NIS2 à Marseille et en PACA : quelles entreprises sont concernées et comment se conformer
Deuxième ville de France, Marseille abrite des opérateurs critiques dans les secteurs portuaire, énergétique, sanitaire et numérique. La région Provence-Alpes-Côte d’Azur concentre plusieurs centaines d’entités potentiellement soumises à la directive NIS2. Ce guide décrypte les enjeux spécifiques à Marseille et à PACA, du port de Fos aux hôpitaux de l’AP-HM, en passant par les ETI industrielles et les collectivités.
Mis à jour : avril 2026
La directive NIS2 (UE 2022/2555) s’applique aux entités de plus de 50 salariés ou 10 M€ de CA opérant dans 18 secteurs critiques. La région PACA est concernée par ses opérateurs portuaires, énergétiques, de santé et d’infrastructures numériques. Les sanctions atteignent 10 millions d’euros ou 2 % du CA mondial pour les entités essentielles, selon l’article 34 de la directive.
Marseille et PACA dans le périmètre NIS2 : un poids régional significatif
La directive NIS2 ne distingue pas les régions françaises entre elles. Une entité est soumise ou non en fonction de son secteur et de sa taille. Mais la structure économique de PACA place la région dans une position particulière face à ce texte.
La région compte deux des plus grandes villes françaises (Marseille et Nice), un port industriel parmi les plus importants d’Europe, des centrales nucléaires et des barrages hydrauliques sur le Rhône, un secteur santé dense avec plusieurs CHU, et un tissu numérique en forte croissance autour des pôles de Sophia Antipolis, Aix-en-Provence et Marseille. Autant d’acteurs directement visés par les 18 secteurs de la directive.
Selon les estimations de l’ANSSI, entre 10 000 et 15 000 entités françaises entrent dans le périmètre NIS2. PACA, qui représente environ 7 % du PIB national, concentrerait entre 700 et 1 350 entités concernées - dont la majorité sur les métropoles de Marseille, Nice et Aix-en-Provence.
Les entités régionales filiales de groupes dont le siège est à Paris ou à l’étranger peuvent être qualifiées indépendamment si elles ont leur propre personnalité morale et remplissent les seuils. Vérifiez le statut juridique de chaque entité de votre groupe avant de conclure que vous êtes hors-périmètre.
Les secteurs NIS2 les plus exposés en PACA
Parmi les 18 secteurs couverts par la directive, six sont particulièrement représentés dans l’économie provençale et azéuréenne :
| Secteur NIS2 | Exemples d’entités PACA | Classement |
|---|---|---|
| Transport | Grand Port Maritime Marseille-Fos, aéroports MRS et NCE, gestionnaires d’autoroutes | Entité essentielle (Annexe I) |
| Énergie | Centrale nucléaire de Tricastin, barrages CNR sur le Rhône, GRTgaz Méditerranée | Entité essentielle (Annexe I) |
| Santé | AP-HM (Assistance Publique - Hôpitaux de Marseille), CHU de Nice, cliniques privées de taille critique | Entité essentielle (Annexe I) |
| Eau potable et eaux usées | Métropole Aix-Marseille-Provence, SCP (Société du Canal de Provence) | Entité essentielle (Annexe I) |
| Infrastructures numériques | Data centers Marseille (hub câbles sous-marins), MRS-IX (point d’échange internet) | Entité essentielle (Annexe I) |
| Gestion des services TIC | ESN régionales, intégrateurs, MSP basés à Sophia Antipolis et Marseille | Entité importante (Annexe II) |
Pour vérifier si votre secteur figure dans le périmètre, consultez la page 18 secteurs NIS2 concernés avec le détail de chaque annexe.
Marseille, hub de câbles sous-marins : une exposition numérique spécifique
Un point rarement mentionné dans les analyses régionales : Marseille est devenu l’un des principaux points d’atterrissage des câbles sous-marins en Europe. Plus de 15 câbles internationaux transitent par le littoral provençal, faisant de la métropole un nœud stratégique des infrastructures numériques mondiales.
Cette position géographique entraîne une concentration d’opérateurs d’infrastructures numériques directement visés par l’Annexe I de NIS2 : fournisseurs de points d’échange internet (IXP), gestionnaires de data centers colocalisés, opérateurs de systèmes de noms de domaine (DNS). Ces entités font partie des premières à entrer dans le périmètre NIS2, quelle que soit leur taille.
