Par /
Actualité » Directive NIS2 et industrie

Directive NIS2 : ce que tout industriel doit savoir — et faire — dès maintenant

Depuis octobre 2024, la directive européenne NIS2 (UE 2022/2555) est en vigueur. Elle impose à des milliers d’entreprises industrielles françaises des obligations concrètes en matière de cybersécurité — non pas sur les ordinateurs de bureau, mais sur les systèmes de contrôle-commande, les réseaux de production et les automates.

👉 Entre 15 000 et 18 000 entités françaises sont concernées, dont une large part dans l’industrie manufacturière. Et pour la première fois, la responsabilité personnelle des dirigeants est engagée. Voici ce que vous devez savoir, et comment vous y préparer.

Pourquoi NIS2 touche-t-il directement l’industrie ?

L’industrie est depuis plusieurs années l’une des cibles privilégiées des cyberattaques en Europe. Arrêts de lignes, vols de données process, rançongiciels sur des automates : ces incidents, autrefois rarissimes, sont devenus quasi-quotidiens. Et les conséquences ne sont plus seulement numériques — elles sont opérationnelles, financières, et parfois physiques.

La première directive NIS (2016) ne ciblait qu’un périmètre restreint : quelques centaines d’opérateurs de services essentiels dans l’énergie, les transports ou la santé. NIS2 change radicalement d’échelle : elle étend ses obligations à l’ensemble de la fabrication industrielle, à la chimie, à l’agroalimentaire, à la gestion de l’eau, aux services postaux, et à toute leur chaîne de sous-traitance.

👉 Ce n’est plus un sujet réservé aux DSI des grandes entreprises du CAC 40. C’est un sujet de direction d’usine, de responsable maintenance, et de chef d’entreprise industrielle.

Êtes-vous concerné ?

La directive s’applique selon deux critères : le secteur d’activité et la taille de l’organisation. Les entités sont classées en deux catégories.

🔴 Entités essentielles (EE)

Ce sont les organisations dont la défaillance aurait des répercussions majeures sur la société : énergie, transport, banque, santé, eau potable, infrastructure numérique, espace. Elles sont généralement soumises dès 250 salariés ou 50 M€ de chiffre d’affaires.

Les entités essentielles font l’objet de contrôles proactifs de l’ANSSI, y compris sans incident préalable. Les sanctions peuvent atteindre 10 M€ ou 2 % du CA mondial.

🟠 Entités importantes (EI)

C’est là que se situe la grande majorité des industriels concernés. Sont classées entités importantes, à partir de 50 salariés ou 10 M€ de CA :

  • les fabricants industriels (équipements, machines, véhicules, dispositifs médicaux, produits chimiques, aliments…)
  • les entreprises de gestion des déchets
  • les prestataires de services postaux
  • les fournisseurs de services numériques

Les entités importantes sont soumises aux mêmes obligations techniques que les EE, avec un régime de contrôle réactif (sur incident ou signalement). Les sanctions peuvent atteindre 7 M€ ou 1,4 % du CA mondial.

👉 Le cas des sous-traitants : l’effet de ruissellement

C’est l’un des points les plus sous-estimés de NIS2. Même si votre entreprise n’atteint pas les seuils ou n’opère pas dans un secteur directement couvert, vous pouvez être concerné par ricochet.

La directive impose aux entités régulées de sécuriser leur chaîne d’approvisionnement. Concrètement : vos clients grands comptes — Michelin, Naval Group, Airbus, Saint-Gobain — vont vous demander des garanties sur votre niveau de cybersécurité. Pas dans deux ans. Maintenant.

👉 Vous êtes prestataire de maintenance, intégrateur, sous-traitant industriel ? Votre statut NIS2 est peut-être indirect — mais les exigences de vos clients, elles, sont bien réelles.

NIS2 dans une usine : ce qui change concrètement

L’offre d’accompagnement INDUS4TECH

Les obligations de NIS2 s’articulent autour de dix mesures de sécurité imposées par l’article 21 de la directive. Dans un contexte industriel, elles ne concernent pas uniquement le réseau informatique : elles touchent directement les systèmes OT (Operational Technology) — automates, SCADA, IHM, réseaux terrain.

1. Cartographier et évaluer les risques

Avant tout, il faut savoir ce qu’on a. NIS2 impose une évaluation des risques formalisée sur l’ensemble des systèmes d’information — y compris les systèmes de contrôle-commande et les réseaux de production.

👉 On ne sécurise pas ce qu’on ne connaît pas. L’inventaire de vos automates, IHM, passerelles réseau et équipements connectés est le point de départ obligatoire.

2. Séparer les réseaux OT et IT

Une ligne de production connectée au réseau bureautique de l’entreprise est une porte ouverte pour un attaquant. NIS2 impose une gestion rigoureuse des flux réseau entre les zones IT (informatique de gestion) et OT (automatisme industriel).

Cela implique concrètement : segmentation des réseaux, filtrage des communications entre zones, contrôle strict des accès distants aux équipements industriels (télémaintenance, VPN, accès fournisseurs).

👉 La convergence IT/OT est une réalité de l’industrie 4.0 — NIS2 impose de la maîtriser, pas de l’interdire.

3. Garantir la continuité et la reprise d’activité

Une cyberattaque sur un système industriel peut arrêter une ligne de production pour plusieurs jours, voire plusieurs semaines. NIS2 impose de s’y préparer : procédures de reprise, sauvegardes sécurisées des programmes automates et des configurations, tests réguliers de restauration.

