Bien avant NIS2, la France avait pris de l'avance avec la loi de programmation militaire (LPM) du 18 décembre 2013, codifiée aux articles L1332-1 et suivants du Code de la défense. Cette loi a créé le statut d'Opérateur d'Importance Vitale (OIV).

Les OIV sont des opérateurs publics ou privés dont l'indisponibilité aurait des conséquences majeures pour la Nation : alimentation en eau, électricité, télécoms, santé, défense, transport, finance. Ils sont désignés nominativement par les ministères (et non auto-déclarés). Environ 300 OIV sont identifiés en France, mais leur liste est secrète pour des raisons de défense nationale.

Obligations LPM des OIV :

• Identifier leurs Systèmes d'Information d'Importance Vitale (SIIV).
• Appliquer des règles de sécurité définies par l'ANSSI (cf. arrêtés sectoriels).
• Notifier sans délai tout incident de cybersécurité à l'ANSSI.
• Accepter des contrôles ANSSI et adopter les recommandations.
• Désigner un RSSI et constituer une équipe dédiée.

Articulation LPM / NIS2 : un OIV LPM est, dans la quasi-totalité des cas, également une entité essentielle NIS2. Les obligations LPM sont plus contraignantes que NIS2 (rôle des autorités, mesures techniques imposées, contrôles ANSSI fréquents). La loi REIA (transposition NIS2 en France) renforce et harmonise les deux dispositifs : un OIV reste OIV, mais doit aussi satisfaire NIS2.

NIS2 dit « il faut gérer le risque cyber », mais ne dit pas « comment ». Le standard IEC 62443 (ex-ISA-99), développé par l'ISA (International Society of Automation) et publié par la Commission Électrotechnique Internationale (IEC), fournit la méthode technique pour mettre en œuvre la cybersécurité industrielle. C'est la référence mondiale.

Structure de la famille IEC 62443 (publication en plusieurs parties depuis 2009) :

• IEC 62443-1 : terminologie, modèles, concepts.
• IEC 62443-2-1 : exigences pour un programme cyber industriel (CSMS — Cyber Security Management System).
• IEC 62443-2-3 : gestion des patches dans l'OT.
• IEC 62443-2-4 : exigences pour les intégrateurs et prestataires.
• IEC 62443-3-2 : analyse de risque, zones et conduits.
• IEC 62443-3-3 : exigences système — 7 fondations (FR1 à FR7) et 4 niveaux de sécurité (SL1 à SL4).
• IEC 62443-4-1 : exigences pour les fabricants de composants — secure development lifecycle.
• IEC 62443-4-2 : exigences techniques pour les composants (PLC, HMI, switches, etc.).

Les 7 fondations (Foundational Requirements — FR) du standard :

1. FR1 — Contrôle d'identification et d'authentification.
2. FR2 — Contrôle d'usage.
3. FR3 — Intégrité du système.
4. FR4 — Confidentialité des données.
5. FR5 — Flux de données restreints.
6. FR6 — Réponse aux événements en temps voulu.
7. FR7 — Disponibilité des ressources.

Les 4 niveaux de sécurité (Security Levels — SL) :

• SL1 — protection contre une violation occasionnelle ou non intentionnelle.
• SL2 — protection contre une violation intentionnelle avec moyens simples, faibles ressources, compétences génériques.
• SL3 — protection contre une violation intentionnelle avec moyens sophistiqués, ressources modérées, compétences spécifiques OT.
• SL4 — protection contre une violation intentionnelle avec moyens sophistiqués, ressources étendues, compétences spécifiques OT (état-nation).

IEC 62443 propose un chemin de mise en œuvre cohérent avec NIS2 : analyse de risque (3-2), définition des zones et conduits (3-2), application des exigences système (3-3), exigences pour les composants (4-2), pilotage par un CSMS (2-1). De nombreux organismes français recommandent IEC 62443 comme méthode de référence (ANSSI, CLUSIF, AFNOR via la commission UNM 81).

Le Cyber Resilience Act (CRA) — règlement (UE) 2024/2847 adopté en 2024 — complète NIS2 en s'attaquant à la sécurité des produits avec composants numériques mis sur le marché européen. Il vise les fabricants, importateurs et distributeurs de tout produit hardware ou software (objets connectés, automates, IoT industriel, logiciels métiers).

Principales obligations CRA :

• Secure by design dès la conception du produit.
• Pas de vulnérabilité connue au moment de la mise sur le marché.
• Mises à jour de sécurité gratuites pendant toute la durée de vie « raisonnable » du produit (souvent ≥ 5 ans).
• Documentation cyber fournie avec le produit (SBOM — Software Bill of Materials, manuel de durcissement).
• Signalement obligatoire des vulnérabilités exploitées dans les 24 h à l'ENISA.
• Marquage CE conditionné au respect du CRA.
• Sanctions jusqu'à 15 M€ ou 2,5 % du CA mondial.

Calendrier d'application CRA : entrée en vigueur 11 décembre 2024, obligations pleinement applicables fin 2027. Période de transition pour les fabricants.

Conséquences pour les industriels acheteurs : les fournisseurs d'automates, capteurs, IoT, logiciels OT devront tous être CRA-compliant. En tant qu'acheteur, il faudra vérifier les SBOM, les engagements de mise à jour, et la disponibilité du marquage CE renforcé.

DORA — Digital Operational Resilience Act (règlement UE 2022/2554) : applicable depuis le 17 janvier 2025, il cible le secteur financier (banques, assurances, fonds, gestionnaires d'actifs, plateformes de négociation) et les prestataires informatiques tiers critiques. DORA et NIS2 se recoupent partiellement, DORA primant pour le périmètre financier (article 1 NIS2 — lex specialis).

DORA impose : gestion des risques TIC, gestion des incidents, tests de résilience opérationnelle (incluant des TLPT — Threat-Led Penetration Testing), gestion du risque tiers (fournisseurs cloud critiques), partage de renseignements sur les menaces. Sanctions jusqu'à 1 % du CA quotidien moyen mondial par jour de manquement pour les tiers critiques.

ISO/IEC 27001 (Système de Management de la Sécurité de l'Information — SMSI) : référence mondiale pour la gouvernance cyber. La certification ISO 27001 est souvent demandée comme « preuve de conformité » dans les appels d'offres et facilite la mise en conformité NIS2. La version ISO 27001:2022 a ajouté 11 nouveaux contrôles (annexe A) dont plusieurs sur la sécurité du cloud et des opérations.

ISO 22301 : continuité d'activité (PCA / PRA). Voir la formation dédiée PCA / PRA & Continuité d'activité.

Autres cadres sectoriels à mentionner :

• NIST CSF 2.0 (Cybersecurity Framework) — référentiel américain, très utilisé en France pour structurer un programme cyber.
• NIST SP 800-82r3 — guide spécifique cybersécurité OT (US, mais référence internationale).
• NERC CIP — référentiel obligatoire pour les opérateurs électriques nord-américains (équivalent LPM côté énergie US).
• Référentiels sectoriels français : arrêté du 28 novembre 2016 (LPM énergie), arrêté du 17 juin 2014 (LPM transports), etc.

« Le bon réflexe n'est pas de choisir entre NIS2 et IEC 62443, mais de comprendre leur articulation : NIS2 dit "quoi faire et pourquoi", IEC 62443 dit "comment faire techniquement". Pour la finance : DORA. Pour les produits vendus : CRA. Pour les OIV : LPM. C'est un écosystème, pas une concurrence. »

— ANSSI, panorama réglementaire cyber 2025