Annexe II - Secteur critique

Directive NIS2 et secteur fournisseurs numeriques : guide des obligations 2026

Tout ce que les plateformes numeriques doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.

Mise à jour avril 2026

L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.

Classification du secteur fournisseurs numeriques dans NIS2

CritèreDetail
AnnexeAnnexe II
StatutEntité importante
Type de supervisionEx post (reactive)
Amende maximale7 millions EUR ou 1,4% du CA mondial
Autorite de supervisionANSSI / ENISA (transfrontalier)

Périmètre et entités concernees

Le secteur des fournisseurs numeriques est classe en Annexe II de NIS2 et cible les grandes plateformes numeriques qui jouent un rôle croissant dans l'economie et la vie quotidienne des citoyens europeens. Ce secteur existait déjà sous NIS1 mais avec un statut allege qui s'est revele insuffisant face aux enjeux actuels.

Le périmètre couvre trois catégories : les places de marche en ligne (marketplaces), les moteurs de recherche en ligne, et les plateformes de réseaux sociaux en ligne. En France et en Europe, cela concerne des acteurs majeurs comme Amazon Marketplace, Cdiscount, Leboncoin, Google Search, Bing, Qwant, Facebook/Meta, Twitter/X, LinkedIn, TikTok, Snapchat et YouTube. Les plateformes intermediaires facilitant les transactions entre professionnels et consommateurs sont egalement visees.

Acteurs concernes en France

Les places de marche : Amazon Marketplace, Cdiscount, Leboncoin, Vinted, ManoMano, Rakuten France, Back Market. Les moteurs de recherche : Google (Alphabet), Bing (Microsoft), Qwant, Ecosia. Les réseaux sociaux : Facebook et Instagram (Meta), Twitter/X, LinkedIn (Microsoft), TikTok (ByteDance), Snapchat (Snap), YouTube (Alphabet), Pinterest. La plupart de ces acteurs sont des entreprises americaines ou chinoises avec des presences europeennes significatives.

Menaces cyber spécifiques au secteur fournisseurs numeriques

Les fournisseurs numeriques traitent des volumes massifs de donnees personnelles et financières, ce qui en fait des cibles de haute valeur. Les violations de donnees sur les places de marche exposent les informations de millions de vendeurs et d'acheteurs. Les moteurs de recherche peuvent être manipules pour diffuser de la desinformation ou du contenu malveillant (SEO poisoning). Les réseaux sociaux sont des vecteurs de campagnes d'influence, de phishing a grande echelle et de diffusion de malwares. Les API de ces plateformes constituent des surfaces d'attaque considerables. La dependance des PME aux places de marche signifie qu'une perturbation affecte des milliers de commercants.

Obligations NIS2 pour le secteur fournisseurs numeriques

Sanctions encourues

Detail sur sanctions NIS2.

Contexte reglementaire spécifique

Les fournisseurs numeriques sont soumis à un cadre europeen dense. Le Digital Services Act (DSA) et le Digital Markets Act (DMA) imposent des obligations de transparence et de responsabilité. Le RGPD encadre le traitement des donnees personnelles. NIS2 ajoute des exigences de cybersécurité. L'ENISA assure la supervision pour les fournisseurs numeriques transfrontaliers, en coordination avec les autorites nationales. Le ReCyF s'applique pour les entités ayant leur établissement principal en France. La loi Résilience précisera l'articulation avec l'Arcom et la CNIL.

Étapes de mise en conformité

  1. Qualification : Mise en conformité NIS2.
  2. Diagnostic vs ReCyF.
  3. Plan d'action.
  4. Implementation.
  5. Pre-enregistrement MonEspaceNIS2.
  6. Amelioration continue.

Sources et références

Besoin d'évaluer votre conformité NIS2 ?

Vérifiéz si votre plateforme numerique est concernee par NIS2.

Évaluer ma conformité NIS2
Vérifier ma conformité NIS2