NIS2 pour les collectivités territoriales : ce qu'il faut savoir
L'administration publique figure parmi les secteurs hautement critiques de l'Annexe I de NIS2. Les collectivités territoriales d'une certaine taille sont concernees. Voici les spécificités.
Quelles collectivités sont concernees ?
La directive vise l'administration publique au sens large. En France, la loi Résilience précisera le périmètre exact. Sont probablement concernees :
- Regions et departements : systématiquement (taille supérieure aux seuils)
- Communes et EPCI de grande taille : au-dela de certains seuils demographiques
- Établissements publics gerant des services essentiels (eau, dechets, transport)
Utilisez notre quiz d'auto-diagnostic pour une première évaluation.
Les incidents récents
Les collectivités sont massivement ciblees : Angers (2021), Marseille (2020), La Rochelle (2022), departement de Seine-et-Marne (2022), departement de Seine-Maritime (2022). Les ransomwares paralysent les services publics pendant des semaines, avec des couts de remediation de plusieurs millions d'euros.
Obligations spécifiques
Les collectivités devront appliquer les 10 mesures de l'article 21, en tenant compte de leurs contraintes : budgets limites, SI herites et vieillissants, dependance aux prestataires, manque de compétences cyber internes. Le ReCyF propose des mesures adaptables selon la taille et les moyens.
Les aides disponibles
- France Relance : volet cybersécurité pour les collectivités (appels a projets ANSSI)
- MonAideCyber : outil gratuit de l'ANSSI pour les TPE/PME et collectivités
- Campus Cyber regionaux : accompagnement de proximité
- Mutualisation : CSIRT regionaux, OPSN (opérateurs publics de services numeriques)
Voir la page administration publique, les sanctions et le guide de mise en conformité.
Sources
- Directive (UE) 2022/2555, Annexe I
- ANSSI, MonAideCyber
- Banque des Territoires, etudes collectivités et cyber