Guide

NIS2 pour les collectivités : ce que ça change concrètement pour votre parc numérique

26.06.2026

Par Kadidiatou SIBY

Introduction

Une cyberattaque paralyse La Rochelle en décembre 2020. Caen bascule en mode papier en 2024. Versailles est immobilisée fin 2022. Depuis 2019, plus d’une trentaine de communes et d’EPCI ont subi une attaque par rançongiciel, avec un coût moyen qui dépasse aujourd’hui le million d’euros par incident.

C’est dans ce contexte que la directive NIS2 impose pour la première fois des obligations de cybersécurité contraignantes aux collectivités territoriales.. Pour la première fois, les communes, départements, régions et intercommunalités sont directement visés par des obligations de cybersécurité contraignantes et sanctionnables.

La question que se posent aujourd’hui la plupart des DSI de collectivité est simple : est-ce que ça nous concerne, et si oui, qu’est-ce qu’on doit faire concrètement ? Cet article y répond, sans jargon inutile et sans attendre que la loi française soit définitivement adoptée.

NIS2 : de quoi parle-t-on exactement ?

La directive NIS2 (directive UE 2022/2555) a été adoptée le 14 décembre 2022. Elle remplace la première directive NIS de 2016, qui ne concernait qu’environ 500 entités en France, essentiellement des opérateurs d’infrastructures critiques dans l’énergie, les transports et la santé.

NIS2 change d’échelle. Elle cible désormais près de 15 000 entités en France, réparties dans 18 secteurs d’activité. Les administrations publiques et les collectivités territoriales y figurent explicitement pour la première fois, classées dans les secteurs « hautement critiques » à l’annexe I de la directive.

Un point de calendrier important à avoir en tête : la France accuse un retard sur la transposition. Le projet de loi « Résilience », qui transpose NIS2 en droit français, a été adopté en première lecture au Sénat le 12 mars 2025 mais n’a pas encore été examiné par l’Assemblée nationale au moment de la publication de cet article, aucune date d’application n’est encore fixée. L’ANSSI a néanmoins publié son Référentiel Cyber France (ReCyF) le 17 mars 2026, qui constitue dès aujourd’hui la feuille de route opérationnelle pour les entités concernées. Ce référentiel, diffusé comme document de travail, deviendra la base contraignante une fois la loi promulguée. L’utiliser dès maintenant comme grille d’auto-évaluation, c’est prendre une longueur d’avance sans rien risquer.

Votre collectivité est-elle concernée ?

C’est la première question à trancher. NIS2 distingue deux catégories d’entités, avec des obligations graduées selon la taille et la criticité.

Les entités essentielles (EE), niveau d’exigence le plus élevé :

  • Les régions
  • Les départements
  • Les métropoles et communautés urbaines
  • Les communes de plus de 30 000 habitants
  • Les grands syndicats mixtes informatiques

Les entités importantes (EI), niveau d’exigence intermédiaire :

  • Les communautés d’agglomération
  • Les communautés de communes et leurs établissements publics administratifs
  • Certains SDIS et établissements publics sous tutelle

Les collectivités non directement concernées, communes sous le seuil de 30 000 habitants, petites intercommunalités rurales, ne sont pas dans le périmètre direct. Mais un point souvent ignoré mérite attention : si votre collectivité fait appel à un syndicat informatique mutualisé ou à un prestataire numérique lui-même soumis à NIS2, vous êtes indirectement concerné via les clauses de sécurité de la chaîne d’approvisionnement. En pratique, 10% des collectivités entrent dans le périmètre direct, mais 80% sont concernées via leurs prestataires mutualisés.

Pour vérifier rapidement votre situation, l’ANSSI propose un simulateur en ligne sur MonEspaceNIS2 qui permet un pré-diagnostic en quelques minutes.

NIS2 : les obligations concrètes pour les collectivités territoriales

Que votre collectivité soit entité essentielle ou importante, le socle d’obligations repose sur dix mesures de gestion des risques définies à l’article 21 de la directive. Voici ce que ça signifie dans la pratique pour un DSI de collectivité.

Analyse de risques et politique de sécurité documentée. Vous devez formaliser une politique de sécurité des systèmes d’information (PSSI), identifier vos actifs critiques et documenter les risques associés. Ce n’est plus une recommandation, c’est une obligation opposable.

Notification des incidents dans les 24 heures. En cas d’incident significatif, cyberattaque, interruption d’un service public numérique, altération de données, vous devez envoyer une alerte précoce à l’ANSSI dans les 24 heures, suivie d’un rapport détaillé sous 72 heures. C’est une contrainte opérationnelle forte qui suppose d’avoir des procédures prêtes avant l’incident.

Sécurité de la chaîne d’approvisionnement. Chaque prestataire numérique, éditeur de logiciel, hébergeur, fournisseur de MDM (Mobile Device Management) ou d’UEM (Unified Endpoint Management), intégrateur, doit faire l’objet d’une évaluation de sécurité. Des clauses contractuelles spécifiques doivent être intégrées dans vos marchés publics. C’est ce volet qui a le plus d’impact opérationnel immédiat pour les collectivités.

Authentification renforcée. L’authentification multifacteur (MFA) devient attendue pour tous les accès sensibles : administration des serveurs, accès aux logiciels métier, connexions VPN, comptes de prestataires en intervention distante.

Continuité d’activité. Un plan de continuité documenté doit exister pour les services numériques critiques. Sauvegardes chiffrées, procédures de reprise, scénarios de crise : autant d’éléments qui doivent être testés régulièrement, pas seulement écrits.

