Retour aux actualitésNIS2 Transport

    NIS2 et secteur transport-logistique : entités concernées et obligations 2026

    13 min de lecture

    La directive NIS2, transposée en droit français, classe le secteur des transports parmi les secteurs hautement critiques (Annexe I). Les opérateurs de transport et de logistique sont en première ligne des nouvelles obligations de cybersécurité — avec des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

    Qui est concerné dans le secteur transport ?

    L'Annexe I de la directive NIS2 liste les sous-secteurs du transport concernés :

    Transport aérien

    • Transporteurs aériens (compagnies aériennes) utilisés à des fins commerciales.
    • Gestionnaires d'aéroports (aéroports ouverts à la circulation aérienne publique).
    • Organismes de gestion du trafic aérien fournissant des services de contrôle du trafic aérien (ATC).

    Transport ferroviaire

    • Gestionnaires d'infrastructure ferroviaire (SNCF Réseau, gestionnaires régionaux).
    • Entreprises ferroviaires (SNCF Voyageurs, opérateurs de fret).
    • Opérateurs de service d'entretien.

    Transport par voie navigable

    • Compagnies de transport de passagers et de marchandises par voies maritime et fluviale.
    • Opérateurs portuaires et autorités portuaires gérant des ports au-delà d'un certain seuil de trafic.
    • Opérateurs de systèmes de gestion du trafic maritime (VTS).

    Transport routier

    • Autorités routières responsables du contrôle de la gestion du trafic.
    • Opérateurs de systèmes de transport intelligents (ITS).

    Logistique

    Les opérateurs logistiques (entrepôts, plateformes de distribution, messagerie) ne figurent pas directement dans l'Annexe I mais peuvent être concernés s'ils sont fournisseurs critiques d'entités NIS2, ou si leur propre État membre les a inclus dans son périmètre national étendu. En France, le décret de transposition peut élargir le périmètre aux opérateurs logistiques critiques.

    Critères de taille : entité essentielle vs importante

    • Entité essentielle : grande entreprise (≥250 salariés OU CA ≥ 50 M€ ET bilan ≥ 43 M€) dans les secteurs hautement critiques (transport aérien, ferroviaire, maritime).
    • Entité importante : moyenne entreprise (≥50 salariés OU CA ≥ 10 M€) dans les mêmes secteurs, ou grande entreprise dans les secteurs critiques (routier, logistique).
    • Exception taille : même les PME peuvent être qualifiées d'entités essentielles si elles sont le seul fournisseur d'un service critique ou si une perturbation de leur activité aurait un impact transfrontalier significatif.

    Obligations spécifiques pour les opérateurs transport NIS2

    Mesures de gestion des risques (art. 21)

    Les entités transport doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles proportionnées, incluant :

    • Politique de sécurité des réseaux et SIC : PSSI approuvée par la direction, révisée annuellement.
    • Gestion des incidents : processus de détection, réponse et notification. CSIRT sectoriel transport à notifier.
    • Continuité d'activité : PCA/PRA avec tests réguliers, gestion de crise, sauvegardes testées.
    • Sécurité de la chaîne d'approvisionnement : évaluation des fournisseurs de logiciels embarqués, équipementiers, prestataires IT/OT.
    • Sécurité dans le développement : si systèmes développés en interne (GTC, billetterie, gestion des flux).
    • Gestion des vulnérabilités : scan régulier, patch management avec SLA définis.
    • Cryptographie et chiffrement : communications chiffrées, protection des données en transit et au repos.
    • Ressources humaines : habilitation du personnel, sensibilisation, accès minimaux.
    • Authentification multifacteur : MFA obligatoire sur tous les accès distants et systèmes critiques.

    Enjeux spécifiques IT/OT dans le transport

    Le secteur transport présente une convergence IT/OT particulièrement critique :

    • Systèmes embarqués : avionique, systèmes de signalisation ferroviaire (ERTMS), systèmes de navigation maritime — connectivité croissante, durées de vie longues, difficultés de patch.
    • SCADA et automates : contrôle des aiguillages, systèmes d'éclairage d'aéroports, gestion des portes d'embarquement — faible sécurité native.
    • Systèmes de gestion du trafic : ATM (aérien), ERTMS (ferroviaire), VTS (maritime) — cibles de haute valeur pour les attaquants étatiques.
    • Applications passagers : billetterie, enregistrement en ligne, applications mobiles — données personnelles sensibles (mouvements, habitudes de voyage).

    Obligations de notification des incidents

    En cas d'incident significatif affectant les services essentiels :

    • Alerte préliminaire : dans les 24 heures à l'autorité compétente (ANSSI en France) et au CSIRT national.
    • Notification d'incident : dans les 72 heures — confirmation de l'incident, évaluation préliminaire, gravité et impact.
    • Rapport intermédiaire : sur demande de l'autorité compétente.
    • Rapport final : dans le mois suivant la notification — description complète, cause profonde, mesures de remédiation, impact transfrontalier.

    Un incident est "significatif" s'il a causé ou pourrait causer une perturbation opérationnelle grave, des pertes financières importantes pour l'entité, ou des dommages matériels ou immatériels substantiels pour d'autres personnes.

    Calendrier et sanctions

    • Octobre 2024 : date limite de transposition de NIS2 en droit national dans les États membres.
    • 2025-2026 : montée en charge des contrôles de l'ANSSI, premiers enregistrements obligatoires des entités.
    • Sanctions entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial total annuel.
    • Sanctions entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial total annuel.
    • Responsabilité des dirigeants : possibilité de suspension temporaire des dirigeants en cas de manquements graves répétés.

    Plan d'action pour les opérateurs transport

    1. Vérifier si votre entité est concernée par NIS2 et déterminer sa classification (essentielle/importante).
    2. S'enregistrer auprès de l'ANSSI sur la plateforme de déclaration NIS2.
    3. Réaliser un gap analysis par rapport aux exigences de l'article 21 de NIS2.
    4. Cartographier votre SI, vos systèmes OT embarqués et vos fournisseurs critiques.
    5. Élaborer ou mettre à jour votre PSSI, PCA et processus de gestion des incidents.
    6. Mettre en place ou renforcer la détection (SOC, SIEM) pour satisfaire aux exigences de notification.
    7. Former les équipes et la direction aux obligations NIS2 et aux réflexes en cas d'incident.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit