CloudSoul
Ressources · Blog · NIS2

NIS2 pour l'industrie manufacturière : automobile, électronique et machines

Comprendre les exigences NIS2 pour les fabricants de véhicules, d'électronique et de machines. Ce que les « entités importantes » doivent mettre en œuvre au titre de l'annexe II.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 27 May 2026 · 10 min de lecture
NIS2
NIS2 pour l'industrie manufacturière : automobile, électronique et machines

Qui devrait lire ceci : directeurs industriels, responsables de la chaîne d’approvisionnement, responsables des opérations, RSSI dans l’industrie manufacturière.

La directive NIS2 a placé l’industrie manufacturière sous les projecteurs réglementaires d’une manière que les cadres de cybersécurité précédents n’avaient pas fait. La fabrication était largement absente de la directive NIS (2016), et l’inclusion soudaine des fabricants automobiles, électroniques et de machines à l’annexe II de NIS2 a créé d’importantes obligations de conformité pour des organisations qui opéraient auparavant sans mandats sectoriels de cybersécurité au niveau de l’UE. Si votre organisation manufacturière produit des véhicules, des composants électroniques, des équipements électriques ou des machines, NIS2 vous concerne. Comprendre le champ d’application et mettre en œuvre des mesures appropriées exigent une réflexion claire sur les opérations en scope et sur ce que signifie le statut d’« entité importante » pour votre secteur.

L’industrie manufacturière est devenue une priorité pour NIS2 pour des raisons pratiques. Les véhicules modernes, les appareils électroniques et les machines industrielles contiennent des systèmes de réseau et d’information embarqués qui contrôlent des fonctions critiques pour la sécurité. Une vulnérabilité dans une chaîne d’approvisionnement automobile pourrait affecter des véhicules sur les routes à travers l’Europe. Une compromission dans la fabrication électronique pourrait propager des composants compromis vers les produits en aval. Des machines industrielles défaillantes pourraient perturber la production dans plusieurs secteurs. La directive reconnaît que la fabrication n’est plus séparable de la numérisation et de la cybersécurité. Votre posture de sécurité manufacturière est une sécurité d’infrastructure critique.

Champ d’application : quels fabricants sont concernés ?

L’annexe II, secteur 5 de NIS2 identifie six catégories d’entités manufacturières, chacune définie par des activités économiques spécifiques au titre de la NACE (Nomenclature des activités économiques).

Le sous-secteur 5(a) couvre la fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro : les entités classées dans les divisions NACE Rev. 2 couvrant ces produits. Il s’agit d’un champ défini avec des liens réglementaires spécifiques au règlement européen sur les dispositifs médicaux, de sorte que les entités de cet espace sont probablement déjà conscientes des exigences de cybersécurité.

Le sous-secteur 5(b) couvre la fabrication de produits informatiques, électroniques et optiques : toute entreprise exerçant des activités économiques relevant de la division 26 de la section C de la NACE Rev. 2. Ce champ est large et capture les fabricants de semi-conducteurs, les assembleurs d’ordinateurs, les fabricants d’optiques et les fabricants de composants électroniques. Si votre organisation fabrique des processeurs, des dispositifs de stockage, des écrans ou des équipements optiques, vous relevez de cette disposition.

Le sous-secteur 5(c) couvre la fabrication d’équipements électriques relevant de la division 27 de la section C de la NACE Rev. 2. Cela inclut les fabricants de générateurs, transformateurs, équipements de distribution, équipements d’installation et appareils ménagers avec composants électroniques. De nombreuses organisations dans cet espace se sont historiquement considérées comme des fabricants de matériel avec une implication limitée dans le logiciel ; NIS2 les détrompe.

Le sous-secteur 5(d) couvre la fabrication de machines et équipements : toute activité économique relevant de la division 28 de la section C de la NACE Rev. 2. Ce champ est vaste et inclut les fabricants de machines à usage général, de machines à usage spécial et de machines pour des industries spécifiques. Les machines industrielles intègrent de plus en plus de contrôles connectés au réseau et de systèmes de surveillance.

