Directive NIS2 et secteur eau potable : guide des obligations 2026
Tout ce que les acteurs du secteur eau potable doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur eau potable dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI |
Périmètre et entités concernees
Le secteur de l'eau potable est classe en Annexe I de la directive NIS2, soulignant son importance vitale pour la santé publique et la continuite des services essentiels. L'approvisionnement en eau potable est un service de première nécessité dont la compromission aurait des consequences sanitaires immédiates pour des millions de personnes.
Le périmètre couvre les fournisseurs et distributeurs d'eau destinee à la consommation humaine au sens de la directive (UE) 2020/2184. En France, cela concerne les opérateurs majeurs comme Veolia Eau, Suez (Lydec), la Saur, ainsi que les centaines de regies municipales et intercommunales qui assurent la production et la distribution d'eau potable. Les stations de production, de traitement et les réseaux de distribution sont inclus. La France compte environ 13 500 services d'eau potable desservant 67 millions d'habitants.
Acteurs concernes en France
Les opérateurs publics et prives de production et distribution d'eau potable : Veolia Eau France, Suez Eau France, Saur, regies municipales et syndicats intercommunaux. Les collectivités territoriales competentes en matière d'eau potable (communes, EPCI) sont responsables du service même lorsqu'il est delegue. Les laboratoires agrees pour le contrôle de la qualité de l'eau sont egalement concernes dans la mesure ou leurs systèmes d'information sont critiques pour la surveillance sanitaire.
Menaces cyber spécifiques au secteur eau potable
Les systèmes de traitement et de distribution d'eau potable reposent de plus en plus sur des systèmes de contrôle-commande numeriques (SCADA, automates programmables) qui peuvent être cibles. L'incident d'Oldsmar (Floride, 2021) ou un attaquant a tente de modifier le niveau d'hydroxyde de sodium dans l'eau potable a revele les risques critiques de sabotage a distance. Les menaces incluent la manipulation des processus de traitement chimique (chloration, pH), l'interruption de l'alimentation en eau, la corruption des systèmes de surveillance de la qualité de l'eau, et les attaques sur les systèmes de telerélevé et de gestion des pressions. La dispersion géographique des infrastructures complique leur securisation.
Obligations NIS2 pour le secteur eau potable
Les entités du secteur eau potable sont soumises aux obligations générales de la directive NIS2, notamment :
- Gouvernance de la cybersécurité (article 20) : les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité.
- Mesures de gestion des risques (article 21) : mise en oeuvre de politiques d'analyse des risques, de gestion des incidents, de continuite d'activité, de sécurité de la chaîne d'approvisionnement. Consultez notre page obligations NIS2 pour le detail des 10 mesures.
- Notification des incidents (article 23) : alerte precoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. Consultez notre guide de la directive NIS2.
- Enregistrement : inscription obligatoire sur la plateforme MonEspaceNIS2 de l'ANSSI.
Sanctions encourues
Le non-respect des obligations NIS2 expose les entités du secteur eau potable à des sanctions significatives :
- Amendes administratives : jusqu'a 10 millions EUR ou 2% du CA mondial pour les entités essentielles.
- Injonctions de conformité : l'ANSSI peut imposer des mesures correctives avec des délais contraints.
- Suspension temporaire : suspension temporaire d'une certification ou d'une autorisation.
- Publication des decisions : les sanctions peuvent être rendues publiques.
Pour connaitre le detail du regime de sanctions, consultez notre page sanctions NIS2.
Contexte reglementaire spécifique
Le secteur de l'eau potable est déjà soumis au Code de la santé publique et aux réglementations ARS pour la qualité de l'eau. Les opérateurs les plus importants etaient déjà désignés OIV sous la LPM 2013. NIS2 elargit considerablement le périmètre en incluant les opérateurs de taille moyenne. Le ReCyF de l'ANSSI impose des exigences de protection des systèmes industriels (pilier Protection) et de continuite de service (pilier Résilience). La directive eau potable (UE) 2020/2184 prévoit une analyse des risques incluant les menaces cyber. La loi Résilience harmonisera ces differents cadres.
Étapes de mise en conformité
Pour les acteurs du secteur eau potable, la mise en conformité NIS2 implique une approche structuree :
- Qualification : vérifier si votre entité entre dans le périmètre NIS2. Utilisez notre page mise en conformité NIS2.
- Diagnostic initial : réaliser un état des lieux de votre maturite cyber par rapport au ReCyF.
- Plan d'action : prioriser les mesures de remediation.
- Implementation : déployér les mesures techniques et organisationnelles.
- Pre-enregistrement : s'inscrire sur MonEspaceNIS2.
- Amelioration continue : audits reguliers et exercices de crise.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - Référentiel Cyber France (ReCyF), 17 mars 2026
- Loi Résilience (transposition française NIS2) - examen en hemicycle prévu juillet 2026
- MonEspaceNIS2 - Plateforme de pre-enregistrement ANSSI
Vérifiéz si votre entité du secteur eau potable est concernee par NIS2 et identifiez les actions prioritaires.
Évaluer ma conformité NIS2