¿Qué es la directiva NIS2 y a qué empresas industriales aplica?

NIS2 (Directiva UE 2022/2555) es la norma europea que eleva el nivel mínimo de ciberseguridad en sectores críticos. Aplica a entidades esenciales e importantes con 50 o más empleados o más de 10 millones de euros de facturación que operen en sectores cubiertos, entre ellos energía, agua, alimentación, fabricación de productos críticos, química o transporte. Muchas plantas industriales entran como entidad importante.

¿Cuándo entra en vigor NIS2 en España?

El plazo europeo de transposición venció el 17 de octubre de 2024. España no llegó a tiempo y la transpone de forma escalonada: parte vía Real Decreto-ley 7/2025 y el resto con la Ley de Coordinación y Gobernanza de la Ciberseguridad, aún en tramitación, con plena aplicación e inspecciones esperadas a lo largo de 2026.

¿Cuáles son las obligaciones clave de NIS2 para una planta?

Gestión de riesgos de ciberseguridad sobre redes IT y OT, notificación de incidentes (alerta temprana en 24 h, notificación en 72 h e informe final en un mes), responsabilidad directa de la dirección sobre las medidas, formación, continuidad de negocio y seguridad de la cadena de suministro. El incumplimiento puede acarrear multas de hasta 10 millones de euros o el 2 % de la facturación global.

¿En qué se diferencia la seguridad OT de la seguridad IT?

En IT la prioridad es la confidencialidad de los datos; en OT la prioridad es la disponibilidad y la seguridad física del proceso. Los sistemas OT (PLC, SCADA, HMI) tienen ciclos de vida muy largos, no se pueden parar para parchear cuando se quiere y muchos protocolos industriales nacieron sin seguridad. Por eso OT necesita un enfoque propio, no copiar sin más las prácticas de IT.

¿Qué es la norma IEC 62443 y cómo se relaciona con NIS2?

IEC 62443 es el estándar internacional de ciberseguridad para sistemas de automatización y control industrial (IACS). Define el modelo de zonas y conductos, niveles de seguridad y requisitos para fabricantes, integradores y operadores. NIS2 fija el qué (gestión de riesgos y obligaciones legales); IEC 62443 aporta el cómo técnico para cumplirlo en el entorno OT.

¿Qué buenas prácticas de seguridad OT debería aplicar primero?

Empieza por inventariar todos los activos OT, segmentar la red separando IT de OT siguiendo el modelo Purdue y zonas IEC 62443, controlar y registrar los accesos remotos, gestionar el parcheo de SCADA y PLC con ventanas planificadas, y definir un plan de respuesta a incidentes con copias de seguridad probadas. Son las medidas con más impacto y menor coste relativo.

NIS2 et cybersécurité OT industrielle

23 juin 2026 · par Equipo Nexum

La cybersécurité OT industrielle a cessé d'être une affaire d'informatique pour devenir une obligation légale. Avec la directive NIS2, des milliers d'usines dans l'UE doivent protéger leurs réseaux de commande —automates, SCADA, lignes de production— avec la même rigueur que leurs données. Ce guide explique, sans fumée, à qui elle s'applique, ce qu'elle exige et par où commencer.

En une phrase : NIS2 impose de gérer le risque cyber et de notifier les incidents ; la sécurité OT est la pratique technique qui le rend possible à l'usine, où une attaque ne vole pas des données : elle arrête l'usine.

1 Ce qu'est NIS2 et pourquoi elle touche l'industrie

La directive NIS2 (directive UE 2022/2555, Network and Information Security 2) est la loi européenne qui relève le niveau minimal de cybersécurité dans les secteurs jugés critiques. Elle remplace et élargit l'ancienne NIS de 2016 : elle multiplie les secteurs couverts, durcit les obligations et, surtout, fait entrer pleinement l'industrie dans le périmètre réglementé.

Le changement pour une usine, c'est qu'il ne suffit plus de protéger les ordinateurs de bureau. NIS2 impose aussi d'évaluer et de protéger les réseaux et systèmes d'information qui font tourner le procédé de production : le SCADA qui supervise l'usine, les automates qui font avancer la ligne, les IHM, les variateurs et le réseau industriel qui les relie. Autrement dit, le monde OT (Operational Technology, technologie d'exploitation).

NIS2 n'est pas une règle « informatique » : c'est une règle de continuité d'activité. Un rançongiciel qui chiffre le SCADA ne fait pas fuiter un fichier, il arrête la production —et la directive rend la direction responsable d'empêcher cela.

2 À qui elle s'applique : entités essentielles et importantes

NIS2 classe les organisations concernées en deux catégories, avec des régimes de supervision et de sanction distincts :

🔴

Entités essentielles (EE)

Secteurs de haute criticité : énergie, eau potable, transport, banque, santé, infrastructure numérique. Supervision proactive et amendes jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial.

🟠

Entités importantes (EI)

Fabrication de produits critiques, alimentation, chimie, gestion des déchets, services numériques. Supervision réactive et amendes jusqu'à 7 M€ ou 1,4 % du chiffre d'affaires.

