Directive NIS2 et secteur recherche : guide des obligations 2026
Tout ce que les organismes de recherche doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur recherche dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe II |
| Statut | Entité importante |
| Type de supervision | Ex post (reactive) |
| Amende maximale | 7 millions EUR ou 1,4% du CA mondial |
| Autorite de supervision | ANSSI |
Périmètre et entités concernees
Le secteur de la recherche est un ajout notable de la directive NIS2, classe en Annexe II. Son inclusion vise a proteger les actifs de propriété intellectuelle, les donnees sensibles de la recherche fondamentale et appliquee, et les infrastructures de calcul haute performance utilisees par les organismes de recherche. La France, avec son ecosystème de recherche riche et reconnu internationalement, est particulièrement concernee.
Le périmètre cible les organismes de recherche, définis comme les entités dont l'objectif premier est de mener des activités de recherche appliquee ou de développement experimental en vue de l'exploitation commerciale des résultats. Les universites avec une activité de recherche significative sont egalement concernees. Le périmètre exact sera précise par chaque État membre. La France investit plus de 50 milliards d'euros par an dans la recherche et le développement, un actif strategique a proteger.
Acteurs concernes en France
Les organismes de recherche publics : CNRS, INSERM, INRAE, CEA, INRIA, IRD, IFREMER, BRGM, ONERA, et les EPIC de recherche. Les universites a forte activité de recherche (membres de France Universites). Les grandes ecoles avec laboratoires de recherche (Polytechnique, ENS, Mines, CentraleSupelec). Les instituts Carnot, les IRT (Instituts de Recherche Technologique) et les ITE (Instituts pour la Transition Energetique). Les fondations de recherche et les structures de valorisation (SATT).
Menaces cyber spécifiques au secteur recherche
Les organismes de recherche sont des cibles privilegiees de l'espionnage étatique et industriel. Les travaux de recherche en physique quantique, intelligence artificielle, biotechnologies, nanotechnologies et énergie représentent une valeur strategique considerable. Les groupes APT chinois et russes ciblent systématiquement les universites et les centres de recherche occidentaux. L'attaque contre le CNRS en 2019 et les tentatives d'intrusion repetees contre l'INSERM et le CEA illustrent cette realite. Les infrastructures de calcul haute performance (HPC) sont egalement ciblees pour le minage de cryptomonnaies ou comme relais d'attaques. Les donnees de recherche médicale ont une valeur marchande élevée.
Obligations NIS2 pour le secteur recherche
- Gouvernance (article 20) : responsabilité des dirigeants d'organismes, formation cybersécurité, sensibilisation des chercheurs.
- Gestion des risques (article 21) : 10 mesures. Voir obligations NIS2.
- Notification (article 23) : alerte 24h, notification 72h, rapport final 1 mois. Voir guide NIS2.
- Enregistrement sur MonEspaceNIS2.
Sanctions encourues
- Amendes jusqu'a 7 millions EUR ou 1,4% du CA mondial.
- Injonctions de conformité.
- Publication des decisions.
Detail sur sanctions NIS2.
Contexte reglementaire spécifique
Le secteur de la recherche est encadre par le Code de la recherche et les réglementations ZRR (Zones a Regime Restrictif) pour la protection du potentiel scientifique et technique de la nation. Le SGDSN et le HFDS assurent la supervision de la protection. NIS2 formalise des obligations de cybersécurité qui etaient jusqu'ici des recommandations. Le ReCyF s'applique avec un pilier Gouvernance imposant la sensibilisation des chercheurs et la responsabilité des dirigeants d'organismes. Le ministere de l'Enseignement supérieur et de la Recherche coordonne la politique de sécurité numerique avec l'ANSSI. La loi Résilience précisera les critères de désignation.
Étapes de mise en conformité
- Qualification : Mise en conformité NIS2.
- Diagnostic vs ReCyF.
- Plan d'action.
- Implementation.
- Pre-enregistrement MonEspaceNIS2.
- Amelioration continue.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - ReCyF, 17 mars 2026
- Loi Résilience - examen prévu juillet 2026
- MonEspaceNIS2
Vérifiéz si votre organisme de recherche est concerne par NIS2.
Évaluer ma conformité NIS2