Le sous-secteur 5(e) couvre la fabrication de véhicules à moteur, remorques et semi-remorques (division 29 de la section C de la NACE Rev. 2). Cela inclut les constructeurs automobiles (OEM), les fabricants de véhicules commerciaux et les fabricants de remorques. Le secteur automobile dispose d’exigences de cybersécurité préexistantes substantielles au titre d’ISO 26262 et des normes émergentes autour de SOTIF ; NIS2 ajoute des obligations réglementaires européennes.

Le sous-secteur 5(f) couvre la fabrication d’autres matériels de transport (division 30 de la section C de la NACE Rev. 2). Cela inclut la fabrication d’aéronefs, de matériel ferroviaire et de navires. Comme l’automobile, ces secteurs ont des systèmes critiques pour la sécurité et des cadres de cybersécurité préexistants ; NIS2 crée des obligations réglementaires supplémentaires.

La question critique pour chaque organisation manufacturière est : votre activité économique principale relève-t-elle de l’une de ces divisions ? Si oui, et si votre organisation n’est pas déjà identifiée comme entité essentielle à l’annexe I (ce qui est peu probable pour la plupart des fabricants), alors vous êtes une entité importante au titre de NIS2, et les exigences de l’article 21 s’appliquent à vous.

Statut d’entité importante : ce que cela signifie pour les fabricants

Les entités importantes au titre de NIS2 doivent mettre en œuvre les mesures de gestion des risques de cybersécurité énoncées à l’article 21(1) et (2). Ces mesures ne sont pas théoriques ; elles sont obligatoires, complètes et applicables. Contrairement à la directive NIS précédente, qui ne s’appliquait qu’aux entités essentielles, l’extension de NIS2 aux entités importantes signifie que les régulateurs peuvent désormais superviser votre conformité et imposer des amendes administratives pour non-conformité.

Les mesures que vous devez mettre en œuvre incluent au moins les éléments suivants : politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ; procédures de gestion des incidents ; planification de la continuité des activités et de la reprise après sinistre ; mesures de sécurité de la chaîne d’approvisionnement ; pratiques de développement sécurisé, y compris la gestion des vulnérabilités ; procédures pour évaluer l’efficacité de vos mesures de cybersécurité ; cyberhygiène de base et formation à la cybersécurité ; politiques de cryptographie et de chiffrement ; sécurité des ressources humaines et contrôles d’accès ; et authentification multifacteur ou authentification continue lorsque c’est approprié.

Pour les organisations manufacturières, plusieurs de ces mesures ont des implications particulières. La sécurité de la chaîne d’approvisionnement est critique parce que la fabrication s’appuie sur des chaînes mondiales complexes. Vos fournisseurs fournissent des matières premières, des composants, des sous-ensembles et des services. Chacun introduit un risque potentiel de cybersécurité. L’article 21(3) exige que vous « teniez compte des vulnérabilités spécifiques à chaque fournisseur direct et prestataire de services, ainsi que de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisé ». Cela signifie que vous ne pouvez pas traiter la sécurité de la chaîne d’approvisionnement comme une simple case à cocher de diligence ; vous devez évaluer systématiquement les pratiques de cybersécurité de vos fournisseurs et intégrer cette évaluation dans votre cadre de gestion des risques.

Les pratiques de développement sécurisé sont tout aussi critiques. Si votre organisation manufacturière produit du matériel avec du logiciel embarqué, ou des machines avec des systèmes de contrôle, la sécurité de ces systèmes dépend de la manière dont ils sont conçus, développés et maintenus. L’article 21(2)(e) exige « la sécurité dans l’acquisition, le développement et la maintenance des réseaux et systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ». Pour la fabrication, cela ne concerne pas seulement les systèmes informatiques ; cela s’étend aux systèmes embarqués dans vos produits.

