Le 17 octobre 2024, la directive européenne NIS 2 (UE 2022/2555) est devenue d'application obligatoire dans l'ensemble des États membres. En France, la loi n° 2024-364 du 22 avril 2024, dite « loi REIA » (résilience des entités critiques et cyber-résilience), en assure la transposition.

Le périmètre est radicalement étendu par rapport à NIS 1 : 18 secteurs critiques, des dizaines de milliers d'entités françaises concernées contre quelques centaines auparavant, et — fait nouveau — l'inclusion massive de la fabrication industrielle, de l'agroalimentaire, des produits chimiques et des fournisseurs de services numériques.

Pour les industriels, le choc culturel est double. D'une part, beaucoup d'entreprises se découvrent directement assujetties à des obligations de cybersécurité encadrées par l'ANSSI. D'autre part, celles qui ne sont pas assujetties doivent souvent l'être indirectement via leurs donneurs d'ordre — qui exigent contractuellement la conformité de leur chaîne d'approvisionnement.

Les obligations sont concrètes : analyse des risques, gouvernance dédiée, plan de continuité, signalement d'incidents en 24 heures, formation des dirigeants, sécurisation de la chaîne logicielle. Et les sanctions sont à la mesure : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, plus la responsabilité personnelle des dirigeants.

Décryptage du périmètre, des obligations, des spécificités sous-traitance industrielle, des sanctions et des cinq leviers prioritaires pour 2026 — pour les directions générales, RSSI, services achats et juridiques des sites industriels.

1. NIS 2 et industrie : pourquoi ce texte change la donne

La directive NIS 2 (Network and Information Security 2), adoptée par le Parlement européen le 14 décembre 2022 sous le numéro (UE) 2022/2555, remplace la directive NIS 1 de 2016 jugée insuffisante face à l'ampleur des menaces cyber actuelles. Elle impose un cadre commun de cybersécurité à l'échelle de l'Union européenne.

En France, la transposition s'effectue par la loi n° 2024-364 du 22 avril 2024 et plusieurs décrets d'application. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) reste l'autorité nationale compétente, chargée du contrôle, de l'accompagnement et de la sanction le cas échéant.

Trois ruptures majeures par rapport à NIS 1

Périmètre élargi

18 secteurs critiques contre 7 dans NIS 1. Inclusion explicite de la fabrication industrielle, de l'agroalimentaire, des produits chimiques, des fournisseurs cloud et de services managés.

Chaîne d'approvisionnement

Pour la première fois, la directive impose explicitement de sécuriser la supply chain numérique. Les obligations cascadent vers les sous-traitants et fournisseurs.

Responsabilité dirigeants

Les dirigeants peuvent être sanctionnés personnellement. Obligation de formation à la cybersécurité et de validation explicite des analyses de risques.

Le contexte de menaces qui justifie la directive

Les rapports successifs de l'ANSSI et de l'ENISA documentent une augmentation continue des incidents cyber visant l'industrie : rançongiciels sur les chaînes de production, attaques ICS/OT sur les automates et SCADA, compromission de la supply chain via des fournisseurs logiciels, exfiltration de données sensibles (R&D, brevets, données clients).

Dans certains cas documentés, ces attaques ont entraîné l'arrêt total d'usines pendant plusieurs semaines, avec impact direct sur la chaîne d'approvisionnement de secteurs essentiels. C'est précisément cette interconnexion industrie-services-énergie-santé qui a motivé l'élargissement du périmètre NIS 2.

Pour les industriels, NIS 2 ne doit donc pas être vue comme une obligation administrative ponctuelle, mais comme un cadre structurant durable qui s'imposera à l'ensemble de leurs activités — directement ou via les exigences contractuelles de leurs donneurs d'ordre.

Sources : Directive (UE) 2022/2555 du 14 décembre 2022 ; Loi n° 2024-364 du 22 avril 2024 ; ANSSI, guide d'accompagnement NIS 2 ; ENISA, rapports annuels Threat Landscape ; Commission européenne, communications sur la cyber-résilience.

