Annexe II - Secteur critique

Directive NIS2 et secteur services postaux : guide des obligations 2026

Tout ce que les acteurs des services postaux et de messagerie doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.

Classification du secteur services postaux dans NIS2

Critère	Detail
Annexe	Annexe II
Statut	Entité importante
Type de supervision	Ex post (reactive)
Amende maximale	7 millions EUR ou 1,4% du CA mondial
Autorite de supervision	ANSSI

Périmètre et entités concernees

Le secteur des services postaux et de messagerie est classe en Annexe II de la directive NIS2, parmi les secteurs critiques dont les entités sont qualifiees d'importantes. Ce secteur couvre l'ensemble de la chaîne logistique du courrier et des colis, devenue strategique avec l'essor du commerce electronique.

Le périmètre englobe les prestataires de services postaux au sens de la directive 97/67/CE. En France, La Poste en tant qu'opérateur du service universel est directement concernee, ainsi que les expressistes (Chronopost, DPD, GLS), les integrateurs internationaux (DHL Express, FedEx/TNT, UPS) pour leurs activités sur le territoire français, et les opérateurs de points relais (Mondial Relay, Relais Colis). Le marche du colis en France dépassé 2,5 milliards d'envois par an.

Acteurs concernes en France

La Poste (opérateur du service universel), Chronopost, Colissimo, DPD France, GLS France, Mondial Relay, Relais Colis, DHL Express France, FedEx/TNT France, UPS France, les opérateurs de consignes automatiques, et les plateformes de gestion de livraison du dernier kilometre. L'ARCEP assure la regulation sectorielle du secteur postal en France.

Menaces cyber spécifiques au secteur services postaux

La numerisation des services postaux a cree de nouvelles vulnérabilités : systèmes de suivi des colis en temps reel, plateformes de gestion des tournees, systèmes de tri automatise pilotes par l'IA, casiers connectes. Les attaques par ransomware peuvent paralyser la chaîne logistique, comme l'a demontre l'attaque contre Royal Mail au Royaume-Uni en janvier 2023, qui a bloque les envois internationaux pendant des semaines. Le phishing utilisant les marques postales (faux avis de passage, faux suivi de colis) est un vecteur d'attaque massif. Les donnees de livraison (adresses, habitudes d'achat, horaires) sont sensibles du point de vue de la vie privee.

Obligations NIS2 pour le secteur services postaux

Les entités sont soumises aux obligations générales de NIS2 :

• Gouvernance (article 20) : responsabilité des dirigeants, formation cybersécurité.
• Gestion des risques (article 21) : 10 mesures. Voir obligations NIS2.
• Notification (article 23) : alerte 24h, notification 72h, rapport final 1 mois. Voir guide NIS2.
• Enregistrement sur MonEspaceNIS2.

Sanctions encourues

• Amendes : jusqu'a 7 millions EUR ou 1,4% du CA mondial pour les entités importantes.
• Injonctions de conformité.
• Publication des decisions.

Detail sur sanctions NIS2.

Contexte reglementaire spécifique

Le secteur postal est encadre par le Code des postes et des communications electroniques et la directive postale europeenne 97/67/CE. NIS2 ajoute des obligations de cybersécurité. En tant qu'entités importantes (Annexe II), les opérateurs postaux sont soumis à une supervision ex post de l'ANSSI, intervenant principalement en cas d'incident ou de signalement. Le ReCyF s'applique avec des exigences proportionnees à la taille et au profil de risque. La loi Résilience définira les seuils de taille determinant les entités concernees.

Étapes de mise en conformité

1. Qualification : Mise en conformité NIS2.
2. Diagnostic : état des lieux vs ReCyF.
3. Plan d'action : priorisation.
4. Implementation : mesures techniques et organisationnelles.
5. Pre-enregistrement MonEspaceNIS2.
6. Amelioration continue.

Sources et références

• Directive (UE) 2022/2555 (NIS2) - EUR-Lex
• ANSSI - ReCyF, 17 mars 2026
• Loi Résilience - examen prévu juillet 2026
• MonEspaceNIS2