EDF, Engie et les acteurs de l'énergie lyonnais sont-ils concernés par NIS2 ?

Oui. Le secteur Énergie figure à l'Annexe I de la directive NIS2 (entités essentielles). Les producteurs et gestionnaires de réseaux d'électricité, de gaz et de chaleur ayant leur siège ou une entité en Auvergne-Rhône-Alpes sont directement concernés, quelle que soit leur taille si leur activité est critique.

Par où commencer la mise en conformité NIS2 pour une ETI à Lyon ?

Première étape : se pré-enregistrer sur MonEspaceNIS2 et confirmer son éligibilité. Deuxième étape : réaliser une analyse d'écart par rapport aux 10 mesures de l'article 21. Troisième étape : définir un plan de remédiation priorisé en commençant par la gouvernance, la gestion des identités et la continuité d'activité.

Géographique - Avril 2026

NIS2 à Lyon et en Auvergne-Rhône-Alpes : quelles entreprises sont concernées et comment se conformer

Q: Les Hospices Civils de Lyon sont-ils soumis à NIS2 ?

Oui. Les Hospices Civils de Lyon (HCL), premier CHU de France hors Île-de-France, entrent dans le périmètre NIS2 au titre du secteur Santé (Annexe I - entités essentielles). Leurs obligations incluent les 10 mesures de l'article 21, la notification d'incidents sous 24h, et la responsabilisation directe de leurs dirigeants.

Mis à jour avril 2026. La métropole lyonnaise concentre l'un des plus importants écosystèmes industriels, chimiques et de santé de France. Voici ce que NIS2 change concrètement pour les acteurs d'Auvergne-Rhône-Alpes.

En résumé - Points clés NIS2 en Auvergne-Rhône-Alpes

La directive NIS2 (UE 2022/2555) concerne entre 1 000 et 1 800 entités en Auvergne-Rhône-Alpes selon les estimations de l'ANSSI. La métropole lyonnaise est particulièrement exposée : pôle de santé avec les HCL, secteur énergie et chimie (Arkema, Syensqo), infrastructures numériques et transports. Les sanctions atteignent jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Le pré-enregistrement sur MonEspaceNIS2 est ouvert depuis mars 2026.

Lyon et Auvergne-Rhône-Alpes face à NIS2 : un périmètre régional dense

La région Auvergne-Rhône-Alpes n'est pas une région comme les autres pour NIS2. Deuxième région économique de France, elle concentre des secteurs critiques dans presque toutes les catégories couvertes par la directive : énergie, chimie, santé, transports, fabrication de haute technologie. Lyon, Grenoble, Saint-Étienne et Clermont-Ferrand portent l'essentiel du tissu industriel concerné.

La directive NIS2 (UE 2022/2555), adoptée le 14 décembre 2022, remplace la directive NIS1 de 2016 et étend considérablement le périmètre des entités soumises à des obligations de cybersécurité. Pour comprendre le cadre global, consultez notre guide complet de la directive NIS2.

En pratique, les entités régionales concernées se répartissent en deux catégories :

Entités essentielles (Annexe I) : opérateurs dans l'énergie, les transports, la santé, les infrastructures numériques. Sanctions jusqu'à 10 M€ ou 2 % du CA mondial.
Entités importantes (Annexe II) : fabricants, services postaux, chimie, alimentation, gestion des déchets. Sanctions jusqu'à 7 M€ ou 1,4 % du CA mondial.

Les secteurs clés lyonnais dans le périmètre NIS2

La question qu'on reçoit souvent de la part des DSI lyonnais : "Mon secteur est-il vraiment concerné ?" La réponse dans la plupart des grands groupes régionaux est oui - et parfois avec plusieurs entités du même groupe à qualifier indépendamment.

Santé : les HCL et l'écosystème biotech

Les Hospices Civils de Lyon (HCL) constituent le premier CHU de France hors Île-de-France avec plus de 23 000 agents. Ils entrent directement dans le périmètre NIS2 au titre du secteur Santé (Annexe I). Leur statut d'entité essentielle implique les 10 mesures de l'article 21 et la notification d'incidents en 24h. Au-delà des HCL, les grands établissements privés (Ramsay, Elsan) et les cliniques dépassant les seuils de taille (plus de 50 salariés et 10 M€ de CA) sont également concernés. Le pôle biotech de Gerland (BioDistrict Lyon) compte plusieurs ETI qui doivent analyser leur périmètre.

Énergie : Enedis, EDF et les acteurs du réseau

La région héberge des infrastructures critiques pour la production et la distribution d'énergie. EDF, Enedis, RTE (gestionnaire du réseau de transport d'électricité), mais aussi les entreprises locales de distribution (ELD) et les opérateurs de chauffage urbain entrent dans l'Annexe I. La centrale nucléaire du Bugey (Ain), à 35 km de Lyon, est opérée par EDF - entité essentielle par définition.