En règle générale, NIS2 s'applique si votre organisation opère dans l'un des secteurs couverts et compte 50 salariés ou plus, ou réalise plus de 10 millions d'euros de chiffre d'affaires par an. De nombreuses usines et installations de procédés y entrent comme entité importante, même si elles ne se perçoivent pas comme « infrastructure critique ».

Même si votre usine reste sous les seuils, l'effet d'entraînement est réel : si vous êtes fournisseur d'une entité assujettie, elle vous imposera des exigences de sécurité par contrat. La chaîne d'approvisionnement est l'un des piliers de NIS2.

3 État de la transposition dans l'UE

Le délai européen pour transposer NIS2 en droit national a expiré le 17 octobre 2024. De nombreux États membres ne l'ont pas respecté —la Commission a envoyé des avis motivés à la plupart en 2025— et l'intègrent via leurs lois nationales sur des calendriers échelonnés :

La France a manqué le délai et adopte sa loi nationale, avec une application étalée sur 2025-2026.
L'Espagne transpose par étapes (décret-loi royal 7/2025 et une loi de gouvernance de la cybersécurité en cours), avec une application pleine attendue en 2026.
La Bulgarie a adopté sa loi NIS2 (modification de la loi sur la cybersécurité, JO n° 17), en vigueur depuis le 13 février 2026.

Le message pratique est clair : que la loi nationale soit encore en cours de finalisation n'est pas une excuse pour attendre. Les obligations de fond (gestion des risques et notification) sont déjà fixées par la directive, et l'adaptation technique d'une usine prend des mois. Qui commence maintenant sera à l'heure. Pour le détail officiel, référez-vous à votre CSIRT national et à l'agence européenne ENISA.

4 Obligations clés à respecter

NIS2 n'est pas une liste de produits, mais un ensemble d'obligations de gestion. Voici celles qui pèsent le plus sur une usine :

Obligation	Ce que cela signifie pour votre usine
Gestion des risques	Analyser et traiter le risque cyber sur les réseaux IT et OT : inventaire, segmentation, contrôle d'accès, sauvegardes, chiffrement.
Notification des incidents	Alerte précoce sous 24 h, notification sous 72 h et rapport final sous 1 mois.
Responsabilité de la direction	L'organe de direction approuve et supervise les mesures, et en répond personnellement.
Formation	Sensibilisation régulière du personnel, direction comprise.
Continuité et réponse	Plans de continuité, gestion de crise et sauvegardes testées.
Chaîne d'approvisionnement	Évaluer la sécurité des fournisseurs et intégrateurs.

Le non-respect se paie : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et jusqu'à 7 millions ou 1,4 % pour les importantes. Plus marquant encore : la responsabilité incombe à la direction, et pas seulement au service informatique.

5 IT vs OT : pourquoi la sécurité industrielle est différente

L'erreur la plus coûteuse est d'appliquer à l'usine les recettes de l'informatique de bureau. IT et OT ont des priorités opposées, et cela change tout :

Critère	IT	OT (industriel)
Priorité	Confidentialité des données	Disponibilité et sécurité physique du procédé
Cycle de vie	3-5 ans	15-25 ans (automate, SCADA)
Correctifs	Fréquents, quasi automatiques	Fenêtres planifiées ; souvent impossible d'arrêter
Protocoles	Conçus avec la sécurité	Industriels hérités, souvent sans chiffrement ni authentification
Impact d'une panne	Fuite ou perte de données	Arrêt de production, dommage physique, risque pour les personnes

C'est pourquoi on ne peut pas « copier-coller » le modèle IT sur l'usine. Un antivirus lourd peut faire planter une IHM ; redémarrer un équipement pour le mettre à jour peut arrêter une ligne entière. La sécurité OT exige une approche propre qui comprend le procédé de production —le même savoir-faire qui sert à concevoir un système SCADA ou à comparer SCADA et IHM.

6 Bonnes pratiques de sécurité OT (et où s'inscrit IEC 62443)

Respecter NIS2 à l'usine se traduit par des mesures techniques concrètes. La norme de référence est IEC 62443, la norme internationale de cybersécurité pour les systèmes d'automatisation et de contrôle industriels (IACS) : tandis que NIS2 fixe le quoi (obligations légales), IEC 62443 apporte le comment technique avec son modèle de zones et conduits. Voici les pratiques à plus fort impact :

Inventaire des actifs OT

On ne protège pas ce qu'on ne connaît pas. Cataloguez chaque automate, IHM, SCADA, variateur et commutateur du réseau industriel.

Segmentation du réseau

Séparez IT et OT avec le modèle Purdue et les zones IEC 62443. Une intrusion en bureautique ne doit pas atteindre la ligne.

Gestion des accès

Accès distant contrôlé et journalisé, moindre privilège et double authentification pour la maintenance des fournisseurs.

Correctifs planifiés

Mettez à jour SCADA et automates dans des fenêtres d'arrêt, avec tests préalables. Là où c'est impossible, compensez par la segmentation.

Supervision et sauvegarde

Détectez les anomalies sur le réseau OT et conservez des copies testées et bien gardées des programmes d'automates et projets SCADA.

