Si votre commune dépasse 30 000 habitants, ou si vous êtes un EPCI, un département ou une région, vous entrez dans le périmètre du projet de loi français transposant la directive NIS2. La loi n’est pas encore promulguée à l’été 2026, mais le périmètre est connu et les obligations le sont aussi : attendre le décret pour commencer, c’est déjà être en retard. Ce mémo répond en cinq questions à « suis-je concerné ? », distingue NIS2 du Cyber Resilience Act (CRA), et détaille ce qu’un opérateur managé peut prendre en charge à votre place.
Votre collectivité est-elle concernée par NIS2 ? Les 5 questions à se poser
Le test tient en cinq questions. Une seule réponse « oui » suffit à vous placer dans le périmètre prévu par le projet de loi de transposition (dit loi « résilience »), tel qu’adopté par le Sénat en première lecture le 12 mars 2025.
- Êtes-vous une commune de plus de 30 000 habitants ? Environ 300 communes françaises sont concernées à ce titre. Elles sont classées entités essentielles. (Seuil issu du texte voté au Sénat — à reconfirmer dans la loi promulguée.)
- Êtes-vous une métropole, une communauté urbaine ou une communauté d’agglomération ? Ces EPCI sont classés entités essentielles, quelle que soit leur taille.
- Êtes-vous une communauté de communes ? Toutes entrent dans le champ, comme entités importantes. Près de 1 000 intercommunalités sont concernées au total.
- Êtes-vous un département ou une région ? Les deux figurent dans le périmètre du texte.
- Êtes-vous prestataire ou syndicat mixte opérant des services numériques pour une entité concernée ? Même hors périmètre direct, les obligations de sécurisation de la chaîne d’approvisionnement de NIS2 remonteront jusqu’à vous par voie contractuelle.
Sources : rapport du Sénat sur le projet de loi résilience, Banque des Territoires, Maire Info.
Où en est la loi française à l’été 2026 ?
La directive européenne NIS2 (2022/2555) devait être transposée avant le 17 octobre 2024. La France est en retard : le projet de loi « résilience des infrastructures critiques et renforcement de la cybersécurité », qui transpose à la fois NIS2, REC et DORA, a été adopté par le Sénat le 12 mars 2025, puis en commission spéciale de l’Assemblée nationale en septembre 2025. À la date de publication de cet article (juillet 2026), la loi n’est pas promulguée et les échéances d’application ne sont donc pas encore fixées.
Ce retard ne doit pas rassurer : le calendrier envisagé prévoit un enregistrement des entités auprès de l’ANSSI peu après la promulgation, des premiers contrôles dès l’année suivante, puis une montée en conformité sur environ trois ans. Les collectivités seraient exemptées d’amendes financières, mais pas des injonctions de mise en conformité ni des astreintes de l’ANSSI — et encore moins du risque opérationnel et politique d’une cyberattaque réussie.
NIS2 et CRA : quelle différence ?
Les deux textes sont complémentaires mais ne visent pas les mêmes acteurs.
| NIS2 | CRA (Cyber Resilience Act) | |
|---|---|---|
| Nature | Directive (UE) 2022/2555, transposée par une loi française | Règlement (UE) 2024/2847, directement applicable |
| Qui est visé | Les organisations : entreprises de 18 secteurs, administrations, collectivités | Les fabricants de produits comportant des éléments numériques (matériels et logiciels connectés) |
| Ce qu’il impose | Gestion des risques cyber, notification d’incidents, gouvernance | Sécurité dès la conception, gestion des vulnérabilités, marquage CE |
| Échéances | Fixées par la loi française et ses décrets (loi non promulguée à l’été 2026) | Notification des vulnérabilités exploitées dès le 11 septembre 2026 ; pleine application le 11 décembre 2027 |
| Impact collectivité | Obligation directe si vous êtes dans le périmètre | Impact indirect : critère à intégrer dans vos achats d’équipements connectés (vidéoprotection, capteurs, bornes WiFi…) |
Source CRA : Commission européenne.
En clair : NIS2 vous oblige, le CRA oblige vos fournisseurs. Une collectivité avisée utilisera le CRA comme levier dans ses marchés publics dès 2026.
