Enregistrement NIS2 : se pré-enregistrer à l'ANSSI
Enregistrement NIS2 : pourquoi se pré-enregistrer sur MonEspaceNIS2 dès maintenant, les informations à préparer et la procédure ANSSI pas à pas.
Le 8 juillet 2026, la Commission européenne a saisi la Cour de justice de l’Union européenne contre la France pour défaut de transposition de NIS2. Vingt mois de retard, une loi Résilience toujours pas votée — et pourtant, l’ANSSI a ouvert son service de pré-enregistrement depuis le 24 novembre 2025 et invite les entités concernées à s’y inscrire. Ce paradoxe apparent est en réalité une opportunité de calendrier. Voici comment en tirer parti.
L’enregistrement NIS2 : une obligation prévue par la directive
Beaucoup d’organisations réduisent NIS2 aux mesures de sécurité de l’article 21 et à la notification d’incidents de l’article 23. C’est oublier une obligation plus discrète mais qui arrive en premier dans l’ordre chronologique : se faire connaître de l’autorité nationale.
L’article 3(3) de la directive NIS2 impose aux États membres d’établir, au plus tard le 17 avril 2025, la liste de leurs entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine, puis de la réviser au moins tous les deux ans. Pour construire cette liste, l’État n’inventorie pas lui-même les 15 000 à 18 000 entités françaises concernées : il fait déclarer les entités. C’est le sens de l’article 3(4), qui oblige les États membres à exiger de chaque entité qu’elle transmette au minimum :
- son nom ;
- son adresse et ses coordonnées à jour, y compris adresses électroniques, plages d’adresses IP et numéros de téléphone ;
- le cas échéant, le secteur et sous-secteur pertinents des annexes I ou II ;
- le cas échéant, la liste des États membres où elle fournit des services entrant dans le champ de la directive.
Point souvent négligé : le même article impose de notifier toute modification de ces éléments sans retard et, en tout état de cause, dans un délai de deux semaines. L’enregistrement n’est donc pas un formulaire que l’on remplit une fois pour solde de tout compte, mais un registre vivant.
Une catégorie d’acteurs est soumise à un régime distinct : les fournisseurs de services DNS, registres de noms de domaine de premier niveau, bureaux d’enregistrement de noms de domaine, fournisseurs de services d’informatique en nuage, de centres de données, de réseaux de diffusion de contenu, les fournisseurs de services gérés et de services de sécurité gérés, ainsi que les places de marché en ligne, moteurs de recherche et plateformes de réseaux sociaux. L’article 27 imposait aux États membres d’exiger de ces entités qu’elles transmettent leurs informations dès le 17 janvier 2025, en vue d’un registre européen tenu par l’ENISA — échéance que la France n’a pas mise en œuvre, faute de transposition. Si vous êtes dans l’une de ces catégories, votre horizon n’est pas celui du droit commun.
Où en est la France en juillet 2026
Le retard français est désormais un contentieux. Rappel du parcours :
| Date | Étape |
|---|---|
| 17 octobre 2024 | Date limite de transposition fixée par la directive — non tenue |
| 15 octobre 2024 | Présentation du projet de loi Résilience en Conseil des ministres |
| 12 mars 2025 | Adoption par le Sénat en première lecture |
| 10 septembre 2025 | Adoption à l’unanimité en commission spéciale à l’Assemblée nationale |
| 24 novembre 2025 | Ouverture du pré-enregistrement par l’ANSSI |
| Mars 2026 | Publication du référentiel ReCyF en version de travail |
| 8 juillet 2026 | Saisine de la CJUE par la Commission contre la France |
| Juillet 2026 | Absence du texte à l’ordre du jour de la session extraordinaire |
La France a fait le choix d’un véhicule législatif large — le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité — qui traite d’un seul tenant trois volets : la directive REC, la directive NIS2 et la directive (UE) 2022/2556 accompagnant le règlement DORA. Ce choix a un mérite de cohérence et un défaut redoutable : chaque point de blocage sur l’un des volets retarde les deux autres. Concrètement, l’article 16 bis introduit par le Sénat, qui interdit d’imposer des portes dérobées aux fournisseurs de services de chiffrement, cristallise une opposition avec les services de renseignement. Le texte n’ayant pas été inscrit à l’ordre du jour de la session extraordinaire de juillet 2026, son examen en séance publique est renvoyé à la rentrée.