Les opérateurs d’infrastructures numériques (IXP, DNS, TLD, points d’échange) sont exemptés du critère de taille dans la directive NIS2 selon l’article 2 paragraphe 2. Ils sont automatiquement soumis à NIS2 s’ils opèrent en France, quel que soit leur nombre d’employés. Pour les opérateurs marseillais d’infrastructures de câbles ou de data centers, l’obligation s’applique pleinement dès la transposition française.
Les collectivités de PACA face à NIS2
La directive NIS2 couvre les administrations publiques aux niveaux central et régional (article 2, paragraphe 3). La transposition française via la loi Résilience précisera les seuils et les exemptions pour les collectivités locales, mais plusieurs acteurs publics de PACA semblent directement dans le périmètre :
- La Métropole Aix-Marseille-Provence (92 communes, 1,9 million d’habitants) - en tant qu’opérateur d’eau, de transport et de services urbains essentiels
- La Région Sud - Provence-Alpes-Côte d’Azur - administration régionale gérant des services numériques, des transports et des aides aux entreprises
- La Ville de Marseille - deuxième ville de France par la population, avec des systèmes numériques critiques (eau, transport, sécurité, services sociaux)
- Les grands CHU et établissements publics (AP-HM, CHU de Nice) au titre du secteur Santé
En pratique, les collectivités qui pilotent des services critiques ont intérêt à anticiper sans attendre le décret de transposition, car les délais de mise en conformité sont longs. La page calendrier de transposition NIS2 détaille les échéances à surveiller.
Ce que NIS2 impose concrètement : obligations article 21
Qu’une entité soit à Marseille ou à Strasbourg, les obligations sont identiques. L’article 21 de la directive impose 10 mesures minimales de cybersécurité. Les voici traduites en actions concrètes pour une ETI ou une collectivité provençale :
| Mesure article 21 | Ce que cela signifie en pratique | Priorité |
|---|---|---|
| Politique de sécurité et gestion des risques | Formaliser une politique cybersécurité validée par la direction. Cartographier les actifs critiques. | Immédiate |
| Gestion des incidents | Mettre en place un processus de détection, d’escalade et de notification. Alerte ANSSI sous 24h. | Immédiate |
| Continuité d’activité (PCA/PRA) | Plans documentés et testés. Sauvegardes régulières. Gestion de crise formalisée. | Haute |
| Sécurité de la chaîne d’approvisionnement | Auditer les fournisseurs critiques. Clauses contractuelles cybersécurité. Évaluation des ESN et sous-traitants. | Haute |
| Gestion des accès et authentification | MFA obligatoire sur tous les accès sensibles. Gestion des comptes privilégiés. | Haute |
| Chiffrement | Chiffrement des données en transit et au repos. Gestion des certificats. | Moyenne |
| Formation et sensibilisation | Programme annuel de sensibilisation. Formation obligatoire des dirigeants (article 20). | Haute |
Le détail complet des 10 mesures est disponible sur la page obligations NIS2 article 21. Le ReCyF publié par l’ANSSI en mars 2026 fournit le référentiel opérationnel pour les mettre en oeuvre.
Êtes-vous concerné par NIS2 en PACA ?
Diagnostic d’éligibilité personnalisé, analyse d’écart par rapport aux obligations article 21, plan de remédiation priorisé. Nos partenaires experts interviennent à Marseille, Aix-en-Provence et sur l’ensemble de la région PACA.
Demander un diagnostic gratuitDélais, sanctions et responsabilité des dirigeants
Les sanctions NIS2 sont calées sur le modèle RGPD et s’appliquent à l’entité quelle que soit sa localisation en France. Pour les entités essentielles, elles peuvent atteindre :
- 10 millions d’euros ou 2 % du chiffre d’affaires mondial (montant le plus élevé retenu)
- Pour les entités importantes : 7 millions d’euros ou 1,4 % du CA mondial
- Responsabilité personnelle des dirigeants en cas de manquement grave (articles 20 et 32)
La notification obligatoire d’incidents est l’obligation la plus contraignante en termes de délais. En cas d’incident significatif, l’entité doit transmettre une alerte précoce à l’ANSSI dans les 24 heures, une notification détaillée dans les 72 heures, et un rapport final sous 1 mois. Ces délais sont stricts et le non-respect peut lui-même être sanctionné.