Quelles obligations concrètes pour votre collectivité ?
La directive NIS2 impose une dizaine de mesures de gestion des risques. Cinq d’entre elles structurent l’essentiel de l’effort pour une collectivité :
- Analyse des risques et politique de sécurité des systèmes d’information, documentée et révisée régulièrement.
- Notification des incidents significatifs à l’ANSSI : alerte précoce sous 24 h, notification détaillée sous 72 h.
- Continuité d’activité : sauvegardes testées, plan de reprise, gestion de crise.
- Sécurité de la chaîne d’approvisionnement : exiger des garanties de vos prestataires numériques.
- Maîtrise des accès et authentification : contrôle d’accès au réseau, authentification multifacteur sur les accès critiques, traçabilité des connexions.
S’y ajoutent la formation des élus et dirigeants — dont la responsabilité est engagée dans le dispositif NIS2 pour les entités privées — et l’évaluation régulière de l’efficacité des mesures.
Quel rôle joue la norme ISO 27001 dans la conformité NIS2 ?
ISO/IEC 27001 est la norme internationale de management de la sécurité de l’information. Elle n’est pas juridiquement équivalente à NIS2, mais elle en couvre la logique : analyse de risques, mesures proportionnées, amélioration continue, traçabilité. Une collectivité qui s’appuie sur un prestataire opérant selon ISO 27001 récupère mécaniquement une grande partie des exigences NIS2 : les processus existent, sont documentés et auditables. C’est le raccourci le plus court entre « rien » et « démontrable ».
Que peut prendre en charge un opérateur managé comme CityPassenger ?
CityPassenger opère des infrastructures réseau pour les entreprises et les villes et territoires avec une équipe qui opère selon les exigences de la norme ISO 27001. Concrètement, sur le périmètre réseau — celui par lequel passent la plupart des attaques — le service managé couvre :
- WiFi managé et LAN managé : segmentation des réseaux (agents, élus, invités, IoT), supervision continue ;
- Traçabilité des accès grâce à l’authentification centralisée par serveur RADIUS : qui se connecte, quand, depuis quel équipement — exactement ce qu’un contrôle ANSSI demandera ;
- Pare-feu managé et SD-WAN : filtrage, chiffrement des flux intersites, journalisation ;
- Reporting exploitable pour documenter votre conformité.
Le tout par abonnement, sans investissement initial — un point non négligeable pour un budget de collectivité.
Évaluer votre exposition NIS2 : prendre rendez-vous avec un expert CityPassenger
FAQ
Ma commune compte 12 000 habitants : suis-je exemptée de NIS2 ?
Directement, oui, selon le seuil de 30 000 habitants du texte voté au Sénat. Mais si vous appartenez à une communauté d’agglomération ou de communes, celle-ci est concernée — et vos systèmes mutualisés avec elle le sont de fait. Le seuil définitif doit être confirmé dans la loi promulguée.
Quelles sanctions risque une collectivité non conforme ?
Le texte issu du Sénat exempte les collectivités d’amendes financières (contrairement aux entreprises : jusqu’à 10 M€ ou 2 % du CA pour les entités essentielles). L’ANSSI conserve en revanche des pouvoirs d’injonction et d’astreinte, et le risque réel reste l’attaque elle-même : rançongiciel, paralysie des services publics, données des administrés exposées.
Faut-il attendre la promulgation de la loi pour agir ?
Non. Les mesures exigées (analyse de risques, sauvegardes, contrôle des accès, notification d’incidents) sont connues depuis la directive de 2022 et demandent 12 à 36 mois de mise en œuvre. Commencer maintenant, c’est lisser l’effort budgétaire sur deux exercices.
Le CRA impose-t-il des obligations directes à ma collectivité ?
Non, sauf si vous fabriquez et commercialisez des produits numériques, ce qui est rarissime. En revanche, dès le 11 décembre 2027, les produits connectés que vous achetez devront être conformes CRA : intégrez ce critère dès aujourd’hui dans vos cahiers des charges.
Pour aller plus loin : Rendre son IT résiliente : la méthode d’une équipe ISO 27001 et notre article sur les obligations NIS2 des PME.