2. Le périmètre : qui est concerné et à quel titre

NIS 2 introduit une distinction binaire entre deux statuts d'entités, déterminés par le secteur d'activité et la taille de l'entreprise. Cette qualification conditionne l'intensité des obligations applicables et le niveau des sanctions encourues.

Identifier précisément son statut est la première étape de toute démarche de mise en conformité. Une mauvaise qualification — par défaut ou par excès — peut entraîner soit une non-conformité juridique, soit des coûts de mise à niveau disproportionnés.

Les deux statuts d'entités

Entités essentielles (EE)

Secteurs hautement critiques : énergie, transports, banque, infrastructures de marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, administration publique, espace.

+ entités atteignant les seuils des grandes entreprises (≥ 250 salariés ou ≥ 50 M€ CA et ≥ 43 M€ bilan).

Entités importantes (EI)

Autres secteurs critiques : services postaux, gestion des déchets, fabrication, produits chimiques, agroalimentaire, fournisseurs numériques, recherche.

+ entités de taille moyenne (≥ 50 salariés ou ≥ 10 M€ CA et ≥ 10 M€ bilan).

Les 18 secteurs concernés

Catégorie Secteurs (annexes I et II de la directive)
Hautement critiques (EE) Énergie ; transports ; banque ; infrastructures financières ; santé ; eau potable ; eaux usées ; infrastructures numériques ; gestion services TIC ; administration publique ; espace
Critiques (EI possibles) Services postaux et messagerie ; gestion des déchets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution de denrées alimentaires ; fabrication ; fournisseurs numériques ; recherche

Le cas spécifique de l'industrie

Pour les industriels, le secteur « fabrication » de l'annexe II est particulièrement large. Il couvre notamment :

  • Fabrication de dispositifs médicaux et dispositifs médicaux de diagnostic in vitro.
  • Fabrication d'ordinateurs, produits électroniques, optiques.
  • Fabrication d'équipements électriques.
  • Fabrication de machines et équipements n.c.a. (non classés ailleurs).
  • Fabrication de véhicules à moteur, remorques et semi-remorques.
  • Fabrication d'autres matériels de transport (aéronefs, navires, ferroviaire).

L'auto-identification est de la responsabilité de l'entreprise. L'ANSSI ne notifie pas individuellement les assujettis : à chaque entreprise de vérifier si elle franchit les seuils sectoriels et de taille, et de s'enregistrer auprès de l'autorité compétente le cas échéant.

Sources : Directive (UE) 2022/2555 — Annexes I et II ; Loi n° 2024-364 du 22 avril 2024 ; ANSSI, portail NIS 2 et auto-évaluation ; recommandation Commission européenne 2003/361/CE (définition PME).

3. Les obligations concrètes pour les entités assujetties

Une entité assujettie à NIS 2 doit satisfaire deux familles d'obligations : la gestion des risques cybersécurité (organisation, processus, mesures techniques) et le signalement des incidents selon des délais stricts.

Ces obligations sont précisées par la directive (article 21 pour la gestion des risques, article 23 pour le signalement) et par les décrets d'application français. L'ANSSI publie des guides détaillés pour leur mise en œuvre opérationnelle.

Les 10 mesures de gestion des risques (Art. 21)

L'article 21 de la directive énumère dix domaines dans lesquels chaque entité doit prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées :

Analyse des risques

Politique d'analyse des risques et de sécurité des systèmes d'information, formellement adoptée par la direction.

Gestion des incidents

Procédures de détection, de réponse, de remédiation. Cellule de crise pré-définie. Tests réguliers.

Continuité d'activité

Plan de continuité (PCA), reprise après sinistre (PRA), sauvegardes testées, gestion des crises.

Chaîne d'approvisionnement

Sécurité de la supply chain numérique, évaluation des fournisseurs, clauses contractuelles cyber.

