Directive NIS2 et secteur espace : guide des obligations 2026
Tout ce que les acteurs du secteur spatial doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur espace dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI |
Périmètre et entités concernees
Le secteur spatial est une nouveaute majeure de NIS2 par rapport a NIS1, classe en Annexe I parmi les secteurs hautement critiques. Cette inclusion reconnait la dependance croissanté de la société aux services spatiaux : navigation par satellite (GPS/Galileo), telecommunications, observation de la Terre, meteorologie et coordination temporelle pour les marches financiers.
Le périmètre vise les opérateurs d'infrastructures terrestres soutenant la fourniture de services spatiaux, detenues, gerees et exploitees par des États membres ou par des entités privees. Cela inclut les centres de contrôle de satellites, les stations sol de reception et de traitement de donnees, et les centres de mission. Sont explicitement exclus les fournisseurs de réseaux de communications electroniques publics. En France, le CNES, Arianespace, Airbus Defence and Space, Thales Alenia Space et les opérateurs de constellations sont concernes.
Acteurs concernes en France
Le CNES (Centre National d'Etudes Spatiales), Arianespace (lanceur), Airbus Defence and Space, Thales Alenia Space, Eutelsat (telecommunications par satellite), CLS (Collecte Localisation Satellites), les opérateurs de stations sol, les fournisseurs de services de positionnement, navigation et chronometrie (PNT), et les start-ups du New Space français (Kineis, Unseenlabs, Loft Orbital). L'agence spatiale europeenne (ESA) et l'EUSPA coordonnent les aspects europeens.
Menaces cyber spécifiques au secteur espace
Les menaces contre les systèmes spatiaux incluent le brouillage (jamming) et le leurrage (spoofing) des signaux GPS/Galileo, pouvant perturber la navigation aerienne, maritime et terrestre. Les attaques contre les stations sol et les liaisons de commande et contrôle pourraient permettre la prise de contrôle ou la desactivation de satellites. L'attaque contre le réseau satellite Viasat au debut du conflit ukrainien en fevrier 2022 a demontre la realite de ces menaces, perturbant les communications dans toute l'Europe. L'espionnage des donnees d'observation de la Terre et des communications est une preoccupation majeure. La proliferation des megaconstellations multiplie les cibles potentielles.
Obligations NIS2 pour le secteur espace
Les entités sont soumises aux obligations générales de NIS2 :
- Gouvernance (article 20) : responsabilité des dirigeants, formation cybersécurité obligatoire.
- Gestion des risques (article 21) : 10 mesures. Voir obligations NIS2.
- Notification (article 23) : alerte 24h, notification 72h, rapport final 1 mois. Voir guide NIS2.
- Enregistrement sur MonEspaceNIS2.
Sanctions encourues
- Amendes : jusqu'a 10 millions EUR ou 2% du CA mondial.
- Injonctions de conformité.
- Suspension temporaire.
- Publication des decisions.
Detail sur sanctions NIS2.
Contexte reglementaire spécifique
Le secteur spatial est encadre par la loi relative aux opérations spatiales (LOS, 2008) et supervise par le CNES pour les aspects techniques. NIS2 ajoute une couche de cybersécurité formalisee. Le ReCyF s'applique avec une attention particulière au pilier Défense pour les capacités de détection d'intrusion dans les systèmes de commande et contrôle. La strategie spatiale de défense (2019) et le commandement de l'espace (CDE) couvrent les aspects militaires, tandis que NIS2 cible les usages civils. La loi Résilience précisera l'articulation entre la supervision ANSSI et la supervision CNES. L'initiative europeenne IRIS2 intégréra les exigences NIS2 des la conception.
Étapes de mise en conformité
- Qualification : vérifier votre périmètre NIS2. Mise en conformité NIS2.
- Diagnostic : état des lieux vs ReCyF.
- Plan d'action : priorisation.
- Implementation : mesures techniques et organisationnelles.
- Pre-enregistrement MonEspaceNIS2.
- Amelioration continue.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - ReCyF, 17 mars 2026
- Loi Résilience - examen prévu juillet 2026
- MonEspaceNIS2
Vérifiéz si votre entité du secteur spatial est concernee par NIS2.
Évaluer ma conformité NIS2