Le 17 octobre 2024, la directive européenne NIS 2 (UE 2022/2555) est devenue d'application obligatoire dans l'ensemble des États membres. En France, la loi n° 2024-364 du 22 avril 2024, dite « loi REIA » (résilience des entités critiques et cyber-résilience), en assure la transposition.
Le périmètre est radicalement étendu par rapport à NIS 1 : 18 secteurs critiques, des dizaines de milliers d'entités françaises concernées contre quelques centaines auparavant, et — fait nouveau — l'inclusion massive de la fabrication industrielle, de l'agroalimentaire, des produits chimiques et des fournisseurs de services numériques.
Pour les industriels, le choc culturel est double. D'une part, beaucoup d'entreprises se découvrent directement assujetties à des obligations de cybersécurité encadrées par l'ANSSI. D'autre part, celles qui ne sont pas assujetties doivent souvent l'être indirectement via leurs donneurs d'ordre — qui exigent contractuellement la conformité de leur chaîne d'approvisionnement.
Les obligations sont concrètes : analyse des risques, gouvernance dédiée, plan de continuité, signalement d'incidents en 24 heures, formation des dirigeants, sécurisation de la chaîne logicielle. Et les sanctions sont à la mesure : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, plus la responsabilité personnelle des dirigeants.
Décryptage du périmètre, des obligations, des spécificités sous-traitance industrielle, des sanctions et des cinq leviers prioritaires pour 2026 — pour les directions générales, RSSI, services achats et juridiques des sites industriels.
1. NIS 2 et industrie : pourquoi ce texte change la donne
La directive NIS 2 (Network and Information Security 2), adoptée par le Parlement européen le 14 décembre 2022 sous le numéro (UE) 2022/2555, remplace la directive NIS 1 de 2016 jugée insuffisante face à l'ampleur des menaces cyber actuelles. Elle impose un cadre commun de cybersécurité à l'échelle de l'Union européenne.
En France, la transposition s'effectue par la loi n° 2024-364 du 22 avril 2024 et plusieurs décrets d'application. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) reste l'autorité nationale compétente, chargée du contrôle, de l'accompagnement et de la sanction le cas échéant.
Trois ruptures majeures par rapport à NIS 1
Périmètre élargi
18 secteurs critiques contre 7 dans NIS 1. Inclusion explicite de la fabrication industrielle, de l'agroalimentaire, des produits chimiques, des fournisseurs cloud et de services managés.
Chaîne d'approvisionnement
Pour la première fois, la directive impose explicitement de sécuriser la supply chain numérique. Les obligations cascadent vers les sous-traitants et fournisseurs.
Responsabilité dirigeants
Les dirigeants peuvent être sanctionnés personnellement. Obligation de formation à la cybersécurité et de validation explicite des analyses de risques.
Le contexte de menaces qui justifie la directive
Les rapports successifs de l'ANSSI et de l'ENISA documentent une augmentation continue des incidents cyber visant l'industrie : rançongiciels sur les chaînes de production, attaques ICS/OT sur les automates et SCADA, compromission de la supply chain via des fournisseurs logiciels, exfiltration de données sensibles (R&D, brevets, données clients).
Dans certains cas documentés, ces attaques ont entraîné l'arrêt total d'usines pendant plusieurs semaines, avec impact direct sur la chaîne d'approvisionnement de secteurs essentiels. C'est précisément cette interconnexion industrie-services-énergie-santé qui a motivé l'élargissement du périmètre NIS 2.
Pour les industriels, NIS 2 ne doit donc pas être vue comme une obligation administrative ponctuelle, mais comme un cadre structurant durable qui s'imposera à l'ensemble de leurs activités — directement ou via les exigences contractuelles de leurs donneurs d'ordre.
2. Le périmètre : qui est concerné et à quel titre
NIS 2 introduit une distinction binaire entre deux statuts d'entités, déterminés par le secteur d'activité et la taille de l'entreprise. Cette qualification conditionne l'intensité des obligations applicables et le niveau des sanctions encourues.
Identifier précisément son statut est la première étape de toute démarche de mise en conformité. Une mauvaise qualification — par défaut ou par excès — peut entraîner soit une non-conformité juridique, soit des coûts de mise à niveau disproportionnés.
Les deux statuts d'entités
Entités essentielles (EE)
Secteurs hautement critiques : énergie, transports, banque, infrastructures de marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, administration publique, espace.