Acquisition et maintenance

Sécurité dans l'acquisition, le développement, la maintenance des systèmes (security by design, gestion des vulnérabilités).

Évaluation d'efficacité

Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques.

Hygiène et formation

Pratiques de base d'hygiène cyber et formation à la cybersécurité pour tous les salariés.

Cryptographie

Politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement.

Contrôle d'accès et RH

Sécurité du personnel, politiques de contrôle d'accès, gestion des actifs informatiques.

MFA et communication

Authentification multifacteur (MFA), communications sécurisées (voix, vidéo, texte), communications d'urgence.

Les délais stricts de signalement d'incident (Art. 23)

En cas d'incident de sécurité important au sens de la directive, l'entité doit notifier l'autorité compétente (ANSSI en France) selon une séquence en trois temps non négociable :

Séquence de signalement NIS 2

Délais maximaux après constatation de l'incident

Délais fixés par l'article 23 de la directive (UE) 2022/2555.

Trois étapes obligatoires

La séquence est cumulative — chaque étape s'ajoute à la précédente, sans la remplacer.

  • 24 heures : alerte précoce — première notification décrivant l'incident.
  • 72 heures : notification d'incident — analyse initiale, gravité, impact.
  • 1 mois : rapport final — analyse complète, mesures prises, leçons.
  • Possibles rapports intermédiaires sur demande.

Cette contrainte temporelle est précisément ce qui distingue NIS 2 des obligations cyber antérieures : elle force la mise en place d'une organisation de crise opérationnelle, pas seulement de mesures techniques.

Sources : Directive (UE) 2022/2555 (articles 20, 21, 23) ; Loi n° 2024-364 du 22 avril 2024 ; ANSSI, guide de mise en conformité NIS 2 ; norme ISO/IEC 27001:2022.

4. La chaîne d'approvisionnement : le sujet sensible des sous-traitants

L'une des innovations majeures de NIS 2 par rapport à NIS 1 est l'inclusion explicite de la sécurité de la chaîne d'approvisionnement dans les obligations des entités assujetties. C'est précisément le mécanisme qui étend l'effet de la directive bien au-delà des entreprises directement concernées.

Pour les industriels, ce volet pose un défi opérationnel concret : comment évaluer, contractualiser et contrôler la cybersécurité de centaines, voire de milliers de fournisseurs et sous-traitants ?

L'obligation de l'article 21.2.d

L'article 21.2.d de la directive impose explicitement aux entités assujetties la mise en place de mesures de « sécurité de la chaîne d'approvisionnement, y compris les aspects relatifs à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ».

En pratique, cela impose au donneur d'ordre assujetti à NIS 2 de cascader contractuellement ses obligations vers ses fournisseurs critiques. Un sous-traitant qui n'est pas lui-même assujetti à NIS 2 peut donc se retrouver soumis aux mêmes exigences via les contrats commerciaux signés avec ses clients.

Les types de sous-traitants concernés en industrie

Prestataires IT / Cloud

Hébergeurs, fournisseurs SaaS, sociétés d'infogérance, prestataires MSP. Souvent au cœur du SI industriel.

Fournisseurs OT / SCADA

Constructeurs d'automates, intégrateurs SCADA, fournisseurs de logiciels MES, télémaintenance industrielle.

Maintenance industrielle

Sous-traitants de maintenance avec accès au SI ou aux automates, télémaintenance via VPN, USB de diagnostic.

Bureaux d'études et IT

Bureaux d'études partageant des données R&D, prestataires de développement logiciel, freelances IT.

Logistique et supply

Prestataires logistiques avec accès aux WMS, EDI fournisseurs, plates-formes d'achats électroniques.

Sous-traitants chantier

Intervenants extérieurs avec connexions au réseau industriel local, badges, accès Wi-Fi techniques.

