Double obligation pour les entites essentielles et importantes : mesures de securite NIS2 actives depuis octobre 2024, et systemes IA en infrastructure critique classes haut risque par l'EU AI Act (Annexe III, point 2).
NIS2 transposee en France : obligations actives depuis octobre 2024
La directive NIS2 (EU 2022/2555) a ete transposee en droit francais en octobre 2024. Les entites essentielles et importantes doivent avoir mis en place les mesures Art.21, les processus de notification d'incidents, et la formation de la direction. En parallele, l'EU AI Act classe automatiquement les systemes IA deployes en infrastructure critique comme haut risque — obligations a satisfaire avant le 2 aout 2026.
Les seuils de taille s'appliquent : grandes entreprises (exclusivement OES) vs moyennes/petites entreprises (EI si dans le secteur). Les micro-entreprises sont generalement exemptees sauf si elles occupent un role critique identifie par l'ANSSI.
La combinaison des deux reglementations cree un cadre exigeant pour les systemes IA en infrastructure critique.
NIS2 Art.21 — 10 mesures de sécurité obligatoires
La directive NIS2 impose 10 catégories de mesures de sécurité : (1) politiques d'analyse des risques, (2) gestion des incidents, (3) continuité des activités et gestion de crise, (4) sécurité de la chaîne d'approvisionnement, (5) sécurité lors de l'acquisition et du développement de systèmes, (6) gestion et divulgation des vulnérabilités, (7) politiques évaluant l'efficacité des mesures, (8) pratiques de cyberhygiène et formation, (9) politiques en matière de cryptographie, (10) sécurité des ressources humaines et contrôle d'accès.
EU AI Act — Annexe III point 2
Tout système d'IA utilisé comme composant de sécurité de l'infrastructure de réseaux et de systèmes d'information (NIS) est automatiquement classé haut risque par l'EU AI Act (Annexe III, point 2). Cela inclut : la détection d'intrusions IA, la gestion automatisée des accès, l'analyse comportementale du réseau, les systèmes SIEM/SOAR pilotés par IA. Documentation Annexe IV + tests de conformité + supervision humaine obligatoires avant le 2 août 2026.
NIS2 Art.23 — Notification d'incidents
Tout incident significatif (ayant un impact réel sur la continuité de service ou causant des dommages matériels importants) doit être notifié au CERT-FR en trois temps : alerte précoce dans les 24h (impact et classification), notification intermédiaire dans les 72h (informations initiales complètes), rapport final dans le mois. Un incident affectant un système IA décisionnel dans une infrastructure critique suit le même protocole et peut déclencher simultanément les obligations NIS2 et EU AI Act.
NIS2 Art.21(2)(d) — Sécurité de la chaîne d'approvisionnement
Les entités NIS2 doivent évaluer et gérer les risques de sécurité liés à leurs fournisseurs de systèmes IA, éditeurs de logiciels et prestataires cloud. En pratique : cartographier tous les fournisseurs IA, évaluer leur conformité EU AI Act (sont-ils fournisseurs d'un système haut risque ?), inclure des clauses contractuelles de sécurité (SLA cyber, droit d'audit, notification d'incidents). Les plateformes IA-as-a-Service (Azure AI, Google Cloud AI, AWS AI) sont dans le scope.
NIS2 Art.20 — Responsabilité de la direction
Les organes de direction des entités essentielles et importantes sont personnellement responsables du respect de NIS2. Ils doivent être formés à la cybersécurité pour évaluer les risques et leurs impacts. Les décisions d'investissement en systèmes IA (projets SIEM IA, outils de détection IA, automatisation des accès) entrent dans leur périmètre de responsabilité. En cas de manquement grave, des sanctions personnelles peuvent être prononcées (Art.32 : suspension temporaire de gestion).
EU AI Act Art.9 — Gestion des risques continue
Pour les systèmes IA haut risque déployés dans une infrastructure NIS2, l'EU AI Act impose un système de gestion des risques continu et documenté tout au long du cycle de vie. Ce système doit couvrir les risques prévisibles, les utilisations abusives raisonnablement prévisibles, et les risques résultant de l'interaction avec d'autres systèmes. En combinant NIS2 et EU AI Act, une double cartographie des risques est requise : risques cyber (NIS2) + risques liés à l'IA (AI Act).