+ entités atteignant les seuils des grandes entreprises (≥ 250 salariés ou ≥ 50 M€ CA et ≥ 43 M€ bilan).
Entités importantes (EI)
Autres secteurs critiques : services postaux, gestion des déchets, fabrication, produits chimiques, agroalimentaire, fournisseurs numériques, recherche.
+ entités de taille moyenne (≥ 50 salariés ou ≥ 10 M€ CA et ≥ 10 M€ bilan).
Les 18 secteurs concernés
| Catégorie | Secteurs (annexes I et II de la directive) |
|---|---|
| Hautement critiques (EE) | Énergie ; transports ; banque ; infrastructures financières ; santé ; eau potable ; eaux usées ; infrastructures numériques ; gestion services TIC ; administration publique ; espace |
| Critiques (EI possibles) | Services postaux et messagerie ; gestion des déchets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution de denrées alimentaires ; fabrication ; fournisseurs numériques ; recherche |
Le cas spécifique de l'industrie
Pour les industriels, le secteur « fabrication » de l'annexe II est particulièrement large. Il couvre notamment :
- Fabrication de dispositifs médicaux et dispositifs médicaux de diagnostic in vitro.
- Fabrication d'ordinateurs, produits électroniques, optiques.
- Fabrication d'équipements électriques.
- Fabrication de machines et équipements n.c.a. (non classés ailleurs).
- Fabrication de véhicules à moteur, remorques et semi-remorques.
- Fabrication d'autres matériels de transport (aéronefs, navires, ferroviaire).
L'auto-identification est de la responsabilité de l'entreprise. L'ANSSI ne notifie pas individuellement les assujettis : à chaque entreprise de vérifier si elle franchit les seuils sectoriels et de taille, et de s'enregistrer auprès de l'autorité compétente le cas échéant.
3. Les obligations concrètes pour les entités assujetties
Une entité assujettie à NIS 2 doit satisfaire deux familles d'obligations : la gestion des risques cybersécurité (organisation, processus, mesures techniques) et le signalement des incidents selon des délais stricts.
Ces obligations sont précisées par la directive (article 21 pour la gestion des risques, article 23 pour le signalement) et par les décrets d'application français. L'ANSSI publie des guides détaillés pour leur mise en œuvre opérationnelle.
Les 10 mesures de gestion des risques (Art. 21)
L'article 21 de la directive énumère dix domaines dans lesquels chaque entité doit prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées :
Analyse des risques
Politique d'analyse des risques et de sécurité des systèmes d'information, formellement adoptée par la direction.
Gestion des incidents
Procédures de détection, de réponse, de remédiation. Cellule de crise pré-définie. Tests réguliers.
Continuité d'activité
Plan de continuité (PCA), reprise après sinistre (PRA), sauvegardes testées, gestion des crises.
Chaîne d'approvisionnement
Sécurité de la supply chain numérique, évaluation des fournisseurs, clauses contractuelles cyber.
Acquisition et maintenance
Sécurité dans l'acquisition, le développement, la maintenance des systèmes (security by design, gestion des vulnérabilités).
Évaluation d'efficacité
Politiques et procédures pour évaluer l'efficacité des mesures de gestion des risques.
Hygiène et formation
Pratiques de base d'hygiène cyber et formation à la cybersécurité pour tous les salariés.
Cryptographie
Politiques et procédures relatives à l'utilisation de la cryptographie et du chiffrement.
Contrôle d'accès et RH
Sécurité du personnel, politiques de contrôle d'accès, gestion des actifs informatiques.
MFA et communication
Authentification multifacteur (MFA), communications sécurisées (voix, vidéo, texte), communications d'urgence.
Les délais stricts de signalement d'incident (Art. 23)
En cas d'incident de sécurité important au sens de la directive, l'entité doit notifier l'autorité compétente (ANSSI en France) selon une séquence en trois temps non négociable :
Séquence de signalement NIS 2
Délais maximaux après constatation de l'incident
Délais fixés par l'article 23 de la directive (UE) 2022/2555.
Trois étapes obligatoires
La séquence est cumulative — chaque étape s'ajoute à la précédente, sans la remplacer.
- 24 heures : alerte précoce — première notification décrivant l'incident.
- 72 heures : notification d'incident — analyse initiale, gravité, impact.