Ce que ça change pour votre équipement numérique scolaire

C’est le point que la plupart des guides sur NIS2 n’abordent pas. Pourtant, pour une collectivité qui gère un parc de tablettes ou d’ordinateurs dans ses établissements scolaires, NIS2 a des implications directes.

La solution de gestion de parc MDM ou UEM souverain que vous utilisez entre dans le périmètre de la chaîne d’approvisionnement. ». Si votre solution de gestion de parc est hébergée hors de France, opérée par un prestataire non conforme ou non auditable, vous exposez votre collectivité à un risque de non-conformité NIS2. L’article 21 de la directive impose d’évaluer la sécurité de chaque sous-traitant et d’inscrire des clauses de sécurité dans les contrats. Votre fournisseur de MDM/UEM est un sous-traitant au sens de NIS2.

Les données élèves transitent par votre infrastructure. Les ENT (Espaces numériques de travail), les applications pédagogiques, les portails famille : tout ce qui génère des échanges de données entre vos établissements et vos serveurs est un périmètre à sécuriser et à documenter dans votre analyse de risques.

Vos marchés publics d’équipement doivent évoluer. Les nouveaux CCAG-TIC (Cahiers des clauses administratives générales – Technologies de l’information et de la communication) intègrent désormais des exigences renforcées en matière de sécurité. Tout nouveau marché d’équipement numérique scolaire, tablettes, ordinateurs, logiciels de gestion, doit prévoir des clauses de cybersécurité et des audits de sécurité avant mise en service.

Faut-il agir maintenant ou attendre la loi ?

La réponse de l’ANSSI est claire : n’attendez pas. La loi française n’est pas encore définitivement adoptée, mais les cybermenaces qui justifient NIS2 sont bien réelles aujourd’hui. Les collectivités représentaient environ un quart des victimes de rançongiciels en 2023 et un cinquième en 2024.

Trois actions concrètes à lancer maintenant, sans attendre la promulgation :

Faire le diagnostic. Utilisez le simulateur MonEspaceNIS2 de l’ANSSI pour déterminer si votre collectivité entre dans le périmètre et sous quelle catégorie. C’est gratuit, rapide et ça vous donne une base de travail documentée.

Auditer vos contrats prestataires. Passez en revue les contrats de vos fournisseurs numériques clés, hébergeur, MDM/UEM, éditeurs d’applications, pour identifier ceux qui ne contiennent pas encore de clauses de cybersécurité. C’est la priorité opérationnelle numéro un.

Documenter votre politique de sécurité. Même une PSSI partielle et en cours de construction vaut mieux qu’aucune documentation. En cas de contrôle, l’ANSSI valorise la démarche d’anticipation. Les contrôles sur les entités essentielles montent en charge à partir de 2026, vous avez encore une fenêtre d’anticipation.

Conclusion

NIS2 n’est pas un texte de plus qui attendra sagement dans un tiroir. C’est une transformation structurelle de la façon dont les collectivités doivent appréhender leur sécurité numérique, y compris dans les choix d’équipement qu’elles font pour leurs établissements scolaires.

La fenêtre d’anticipation est encore ouverte. Les collectivités qui agissent maintenant, diagnostic, audit des contrats, mise à jour des marchés publics, seront en position de conformité sereine quand la loi sera définitivement adoptée. Celles qui attendent subiront la mise en conformité dans l’urgence.

FAQ

Pas directement. Le seuil retenu pour les collectivités dans le projet de loi français est de 30 000 habitants pour les entités essentielles. En dessous de ce seuil, les communes ne sont pas dans le périmètre direct. En revanche, si votre commune fait appel à un syndicat informatique départemental ou à un prestataire mutualisé lui-même soumis à NIS2, vous êtes concerné indirectement via les exigences de la chaîne d'approvisionnement.

Les entités essentielles, régions, départements, métropoles, communes de plus de 30 000 habitants, sont soumises aux exigences les plus élevées et peuvent faire l'objet d'un contrôle ANSSI sans qu'un incident ne soit survenu. Les entités importantes, communautés d'agglomération, communautés de communes, ont des obligations de même nature mais avec un régime de contrôle réactif, déclenché à l'occasion d'incidents ou de signalements.

Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2% du budget annuel. Pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4% du budget. Des sanctions complémentaires sont prévues : mises en demeure, injonctions de rectification, voire interdiction temporaire d'exercer des fonctions de direction. Il convient néanmoins de noter que les débats parlementaires sont encore en cours sur l'application exacte des sanctions aux collectivités.

Non directement. NIS2 n'impose pas de changer de matériel. Elle impose de s'assurer que tous les prestataires de votre chaîne numérique, dont votre fournisseur de gestion de parc, respectent des standards de sécurité documentés et contractualisés. Si votre MDM/UEM actuel ne peut pas fournir cette documentation, c'est le bon moment pour réévaluer la solution.

Non. La loi française de transposition, la loi Résilience, n'est pas encore définitivement adoptée. Elle a été votée au Sénat en mars 2025 et est en attente d'examen à l'Assemblée nationale. La France a dépassé l'échéance européenne du 17 octobre 2024, ce qui a conduit la Commission européenne à engager une procédure d'infraction. En attendant la promulgation, l'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, qui détaille les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Les projections convergent vers une période transitoire d'enregistrement en T3-T4 2026, et des premiers contrôles ciblés sur les entités essentielles en 2027. L'ANSSI recommande d'anticiper dès maintenant via MonEspaceNIS2.

Ressources

* Champs obligatoires
Partager

Articles recommandés

Toutes les ressources