Les exigences contractuelles à intégrer

Les contrats avec ces fournisseurs doivent désormais inclure des clauses spécifiques de cybersécurité, dont les principales :

  • Engagement de conformité : respect des mesures de l'article 21 NIS 2 ou de référentiels équivalents (ISO 27001, SecNumCloud).
  • Notification d'incident : obligation pour le sous-traitant de signaler tout incident affectant le donneur d'ordre dans des délais permettant à ce dernier de respecter ses propres obligations NIS 2.
  • Droit d'audit : possibilité pour le donneur d'ordre de vérifier les mesures cyber du fournisseur (audit direct ou par tiers).
  • Sécurité des accès : MFA imposée pour tout accès distant au SI du donneur d'ordre, limitation des privilèges, traçabilité des connexions.
  • Sortie sécurisée : obligations en fin de contrat (restitution des données, suppression, attestation de destruction).

Pour les services achats, cette extension implique une révision systématique des contrats fournisseurs, l'ajout d'annexes cyber-sécurité standardisées, et la mise en place de processus d'évaluation et d'audit fournisseurs. Une mission souvent sous-estimée dans les premiers mois de mise en conformité.

Sources : Directive (UE) 2022/2555 (Art. 21.2.d) ; ANSSI, guide « Cybersécurité de la chaîne d'approvisionnement » ; ENISA, Threat Landscape for Supply Chain Attacks ; norme ISO/IEC 27036 (sécurité des relations fournisseurs).

5. Sanctions et responsabilité personnelle des dirigeants

Les sanctions prévues par NIS 2 sont parmi les plus dissuasives du droit européen de la cybersécurité. Elles combinent amendes administratives lourdes, pouvoirs de contrainte étendus de l'autorité nationale, et — fait nouveau — responsabilité personnelle des dirigeants.

L'objectif du législateur européen est explicite : faire de la cybersécurité une obligation de premier rang au niveau des organes de direction, comparable aux obligations de gestion des risques financiers ou de protection des données personnelles.

Les sanctions administratives maximales

Catégorie d'entité Amende max (montant fixe) Amende max (% CA mondial)
Entité essentielle (EE) 10 millions d'euros 2 % du CA mondial annuel total
Entité importante (EI) 7 millions d'euros 1,4 % du CA mondial annuel total

L'amende effectivement prononcée correspond au plus élevé des deux montants applicables. Pour un grand groupe industriel international, le montant pourcentage du CA peut donc largement dépasser le plafond fixe.

Les pouvoirs de contrainte de l'ANSSI

Au-delà des amendes, l'ANSSI dispose de plusieurs leviers pour faire respecter la directive :

  • Injonctions : ordre de mettre en œuvre des mesures spécifiques dans un délai imparti.
  • Audits sur place : inspection des locaux et des systèmes d'information.
  • Astreintes journalières : pour faire cesser une situation de non-conformité.
  • Suspension temporaire de la certification ou de l'autorisation d'exercer (pour les EE).
  • Publication de la décision de sanction (effet « name and shame »).

La responsabilité personnelle des dirigeants

L'article 20 de la directive est sans précédent : il impose aux organes de direction des entités assujetties d'approuver explicitement les mesures de gestion des risques cyber et de superviser leur mise en œuvre.

Les dirigeants doivent eux-mêmes suivre une formation à la cybersécurité et veiller à ce que leur personnel soit formé. Le non-respect peut entraîner des sanctions personnelles, dont une interdiction temporaire d'exercer des fonctions de direction au sein d'entités essentielles.

Pour les directions générales, la mise en conformité NIS 2 ne peut donc plus être déléguée intégralement à la DSI ou au RSSI. Elle exige une implication directe du conseil d'administration, avec un suivi régulier et tracé des indicateurs cyber.

Sources : Directive (UE) 2022/2555 (articles 20, 32, 34, 36) ; Loi n° 2024-364 du 22 avril 2024 ; ANSSI, instructions techniques et sanctions ; comparaison avec le RGPD — règlement (UE) 2016/679.