Ne nous y méprenons pas : tant que la loi n’est pas promulguée et que les textes réglementaires ne sont pas publiés, il n’existe pas d’obligation d’enregistrement opposable en droit français. L’ANSSI le dit elle-même : le pré-enregistrement intervient « dans l’attente de l’entrée en vigueur de l’obligation d’enregistrement qui interviendra avec la publication des textes réglementaires ». Nous sommes dans une phase volontaire.
Ce qui ne signifie pas que rien ne se passe. Ayant passé six ans au sein des services du Premier ministre, à la DCSSI — l’ancêtre de l’ANSSI —, je peux vous dire que ce genre de fenêtre volontaire n’est jamais neutre. C’est le moment où l’administration construit sa cartographie, calibre ses moyens de contrôle et repère les entités qui ont anticipé. Vous n’y êtes pas obligé. Vous avez tout intérêt à y être.
Pourquoi se pré-enregistrer maintenant
L’ANSSI avance trois arguments, et l’on peut en ajouter deux.
1. Un enregistrement facilité le jour J. Les données saisies aujourd’hui seront reprises lorsque la phase obligatoire s’ouvrira. Vous ne recommencerez pas.
2. L’accès aux services d’accompagnement. Le pré-enregistrement ouvre l’accès à des informations et à des services de sécurisation adaptés à votre profil, via MesServicesCyber.
3. La première brique de la conformité. L’agence présente elle-même le pré-enregistrement comme « la première brique de l’entrée en vigueur de NIS 2 ».
4. La démonstration de bonne foi. C’est l’argument que je trouve le plus solide et qu’on lit rarement. Les articles 34(3) et 32(7) de NIS2 imposent aux autorités, pour décider d’une amende et en fixer le montant, de tenir compte au minimum du degré de coopération de l’entité et des mesures prises pour prévenir ou atténuer les manquements. Une entité pré-enregistrée dès la phase volontaire, qui a engagé son auto-évaluation, ne se présente pas devant un contrôleur ANSSI dans la même position qu’une entité découverte par recoupement. Le raisonnement est le même que celui que la CNIL applique en matière de sanctions RGPD : l’antériorité de la démarche pèse.
5. La fin de l’excuse du calendrier. Le principal risque de la période actuelle est l’attentisme : « on verra quand la loi sortira ». Or l’ANSSI a annoncé un délai de mise en conformité de l’ordre de trois ans après publication des exigences, ce qui suppose de commencer, pas d’attendre. Le pré-enregistrement est l’acte qui matérialise le lancement du chantier en interne — et, accessoirement, celui qui vous permet d’obtenir un arbitrage budgétaire.
La procédure, étape par étape
Le service est accessible depuis l’espace ANSSI dédié (club.ssi.gouv.fr/#/nis2/introduction), relayé par le portail MonEspaceNIS2 (monespacenis2.cyber.gouv.fr). Le parcours est guidé et comporte des saisies automatiques. Comptez 5 à 10 minutes une fois vos informations réunies — l’essentiel du travail est en amont.
Étape 1 — Qualifier l’entité (le vrai travail)
Ne remplissez rien avant d’avoir tranché deux questions :
- Êtes-vous dans le champ ? Croisez l’appartenance à l’un des 18 secteurs des annexes I et II avec les seuils de taille (règle générale : au moins 50 salariés ou plus de 10 M€ de chiffre d’affaires / bilan). Attention aux exceptions par le bas : certaines entités sont concernées quelle que soit leur taille.
- Essentielle ou importante ? La distinction commande le régime de supervision et le plafond de sanction. Notre guide sur les entités essentielles vs entités importantes détaille la méthode de qualification.