Plan de réponse

Une procédure claire pour détecter, contenir et notifier (24 h/72 h), répétée avant que l'incident ne survienne.

Le modèle Purdue organise le réseau en niveaux —du terrain (capteurs et actionneurs) à la gestion (ERP)— et aide à décider qui communique avec qui. IEC 62443 l'affine avec des zones (groupes d'actifs au même niveau de sécurité) et des conduits (les communications contrôlées entre elles). Combiner les deux est aujourd'hui la base de toute architecture OT défendable, et s'articule naturellement avec des pratiques comme la maintenance prédictive, qui vit elle aussi sur ce réseau industriel.

Continuez votre lecture

Questions fréquentes

Qu'est-ce que la directive NIS2 et à quelles entreprises industrielles s'applique-t-elle ?

NIS2 (directive UE 2022/2555) est la loi européenne qui relève le niveau minimal de cybersécurité dans les secteurs critiques. Elle s'applique aux entités essentielles et importantes de 50 salariés ou plus, ou de plus de 10 millions d'euros de chiffre d'affaires, opérant dans les secteurs couverts : énergie, eau, alimentation, fabrication de produits critiques, chimie ou transport. De nombreuses usines y entrent comme entité importante.

Quand NIS2 entre-t-elle en vigueur en France ?

Le délai européen de transposition a expiré le 17 octobre 2024. La France ne l'a pas respecté et transpose la directive par étapes via sa loi nationale, avec une application pleine et des contrôles attendus sur 2025-2026. Vérifiez le texte précis et l'autorité compétente, car les dates exactes varient.

Quelles sont les obligations clés de NIS2 pour une usine ?

Gestion des risques de cybersécurité sur les réseaux IT et OT, notification des incidents (alerte précoce sous 24 h, notification sous 72 h et rapport final sous un mois), responsabilité directe de la direction sur les mesures, formation, continuité d'activité et sécurité de la chaîne d'approvisionnement. Le non-respect peut entraîner des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

En quoi la sécurité OT diffère-t-elle de la sécurité IT ?

En IT, la priorité est la confidentialité des données ; en OT, la priorité est la disponibilité et la sécurité physique du procédé. Les systèmes OT (automate, SCADA, IHM) ont des cycles de vie très longs, ne peuvent pas être arrêtés pour appliquer un correctif à la demande, et de nombreux protocoles industriels sont nés sans sécurité. L'OT exige donc une approche propre, et non une copie des pratiques IT.

Qu'est-ce que la norme IEC 62443 et quel est son lien avec NIS2 ?

IEC 62443 est la norme internationale de cybersécurité pour les systèmes d'automatisation et de contrôle industriels (IACS). Elle définit le modèle de zones et de conduits, les niveaux de sécurité et les exigences pour les fabricants, intégrateurs et exploitants. NIS2 fixe le quoi (gestion des risques et obligations légales) ; IEC 62443 apporte le comment technique pour le respecter dans l'environnement OT.

Quelles bonnes pratiques de sécurité OT appliquer en premier ?

Commencez par inventorier tous les actifs OT, segmenter le réseau en séparant IT et OT selon le modèle Purdue et les zones IEC 62443, contrôler et journaliser les accès distants, gérer le correctif des SCADA et automates avec des fenêtres planifiées, et définir un plan de réponse aux incidents avec des sauvegardes testées. Ce sont les mesures à plus fort impact et au coût relatif le plus faible.

En définitive

NIS2 fait de la cybersécurité OT une obligation nommée : gestion des risques sur le réseau industriel, notification des incidents dans des délais courts et responsabilité de la direction. Ce n'est pas un projet informatique, mais un projet de continuité de l'usine —et l'adaptation technique prend des mois, mieux vaut donc commencer maintenant.

La bonne nouvelle, c'est que les premières mesures (inventaire, segmentation, accès) sont les plus impactantes et reposent sur la connaissance du procédé, pas sur l'achat de boîtiers. Découvrez notre approche dans nos systèmes SCADA sécurisés.

Votre usine est-elle prête pour NIS2 ?

Nous vous aidons à inventorier, segmenter et sécuriser votre réseau OT —de l'automate au SCADA— aligné sur NIS2 et IEC 62443, sans arrêter la production. Parlez-nous de votre cas.

Parler à un expert en sécurité OT

Nexum Blog

Articles associés

25 juin 2026

Prix d'un robot industriel : guide 2026

Combien coûte un robot industriel en 2026 : prix du bras par type, marque, charge et portée, coûts d'intégration et ROI. Un guide clair pour budgéter.

Lire l'article

10 avr. 2026

Automatisation industrielle à Madrid : guide complet 2026

Guide complet de l'automatisation industrielle à Madrid : SCADA, robotique, armoires électriques, BMS et lignes de production. Critères de sélection d'un intégrateur.

Lire l'article

26 juin 2026

GTB industrielle : prix et aides 2026

Combien coûte une GTB dans un bâtiment industriel (15 000–120 000 €) et quelles aides IDAE, fonds Next Generation et CAE financent votre installation.

Lire l'article