Un point souvent mal compris : les producteurs d'énergie renouvelable dépassant les seuils de taille sont également concernés. Les nombreux acteurs des EnR installés en Auvergne-Rhône-Alpes doivent vérifier leur éligibilité.

Chimie et industrie : un secteur Annexe II dense

La vallée de la chimie lyonnaise (secteur sud de la métropole) concentre des acteurs comme Arkema, Solvay (désormais Syensqo) et leurs sous-traitants. Le secteur Chimie relève de l'Annexe II (entités importantes) de NIS2. Les entreprises dépassant 50 salariés et 10 M€ de CA dans la production de substances chimiques sont directement concernées.

Le secteur Fabrication (Annexe II) couvre également les équipementiers médicaux, les constructeurs automobiles et les fabricants de machines. Dans une région comme Auvergne-Rhône-Alpes, ce périmètre est particulièrement large.

Transports : Lyon Saint-Exupéry et la SNCF

Le secteur Transport (Annexe I - entités essentielles) concerne les gestionnaires d'infrastructures aéroportuaires, ferroviaires et routières. L'aéroport de Lyon Saint-Exupéry (Vinci Airports), SNCF Réseau et les opérateurs ferroviaires régionaux (Transdev, Keolis) sont directement dans le périmètre. Les obligations de notification d'incidents sous 24h et de gestion des risques cyber s'appliquent à leurs systèmes d'information critiques.

Ce que les obligations NIS2 signifient concrètement pour une ETI lyonnaise

Les 10 mesures de l'article 21 ne sont pas abstraites. Pour un DSI d'une ETI industrielle de 500 personnes à Lyon, voici ce que ça représente en pratique :

Mesure article 21	Ce que cela implique	Délai estimé
Politique de sécurité et analyse des risques	Cartographie des actifs, SMSI formalisé	3 à 6 mois
Gestion des incidents	Procédure de détection, escalade, notification CSIRT	2 à 4 mois
Continuité d'activité (PCA/PRA)	Plan de reprise, sauvegardes testées, procédures de crise	4 à 8 mois
Sécurité de la chaîne d'approvisionnement	Audit des fournisseurs critiques, clauses contractuelles	3 à 5 mois
Chiffrement et contrôle d'accès	MFA généralisé, chiffrement des données sensibles	2 à 3 mois

Le détail complet de chacune des 10 mesures est expliqué dans notre article dédié aux obligations de l'article 21 NIS2.

Point de vigilance pour les industriels lyonnais

Plusieurs ETI industrielles de la région opèrent des systèmes OT (technologie opérationnelle) - automates, SCADA, systèmes de contrôle. NIS2 s'applique aussi à ces environnements. Or la cybersécurité OT est souvent moins mature que la cybersécurité IT classique. Le délai de mise en conformité est généralement plus long pour les systèmes industriels.

Votre entreprise lyonnaise est-elle concernée par NIS2 ?

Un diagnostic d'éligibilité personnalisé en 48h. Secteur, taille, périmètre : nos partenaires experts vous donnent une réponse claire.

Demander un diagnostic gratuit

Calendrier et MonEspaceNIS2 : où en sont les entités régionales en 2026

La transposition française de NIS2 prend du retard. La date limite fixée par Bruxelles était le 17 octobre 2024 - date non respectée par la France. Le projet de loi Résilience, qui transpose NIS2 en droit français, est examiné par le Parlement au premier semestre 2026.

Mais le retard législatif ne signifie pas l'inaction. Trois évolutions concrètes sont déjà en place pour 2026 :

MonEspaceNIS2 (portail ANSSI) est ouvert au pré-enregistrement volontaire des entités depuis début 2026. Les entreprises lyonnaises éligibles peuvent s'y inscrire dès maintenant.
Le ReCyF (Référentiel Cyber France), publié par l'ANSSI le 17 mars 2026, précise les exigences techniques pour les entités françaises. Il s'articule autour de 4 piliers : Gouvernance, Protection, Défense, Résilience.
La loi Résilience, attendue pour juillet 2026, donnera une base légale contraignante aux obligations et aux sanctions. Le calendrier complet de la transposition est disponible sur notre site.

Ce que les DSI lyonnais nous disent : "On attend la loi pour commencer." C'est une erreur. Les délais de mise en conformité techniques et organisationnelles - cartographie des actifs, déploiement du MFA, mise à jour des PCA, formation des dirigeants - prennent en moyenne 12 à 18 mois pour une ETI. Ceux qui démarrent maintenant seront en position confortable à l'entrée en vigueur de la loi.

Schéma : les secteurs NIS2 présents en Auvergne-Rhône-Alpes

Sanctions NIS2 : ce que risquent les entreprises d'Auvergne-Rhône-Alpes

Les sanctions NIS2 sont calquées sur le modèle du RGPD. Elles s'appliquent à l'entité mais engagent aussi la responsabilité personnelle des dirigeants en cas de manquement grave. Pour une ETI lyonnaise du secteur Fabrication avec 80 M€ de CA, l'amende maximale atteindrait 1,12 M€ (1,4 % du CA) - une somme qui représente souvent plusieurs années d'investissement IT.

