Annexe II - Secteur critique

Directive NIS2 et secteur alimentation : guide des obligations 2026

Tout ce que les acteurs du secteur agroalimentaire doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.

Classification du secteur alimentation dans NIS2

Critère	Detail
Annexe	Annexe II
Statut	Entité importante
Type de supervision	Ex post (reactive)
Amende maximale	7 millions EUR ou 1,4% du CA mondial
Autorite de supervision	ANSSI

Périmètre et entités concernees

Le secteur de la production, transformation et distribution alimentaire est classe en Annexe II de NIS2. Son inclusion reconnait l'importance strategique de la sécurité alimentaire et les risques croissants de cyberattaques contre la chaîne alimentaire. La France, première puissance agricole europeenne, est particulièrement concernee.

Le périmètre couvre les entreprises de production alimentaire, de transformation et de distribution en gros de denrees alimentaires. Cela inclut les grands groupes agroalimentaires (Danone, Lactalis, Pernod Ricard, Bigard), les cooperatives agricoles (InVivo, Terrena, Agrial), les centrales d'achat de la grande distribution (Carrefour, Leclerc, Intermarche), les grossistes et les plateformes logistiques alimentaires. Le secteur agroalimentaire français emploie plus de 450 000 personnes.

Acteurs concernes en France

Les groupes agroalimentaires (Danone, Lactalis, Pernod Ricard, Bigard, Fleury Michon, Bonduelle), les cooperatives agricoles (InVivo, Terrena, Sodiaal, Agrial), les centrales d'achat et grossistes (Carrefour, Leclerc, Intermarche, Sysco France, Metro), les entreprises de logistique alimentaire specialisee, les abattoirs de taille significative, les minoteries et les huileries industrielles. La DGAL et les DDPP assurent la sécurité sanitaire.

Menaces cyber spécifiques au secteur alimentation

Le secteur alimentaire fait face à des cybermenaces spécifiques. Les attaques ransomware contre JBS (premier producteur mondial de viande) en 2021 ont force l'arret de la production dans plusieurs pays. La compromission des systèmes de tracabilite pourrait permettre la mise en circulation de produits contamines ou non conformes. Les attaques sur les systèmes de contrôle de la chaîne du froid pourraient entrainer des pertes massives et des risques sanitaires. Les systèmes de gestion des stocks et des approvisionnements (ERP, WMS) sont des cibles privilegiees. L'agriculture de precision (capteurs IoT, drones) elargit la surface d'attaque.

Obligations NIS2 pour le secteur alimentation

• Gouvernance (article 20) : responsabilité des dirigeants, formation cybersécurité.
• Gestion des risques (article 21) : 10 mesures. Voir obligations NIS2.
• Notification (article 23) : alerte 24h, notification 72h, rapport final 1 mois. Voir guide NIS2.
• Enregistrement sur MonEspaceNIS2.

Sanctions encourues

• Amendes jusqu'a 7 millions EUR ou 1,4% du CA mondial.
• Injonctions de conformité.
• Publication des decisions.

Detail sur sanctions NIS2.

Contexte reglementaire spécifique

Le secteur alimentaire est encadre par le reglement (CE) 178/2002 (food law), le paquet hygiene, le reglement (UE) 2017/625 sur les contrôles officiels et le Code rural. NIS2 ajoute la cybersécurité a ce cadre sanitaire. En tant qu'entités importantes, les opérateurs sont soumis à la supervision ex post. Le ReCyF s'applique avec un focus sur le pilier Résilience (continuite de la chaîne d'approvisionnement) et le pilier Protection (sécurité des systèmes de tracabilite). La loi Résilience définira les seuils de désignation en coordination avec le ministere de l'Agriculture.

Étapes de mise en conformité

1. Qualification : Mise en conformité NIS2.
2. Diagnostic vs ReCyF.
3. Plan d'action.
4. Implementation.
5. Pre-enregistrement MonEspaceNIS2.
6. Amelioration continue.

Sources et références

• Directive (UE) 2022/2555 (NIS2) - EUR-Lex
• ANSSI - ReCyF, 17 mars 2026
• Loi Résilience - examen prévu juillet 2026
• MonEspaceNIS2