NIS2 conformité industrie France 2026 : guide pratique LPM, ANSSI, sanctions, IEC 62443

La directive NIS2 (Network and Information Security Directive 2, UE 2022/2555), en vigueur dans l’Union européenne depuis octobre 2024 (transposition en droit national requise par les États membres avant le 17 octobre 2024), impose des obligations cybersécurité substantielles aux entités essentielles et importantes de 18 secteurs critiques. En France, la transposition s’inscrit dans le cadre de la loi LPM (Loi de Programmation Militaire) et de la loi Cybersécurité 2024, sous l’autorité de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Ce guide pratique détaille : champ d’application industriel, identification entité essentielle vs importante, les 10 obligations de l’article 21, sanctions, méthodologie de mise en conformité alignée IEC 62443 SL2, et roadmap 12-24 mois.

Champ d’application NIS2 : qui est concerné en France ?

NIS2 concerne deux catégories d’entités selon la taille et le secteur :

Annexe I : secteurs hautement critiques (entités essentielles)

• Énergie (électricité, pétrole, gaz, hydrogène, chaleur urbaine)
• Transports (aérien, ferroviaire, maritime, routier)
• Banque + infrastructures de marchés financiers
• Santé (hôpitaux, laboratoires, fabrication dispositifs médicaux + produits pharmaceutiques)
• Eau potable + eaux usées
• Infrastructure numérique (cloud, datacenters, CDN, DNS, registries, registrars)
• Administration publique
• Espace

Annexe II : secteurs critiques (entités importantes)

• Services postaux et courrier
• Gestion des déchets
• Production, transformation, distribution de produits chimiques
• Production, transformation, distribution de denrées alimentaires
• Fabrication (large catégorie incluant l’industrie manufacturière) : dispositifs médicaux/diagnostics in vitro, informatique/électronique/optique, équipement électrique, machines/équipements n.c.a., véhicules automobiles/remorques/semi-remorques, autres équipements de transport
• Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
• Recherche

Seuils de taille

NIS2 s’applique aux entités moyennes et grandes (effectif ≥ 50 personnes ET CA ≥ €10M, ou bilan total ≥ €10M). Les micro et petites entreprises sont exclues, sauf si désignées spécifiquement par l’État membre (entités critiques pour fournisseurs en cascade ou services essentiels).

Identification du statut

• Entité essentielle : Annexe I + entité moyenne/grande, OU Annexe II + secteur « hautement critique » (services postaux, déchets, chimie, alimentation, infrastructures numériques majeures)
• Entité importante : Annexe II + entité moyenne/grande

Pour la France : estimation 15 000-20 000 entités concernées (vs ~500 sous NIS1) selon ANSSI. La majorité des manufacturiers français de taille moyenne et grande sont entités importantes au minimum.

Article 21 : les 10 mesures cybersécurité obligatoires

L’article 21 de la directive NIS2 impose 10 catégories de mesures que les entités essentielles et importantes doivent implémenter :

Obligations de signalement d’incident à l’ANSSI

NIS2 impose un régime de notification d’incident en 3 étapes :

• Alerte précoce : 24h après prise de connaissance d’un incident significatif → notification ANSSI (description initiale, qualification, impacts potentiels)
• Notification d’incident : 72h après prise de connaissance → notification ANSSI mise à jour avec évaluation initiale incident, gravité, impact
• Rapport final : 1 mois après notification incident → rapport détaillé (causes, mesures correctives, impact business + utilisateurs, lessons learned)

Incident « significatif » : cause ou est susceptible de causer une perturbation opérationnelle ou des pertes financières graves ; affecte ou est susceptible d’affecter d’autres personnes morales ou physiques avec des dommages matériels considérables.

L’ANSSI maintient le portail cert.ssi.gouv.fr et publie des bulletins d’alerte sur des CVEs critiques applicables à l’industrie (incl. ICS/OT specific). Notification via formulaire web sécurisé ANSSI + CERT-FR.

Sanctions : jusqu’à €10M ou 2 % CA mondial

NIS2 introduit des sanctions administratives substantielles, applicables par l’ANSSI en France :

• Entités essentielles : jusqu’à €10M OU 2 % du chiffre d’affaires annuel mondial (le plus élevé des deux)
• Entités importantes : jusqu’à €7M OU 1,4 % du CA annuel mondial
• Sanctions complémentaires : injonction de mise en conformité dans délai imparti, publication décision (atteinte réputation), suspension temporaire dirigeants (PDG, DSI, CISO) pour cas graves
• Responsabilité personnelle dirigeants : dirigeants engagent leur responsabilité pour non-conformité grave (nouveauté NIS2 vs NIS1)

L’ANSSI a annoncé une approche progressive : information + sensibilisation 2025-2026, audits ciblés 2026-2027, sanctions à partir 2027 pour non-conformités persistantes après audit. Recommandation : utiliser 2025-2026 pour mise en conformité substantielle, éviter rattrapage urgent 2027-2028.