Au-delà des amendes, NIS2 prévoit des mesures de suspension temporaire d'activité pour les entités essentielles ne se conformant pas aux injonctions de l'autorité compétente. La page dédiée aux sanctions NIS2 détaille le barème complet et les conditions de déclenchement.

Un fait souvent ignoré : les dirigeants d'entités essentielles peuvent se voir personnellement interdire l'exercice de fonctions de direction. C'est une rupture majeure avec le droit français classique de la responsabilité cyber, qui ne visait jusqu'alors que les personnes morales.

Stratégie de conformité pour les acteurs lyonnais

On voit souvent deux erreurs opposées dans les entreprises régionales : soit l'attentisme ("on verra quand la loi sera votée"), soit la panique ("il faut tout refaire"). Ni l'une ni l'autre ne sont des stratégies.

Ce qui fonctionne pour une ETI lyonnaise de taille intermédiaire :

Étape 1 - Confirmer l'éligibilité : secteur et seuils de taille. L'auto-diagnostic NIS2 disponible sur notre site permet une première évaluation en 10 minutes.
Étape 2 - Gap analysis : comparer l'existant (SMSI, sauvegardes, MFA, procédures incidents) aux 10 exigences de l'article 21. Identifier les écarts prioritaires.
Étape 3 - Gouvernance : impliquer les dirigeants. NIS2 impose une formation obligatoire aux organes de direction. Ce n'est pas optionnel.
Étape 4 - Roadmap 12-18 mois : prioriser les chantiers par risque et par coût. Ne pas chercher la conformité parfaite du premier coup - chercher la conformité documentée et défendable.
Étape 5 - Pré-enregistrement : se déclarer sur MonEspaceNIS2 auprès de l'ANSSI. Cela ne déclenche pas les obligations mais positionne l'entité dans le processus officiel.

Pour les collectivités territoriales de la région (Métropole de Lyon, Département de l'Isère, Région Auvergne-Rhône-Alpes), les obligations NIS2 sont distinctes et font l'objet d'un cadre spécifique détaillé dans notre article sur les entités concernées par NIS2.

Chiffre clé ANSSI 2026

Selon les estimations de l'ANSSI publiées en 2024, entre 10 000 et 15 000 entités françaises sont concernées par la directive NIS2 (UE 2022/2555). La région Auvergne-Rhône-Alpes, représentant 10 à 12 % du tissu économique national dans les secteurs critiques, concentrerait entre 1 000 et 1 800 de ces entités.

Questions fréquentes sur NIS2 à Lyon et en Auvergne-Rhône-Alpes

Combien d'entreprises lyonnaises sont concernées par NIS2 ?

La région Auvergne-Rhône-Alpes concentre environ 10 à 12 % du tissu économique national dans les secteurs critiques NIS2. Sur les 10 000 à 15 000 entités françaises estimées par l'ANSSI, entre 1 000 et 1 800 seraient basées en Auvergne-Rhône-Alpes, dont une proportion significative dans la métropole lyonnaise.

Les Hospices Civils de Lyon sont-ils soumis à NIS2 ?

Oui. Les HCL, premier CHU de France hors Île-de-France, entrent dans le périmètre NIS2 au titre du secteur Santé (Annexe I - entités essentielles). Leurs obligations incluent les 10 mesures de l'article 21, la notification d'incidents sous 24h et la responsabilisation directe de leurs dirigeants.

EDF et Enedis sont-ils concernés par NIS2 à Lyon ?

Oui. Le secteur Énergie figure à l'Annexe I de la directive NIS2 (entités essentielles). EDF, Enedis, RTE et les opérateurs de réseaux de chaleur urbains dépassant les seuils de taille sont directement concernés, quelle que soit leur implantation géographique en France.

Une ETI industrielle lyonnaise sous-traitante est-elle concernée par NIS2 ?

Pas directement si elle ne satisfait pas les critères de taille et de secteur. Mais l'article 21(2)(d) oblige les entités NIS2 à sécuriser leur chaîne d'approvisionnement. Un donneur d'ordre soumis à NIS2 peut imposer des exigences contractuelles à ses sous-traitants lyonnais, même non concernés par la directive.

Par où commencer la mise en conformité NIS2 à Lyon ?

Commencez par confirmer votre éligibilité (secteur et seuils de taille). Réalisez ensuite une analyse d'écart par rapport aux 10 mesures de l'article 21. Pré-enregistrez-vous sur MonEspaceNIS2. Et démarrez sans attendre la loi Résilience : les délais de mise en conformité sont de 12 à 18 mois pour une ETI.

Votre conformité NIS2 démarre maintenant

Diagnostic d'éligibilité, analyse d'écart, plan de remédiation : nos partenaires experts vous accompagnent à chaque étape - que vous soyez à Lyon, Grenoble, Clermont-Ferrand ou partout en Auvergne-Rhône-Alpes.

Demander un devis