Collectivités et cybersécurité : les nouvelles exigences de la directive NIS 2

Actualité | Publié le 21/08/2025

Face à l'augmentation des cyberattaques, l’Europe renforce sa cybersécurité via la directive NIS 2 (Network and Information Security ; en français Réseaux et Sécurité de l'Information). Initialement prévue pour octobre 2024, sa transposition en France, déjà votée par le Sénat, est en cours d’examen à l’Assemblée nationale. Les collectivités territoriales seront particulièrement impactées et devront s’adapter pour se conformer à ces nouvelles obligations, mais surtout pour renforcer efficacement leur protection contre des attaques de plus en plus nombreuses.

  • Ces dernières années ont vu une augmentation importante des cyberattaques visant les établissements français (publics ou privés). À titre d’illustration, les attaque par rançongiciel, ont augmenté de 30 % entre 2022 et 2023 avant de se stabiliser en 2024 (cf. Attaque de rançongiciel de 2022 à 2024).

    Leurs coûts, pour l’année 2022, ont été estimés à 2 milliards d’euros par le cabinet Astères (consulter l’étude). Pour y faire face, l’Union européenne a décidé d’adopter une nouvelle directive Network and Information Security, dite NIS2, augmentant les exigences par rapport à l’ancienne directive (NIS1).

    Cette transposition relève d’un changement de paradigme par rapport à NIS1, puisqu’il ne s’agit plus seulement de sécuriser des infrastructures critiques (au nombre de 500 en France), mais aussi d’assurer la résilience de toutes les entités jugées essentielles et importantes du point de vue de la cybersécurité. Le nombre d’entités susceptibles d’être impactées par ce texte est donc beaucoup plus important, puisqu’estimé à 15 000.

    • Attaques par rançongiciel

    • Répartition des victimes d'attaques par le biais de rançongiciels

    • Les collectivités ciblées devraient représenter 10 % de ce total. Cette inclusion des collectivités relève d’un choix politique de l’État Français, puisque l’Union européenne laisse à chaque État membre le soin de définir quelles « entités de l'administration publique au niveau local » seront impactées. Cette décision est motivée par le fait que les collectivités représentent des cibles de choix pour les acteurs de la cybermalveillance (en raison de l’importance des données auxquelles elles ont accès, d’une mauvaise sensibilisation et du manque de mise en place de protection contre le cyber-risque). Cet état de fait se reflète dans le nombre d’attaques qu’elles subissent, puisqu’elles représentent environ un quart des victimes de rançongiciels en 2023 et un cinquième en 2024.

      La mise en œuvre de ce texte sera confiée à l’ANSSI, qui voit pour l’occasion son périmètre initial de cyberdéfense étendu à la cybersécurité.

    • Bien que proches et interdépendantes, la cybersécurité et la cyberdéfense ne couvrent pas des périmètres identiques. Quand on parle de cyberdéfense dans notre contexte, on entend par là l’ensemble des moyens mis en place par un État pour défendre les systèmes d’information jugés d’importance vitale et contribuant à assurer sa cybersécurité. On retrouve donc, dans la cyberdéfense, des moyens de lutte informatique défensive et offensive. La cybersécurité, quant à elle, correspond à la capacité d’un système d’information à résister aux cyberattaques et aux pannes accidentelles pouvant l’impacter.

    • Les typologies d'entités

      Afin de s’assurer que chaque structure soit traitée de manière proportionnée à sa taille, le texte prévoit deux types d’entités : les Essentielles et les Importantes. Ainsi, une collectivité ne pourra se trouver que dans l’une des deux catégories ; si ce n’est pas le cas, c’est qu’elle n’est pas impactée par la directive. De la même manière, un certain nombre de partenaires privés des collectivités sont également impactés par la directive.
      Compte-tenu de cette classification, la grande majorité des communes de France (moins de 30 000 habitants) ne seront concernées par la directive que par le biais de leurs intercommunalités.

    • Entités essentielles et entités importantes

      Entités Collectivités territoriales Secteur privé
      Entités essentielles (20% des entités concernées) Sont considérés comme entités essentielles :
      • L’ensemble des régions
      • L’ensemble des départements
      • L’ensemble des centres de gestion
      • L’ensemble des SDIS
      • L’ensemble des communes de plus de 30 000 habitants
      • L’ensemble des métropoles
      • Les communautés urbaines
      • Les communautés d’agglomération comprenant au moins une commune de 30 000 habitants
      • Les établissements publics administratifs des entités ci-dessus dont les activités s’exercent dans un secteur haute- ment critique ou critique
      • Les syndicats dont les activités s’exercent dans un secteur hautement critique ou critique et dont la population desservie est supérieure à 30 000 habitants
      • Les institutions et organismes interdépartementaux dont les activités s’exercent dans un secteur hautement critique ou critique      		 Une entreprise est considérée comme entité essentielle si elle opère dans un secteur d’activité hautement critique et qu’elle emploie plus de 250 personnes ou réalise un chiffre d’affaires annuel supérieur à 50 millions d’euros et un bilan annuel de plus de 43 millions d’euros.
      Entités importantes (80 % des entités concernées) Sont considérées comme entités importantes :
      • Les communautés d’agglomération ne comprenant pas de commune de 30 000 habitants ou plus
      • Les communautés de communes et leurs établissements publics administratifs dont les activités s’exercent dans un secteur hautement critique ou critique      		 Une entreprise est considérée comme entité importante si elle opère dans un secteur d’activité hautement critique ou critique et qu’elle emploie plus de 50 personnes ou réalise un chiffre d’affaires annuel supérieur à 10 millions d’euros et un bilan annuel de plus de 10 millions d’euros.