- 1 mois : rapport final — analyse complète, mesures prises, leçons.
- Possibles rapports intermédiaires sur demande.
Cette contrainte temporelle est précisément ce qui distingue NIS 2 des obligations cyber antérieures : elle force la mise en place d'une organisation de crise opérationnelle, pas seulement de mesures techniques.
4. La chaîne d'approvisionnement : le sujet sensible des sous-traitants
L'une des innovations majeures de NIS 2 par rapport à NIS 1 est l'inclusion explicite de la sécurité de la chaîne d'approvisionnement dans les obligations des entités assujetties. C'est précisément le mécanisme qui étend l'effet de la directive bien au-delà des entreprises directement concernées.
Pour les industriels, ce volet pose un défi opérationnel concret : comment évaluer, contractualiser et contrôler la cybersécurité de centaines, voire de milliers de fournisseurs et sous-traitants ?
L'obligation de l'article 21.2.d
L'article 21.2.d de la directive impose explicitement aux entités assujetties la mise en place de mesures de « sécurité de la chaîne d'approvisionnement, y compris les aspects relatifs à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ».
En pratique, cela impose au donneur d'ordre assujetti à NIS 2 de cascader contractuellement ses obligations vers ses fournisseurs critiques. Un sous-traitant qui n'est pas lui-même assujetti à NIS 2 peut donc se retrouver soumis aux mêmes exigences via les contrats commerciaux signés avec ses clients.
Les types de sous-traitants concernés en industrie
Prestataires IT / Cloud
Hébergeurs, fournisseurs SaaS, sociétés d'infogérance, prestataires MSP. Souvent au cœur du SI industriel.
Fournisseurs OT / SCADA
Constructeurs d'automates, intégrateurs SCADA, fournisseurs de logiciels MES, télémaintenance industrielle.
Maintenance industrielle
Sous-traitants de maintenance avec accès au SI ou aux automates, télémaintenance via VPN, USB de diagnostic.
Bureaux d'études et IT
Bureaux d'études partageant des données R&D, prestataires de développement logiciel, freelances IT.
Logistique et supply
Prestataires logistiques avec accès aux WMS, EDI fournisseurs, plates-formes d'achats électroniques.
Sous-traitants chantier
Intervenants extérieurs avec connexions au réseau industriel local, badges, accès Wi-Fi techniques.
Les exigences contractuelles à intégrer
Les contrats avec ces fournisseurs doivent désormais inclure des clauses spécifiques de cybersécurité, dont les principales :
- Engagement de conformité : respect des mesures de l'article 21 NIS 2 ou de référentiels équivalents (ISO 27001, SecNumCloud).
- Notification d'incident : obligation pour le sous-traitant de signaler tout incident affectant le donneur d'ordre dans des délais permettant à ce dernier de respecter ses propres obligations NIS 2.
- Droit d'audit : possibilité pour le donneur d'ordre de vérifier les mesures cyber du fournisseur (audit direct ou par tiers).
- Sécurité des accès : MFA imposée pour tout accès distant au SI du donneur d'ordre, limitation des privilèges, traçabilité des connexions.
- Sortie sécurisée : obligations en fin de contrat (restitution des données, suppression, attestation de destruction).
Pour les services achats, cette extension implique une révision systématique des contrats fournisseurs, l'ajout d'annexes cyber-sécurité standardisées, et la mise en place de processus d'évaluation et d'audit fournisseurs. Une mission souvent sous-estimée dans les premiers mois de mise en conformité.
5. Sanctions et responsabilité personnelle des dirigeants
Les sanctions prévues par NIS 2 sont parmi les plus dissuasives du droit européen de la cybersécurité. Elles combinent amendes administratives lourdes, pouvoirs de contrainte étendus de l'autorité nationale, et — fait nouveau — responsabilité personnelle des dirigeants.
L'objectif du législateur européen est explicite : faire de la cybersécurité une obligation de premier rang au niveau des organes de direction, comparable aux obligations de gestion des risques financiers ou de protection des données personnelles.
Les sanctions administratives maximales
| Catégorie d'entité | Amende max (montant fixe) | Amende max (% CA mondial) |
|---|---|---|
| Entité essentielle (EE) | 10 millions d'euros | 2 % du CA mondial annuel total |
| Entité importante (EI) | 7 millions d'euros | 1,4 % du CA mondial annuel total |
L'amende effectivement prononcée correspond au plus élevé des deux montants applicables. Pour un grand groupe industriel international, le montant pourcentage du CA peut donc largement dépasser le plafond fixe.
