Directive NIS2 et secteur transport : guide des obligations 2026
Tout ce que les acteurs du secteur transport doivent savoir sur la directive NIS2 : classification, obligations spécifiques, menaces cyber, sanctions et étapes de mise en conformité.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structure en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinee en hemicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pre-enregistrement des entités.
Classification du secteur transport dans NIS2
| Critère | Detail |
|---|---|
| Annexe | Annexe I |
| Statut | Entité essentielle |
| Type de supervision | Ex ante (proactive) |
| Amende maximale | 10 millions EUR ou 2% du CA mondial |
| Autorite de supervision | ANSSI (Agence nationale de la sécurité des systèmes d'information) |
Périmètre et entités concernees
Le secteur des transports est classe en Annexe I de la directive NIS2, le placant parmi les secteurs hautement critiques soumis aux exigences les plus strictes. Ce secteur englobe quatre sous-domaines : le transport aerien, le transport ferroviaire, le transport par voie d'eau (maritime et fluvial) et le transport routier.
En France, les entités concernees sont nombreuses : compagnies aeriennes (Air France-KLM), gestionnaires d'aeroports (Groupe ADP, Vinci Airports), organismes de contrôle du trafic aerien (DSNA), gestionnaires d'infrastructure ferroviaire (SNCF Réseau), entreprises ferroviaires (SNCF Voyageurs, Trenitalia France), autorites portuaires (Marseille, Le Havre, Dunkerque), compagnies maritimes, et gestionnaires d'infrastructures de transport intelligent (autoroutes connectees). Le transport représente environ 9% du PIB français et emploie 1,4 million de personnes.
Acteurs concernes en France
Les entités aeronautiques concernees comprennent les transporteurs aeriens disposant d'un certificat de transport aerien, les gestionnaires d'aeroports, les prestataires de services de navigation aerienne et les organismes de maintenance. Pour le ferroviaire, sont vises les gestionnaires d'infrastructure, les entreprises ferroviaires, les entités de maintenance et les gestionnaires de gares. Le maritime concerne les compagnies de navigation, les autorites portuaires et les systèmes de surveillance du trafic (VTS). Le routier cible les opérateurs de systèmes de transport intelligents et les concessionnaires d'autoroutes connectees.
Menaces cyber spécifiques au secteur transport
Le secteur des transports est confronte à des cybermenaces pouvant avoir des consequences directes sur la sécurité physique des personnes. Les attaques contre les systèmes de signalisation ferroviaire, de gestion du trafic aerien ou de navigation maritime peuvent mettre en danger des vies humaines. En 2023, plusieurs aeroports europeens ont ete victimes d'attaques DDoS revendiquees par des groupes hacktivistes pro-russes. Le ransomware NotPetya a cause plus de 300 millions de dollars de pertes au seul groupe Maersk en 2017. Les vehicules connectes et autonomes, les systèmes de billettique sans contact, et les plateformes de mobilite as a service (MaaS) elargissent considerablement la surface d'attaque du secteur.
Obligations NIS2 pour le secteur transport
Les entités du secteur transport sont soumises aux obligations générales de la directive NIS2, notamment :
- Gouvernance de la cybersécurité (article 20) : les organes de direction doivent approuver les mesures de gestion des risques et suivre une formation en cybersécurité. La responsabilité personnelle des dirigeants peut être engagee.
- Mesures de gestion des risques (article 21) : mise en oeuvre de politiques d'analyse des risques, de gestion des incidents, de continuite d'activité, de sécurité de la chaîne d'approvisionnement, de chiffrement et de contrôle d'accès. Consultez notre page obligations NIS2 pour le detail des 10 mesures de l'article 21.
- Notification des incidents (article 23) : alerte precoce sous 24 heures, notification sous 72 heures, rapport final sous un mois. Pour comprendre le texte complet, consultez notre guide de la directive NIS2.
- Enregistrement : inscription obligatoire sur la plateforme MonEspaceNIS2 de l'ANSSI, avec fourniture d'informations sur l'entité, ses activités et ses coordonnees de contact.
Sanctions encourues
Le non-respect des obligations NIS2 expose les entités du secteur transport à des sanctions significatives :
- Amendes administratives : jusqu'a 10 millions EUR ou 2% du CA mondial pour les entités essentielles.
- Injonctions de conformité : l'ANSSI peut imposer des mesures correctives avec des délais contraints.
- Suspension temporaire : pour les entités essentielles, suspension temporaire d'une certification ou d'une autorisation, voire interdiction temporaire d'exercer des fonctions de direction.
- Publication des decisions : les sanctions peuvent être rendues publiques (name and shame).
Pour connaitre le detail du regime de sanctions, consultez notre page sanctions NIS2.
Contexte reglementaire spécifique
Le secteur des transports est soumis a de multiples réglementations sectorielles coexistant avec NIS2 : reglements EASA et normes OACI pour l'aviation, textes ERA pour le ferroviaire, conventions OMI et code ISPS pour le maritime. NIS2 ajoute une couche de cybersécurité transversale. Le ReCyF de l'ANSSI impose des capacités de détection avancees pour les systèmes OT. La coordination entre l'ANSSI, la DGAC, l'EPSF et les autorites portuaires est essentielle pour harmoniser les exigences de conformité et éviter les redondances reglementaires.
Étapes de mise en conformité
Pour les acteurs du secteur transport, la mise en conformité NIS2 implique une approche structuree :
- Qualification : vérifier si votre entité entre dans le périmètre NIS2 selon les critères de taille (plus de 50 salariés ou plus de 10 millions d'euros de CA) et de secteur. Utilisez notre page mise en conformité NIS2 pour évaluer votre situation.
- Diagnostic initial : réaliser un état des lieux de votre maturite cyber par rapport aux exigences du ReCyF (Gouvernance, Protection, Défense, Résilience).
- Plan d'action : prioriser les mesures de remediation en fonction des écarts identifies et des risques spécifiques à votre activité.
- Implementation : déployér les mesures techniques et organisationnelles, former les dirigeants et les équipes, mettre en place les processus de notification d'incidents.
- Pre-enregistrement : s'inscrire sur MonEspaceNIS2 des que la plateforme le permet pour votre catégorie d'entité.
- Amelioration continue : maintenir le niveau de conformité par des audits reguliers, des exercices de crise et une veille reglementaire active.
Sources et références
- Directive (UE) 2022/2555 (NIS2) - EUR-Lex
- ANSSI - Référentiel Cyber France (ReCyF), 17 mars 2026
- Loi Résilience (transposition française NIS2) - examen en hemicycle prévu juillet 2026
- MonEspaceNIS2 - Plateforme de pre-enregistrement ANSSI
Vérifiéz si votre entité du secteur transport est concernee par NIS2 et identifiez les actions prioritaires a mettre en place.
Évaluer ma conformité NIS2