Alignement NIS2 ↔ IEC 62443 : approche pratique pour l’industrie

NIS2 est technology-agnostic mais l’ANSSI et ENISA référencent IEC 62443 comme standard de mapping primaire pour environnements industriels. Approche pratique recommandée :

1. Cible IEC 62443 SL2 par défaut pour la plupart des manufacturiers (entités importantes Annexe II)
2. Cible IEC 62443 SL3 pour entités essentielles Annexe I (énergie, transports, santé/pharma, eau) et fabrication critique (dispositifs médicaux, alimentation, chimie)
3. Cible IEC 62443 SL4 uniquement pour infrastructures critiques nationales (TotalEnergies raffineries, EDF centrales nucléaires, Areva fuel, défense, RTE/Enedis grid)
4. Compensating controls documentés pour équipements legacy ne pouvant atteindre niveau cible
5. Audit indépendant par cabinet certifié (Wavestone, Capgemini Invent, Sopra Steria Cyber, Devoteam, Atos, EY Cyber, KPMG Cyber, Deloitte Cyber) pour validation conformité avant audit ANSSI éventuel

Roadmap de mise en conformité NIS2 industrie France : 12-24 mois

Investissement total typique pour groupe industriel multi-sites en France : €1-5M sur 18-24 mois pour 5-20 sites (essentielle), €500k-2M sur 12-18 mois pour mono-site moyen-grand (importante). Multi-sites : économies d’échelle 30-50 % après premier site grâce à réutilisation architecture template.

Pièges classiques à éviter

1. Sous-estimer le champ d’application : nombreux manufacturiers français pensent ne pas être concernés. Vérification systématique recommandée : effectif ≥ 50 + CA ≥ €10M + secteur Annexe I ou II → concerné.
2. Approche « compliance check-box » : se contenter d’écrire des politiques sans implémenter de contrôles techniques effectifs. ANSSI audite la réalité opérationnelle, pas la documentation papier.
3. Sous-investir dans OT vs IT : NIS2 concerne explicitement les systèmes OT/IACS, pas uniquement les systèmes IT classiques. Audit OT (IEC 62443) nécessaire.
4. Ignorer la chaîne d’approvisionnement : article 21(d) impose audit fournisseurs critiques (MES, ERP, intégrateurs, fournisseurs cloud). Cascade obligations contractuelles.
5. Reporter à 2027 : sanctions activées progressivement à partir 2027. Démarrer 2025-2026 permet roadmap structurée vs rattrapage urgent.
6. Ne pas former le Comex / Direction : article 20 impose formation cybersécurité aux dirigeants. Responsabilité personnelle engagée pour non-conformité grave.
7. Ne pas tester la résilience : exercice de réponse à incident (tabletop, red team, table-top exercise) à minima annuel recommandé pour validation procédures.
8. Choisir des composants non certifiés : nouveaux achats matériels / logiciels OT devraient privilégier composants ISA Secure CSA certifiés pour faciliter conformité NIS2.

Cas client référence : déploiement multi-sites avec TeepTrak Pulse + IEC 62443 SL2

Pour groupes industriels multi-sites en France (Hutchinson, Stellantis, TotalEnergies, Sanofi, Saint-Gobain, Schneider Electric, Legrand, Bouygues Travaux Publics, Veolia, Suez), la stratégie typique combine :

• Déploiement TeepTrak Pulse pour mesure OEE temps réel (8-12 semaines par site)
• Architecture TeepTrak conforme IEC 62443 SL2 (FR1-7, hébergement RGPD AWS Paris/OVH, MFA, audit trail SR 2.8, TLS 1.3, AES-256 at rest)
• Intégration parallèle programme NIS2 group (gouvernance + segmentation + SIEM + procedures)
• Audit indépendant cabinet certifié (Wavestone, Capgemini Invent) pour validation conformité avant audit ANSSI

Le déploiement TeepTrak chez Hutchinson sur 40 sites manufacturing avec saut TRS 42 % → 75 % en 12 mois est compatible avec un programme NIS2 parallèle : la plateforme TeepTrak Pulse est architecturée IEC 62443 SL2 dès l’origine, simplifiant la mise en conformité NIS2 du périmètre OEE.

FAQ NIS2 conformité industrie France

Mon entreprise industrielle (PME 80 personnes, €15M CA) est-elle concernée par NIS2 ?

Probablement oui si vous fabriquez dans un secteur Annexe II : machines/équipements n.c.a., véhicules automobiles, équipement électrique, dispositifs médicaux/diagnostics, informatique/électronique. Effectif ≥ 50 + CA ≥ €10M = entité importante au minimum. Vérification : matrice ANSSI sur monservicesecurise.ssi.gouv.fr.

Quel délai pour se mettre en conformité NIS2 ?