Les pouvoirs de contrainte de l'ANSSI
Au-delà des amendes, l'ANSSI dispose de plusieurs leviers pour faire respecter la directive :
- Injonctions : ordre de mettre en œuvre des mesures spécifiques dans un délai imparti.
- Audits sur place : inspection des locaux et des systèmes d'information.
- Astreintes journalières : pour faire cesser une situation de non-conformité.
- Suspension temporaire de la certification ou de l'autorisation d'exercer (pour les EE).
- Publication de la décision de sanction (effet « name and shame »).
La responsabilité personnelle des dirigeants
L'article 20 de la directive est sans précédent : il impose aux organes de direction des entités assujetties d'approuver explicitement les mesures de gestion des risques cyber et de superviser leur mise en œuvre.
Les dirigeants doivent eux-mêmes suivre une formation à la cybersécurité et veiller à ce que leur personnel soit formé. Le non-respect peut entraîner des sanctions personnelles, dont une interdiction temporaire d'exercer des fonctions de direction au sein d'entités essentielles.
Pour les directions générales, la mise en conformité NIS 2 ne peut donc plus être déléguée intégralement à la DSI ou au RSSI. Elle exige une implication directe du conseil d'administration, avec un suivi régulier et tracé des indicateurs cyber.
6. 5 leviers prioritaires pour la conformité 2026
Pour les industriels qui découvrent leur assujettissement à NIS 2, ou qui anticipent les exigences cascadées par leurs donneurs d'ordre, la mise en conformité ne se construit pas en quelques semaines. Cinq leviers prioritaires permettent de structurer la trajectoire 2026.
Ces leviers ne demandent pas tous des investissements lourds : la majorité de l'effort initial relève de l'organisation et de la gouvernance, non de la technologie.
Simulateur : votre situation NIS 2
Sélectionnez votre cas :
Choisissez un cas pour voir l'analyse.
Fondement
Les 5 leviers décisifs
Auto-évaluation et déclaration
Vérifier si l'entreprise est EE ou EI selon les seuils sectoriels et de taille. S'enregistrer auprès de l'ANSSI dans les délais réglementaires.
Cellule de crise opérationnelle 24/7
Astreinte cyber, procédures d'alerte testées, capacité à produire la notification ANSSI en moins de 24h. Sans cette organisation, l'obligation est inatteignable.
Révision des contrats fournisseurs
Annexes cyber standardisées, clauses de notification d'incident, droit d'audit. Cartographie des fournisseurs critiques.
Formation des dirigeants et salariés
Formation cyber obligatoire au niveau direction (Art. 20). Programme de sensibilisation pour tous les salariés. Traçabilité des participations.
Articulation ISO 27001 / NIS 2
Adopter ou renforcer un SMSI ISO 27001. La norme couvre l'essentiel des dix mesures de l'article 21 et structure une démarche d'amélioration continue.
L'esprit général
NIS 2 n'est pas un projet IT. C'est un projet de gouvernance d'entreprise qui exige l'implication directe du conseil d'administration et la traçabilité de chaque décision cyber.
Conclusion : la cybersécurité industrielle entre dans une nouvelle ère
NIS 2 marque un tournant culturel pour l'industrie française. La cybersécurité n'est plus un sujet technique de DSI, mais une obligation de gouvernance générale, opposable aux dirigeants, traçable dans le reporting financier, et cascadée à l'ensemble de la chaîne d'approvisionnement. Pour les sites industriels qui s'étaient peu intéressés au sujet, le réveil est brutal — mais inévitable.
Pour les directions générales, l'enseignement principal est sans équivoque : la conformité NIS 2 ne peut pas être traitée comme un projet ponctuel. Elle exige une structuration durable de l'organisation cyber, articulée avec les obligations connexes (RGPD, DORA pour les services financiers, CRA pour les produits connectés, ISO 27001). Les industriels qui s'organisent dès 2026 transforment une obligation réglementaire en avantage compétitif — meilleure attractivité auprès des donneurs d'ordre, accès facilité aux marchés publics, primes d'assurance cyber maîtrisées. Ceux qui attendent paieront le prix fort, financièrement et réputationnellement, à la première mise en conformité tardive ou au premier incident grave.