Pour rappel, la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (dite NIS 2) renforce les obligations de nombreux acteurs européens en matière de cybersécurité. Alors que le texte prédécesseur de NIS 2 concernait environ 300 opérateurs d’importance vitale et opérateurs de services essentiels, cette nouvelle directive s’applique à plus de 15 000 entités incluant, notamment, des collectivités territoriales, des PME et des organismes publics locaux.
L’introduction de cette phase de préenregistrement permet ainsi aux entités auxquelles la directive NIS 1 s’applique déjà et aux éventuelles nouvelles entités se sachant concernées par NIS 2 d’anticiper la mise en œuvre de leur première obligation de conformité.
Directive NIS 2 : l’ANSSI lance un préenregistrement volontaire pour les entités concernées
L’ANSSI a mis en ligne un service de préenregistrement destiné aux organisations assujetties à la directive NIS 2.
Cette démarche intervient alors que la loi de transposition française tarde encore à être adoptée par le législateur, le projet de loi relatif à la résilience des infrastructures critiques adopté par le Sénat en mars 2025 devant encore faire l’objet d’un examen à l’Assemblée nationale.
Toutefois, le préenregistrement marque l’entrée opérationnelle de la France dans la phase d’exécution de NIS 2.
En attendant la publication d’une loi rendant obligatoire la procédure d’enregistrement, les organisations qui se savent concernées par la directive peuvent désormais renseigner leurs informations administratives pour accéder aux premiers outils d’accompagnement mis à leur disposition.
Préenregistrement NIS 2 : réduire la charge administrative et renforcer la maturité cybersécurité
Selon l’ANSSI, l’anticipation de l’inscription vise à réduire la charge administrative au moment de l’entrée en vigueur officielle et à amorcer la montée en maturité des organisations face aux obligations renforcées en matière de cybersécurité. Les entités qui se préenregistrent bénéficieront de conditions d’enregistrement facilitées lorsque celui-ci sera obligatoire, leurs informations étant automatiquement sauvegardées.
Cette étape permet également d’accéder à des services d’accompagnement dans la démarche de sécurisation et constitue un premier pas concret vers le respect des futures obligations. Les organisations concernées peuvent ainsi identifier en amont les vulnérabilités de leur système d’information et planifier les investissements nécessaires.
Un processus simplifié et guidé
Le préenregistrement se déroule via un parcours guidé incluant des saisies automatiques. Les informations requises varient selon le type d’entité mais incluent nécessairement :
- L’adresse du siège social en France et le numéro SIREN ;
- Le ou les secteurs d’activité concernés selon les annexes I et II de la directive ;
- Les effectifs, le chiffre d’affaires et le bilan financier.
Doivent également être renseignés, selon le type d’entité :
- Les États membres où l’entité exerce ses activités ;
- Les coordonnées d’un responsable du traitement des incidents de cybersécurité ;
- Les adresses des établissements dans l’Union européenne ;
- Les adresses IP et noms de domaine pour les acteurs du numérique et les fournisseurs d’enregistrement de noms de domaine.
L’ANSSI précise que la personne physique qui procède au préenregistrement doit vérifier qu’elle dispose bien de la capacité juridique pour engager l’entité, en particulier pour fournir les renseignements exacts et complets demandés. Lors de la confirmation finale de l’enregistrement obligatoire, cette déclaration vaudra attestation sur l’honneur de l’exactitude des informations fournies.
Pourquoi anticiper la conformité malgré le retard de la loi de transposition
Face au retard pris par le législateur français, dû notamment à la crise politique actuelle, la direction générale de l’ANSSI rappelle que la menace cyber est présente et ne peut attendre la transposition définitive de la directive.
De manière plus générale, les organisations concernées sont donc invitées à lancer dès maintenant les chantiers structurants : analyse de risques incluant les sous-traitants, cartographie des systèmes d’information, évaluation de la gouvernance de sécurité.
Le préenregistrement représente ainsi une opportunité pour les entités de démontrer leur engagement proactif en matière de cybersécurité et de préparer sereinement leur mise en conformité, bien avant l’entrée en vigueur des obligations légales.
Mise en conformité NIS 2 : l’importance d’un accompagnement juridique et cybersécurité
Face à la complexité de la directive NIS 2 et à ses obligations, un accompagnement spécialisé permettra également d’anticiper l’ensemble des évolutions à venir.
Les critères d’assujettissement (secteur d’activité, taille, chiffre d’affaires, criticité des services) peuvent nécessiter une analyse pour éviter tout risque de non-conformité. Ensuite, un diagnostic permettra d’identifier les obligations y afférant, d’évaluer le niveau de maturité en termes de cybersécurité, et de définir un plan d’action pragmatique.
Dans la continuité de la démarche de l’ANSSI, cette initiative permettra de transformer une contrainte réglementaire en un levier de performance et de résilience.
***
Le cabinet HAAS Avocats, spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle, est à votre disposition pour vous accompagner dans vos démarches de conformité et pour répondre à toutes vos interrogations sur la régulation des plateformes numériques.
Pour nous contacter, cliquez ici.