NIS2 est applicable depuis octobre 2024 en France. ANSSI a annoncé approche progressive : sensibilisation 2025-2026, audits ciblés 2026-2027, sanctions actives à partir 2027 pour non-conformités persistantes. Recommandation : roadmap 12-24 mois démarrant 2025-2026 pour conformité substantielle avant 2027.

Quel coût pour la mise en conformité NIS2 industrie ?

€500k-2M sur 12-18 mois pour entité importante (mono-site moyen-grand). €1-5M sur 18-24 mois pour groupe multi-sites entité essentielle. Multi-sites : économies d’échelle 30-50 % après premier site. Coûts répartis : 30 % consulting/audit, 40 % technologie (segmentation, SIEM, EDR), 20 % process/formation, 10 % certification (optionnelle).

Quelles sanctions risque mon entreprise ?

Entité essentielle : jusqu’à €10M OU 2 % CA annuel mondial. Entité importante : €7M OU 1,4 % CA. Sanctions complémentaires : injonction conformité, publication décision, suspension dirigeants. Responsabilité personnelle dirigeants engagée pour non-conformité grave (nouveauté NIS2). Application progressive ANSSI à partir 2027.

Quel niveau IEC 62443 viser pour NIS2 ?

SL2 par défaut pour la plupart des manufacturiers entités importantes (Annexe II). SL3 pour entités essentielles Annexe I (énergie, transports, santé/pharma, eau) et fabrication critique (dispositifs médicaux, alimentation, chimie). SL4 uniquement pour infrastructures critiques nationales (raffineries TotalEnergies, centrales EDF, défense). Compensating controls pour legacy.

Comment déclarer un incident à l’ANSSI ?

3 étapes : alerte précoce 24h (description initiale via formulaire ANSSI cert.ssi.gouv.fr), notification 72h (évaluation initiale incident), rapport final 1 mois (causes, mesures correctives, impact). Incident « significatif » = perturbation opérationnelle/pertes financières graves OU affecte tiers avec dommages considérables.

Qui est le point de contact ANSSI ?

ANSSI dispose d’un guichet unique pour entités NIS2 : monservicesecurise.ssi.gouv.fr. Permet : déclaration entité (statut essentielle/importante), notification incident, demandes information. CERT-FR (cert.ssi.gouv.fr) maintient les bulletins d’alerte techniques. Désignation interne d’un point de contact (souvent RSSI/CISO) recommandée.

NIS2 s’applique-t-il aux sites en dehors France/UE ?

NIS2 s’applique aux entités fournissant services dans l’UE, quel que soit le siège de l’entité. Une entité non-UE fournissant services dans l’UE doit désigner un représentant établi dans l’UE (art. 26). Pour groupes français avec sites US/Asie : NIS2 s’applique au périmètre UE + tout service délivré dans l’UE.

Comment intégrer NIS2 avec ISO 27001 + RGPD existant ?

Approches complémentaires : ISO 27001 = SMSI général (toute entité). RGPD = protection données personnelles. NIS2 = sécurité réseaux et systèmes information secteurs critiques (OT/IT). Un SMSI ISO 27001 mature couvre 60-70 % exigences NIS2. RGPD couvre partie sécurité données. NIS2 ajoute : exigences OT/IACS, signalement incidents 24/72h, sanctions élargies.

Quels cabinets/intégrateurs aident à la conformité NIS2 industrie en France ?

Cabinets conseil : Wavestone (leader cyber industriel), Capgemini Invent, Sopra Steria Cyber, Devoteam, Atos, EY Cyber, KPMG Cyber, Deloitte Cyber, Sécurité Industrielle Conseil (SIC). Intégrateurs OT : Capgemini ATS, ATS Global, Yokogawa, Siemens PSI, Aveva Select Partners, Schneider Cybersecurity Services. Cabinets indépendants : Synacktiv, NeoVAL, RandoriSec, AVAX (audit/pentest OT).

Conclusion

La conformité NIS2 est devenue un sujet stratégique majeur pour l’industrie française 2026, avec un champ d’application étendu (15 000-20 000 entités vs 500 sous NIS1), des obligations techniques précises (article 21 + 10 mesures), un régime de signalement incident contraignant (24h alerte, 72h notification, 1 mois rapport) et des sanctions substantielles (€10M ou 2 % CA mondial). L’alignement IEC 62443 SL2 (ou SL3 pour entités essentielles) constitue l’approche pratique recommandée. Roadmap 12-24 mois avec investissement €500k-5M selon taille et complexité. Démarrer 2025-2026 permet conformité structurée avant sanctions actives 2027.

Prochaine étape : téléchargez le guide TeepTrak NIS2 conformité industrie France ou demandez un diagnostic de maturité cybersécurité industrielle gratuit pour évaluer votre positionnement vs les 10 obligations de l’article 21.