La directive NIS2 (Network and Information Security 2) est le nouveau cadre européen de cybersécurité, entré en vigueur en janvier 2023, avec une transposition obligatoire dans les États membres. Elle remplace et renforce la directive NIS1, en élargissant considérablement son périmètre — notamment aux infrastructures OT et aux chaînes d’approvisionnement.

Qui est concerné ? NIS2 s’applique aux entités essentielles et entités importantes dans 18 secteurs, dont :

  • Énergie (électricité, pétrole, gaz, hydrogène)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Santé
  • Eau potable et eaux usées
  • Infrastructures numériques
  • Alimentation
  • Industrie manufacturière (chimie, dispositifs médicaux, électronique…)

Obligations spécifiques pour l’OT :

  • Analyse de risque couvrant explicitement les systèmes OT et cyber-physiques (CPS)
  • Mesures de cybersécurité adaptées à l’état de l’art : gestion des actifs, segmentation réseau, détection d’incidents, plans de continuité
  • Gestion de la chaîne d’approvisionnement : sécuriser les relations avec les fournisseurs et sous-traitants ayant accès aux systèmes critiques
  • Notification d’incidents : déclaration sous 24h (alerte précoce), puis rapports détaillés à 72h et sous 1 mois
  • Gouvernance : implication de la direction, formation du management, supervision directe par les organes de direction

Sanctions : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial pour les entités essentielles.

Impact concret pour l’OT : NIS2 impose une maturité cyber mesurable sur les environnements industriels. Elle s’appuie sur des standards comme l’IEC 62443 et oblige à traiter l’OT avec le même niveau d’exigence que l’IT — tout en respectant ses spécificités.