Cette qualification doit être écrite et datée, y compris — surtout — si vous concluez que vous n’êtes pas assujetti. Un mémo de deux pages signé par la direction, versé au dossier, vaut mieux qu’une conviction orale.
Étape 2 — Réunir les informations à déclarer
Préparez, en cohérence avec l’article 3(4) :
- raison sociale, SIREN, forme juridique, adresse du siège ;
- secteur et sous-secteur de l’annexe I ou II revendiqués ;
- coordonnées du point de contact incidents — et ici, une adresse fonctionnelle (
securite@…), jamais l’adresse nominative d’un salarié qui partira ; - plages d’adresses IP publiques et noms de domaine exposés ;
- États membres de l’UE où vous fournissez des services dans le champ de la directive ;
- identité du représentant légal ou de la personne habilitée à engager l’entité.
Le point de contact est le champ le plus souvent bâclé et le plus lourd de conséquences : c’est par lui que passera l’alerte lorsque l’ANSSI aura une information à vous transmettre en urgence.
Étape 3 — Renseigner le formulaire
Le parcours guidé enchaîne un simulateur d’éligibilité puis le formulaire de pré-enregistrement. Deux réserves de terrain à connaître :
- le simulateur a présenté des difficultés pour les collectivités territoriales, dont le traitement a été différé — si vous êtes une mairie ou un EPCI, voyez nos obligations NIS2 des collectivités et n’en tirez pas la conclusion que vous êtes hors champ ;
- le pré-enregistrement ne vaut pas décision de qualification par l’ANSSI. Vous déclarez, l’autorité appréciera.
Étape 4 — Enchaîner sur l’auto-évaluation ReCyF
Le pré-enregistrement sans la suite est une coquille vide. L’ANSSI a publié en mars 2026 le Référentiel Cyber France (ReCyF), en version document de travail, qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2, avec un principe de proportionnalité — le niveau d’effort attendu est adapté à la maturité de l’entité et à ses moyens. Un comparateur permet de mettre ces exigences en regard de l’ISO 2700x et de l’annexe au règlement d’exécution (UE) 2024/2690.
Attention à la portée : le ReCyF est par défaut non contraignant. Sa vertu est ailleurs : l’entité qui décide de l’appliquer pourra s’en prévaloir en cas de contrôle ANSSI. C’est exactement la logique de l’état de l’art que la CNIL applique à l’article 32 du RGPD — s’en écarter n’est pas interdit, mais il faudra le justifier.
Étape 5 — Maintenir à jour
Rappel de l’article 3(4) : toute modification des informations déclarées doit être notifiée dans un délai maximal de deux semaines (trois mois pour les entités relevant de l’article 27, en vertu de l’article 27(3)). Changement de point de contact, de plage IP, ouverture d’un service dans un autre État membre : inscrivez cette maintenance dans un processus, sans quoi votre déclaration sera périmée avant même de devenir obligatoire.
Faut-il attendre la loi ? Le contre-argument, et pourquoi il ne tient pas
L’objection existe et mérite d’être prise au sérieux : se déclarer volontairement, c’est se signaler à une autorité de contrôle, s’exposer plus tôt, et peut-être se qualifier soi-même dans une catégorie que l’ANSSI n’aurait pas retenue. Certains conseils recommandent d’attendre les textes réglementaires pour ne pas s’auto-désigner.
Trois raisons pour lesquelles je ne partage pas cette lecture.
D’abord, l’assujettissement à NIS2 ne dépend pas de votre déclaration. Il résulte de critères objectifs — secteur et taille. Ne pas se déclarer ne vous fait pas sortir du champ ; cela vous fait seulement découvrir plus tard, et dans de moins bonnes conditions.
Ensuite, la charge de fond est identique quel que soit le calendrier. Les mesures de gestion des risques de l’article 21 sont connues depuis décembre 2022. La loi de transposition ne les réécrira pas ; elle en fixera les modalités. Attendre ne réduit pas le travail, cela le comprime.