SIEM et SOAR pilotés par IA (détection et réponse automatisée aux incidents)
Analyse comportementale du réseau (UEBA — User and Entity Behavior Analytics)
Gestion automatisée des identités et accès (IAM IA)
Détection d'anomalies industrielles et maintenance prédictive OT
Classification et priorisation automatique des vulnérabilités
Chatbots de support interne (accès systèmes, tickets sécurité)
Traitement automatisé des logs et corrélation d'alertes
Prédiction de pannes sur infrastructures critiques (énergie, eau, transport)
Si votre systeme IA prend des decisions qui affectent la securite ou la continuite d'une infrastructure critique, il est dans le scope. La qualification definitive depend du contexte de deploiement et du niveau d'autonomie du systeme.
Checklist de mise en conformite NIS2 + EU AI Act
24h
Alerte precoce
Impact initial et classification — au CERT-FR / ANSSI
72h
Rapport intermediaire
Informations initiales completes, premières mesures prises
1 mois
Rapport final
Analyse complete, causes profondes, mesures correctives
L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) publie les critères de qualification. En général : une entité essentielle est active dans l'un des 8 secteurs essentiels et dépasse les seuils de taille (grande entreprise : >250 employés ou >50M€ CA). Une entité importante est dans les secteurs importants ou ne dépasse pas ces seuils. Les organisations doivent s'auto-déclarer auprès de l'ANSSI. En cas de doute, consultez le portail cybermalveillance.gouv.fr.
Très probablement oui. L'Annexe III point 2 classe comme haut risque les systèmes IA utilisés comme composants de sécurité de l'infrastructure de réseaux et systèmes d'information. Un IDS/IPS ou SIEM IA qui prend des décisions automatiques (blocage d'accès, isolation de machine) répond à cette définition. Vous devez donc : rédiger la documentation Annexe IV, mettre en place la gestion des risques Art.9, garantir la supervision humaine Art.14, et assurer la transparence Art.13.
Oui. La loi de transposition française est entrée en vigueur en octobre 2024. L'ANSSI a publié ses premières lignes directrices. Les délais d'application pratiques sont progressifs, mais les obligations de principe (analyse des risques, mesures Art.21, notification des incidents) s'appliquent. Les entités qui n'ont pas encore engagé leur démarche sont en risque de sanctions.
Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial annuel total (le plus élevé des deux). Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA mondial. L'ANSSI peut également ordonner des mesures correctives, des audits obligatoires et — pour les manquements graves — une suspension temporaire des fonctions de direction (Art.32 NIS2).
Les deux textes sont complémentaires : NIS2 couvre la sécurité des systèmes d'information en général, l'EU AI Act ajoute des exigences spécifiques aux systèmes d'IA haut risque dans les infrastructures critiques. En pratique : (1) identifiez vos systèmes IA qui relèvent d'Annexe III point 2 ; (2) créez une documentation Annexe IV pour chacun ; (3) intégrez l'analyse de risque IA dans votre cartographie NIS2 Art.21 ; (4) vérifiez que vos contrats fournisseurs couvrent les deux obligations. MaConformité permet de gérer les deux référentiels depuis un seul dashboard.
Oui, au titre de la sécurité de la chaîne d'approvisionnement (Art.21(2)(d)). Vous devez évaluer les risques que font peser ces fournisseurs sur vos systèmes, vérifier leurs certifications (ISO 27001, SOC 2, CSP SecNumCloud), inclure des clauses contractuelles de notification d'incidents, et documenter les données qui transitent par ces systèmes. Microsoft Azure et AWS possèdent des rapports de conformité NIS2 disponibles sur leurs portails compliance.
Le diagnostic gratuit identifie vos systemes IA, evalue votre exposition NIS2 et EU AI Act, et genere votre plan d'action personnalise en moins de 5 minutes.