Directive NIS2 et secteur eaux usees : guide des obligations 2026
Tout ce que les acteurs du secteur eaux usees doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur eaux usees dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI |
Périmètre et entités concernees
Le secteur des eaux usees est une nouveaute de la directive NIS2 par rapport a NIS1, classe en Annexe I parmi les secteurs hautement critiques. La collecte et le traitement des eaux usees sont essentiels à la protection de l'environnement et de la santé publique. Une defaillance dans ce domaine peut entrainer des rejets non traites dans les cours d'eau, des contaminations et des crises sanitaires.
Le périmètre couvre les entreprises qui collectent, evacuent ou traitent les eaux urbaines residuaires, les eaux menageres usees ou les eaux industrielles usees, a condition que cette activité constitue une part essentielle de leur activité générale. En France, cela concerne les grands opérateurs (Veolia, Suez, Saur), les regies d'assainissement municipales et intercommunales, et les exploitants de stations d'epuration (STEP) de taille significative. La France compte environ 22 000 stations d'epuration.
Acteurs concernes en France
Les exploitants de stations d'epuration (Veolia Eau, Suez, Saur), les regies d'assainissement, les syndicats intercommunaux d'assainissement, les collectivités territoriales competentes en matière d'assainissement. Les opérateurs gerant des systèmes d'assainissement collectif de taille significative sont prioritairement concernes. Les bureaux d'etudes et entreprises de maintenance des systèmes SCADA des STEP peuvent être indirectement impactes via les exigences de sécurité de la chaîne d'approvisionnement.
Menaces cyber spécifiques au secteur eaux usees
Les stations d'epuration modernes sont pilotees par des systèmes de contrôle-commande numeriques qui gerent les processus biologiques, chimiques et physiques de traitement. Les cybermenaces spécifiques incluent la manipulation des parametres de traitement (dosages chimiques, temps de retention, aeration) pouvant conduire à des rejets polluants, l'arret des pompes de relevage provoquant des debordements, la desactivation des systèmes de surveillance environnementale, et les attaques ransomware paralysant la gestion des installations. L'interconnexion croissanté des réseaux d'assainissement (capteurs IoT, telerélevé, SCADA) augmente la surface d'attaque.
Obligations NIS2 pour le secteur eaux usees
Les entités du secteur eaux usees sont soumises aux obligations générales de la directive NIS2, notamment :
- Gouvernance de la cybersécurité (article 20) : les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité.
- Mesures de gestion des risques (article 21) : politiques d'analyse des risques, gestion des incidents, continuite d'activité, sécurité de la chaîne d'approvisionnement. Consultez notre page obligations NIS2.
- Notification des incidents (article 23) : alerte precoce sous 24h, notification sous 72h, rapport final sous un mois. Consultez notre guide de la directive NIS2.
- Enregistrement : inscription obligatoire sur MonEspaceNIS2.
Sanctions encourues
Le non-respect des obligations expose à des sanctions significatives :
- Amendes administratives : jusqu'a 10 millions EUR ou 2% du CA mondial.
- Injonctions de conformité avec des délais contraints.
- Suspension temporaire d'une certification ou d'une autorisation.
- Publication des decisions (name and shame).
Consultez notre page sanctions NIS2.
Contexte reglementaire spécifique
Le secteur de l'assainissement est encadre par la directive eaux residuaires urbaines (91/271/CEE), le Code de l'environnement et les reglements de police de l'eau. NIS2 ajoute une dimension cybersécurité a ce cadre environnemental existant. Le ReCyF de l'ANSSI s'applique avec une attention particulière au pilier Protection pour les systèmes industriels et au pilier Résilience pour la continuite du service. Les agences de l'eau et les services de police de l'eau des DREAL assurent déjà une supervision environnementale qui sera completee par la supervision cyber de l'ANSSI. La loi Résilience définira les critères de taille pour la désignation des entités.
Étapes de mise en conformité
- Qualification : vérifier votre périmètre NIS2. Mise en conformité NIS2.
- Diagnostic initial : état des lieux vs ReCyF.
- Plan d'action : prioriser les mesures de remediation.
- Implementation : mesures techniques et organisationnelles.
- Pre-enregistrement : MonEspaceNIS2.
- Amelioration continue : audits reguliers et exercices de crise.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - ReCyF, 17 mars 2026
- Loi Résilience - examen prévu juillet 2026
- MonEspaceNIS2
Vérifiéz si votre entité du secteur eaux usees est concernee par NIS2.
Évaluer ma conformité NIS2