Enfin, le risque asymétrique est du côté de l’attentisme. Le coût d’un pré-enregistrement erroné est faible et corrigeable. Le coût d’un manquement aux articles 21 ou 23, lui, se mesure en plafonds de 10 M€ ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, le montant le plus élevé étant retenu — voyez le détail dans notre analyse des pénalités NIS2.
La seule situation où la prudence se justifie est celle du cas limite : entité à la frontière d’un seuil, ou activité dont le rattachement sectoriel est réellement discutable. Là, faites qualifier la situation avant de déclarer.
Ce qu’il faut retenir
- L’enregistrement est une obligation de la directive, pas une formalité française : l’article 3(4) impose de déclarer nom, coordonnées, plages IP, secteur et États membres desservis, et de notifier tout changement sous deux semaines.
- En France, l’obligation n’est pas encore opposable : elle naîtra avec la promulgation de la loi Résilience et la publication des textes réglementaires. L’examen à l’Assemblée est renvoyé à la rentrée 2026, et la Commission a saisi la CJUE le 8 juillet 2026.
- Le pré-enregistrement est ouvert depuis le 24 novembre 2025 sur MonEspaceNIS2. Il est volontaire, prend 5 à 10 minutes, et facilitera l’enregistrement obligatoire.
- Le vrai travail est en amont : qualifier l’entité (essentielle / importante), documenter cette qualification par écrit, et fiabiliser le point de contact incidents.
- Enchaînez sur le ReCyF. Non contraignant par défaut, mais vous pourrez vous en prévaloir en cas de contrôle. Les entités déjà certifiées ISO 27001 peuvent utiliser le comparateur pour identifier les écarts.
- Les fournisseurs de services numériques de l’article 27 (cloud, DNS, bureaux d’enregistrement, MSP, MSSP, places de marché, moteurs de recherche, réseaux sociaux) relèvent d’un régime distinct, avec une échéance fixée au 17 janvier 2025 et un délai de mise à jour de trois mois.
Suivez le calendrier NIS2 sans y passer vos journées. Promulgation de la loi Résilience, décrets ANSSI, versions successives du ReCyF : les échéances bougent tous les mois. Recevez nos analyses de conformité chaque semaine — décryptage juridique, pas de bruit.
FAQ
L’enregistrement NIS2 est-il obligatoire en France aujourd’hui ?
Non. À la date de publication, la loi Résilience n’est pas promulguée et les textes réglementaires ne sont pas publiés : l’obligation d’enregistrement n’est donc pas encore opposable en droit français. L’ANSSI propose un pré-enregistrement volontaire depuis le 24 novembre 2025, qui permettra un enregistrement facilité lorsque la phase obligatoire s’ouvrira.
Se pré-enregistrer vaut-il reconnaissance du statut d’entité essentielle ?
Non. Le pré-enregistrement est une déclaration de l’entité, pas une décision de l’autorité. C’est l’ANSSI qui appréciera votre qualification au regard des critères sectoriels et de taille de la directive. Il reste recommandé de documenter par écrit votre propre analyse de qualification, y compris lorsque vous concluez à l’absence d’assujettissement.
Que se passe-t-il si mes informations déclarées changent ?
L’article 3(4) de NIS2 impose de notifier toute modification des informations transmises sans retard, et en tout état de cause dans un délai de deux semaines — le délai est de trois mois pour les entités relevant de l’article 27. En pratique, cela suppose d’intégrer cette mise à jour dans un processus interne — changement de point de contact, évolution des plages d’adresses IP, ouverture d’un service dans un nouvel État membre.
Le pré-enregistrement suffit-il à être conforme à NIS2 ?
Non, loin de là. Il ne couvre que l’obligation déclarative. Les mesures de gestion des risques de l’article 21 et le dispositif de notification d’incidents en 24h / 72h / 1 mois restent à mettre en œuvre : voyez notre checklist des 10 mesures de sécurité NIS2 et notre guide sur la notification d’une cyberattaque.