6. 5 leviers prioritaires pour la conformité 2026

Pour les industriels qui découvrent leur assujettissement à NIS 2, ou qui anticipent les exigences cascadées par leurs donneurs d'ordre, la mise en conformité ne se construit pas en quelques semaines. Cinq leviers prioritaires permettent de structurer la trajectoire 2026.

Ces leviers ne demandent pas tous des investissements lourds : la majorité de l'effort initial relève de l'organisation et de la gouvernance, non de la technologie.

Simulateur : votre situation NIS 2

Sélectionnez votre cas :

Choisissez un cas pour voir l'analyse.

Analyse


Action recommandée

Fondement

Les 5 leviers décisifs

1

Auto-évaluation et déclaration

Vérifier si l'entreprise est EE ou EI selon les seuils sectoriels et de taille. S'enregistrer auprès de l'ANSSI dans les délais réglementaires.

2

Cellule de crise opérationnelle 24/7

Astreinte cyber, procédures d'alerte testées, capacité à produire la notification ANSSI en moins de 24h. Sans cette organisation, l'obligation est inatteignable.

3

Révision des contrats fournisseurs

Annexes cyber standardisées, clauses de notification d'incident, droit d'audit. Cartographie des fournisseurs critiques.

4

Formation des dirigeants et salariés

Formation cyber obligatoire au niveau direction (Art. 20). Programme de sensibilisation pour tous les salariés. Traçabilité des participations.

5

Articulation ISO 27001 / NIS 2

Adopter ou renforcer un SMSI ISO 27001. La norme couvre l'essentiel des dix mesures de l'article 21 et structure une démarche d'amélioration continue.

L'esprit général

NIS 2 n'est pas un projet IT. C'est un projet de gouvernance d'entreprise qui exige l'implication directe du conseil d'administration et la traçabilité de chaque décision cyber.

Conclusion : la cybersécurité industrielle entre dans une nouvelle ère

NIS 2 marque un tournant culturel pour l'industrie française. La cybersécurité n'est plus un sujet technique de DSI, mais une obligation de gouvernance générale, opposable aux dirigeants, traçable dans le reporting financier, et cascadée à l'ensemble de la chaîne d'approvisionnement. Pour les sites industriels qui s'étaient peu intéressés au sujet, le réveil est brutal — mais inévitable.

Pour les directions générales, l'enseignement principal est sans équivoque : la conformité NIS 2 ne peut pas être traitée comme un projet ponctuel. Elle exige une structuration durable de l'organisation cyber, articulée avec les obligations connexes (RGPD, DORA pour les services financiers, CRA pour les produits connectés, ISO 27001). Les industriels qui s'organisent dès 2026 transforment une obligation réglementaire en avantage compétitif — meilleure attractivité auprès des donneurs d'ordre, accès facilité aux marchés publics, primes d'assurance cyber maîtrisées. Ceux qui attendent paieront le prix fort, financièrement et réputationnellement, à la première mise en conformité tardive ou au premier incident grave.

Sources & Références :

  • • Directive (UE) 2022/2555 du 14 décembre 2022 (NIS 2)
  • • Loi n° 2024-364 du 22 avril 2024 (transposition NIS 2 et résilience)
  • • Recommandation Commission européenne 2003/361/CE (définition PME)
  • • Règlement (UE) 2016/679 (RGPD) — modèle de sanctions
  • • Règlement (UE) 2022/2554 (DORA — résilience financière)
  • • Règlement (UE) 2024/2847 (Cyber Resilience Act)
  • • Règlement (UE) 2019/881 (Cybersécurité ENISA)
  • • ANSSI — guides NIS 2, instructions techniques, référentiel SecNumCloud
  • • ENISA — Threat Landscape annuels et guides sectoriels
  • • Norme ISO/IEC 27001:2022 (SMSI) et 27002:2022
  • • Norme ISO/IEC 27036 (sécurité des relations fournisseurs)