La page sanctions NIS2 détaille le barème complet et des exemples de cas concrets. La page calendrier NIS2 précise les échéances de la transposition française.
Comment se préparer dès maintenant depuis Marseille
L’incertitude sur la date exacte d’entrée en vigueur de la loi française ne doit pas être un prétexte à l’attentisme. Les actions de préparation lancées maintenant seront utiles quelle que soit la date finale. La mise en place du MFA, la formalisation de la politique de sécurité et la revue des contrats fournisseurs améliorent la résilience cyber immédiatement.
- Étape 1 - Vérifier l’éligibilité (1 semaine) : Se pré-enregistrer sur MonEspaceNIS2 (monespacenis2.fr). Confirmer le secteur d’activité et les seuils de taille. Identifier toutes les entités juridiques du groupe potentiellement concernées.
- Étape 2 - Mesurer l’écart (1 à 3 mois) : Réaliser une gap analysis structurée par rapport aux 10 mesures de l’article 21 et au ReCyF de l’ANSSI. Identifier les 3 à 5 chantiers les plus urgents.
- Étape 3 - Planifier la remédiation (3 à 18 mois) : Budgéter et planifier les actions correctrices. Former les dirigeants (obligation article 20). Revoir les contrats fournisseurs pour intégrer les clauses cybersécurité.
Des prestataires qualifiés PASM ou PASSI par l’ANSSI opèrent sur la région PACA. Ces labels garantissent un niveau de compétence reconnu pour l’accompagnement à la mise en conformité NIS2. La page mise en conformité NIS2 vous oriente sur les premières démarches.
Questions fréquentes sur NIS2 à Marseille et en PACA
Combien d’entreprises marseillaises sont concernées par NIS2 ?
La région PACA représente environ 7 à 9 % du tissu économique national dans les secteurs critiques NIS2. Sur les 10 000 à 15 000 entités françaises estimées par l’ANSSI, entre 700 et 1 350 seraient basées en PACA - dont une proportion significative à Marseille, Aix-en-Provence et Nice. Ce chiffre inclut les opérateurs d’infrastructures numériques, les établissements de santé, les acteurs portuaires et énergétiques, et les grandes collectivités.
Le Grand Port Maritime de Marseille est-il soumis à NIS2 ?
Oui. Le Grand Port Maritime de Marseille-Fos (GPMM) entre dans le périmètre NIS2 au titre du secteur Transport - sous-secteur portuaire (Annexe I). En tant qu’établissement public, il est qualifiable d’entité essentielle. Ses obligations incluent les 10 mesures de l’article 21, la notification d’incidents sous 24h, et la responsabilisation de ses dirigeants au titre de l’article 20.
Les hôpitaux de Marseille (AP-HM) doivent-ils se conformer à NIS2 ?
Oui. Le secteur Santé fait partie de l’Annexe I (entités essentielles) de la directive NIS2. L’AP-HM et les grands établissements privés de santé répondant aux seuils de taille sont directement concernés. La loi française de transposition précisera les seuils exacts pour les établissements de santé.
Une PME marseillaise sous-traitante d’un opérateur critique doit-elle se conformer à NIS2 ?
Pas directement si elle ne remplit pas les critères de taille et de secteur. Mais l’article 21(2)(d) oblige les entités NIS2 à sécuriser leur chaîne d’approvisionnement. Un donneur d’ordre soumis à NIS2 peut imposer des exigences contractuelles de cybersécurité à ses sous-traitants. Vérifiez vos contrats : des clauses de sécurité peuvent déjà s’appliquer ou apparaître lors de la prochaine renégociation.
Par où commencer la mise en conformité NIS2 pour une ETI à Marseille ?
Première étape : se pré-enregistrer sur MonEspaceNIS2 et confirmer son éligibilité. Deuxième étape : réaliser une analyse d’écart par rapport aux 10 mesures de l’article 21. Troisième étape : définir un plan de remédiation priorisé, en commençant par la gouvernance et la gestion des accès. Des prestataires PASM qualifiés par l’ANSSI opèrent sur Marseille et Aix-en-Provence.
Besoin d’accompagnement pour votre conformité NIS2 en PACA ?
Diagnostic d’éligibilité, analyse d’écart, plan de remédiation : nos partenaires experts vous accompagnent depuis Marseille et sur l’ensemble de la région Provence-Alpes-Côte d’Azur.
Demander un diagnostic