Directive NIS2 et secteur infrastructures numeriques : guide des obligations 2026
Tout ce que les acteurs des infrastructures numeriques doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur infrastructures numeriques dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI |
Périmètre et entités concernees
Les infrastructures numeriques constituent le socle technique sur lequel reposent tous les autres secteurs critiques. Classees en Annexe I de NIS2, elles beneficient du niveau d'exigence le plus élevé. Ce secteur est l'un des plus larges de la directive, couvrant un ecosystème complet d'opérateurs techniques indispensables au fonctionnement d'Internet et des services numeriques.
Le périmètre englobe les fournisseurs de points d'echange Internet (IXP), les fournisseurs de services DNS (hors serveurs racine), les registres de noms de domaine de premier niveau (TLD), les fournisseurs de services d'informatique en nuage (cloud computing), les fournisseurs de services de centres de donnees (datacenters), les fournisseurs de réseaux de diffusion de contenu (CDN), les prestataires de services de confiance (signatures electroniques, cachets), les fournisseurs de réseaux et services de communications electroniques publics.
Acteurs concernes en France
En France, les entités concernees incluent les opérateurs de telecommunications (Orange, SFR, Bouygues Telecom, Free), les fournisseurs cloud (OVHcloud, Scaleway, 3DS Outscale), les opérateurs de datacenters (Equinix, Interxion, Data4), les registres de domaines (AFNIC pour .fr), les CDN, les IXP (France-IX), les prestataires de confiance (Docusign, Certeurope, ChamberSign), et les DNS resolvers. L'ANSSI exerce une supervision ex ante sur ces acteurs strategiques.
Menaces cyber spécifiques au secteur infrastructures numeriques
Les infrastructures numeriques sont des cibles de choix car leur compromission à un effet en cascade sur l'ensemble de l'economie. L'attaque DDoS contre Dyn DNS en 2016 a rendu inaccèssibles Twitter, Netflix, Spotify et des dizaines d'autres services mondiaux. La compromission de SolarWinds en 2020 a demontre les risques lies à la chaîne d'approvisionnement logicielle. Les attaques contre les registres de noms de domaine peuvent permettre le detournement massif de trafic (DNS hijacking). Les datacenters font face à des menaces physiques et logiques combinees. Les fournisseurs cloud sont des cibles strategiques en raison de la concentration de donnees.
Obligations NIS2 pour le secteur infrastructures numeriques
Les entités sont soumises aux obligations générales de NIS2 :
- Gouvernance (article 20) : approbation des mesures par la direction, formation obligatoire en cybersécurité, responsabilité personnelle des dirigeants.
- Gestion des risques (article 21) : 10 mesures incluant analyse des risques, gestion des incidents, continuite, chaîne d'approvisionnement. Voir obligations NIS2.
- Notification (article 23) : alerte 24h, notification 72h, rapport final 1 mois. Voir guide NIS2.
- Enregistrement sur MonEspaceNIS2.
Sanctions encourues
- Amendes : jusqu'a 10 millions EUR ou 2% du CA mondial.
- Injonctions de conformité avec délais contraints.
- Suspension temporaire de certification ou d'autorisation.
- Publication des decisions.
Detail sur notre page sanctions NIS2.
Contexte reglementaire spécifique
Les opérateurs de communications electroniques etaient déjà soumis à des obligations de sécurité via le Code des postes et communications electroniques. Les prestataires de services de confiance sont encadres par le reglement eIDAS. NIS2 unifie et renforce ces exigences. Le ReCyF impose des standards de sécurité élevés sur les quatre piliers, avec une emphase sur la Gouvernance et la Défense (SOC, CSIRT sectoriel). La qualification SecNumCloud de l'ANSSI s'articule avec les exigences NIS2 pour les fournisseurs cloud. Le schema europeen de certification cloud (EUCS) ajoute une dimension de souverainete numerique.
Étapes de mise en conformité
- Qualification : vérifier votre périmètre. Mise en conformité NIS2.
- Diagnostic : état des lieux vs ReCyF.
- Plan d'action : priorisation des remediations.
- Implementation : mesures techniques et organisationnelles.
- Pre-enregistrement MonEspaceNIS2.
- Amelioration continue.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - ReCyF, 17 mars 2026
- Loi Résilience - examen prévu juillet 2026
- MonEspaceNIS2
Vérifiéz si votre entité du secteur infrastructures numeriques est concernee par NIS2.
Évaluer ma conformité NIS2