La gestion des incidents et la continuité des activités prennent une importance particulière dans la fabrication. Si vos systèmes de production sont compromis, les conséquences peuvent inclure non seulement la perturbation opérationnelle de votre organisation, mais aussi la perturbation des clients en aval, des chaînes d’approvisionnement et potentiellement de l’infrastructure critique, selon ce que vous fabriquez. Votre plan de réponse aux incidents doit tenir compte des effets en cascade d’une compromission des systèmes manufacturiers.

Sécurité de la chaîne d’approvisionnement dans la fabrication

Le secteur manufacturier est particulièrement vulnérable à la compromission de la chaîne d’approvisionnement. Votre organisation dépend des fournisseurs pour les matériaux, les composants et les services. Certains de ces fournisseurs sont eux-mêmes critiques pour l’infrastructure critique européenne. NIS2 vous oblige à évaluer et gérer le risque de cybersécurité introduit par vos fournisseurs.

Cette évaluation doit traiter plusieurs dimensions. Premièrement, identifiez vos fournisseurs critiques : ceux dont la défaillance, la compromission ou la perturbation aurait l’impact le plus significatif sur vos opérations. Deuxièmement, évaluez leur maturité en matière de cybersécurité. Vous pouvez utiliser des cadres comme CMMC (Cybersecurity Maturity Model Certification) si vous travaillez avec des fournisseurs de défense, la certification ISO 27001 si elle est disponible, ou des évaluations personnalisées fondées sur votre appétit pour le risque. Troisièmement, intégrez les exigences de cybersécurité des fournisseurs dans vos contrats. Spécifiez les mesures de sécurité que vous attendez, les incidents qu’ils doivent vous signaler et les droits d’audit que vous exigez.

Quatrièmement, mettez en place une surveillance. Ne traitez pas l’évaluation des fournisseurs comme une activité ponctuelle. Surveillez vos fournisseurs pour les divulgations publiques de violations, surveillez les changements dans leur posture de sécurité et maintenez une communication régulière avec les équipes de sécurité des fournisseurs. Cinquièmement, ayez un protocole de réponse aux incidents fournisseurs. Si un fournisseur critique subit une violation, quelle est la réponse de votre organisation ? Quelles données ou quels produits pourraient être affectés ? À quelle vitesse pouvez-vous identifier une compromission dans les matériaux ou composants que vous avez reçus ?

Notamment, l’article 21(3) fait également référence aux résultats des évaluations coordonnées des risques de sécurité des chaînes d’approvisionnement critiques menées au titre de l’article 22. La Commission et le groupe de coopération mènent ou mèneront des évaluations coordonnées de services TIC, systèmes et chaînes d’approvisionnement de produits critiques spécifiques. Lorsque ces évaluations sont publiées, votre organisation doit intégrer les conclusions dans votre programme de sécurité de la chaîne d’approvisionnement.

Signalement des incidents et coordination

En tant qu’entité importante, vous relevez du champ des obligations de signalement de l’article 23. Vous devez signaler les incidents importants à votre CSIRT national (équipe de réponse aux incidents de sécurité informatique) sans retard injustifié. Un incident est important s’il a causé ou est susceptible de causer une perturbation opérationnelle grave ou une perte financière, s’il affecte la qualité ou la sécurité des services fournis, s’il affecte plusieurs États membres ou s’il affecte la santé ou la sécurité des personnes.

Pour les fabricants, le seuil d’importance doit être interprété avec soin. Une cyberattaque qui perturbe votre système de production peut ne pas sembler immédiatement affecter les services aux clients, mais si votre perturbation de production se répercute sur les clients (par exemple, des concessionnaires automobiles incapables de commander des véhicules), l’incident a un impact transfrontalier significatif. Vous devez établir des critères clairs de signalement des incidents au sein de votre organisation et former les équipes de réponse aux incidents à reconnaître quand le seuil d’importance est atteint.

