NIS2 et collectivités locales : ce qui s'applique vraiment en 2026
Démêler le vrai du faux sur la directive NIS2 pour les mairies et EPCI. Qui est concerné directement ? Qu'est-ce que la pression supply chain ? Ce que chaque collectivité doit savoir.
La directive NIS2 est entrée dans la législation française. Depuis sa transposition, beaucoup de collectivités locales se posent les mêmes questions : suis-je concerné ? Que dois-je faire ? Ai-je des obligations immédiates ? Cet article vous donne les réponses claires, sans simplification excessive et sans alarmisme injustifié.
Rappel : qu’est-ce que NIS2 ?
La directive NIS2 (Network and Information Security 2) est un texte européen qui impose des exigences de cybersécurité aux organisations jugées critiques pour l’économie et la société. Elle succède à la directive NIS (2016), en élargissant significativement le périmètre des entités concernées.
En France, NIS2 a été transposée en droit national via la loi de programmation militaire et les textes réglementaires associés (dont le décret d’application). L’ANSSI est l’autorité compétente pour son application.
NIS2 distingue deux catégories d’entités :
- Les entités essentielles (EE) : soumises aux exigences les plus strictes et aux contrôles les plus fréquents
- Les entités importantes (EI) : soumises aux mêmes exigences mais avec des modalités de contrôle différentes
Les collectivités directement concernées
Le seuil des 30 000 habitants
La règle principale pour les communes : NIS2 s’applique directement aux communes de plus de 30 000 habitants et à certaines intercommunalités d’importance significative.
Pour les EPCI, le critère est plus complexe et dépend des compétences exercées et de la taille des populations desservies. Les grandes intercommunalités (métropoles, communautés d’agglomération importantes) sont généralement concernées.
Ce que cela signifie concrètement
Pour les collectivités directement concernées, NIS2 impose notamment :
- La mise en place de mesures de gestion des risques cyber
- La déclaration des incidents significatifs à l’ANSSI
- Des exigences de sécurité sur la chaîne d’approvisionnement
- Des obligations de formation et de sensibilisation
- Des délais de notification resserrés en cas d’incident
L’ANSSI publie des guides détaillés sur les obligations spécifiques. Leur application nécessite généralement un accompagnement professionnel.
Les collectivités en dessous du seuil — la pression indirecte
C’est là où beaucoup de petites communes se trompent : ne pas être directement visé par NIS2 ne signifie pas être complètement hors du périmètre.
La logique de la supply chain
NIS2 impose aux entités essentielles et importantes d’évaluer la sécurité de leurs fournisseurs et partenaires. Concrètement, cela signifie :
- L’hôpital de votre territoire (entité essentielle) doit évaluer la sécurité des organisations avec lesquelles il échange des données ou partage des systèmes
- L’opérateur de réseau d’eau ou d’énergie de votre commune (potentiellement entité essentielle) doit faire de même
- Si votre mairie fournit des données, des accès ou des services à ces entités, vous pouvez être soumis à leurs exigences de sécurité
La pression “supply chain” peut donc se matérialiser sous forme de questionnaires de sécurité, d’exigences contractuelles ou de demandes d’audit de la part de partenaires qui, eux, sont directement soumis à NIS2.
Les marchés publics
Dans les appels d’offres, notamment ceux des grandes collectivités et des entités publiques soumises à NIS2, des critères de cybersécurité peuvent apparaître. Si votre commune répond à des marchés publics ou travaille comme sous-traitant pour des entités NIS2, votre niveau de sécurité peut devenir un critère de sélection.
Ce qui reste pertinent pour toutes les collectivités
Indépendamment de NIS2, plusieurs obligations s’appliquent à toutes les collectivités, quelle que soit leur taille :
Le RGPD
Le Règlement Général sur la Protection des Données s’applique à toutes les collectivités locales sans exception de taille. Toute commune traitant des données personnelles de citoyens (état civil, gestion scolaire, fichiers d’aide sociale…) a des obligations RGPD précises :
- Désignation d’un délégué à la protection des données (DPD) — mutualisé avec d’autres communes dans le cas des petites structures
- Tenue d’un registre des traitements
- Mise en place de mesures de sécurité appropriées
- Notification à la CNIL en cas de violation de données
La responsabilité du maire
En cas d’incident cyber qui résulte d’une négligence caractérisée — absence totale de mesures de sécurité, absence de sauvegardes, non-application de correctifs critiques connus depuis des mois — la responsabilité pénale du maire peut être engagée. Il ne s’agit pas d’un risque théorique : des procédures ont été ouvertes dans ce sens.
L’obligation de continuité du service public
Les communes ont une obligation de continuité du service public. Un rançongiciel qui paralyse les services pendant trois semaines est une défaillance à cette obligation. Même sans cadre NIS2, cette obligation justifie des mesures de sécurité proportionnées.
Ce que recommande l’ANSSI pour les petites collectivités
L’ANSSI a développé des ressources spécifiques pour les collectivités qui ne peuvent pas s’appuyer sur une expertise interne :
- MonAideCyber : dispositif de diagnostic gratuit, réalisé par des aidants formés par l’ANSSI
- Le guide de cybersécurité pour les collectivités territoriales : disponible gratuitement sur leur site
- Cybermalveillance.gouv.fr : portail gouvernemental avec des ressources pratiques et un annuaire de prestataires
L’ANSSI recommande une approche progressive : commencer par les mesures fondamentales (sauvegardes, mises à jour, gestion des accès) avant d’aborder des mesures plus complexes.
Synthèse : ce que vous devez retenir
| Situation | Obligation NIS2 directe | Pression indirecte |
|---|---|---|
| Commune < 30 000 hab | Non | Possible (supply chain) |
| Commune > 30 000 hab | Oui (EE ou EI probable) | Oui |
| EPCI important | Oui selon compétences | Oui |
| EPCI rural | Non en général | Possible |
Ce qui s’applique à toutes les collectivités, sans exception :
- RGPD et obligations de sécurité associées
- Obligation de continuité du service public
- Responsabilité potentielle en cas de négligence caractérisée
La vraie question : où en êtes-vous ?
Plutôt que de se demander “suis-je soumis à NIS2 ?”, la question plus utile est : “quel est mon niveau de maturité cyber réel, et quels sont mes risques prioritaires ?”
Un audit cyber permet d’y répondre concrètement, indépendamment du cadre réglementaire. Il vous donne une vision claire de votre situation et un plan d’action réaliste, adapté à vos ressources et à votre contexte.
Vous souhaitez faire le point sur votre situation réglementaire et votre niveau de sécurité ? DigitalSpoon propose des audits cyber spécifiquement adaptés aux collectivités des Yvelines et d’Île-de-France.
Sources : ANSSI, textes de transposition de NIS2 en droit français ; CNIL, guides pratiques RGPD pour les collectivités ; Légifrance, textes législatifs et réglementaires applicables.