👉 Les entités doivent être en mesure de restaurer leurs systèmes après un incident dans des délais définis. Pour une usine, cela signifie disposer de sauvegardes testées de ses programmes d’automates, de ses recettes de production et de ses configurations réseau.

4. Signaler les incidents à l’ANSSI

NIS2 instaure un régime de signalement obligatoire, calqué sur celui du CRA :

  • 24 heures pour une alerte préliminaire à l’ANSSI dès la détection d’un incident significatif
  • 72 heures pour une notification complète
  • 1 mois pour un rapport final détaillé

👉 Cela suppose en amont d’avoir défini ce qu’est un incident significatif, mis en place une capacité de détection, et désigné un référent cybersécurité capable de piloter la notification.

5. Former la direction et les équipes

C’est la nouveauté la plus souvent ignorée. NIS2 reconnaît que 90 % des cyberattaques réussies exploitent l’erreur humaine. L’article 20 impose explicitement que les membres de la direction reçoivent une formation cybersécurité adaptée — et que l’ensemble du personnel soit régulièrement sensibilisé.

Cette obligation a une conséquence directe : les dirigeants peuvent être tenus personnellement responsables en cas de non-conformité grave.

👉 NIS2 n’est pas un sujet que les directions peuvent déléguer intégralement à leur service informatique ou à un prestataire. C’est une responsabilité de direction.

6. Sécuriser la chaîne d’approvisionnement

Les entités régulées doivent évaluer et encadrer le niveau de sécurité de leurs prestataires et fournisseurs qui ont accès à leurs systèmes. Cela inclut les prestataires de maintenance, les intégrateurs, les éditeurs de logiciels industriels.

👉 Côté acheteur industriel : attendez-vous à recevoir des questionnaires de cybersécurité de vos clients. Côté fournisseur industriel : préparez vos réponses.

Le calendrier à ne pas manquer

DateCe qui se passe
Octobre 2024NIS2 en vigueur dans l’UE — obligations actives
Avril 2025Publication par chaque État membre de la liste des EE et EI identifiées
Fin 2025Adoption définitive de la transposition française
2025 – 2028Période de conformité progressive — délai de tolérance ANSSI de 3 ans

L’ANSSI accorde un délai de tolérance de trois ans pour atteindre une conformité complète. Ce délai n’est pas une exemption : les obligations sont actives, les incidents doivent déjà être signalés, et les contrôles montent progressivement en charge. Les entreprises qui structurent leur démarche maintenant construisent une conformité solide. Celles qui attendent subiront un rattrapage en urgence, plus coûteux et moins défendable.

Ce que ça signifie selon votre rôle

Vous dirigez une PME ou ETI industrielle Si vous dépassez 50 salariés et 10 M€ de CA dans un secteur couvert, vous êtes probablement entité importante. Votre priorité : vérifier votre statut via le simulateur MonEspaceNIS2 de l’ANSSI, puis engager un diagnostic de vos systèmes OT.

Vous êtes responsable de production ou de maintenance NIS2 va changer votre quotidien : procédures de sauvegarde des programmes automates, gestion des accès distants fournisseurs, nouveaux réflexes face à un comportement anormal d’une machine. La sensibilisation de vos équipes terrain est une obligation, pas une option.

Vous êtes intégrateur ou prestataire industriel Vous êtes dans la ligne de mire de vos clients assujettis à NIS2. Ils vont vous demander des garanties sur votre propre niveau de sécurité. Anticiper ces demandes est une opportunité commerciale autant qu’une exigence réglementaire.

FAQ — Directive NIS2

NIS2, Règlement Machine, CRA : trois textes à traiter ensemble

NIS2 ne s’applique pas dans le vide. Elle fait partie d’un ensemble réglementaire cohérent qui redessine le cadre de la cybersécurité industrielle en Europe d’ici 2027-2028.

  • NIS2 impose aux exploitants industriels de sécuriser leurs systèmes de production et de signaler les incidents.
  • Le CRA impose aux fabricants de vos équipements de les concevoir de façon sécurisée et d’assurer leur support.
  • Le Règlement Machine impose aux constructeurs et intégrateurs d’intégrer la cybersécurité dès la conception des machines.

Ces trois textes partagent des exigences communes — évaluation des risques, gestion des vulnérabilités, documentation, formation. Une démarche coordonnée sur les trois est plus efficace, moins redondante et nettement moins coûteuse qu’une approche silos.

L’accompagnement INDUS4TECH

Chez INDUS4TECH, nous lisons NIS2 avec les yeux d’un automaticien, pas d’un auditeur informatique. Nous connaissons la réalité de vos réseaux terrain, de vos automates Siemens, Schneider ou CODESYS, de vos accès distants de télémaintenance. C’est cette lecture technique et concrète — ancrée dans les réalités de l’automatisme industriel — qui fait la différence pour vous aider à structurer une mise en conformité qui tient sur le terrain.

Nos prestations NIS2 pour l’industrie :

  • Diagnostic NIS2 — qualification de votre statut, inventaire OT, évaluation de la maturité cybersécurité
  • Cartographie OT et analyse des risques — selon le référentiel IEC 62443
  • Accompagnement technique à la mise en conformité — segmentation réseau, sauvegarde des systèmes de commande, procédures d’incident
  • Formation dirigeants et équipes — obligations NIS2, responsabilité, bonnes pratiques terrain
  • Veille et conseil continu — suivi de la transposition française et des guides ANSSI
Vous opérez des systèmes industriels connectés et vous ne savez pas précisément où vous en êtes vis-à-vis de NIS2 ?

Contactez-nous directement pour un premier échange gratuit d’une heure. Nous évaluerons ensemble votre situation et les priorités à traiter.

Retour en haut