ou italiens doivent pouvoir y répondre. Les clients qui sont eux-mêmes des entités essentielles ou importantes doivent commencer à répercuter les exigences sur leurs propres fournisseurs.

Documentez la posture de préparation dès maintenant, afin qu'à la publication de la loi française ou espagnole — probablement avec un court délai avant l'application —, votre client passe de « démarrer » à « démontrer » plutôt qu'à la précipitation. Les organisations ayant pris le retard pour une bouffée d'air trouveront la fenêtre d'application inconfortablement étroite.

La saisine de la CJUE vous dit que le retard touche à sa fin. Les États membres qui ont traîné sont justement ceux dont l'application sera la plus sévère une fois la loi en vigueur, précisément parce que la Commission a déjà perdu patience. Positionnez vos clients pour être prêts avant que le texte ne soit définitif, pas après.

Si vous voulez une lecture rapide et structurée pour savoir si un client est dans le périmètre et où se situent les plus grands écarts, faites-lui passer le diagnostic rapide de préparation NIS2 — il fonctionne à partir de la base de la directive, exactement ce dont vous avez besoin pendant que la France et l'Espagne finalisent leurs lois nationales.

Pour la vue d'ensemble sur la circulation des obligations de chaîne d'approvisionnement de la directive entre juridictions, consultez notre guide sur la sécurité de la chaîne d'approvisionnement NIS2 et les contrats fournisseurs au titre de l'Article 21.