Directive NIS2 et secteur administration publique : guide des obligations 2026
Tout ce que les administrations publiques doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur administration publique dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI |
Périmètre et entités concernees
L'administration publique est classee en Annexe I de la directive NIS2, reconnaissant que les services publics numeriques sont devenus essentiels au fonctionnement de la société. La directive laisse aux États membres une marge de manoeuvre pour définir le périmètre exact des entités publiques concernees, mais impose une couverture minimale des administrations centrales et regionales.
En France, le périmètre devrait couvrir les administrations centrales (ministeres, services deconcentres de l'État, prefectures), les autorites administratives indépendantes, les agences nationales, et les collectivités territoriales d'une certaine taille (regions, departements, metropoles et grandes intercommunalites). La directive exclut explicitement les entités relevant de la sécurité nationale, de la défense et du maintien de l'ordre. Le périmètre precis sera défini par la loi Résilience et ses décrets d'application.
Acteurs concernes en France
Les ministeres et leurs directions du numerique (DINUM pour le pilotage interministeriel), les prefectures, les agences nationales (ANSES, ANSM, France Travail), les autorites administratives indépendantes (CNIL, AMF, Arcep), les collectivités territoriales (regions, departements, communes de taille significative, EPCI), les centres de gestion et les opérateurs de mutualisation numerique (OPSN). L'ANSSI coordonne la strategie cyber de l'État via le volet cyber de la revue strategique de défense.
Menaces cyber spécifiques au secteur administration publique
Les administrations publiques sont des cibles privilegiees pour l'espionnage étatique, le hacktivisme et la cybercriminalite. Les attaques de 2023 contre des mairies et des collectivités françaises (Lille, Angers, La Rochelle) ont revele la vulnérabilité des SI des administrations locales. Les donnees detenues par les administrations (état civil, fiscalite, santé, justice) sont particulièrement sensibles. Les attaques sur les services publics numeriques (France Connect, impots.gouv.fr, CAF) auraient un impact direct sur des millions de citoyens. Les elections et les systèmes democratiques font l'objet de menaces d'influence et de destabilisation.
Obligations NIS2 pour le secteur administration publique
Les entités sont soumises aux obligations générales de NIS2 :
- Gouvernance (article 20) : responsabilité directe des elus et dirigeants, formation obligatoire en cybersécurité.
- Gestion des risques (article 21) : 10 mesures incluant analyse des risques, gestion des incidents, continuite. Voir obligations NIS2.
- Notification (article 23) : alerte 24h, notification 72h, rapport final 1 mois. Voir guide NIS2.
- Enregistrement sur MonEspaceNIS2.
Sanctions encourues
- Amendes : jusqu'a 10 millions EUR ou 2% du CA mondial.
- Injonctions de conformité avec délais contraints.
- Suspension temporaire de certification.
- Publication des decisions.
Detail sur sanctions NIS2.
Contexte reglementaire spécifique
L'administration publique beneficie déjà du cadre RGS (Référentiel Général de Sécurité) et de la PSSI-E (Politique de Sécurité des Systèmes d'Information de l'État). Les OIV publics sont soumis à la LPM depuis 2013. NIS2 vient elargir et formaliser ces obligations. Le ReCyF s'applique aux entités publiques désignées, avec un pilier Gouvernance imposant la responsabilité directe des elus et dirigeants. Le programme France Relance a finance des audits et des mesures de securisation pour les collectivités. La loi Résilience définira les seuils de taille pour les collectivités concernees et les modalites d'accompagnement spécifiques.
Étapes de mise en conformité
- Qualification : vérifier votre périmètre NIS2. Mise en conformité NIS2.
- Diagnostic : état des lieux vs ReCyF.
- Plan d'action : priorisation des mesures.
- Implementation : mesures techniques et organisationnelles.
- Pre-enregistrement MonEspaceNIS2.
- Amelioration continue.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - ReCyF, 17 mars 2026
- Loi Résilience - examen prévu juillet 2026
- MonEspaceNIS2
Vérifiéz si votre administration est concernee par NIS2.
Évaluer ma conformité NIS2