Directive NIS2 et secteur énergie : guide des obligations 2026
Tout ce que les acteurs du secteur énergie doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur énergie dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI (Agence nationale de la sécurité des systèmes d'information) |
Périmètre et entités concernees
Le secteur de l'énergie constitue l'epine dorsale de toute economie moderne. La directive NIS2 classe ce secteur en Annexe I, reconnaissant son caractere hautement critique pour le fonctionnement de la société europeenne. En France, cela concerne des acteurs majeurs comme EDF, Engie, TotalÉnergies, RTE, Enedis, GRTgaz et GRDF, mais egalement des centaines d'opérateurs regionaux et de producteurs d'énergies renouvelables.
La directive couvre l'ensemble de la chaîne de valeur energetique : production d'electricite (nucleaire, thermique, renouvelable), transport et distribution d'electricite, extraction, raffinage et distribution de petrôle, production, transport et distribution de gaz naturel, production d'hydrogene, et réseaux de chaleur urbaine. Les gestionnaires de bornes de recharge pour vehicules électriques entrent egalement dans le périmètre. Le secteur energetique français emploie plus de 200 000 personnes et représente un enjeu strategique de souverainete nationale.
Acteurs concernes en France
Les acteurs concernes en France incluent les opérateurs de transport d'electricite (RTE), les gestionnaires de distribution (Enedis, SER), les producteurs d'electricite (EDF, Engie, TotalÉnergies), les opérateurs de transport de gaz (GRTgaz, Terega), les distributeurs de gaz (GRDF), les opérateurs de stockage souterrain, les raffineurs et distributeurs de produits petroliers, les exploitants de terminaux GNL, les producteurs d'hydrogene, et les gestionnaires de réseaux de chaleur. En tant qu'entités essentielles relevant de l'Annexe I, ces acteurs sont soumis à la supervision ex ante de l'ANSSI, qui peut effectuer des contrôles de conformité à tout moment, y compris des audits sur site.
Menaces cyber spécifiques au secteur énergie
Le secteur energetique est l'une des cibles privilegiees des cyberattaques étatiques et des groupes de menaces persistantes avancees (APT). L'attaque contre le réseau électrique ukrainien en 2015 (BlackEnergy) et 2016 (Industroyer) a demontre que des cyberattaques peuvent provoquer des coupures de courant affectant des centaines de milliers de personnes. Les menaces spécifiques comprennent les attaques sur les systèmes SCADA et ICS (Industrial Control Systems) qui pilotent les centrales et les réseaux, les ransomwares ciblant les systèmes IT pour paralyser les opérations (comme Colonial Pipeline aux États-Unis en 2021), l'espionnage industriel visant les technologies de pointe (nucleaire, hydrogene), et les attaques sur la chaîne d'approvisionnement des équipementiers. La convergence IT/OT (technologies de l'information et technologies opérationnelles) cree des surfaces d'attaque etendues. Les compteurs intelligents, les smart grids et la decentralisation de la production multiplient les points d'entree potentiels pour les attaquants.
Obligations NIS2 pour le secteur énergie
Les entités du secteur énergie sont soumises aux obligations générales de la directive NIS2, notamment :
- Gouvernance de la cybersécurité (article 20) : les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité. La responsabilité personnelle des dirigeants peut être engagee.
- Mesures de gestion des risques (article 21) : mise en oeuvre de politiques d'analyse des risques, de gestion des incidents, de continuite d'activité, de sécurité de la chaîne d'approvisionnement, de chiffrement et de contrôle d'accès. Consultez notre page obligations NIS2 pour le detail des 10 mesures de l'article 21.
- Notification des incidents (article 23) : alerte precoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. Pour comprendre le texte complet, consultez notre guide de la directive NIS2.
- Enregistrement : inscription obligatoire sur la plateforme MonEspaceNIS2 de l'ANSSI, avec fourniture d'informations sur l'entité, ses activités et ses coordonnees de contact.
Sanctions encourues
Le non-respect des obligations NIS2 expose les entités du secteur énergie à des sanctions significatives :
- Amendes administratives : jusqu'a 10 millions EUR ou 2% du CA mondial pour les entités essentielles.
- Injonctions de conformité : l'ANSSI peut imposer des mesures correctives avec des délais contraints.
- Suspension temporaire : pour les entités essentielles, suspension temporaire d'une certification ou d'une autorisation, voire interdiction temporaire d'exercer des fonctions de direction.
- Publication des decisions : les sanctions peuvent être rendues publiques (name and shame).
Pour connaitre le detail du regime de sanctions, consultez notre page sanctions NIS2.
Contexte reglementaire spécifique
Au-dela des obligations générales de NIS2, le secteur energetique est egalement concerne par le Code de l'énergie qui impose déjà des obligations de sécurité aux opérateurs d'importance vitale (OIV). Le reglement europeen sur la cybersécurité des flux transfrontaliers d'electricite (UE 2019/941) ajoute des exigences spécifiques. Le ReCyF publié par l'ANSSI le 17 mars 2026 s'applique directement aux entités energetiques, avec un pilier Résilience imposant des plans de continuite d'activité testes régulièrement. Les opérateurs doivent aussi anticiper le Network Code on Cybersecurity europeen, declinant NIS2 de manière granulaire pour le secteur électrique. La coordination avec le regulateur national (CRE) et l'ANSSI sera essentielle pour une mise en conformité efficace.
Étapes de mise en conformité
Pour les acteurs du secteur énergie, la mise en conformité NIS2 implique une approche structuree :
- Qualification : vérifier si votre entité entre dans le périmètre NIS2 selon les critères de taille (plus de 50 salariés ou plus de 10 millions d'euros de CA) et de secteur. Utilisez notre page mise en conformité NIS2 pour évaluer votre situation.
- Diagnostic initial : réaliser un état des lieux de votre maturite cyber par rapport aux exigences du ReCyF (Gouvernance, Protection, Défense, Résilience).
- Plan d'action : prioriser les mesures de remediation en fonction des écarts identifies et des risques spécifiques à votre activité.
- Implementation : déployér les mesures techniques et organisationnelles, former les dirigeants et les équipes, mettre en place les processus de notification d'incidents.
- Pre-enregistrement : s'inscrire sur MonEspaceNIS2 des que la plateforme le permet pour votre catégorie d'entité.
- Amelioration continue : maintenir le niveau de conformité par des audits reguliers, des exercices de crise et une veille reglementaire active.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - Référentiel Cyber France (ReCyF), 17 mars 2026
- Loi Résilience (transposition française NIS2) - examen en hemicycle prévu juillet 2026
- MonEspaceNIS2 - Plateforme de pre-enregistrement ANSSI
Vérifiéz si votre entité du secteur énergie est concernee par NIS2 et identifiez les actions prioritaires a mettre en place.
Évaluer ma conformité NIS2