Annexe II - Secteur critique

Directive NIS2 et secteur gestion des dechets : guide des obligations 2026

Tout ce que les acteurs de la gestion des dechets doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.

Classification du secteur gestion des dechets dans NIS2

Critère	Detail
Annexe	Annexe II
Statut	Entité importante
Type de supervision	Ex post (reactive)
Amende maximale	7 millions EUR ou 1,4% du CA mondial
Autorite de supervision	ANSSI

Périmètre et entités concernees

Le secteur de la gestion des dechets est un nouvel ajout de NIS2, classe en Annexe II. Son inclusion reconnait que la collecte et le traitement des dechets sont des services essentiels dont la perturbation peut avoir des consequences sanitaires et environnementales significatives, comme l'ont montre les greves des eboueurs a Paris en 2023.

Le périmètre vise les entreprises effectuant la collecte, le transport, le traitement (recyclage, valorisation energetique, enfouissement) et l'elimination des dechets. En France, cela concerne les grands groupes (Veolia Proprete, Suez RV, Paprec, Derichebourg), les opérateurs de centres de tri, les exploitants de centres d'enfouissement (ISDND), les incinerateurs-valorisateurs, et les opérateurs de collecte municipale. Le secteur emploie environ 120 000 personnes en France.

Acteurs concernes en France

Veolia Proprete, Suez Recyclage et Valorisation, Paprec Group, Derichebourg Environnement, Seche Environnement, Nicollin, les regies municipales de collecte, les syndicats de traitement (SYCTOM, SIMER). Les eco-organismes agrees (Citeo, ecosystem, Refashion, Valdelia). Les exploitants de decharges et d'installations classees pour la protection de l'environnement (ICPE).

Menaces cyber spécifiques au secteur gestion des dechets

Les systèmes de gestion des dechets sont de plus en plus numerises : optimisation des tournees par GPS et IA, pesee embarquee, gestion informatisee des centres de tri, supervision SCADA des incinerateurs et des centres de stockage. Les ransomwares peuvent paralyser les systèmes de gestion des tournees, provoquant l'accumulation de dechets dans les rues. Les attaques sur les systèmes de contrôle des incinerateurs ou des centres de stockage pourraient entrainer des pollutions atmospheriques ou des contaminations de sols. Les eco-organismes (Citeo, ecosystem) gerant les filieres REP sont egalement des cibles potentielles.

Obligations NIS2 pour le secteur gestion des dechets

• Gouvernance (article 20) : responsabilité des dirigeants, formation cybersécurité.
• Gestion des risques (article 21) : 10 mesures. Voir obligations NIS2.
• Notification (article 23) : alerte 24h, notification 72h, rapport final 1 mois. Voir guide NIS2.
• Enregistrement sur MonEspaceNIS2.

Sanctions encourues

• Amendes jusqu'a 7 millions EUR ou 1,4% du CA mondial.
• Injonctions de conformité.
• Publication des decisions.

Detail sur sanctions NIS2.

Contexte reglementaire spécifique

Le secteur des dechets est encadre par le Code de l'environnement, la réglementation ICPE et les plans regionaux de gestion des dechets. NIS2 ajoute une dimension cybersécurité. En tant qu'entités importantes, les opérateurs sont soumis à la supervision ex post de l'ANSSI. Le ReCyF s'applique avec une attention au pilier Protection pour les systèmes industriels et au pilier Résilience pour la continuite de la collecte. La loi Résilience précisera les critères de désignation. Les opérateurs gerant des dechets dangereux pourraient faire l'objet d'exigences renforcees.

Étapes de mise en conformité

1. Qualification : Mise en conformité NIS2.
2. Diagnostic vs ReCyF.
3. Plan d'action.
4. Implementation.
5. Pre-enregistrement MonEspaceNIS2.
6. Amelioration continue.

Sources et références

• Directive (UE) 2022/2555 (NIS2) - EUR-Lex
• ANSSI - ReCyF, 17 mars 2026
• Loi Résilience - examen prévu juillet 2026
• MonEspaceNIS2