Vous devez également signaler sans retard injustifié, typiquement dans les 24 heures suivant la prise de connaissance d’un incident important. C’est un délai très serré qui exige que vos processus de détection et de triage initial soient capables d’identifier les incidents et de les remonter rapidement à la direction.

Gouvernance et responsabilité du management

L’article 20 ajoute une dimension de gouvernance à la conformité NIS2 que les organisations manufacturières sous-estiment parfois. Les organes de direction (conseils d’administration ou équivalents) doivent approuver les mesures de gestion des risques de cybersécurité que leur organisation met en œuvre, superviser la mise en œuvre et peuvent être tenus responsables des infractions. Ce n’est pas une délégation aux équipes IT ou sécurité ; c’est une responsabilité directe du conseil.

Les membres des organes de direction doivent également suivre une formation en cybersécurité pour développer suffisamment de connaissances et de compétences pour identifier les risques et évaluer les pratiques de cybersécurité. Pour les organisations manufacturières dont les compositions de conseil héritées font que les administrateurs ont peu d’expérience technologique, cela peut être difficile. Cela exige soit de recruter des administrateurs disposant d’expertise en cybersécurité, soit de fournir une formation approfondie aux administrateurs actuels.

Cette exigence de gouvernance signale quelque chose d’important : la cybersécurité dans la fabrication n’est plus exclusivement une question technique. C’est une affaire stratégique, commerciale et juridique que les conseils doivent comprendre et s’approprier.

Points clés à retenir

  • Les organisations manufacturières relevant des divisions 26 à 30 de la section C de la NACE Rev. 2 sont classées comme entités importantes au titre de l’annexe II de NIS2 et doivent mettre en œuvre les mesures de gestion des risques de cybersécurité de l’article 21.

  • La sécurité de la chaîne d’approvisionnement est un élément obligatoire de votre programme NIS2. Évaluez systématiquement la maturité de cybersécurité des fournisseurs, intégrez les exigences de sécurité dans les contrats fournisseurs et surveillez la posture de sécurité des fournisseurs en continu.

  • Les obligations de signalement des incidents s’appliquent à vous. Les incidents importants affectant la continuité opérationnelle ou la qualité du service doivent être signalés à votre CSIRT national sans retard injustifié, typiquement dans les 24 heures.

  • Les organes de direction sont directement responsables de l’approbation des mesures de cybersécurité, de la supervision de la mise en œuvre et du maintien de connaissances suffisantes pour évaluer les pratiques de cybersécurité. La gouvernance de la cybersécurité au niveau du conseil est obligatoire.

  • Vos systèmes embarqués et la sécurité de vos produits sont dans le champ. Si vous fabriquez des produits avec des systèmes connectés au réseau ou contrôlés par logiciel, les pratiques de développement sécurisé et la gestion des vulnérabilités ne sont pas optionnelles.

Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.

À lire aussi

Encore plus depuis le blog.

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne
NIS2 · 31 May 2026

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne

Le Luxembourg a transposé NIS2 par la loi du 5 mai 2026, désignant l'ILR, le HCPN et CIRCL comme piliers institutionnels. Ce que toute entité essentielle ou importante doit savoir.
Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs
NIS2 · 29 May 2026

Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs

Comprendre le cadre de divulgation coordonnée des vulnérabilités de l'article 12 de NIS2. Comment chercheurs, fournisseurs et CSIRT interagissent dans le nouveau processus CVD européen.
La proportionnalité en pratique : dimensionner correctement vos mesures NIS2
NIS2 · 25 May 2026

La proportionnalité en pratique : dimensionner correctement vos mesures NIS2

Maîtrisez les exigences de proportionnalité de NIS2. Apprenez à évaluer, dimensionner et justifier les mesures de cybersécurité pour les entités essentielles et importantes.