Annexe II - Secteur critique

Directive NIS2 et secteur fabrication : guide des obligations 2026

Tout ce que les acteurs du secteur fabrication doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.

Mise à jour avril 2026

L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.

Classification du secteur fabrication dans NIS2

CritèreDetail
AnnexeAnnexe II
StatutEntité importante
Type de supervisionEx post (reactive)
Amende maximale7 millions EUR ou 1,4% du CA mondial
Autorite de supervisionANSSI

Périmètre et entités concernees

Le secteur de la fabrication est classe en Annexe II de NIS2 et couvre cinq sous-secteurs strategiques identifies pour leur importance dans les chaînes de valeur europeennes. Ce secteur est l'un des plus larges de l'Annexe II, touchant des milliers d'entreprises industrielles en France.

Les cinq sous-secteurs désignés sont : les fabricants de dispositifs medicaux et de dispositifs medicaux de diagnostic in vitro, les fabricants de produits informatiques, electroniques et optiques, les fabricants d'équipements électriques, les constructeurs de machines et d'équipements n.c.a., et les constructeurs de vehicules automobiles, remorques et semi-remorques ainsi que d'autres materiels de transport. En France, cela concerne des groupes comme Stellantis, Renault, Airbus, Safran, Schneider Electric, Legrand, STMicroelectronics et des milliers de PME-ETI industrielles.

Acteurs concernes en France

Constructeurs automobiles (Stellantis, Renault, Toyota France), aeronautique (Airbus, Safran, Dassault Aviation, Thales), équipements électriques (Schneider Electric, Legrand, Hager), electronique (STMicroelectronics, Soitec), dispositifs medicaux (EssilorLuxottica, bioMerieux, Air Liquide Medical Systems), machines et équipements (Fives, Sidel, Manitou). Les sous-traitants de rang 1 et 2 de taille significative sont egalement concernes.

Menaces cyber spécifiques au secteur fabrication

L'industrie manufacturiere est confrontee à des cybermenaces croissantés liees à la numerisation de la production (Industrie 4.0). Les ransomwares ciblent les systèmes de production (MES, SCADA) pour maximiser la pression - l'attaque contre Renault lors de WannaCry en 2017 a force l'arret de plusieurs usines. L'espionnage industriel vise les plans, brevets et donnees de R&D, avec un interet particulier pour l'aeronautique et la défense. Les jumeaux numeriques et les systèmes de CAO/FAO constituent des actifs critiques. La convergence IT/OT dans les usines connectees cree des passerelles entre les réseaux informatiques et les systèmes de production physiques.

Obligations NIS2 pour le secteur fabrication

Sanctions encourues

Detail sur sanctions NIS2.

Contexte reglementaire spécifique

Le secteur de la fabrication est encadre par de multiples reglements sectoriels : reglement dispositifs medicaux (UE 2017/745), directive machines, réglementations aeronautiques (EASA), homologation automobile. NIS2 ajoute une couche de cybersécurité transversale. Le ReCyF impose des exigences sur les quatre piliers, avec une emphase sur la Protection des systèmes industriels et la Résilience des chaînes de production. Le Cyber Résilience Act (CRA) imposera des exigences de sécurité by design pour les produits connectes. Les certifications ISO 27001 et IEC 62443 s'articulent avec les exigences NIS2.

Étapes de mise en conformité

  1. Qualification : Mise en conformité NIS2.
  2. Diagnostic vs ReCyF.
  3. Plan d'action.
  4. Implementation.
  5. Pre-enregistrement MonEspaceNIS2.
  6. Amelioration continue.

Sources et références

Besoin d'évaluer votre conformité NIS2 ?

Vérifiéz si votre entité du secteur fabrication est concernee par NIS2.

Évaluer ma conformité NIS2
Vérifier ma conformité NIS2