Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 23 avril 2026
Accueil/NIS2 / Securite/NIS2 et collectivités : obligations des mairies et EPCI
NIS2 / Securite

NIS2 et collectivités : obligations des mairies et EPCI

NIS2 pour les collectivités : périmètre, article 21, notification ANSSI 24h, articulation RGS et RGPD. Guide pratique 2026 pour communes, EPCI, départements et régions.

Par Thiebaut DevergrannePublie le 21 avril 2026Mis a jour le 21 avril 202615 min de lecture
Sommaire
  1. NIS2 et collectivités : un périmètre désormais explicite
  2. Les 10 mesures de l’article 21 dans une collectivité
  3. Notifications d’incident : la double voie ANSSI / CNIL
  4. Articulation avec le cadre français : RGS, RGPD et plan France 2030
  5. Gouvernance : la responsabilité personnelle des élus et des dirigeants
  6. Sanctions, contrôles et calendrier
  7. Ce qu’il faut retenir
  8. FAQ

La Rochelle paralysée plusieurs semaines en 2024, Caen rebasculée en mode papier la même année, Versailles immobilisée fin 2022, Sartrouville, Vincennes, Brunoy, Brive-la-Gaillarde : depuis 2019, plus d’une trentaine de communes et d’EPCI ont subi une attaque par rançongiciel. Le coût moyen pour une commune touchée dépasse aujourd’hui le million d’euros, sans compter le délai de retour à la normale qui se compte en mois. La directive NIS2 fait désormais entrer une partie significative du bloc local français dans un régime de cybersécurité obligatoire, supervisé et sanctionnable. Voici ce que tout maire, président d’EPCI, DGS et DSI de collectivité doit comprendre.

NIS2 et collectivités : un périmètre désormais explicite

Ce que dit la directive

La directive NIS2 – directive (UE) 2022/2555 du 14 décembre 2022 – range, à son annexe I section 10, les « administrations publiques » parmi les secteurs hautement critiques. Le texte distingue deux niveaux :

  • les administrations publiques d’entités gouvernementales centrales (obligatoirement couvertes),
  • les administrations publiques d’entités gouvernementales régionales (couverture obligatoire si l’État membre le notifie),
  • les administrations publiques locales (l’inclusion est laissée à la discrétion de chaque État membre, article 2(2)(f)).

La France a fait le choix d’une inclusion large : les régions, les départements, et certaines communes, EPCI et structures mutualisées entrent dans le périmètre dès lors qu’elles dépassent les seuils de l’article 2(1) (au moins 50 agents ou plus de 10 M€ de budget annuel). Les opérateurs publics de réseaux (eau, assainissement, déchets, transports) restent par ailleurs couverts par d’autres entrées sectorielles de l’annexe I.

Qui est concerné en pratique en France

Sous réserve des décrets d’application, sont visées en priorité :

  • les régions et les départements (entités essentielles),
  • les EPCI à fiscalité propre dépassant les seuils (communautés d’agglomération, métropoles, communautés urbaines, certaines communautés de communes),
  • les communes au-dessus d’environ 30 000 habitants ou avec un budget significatif,
  • les syndicats mixtes informatiques et opérateurs publics de services numériques (centres de gestion qui mutualisent les SI, GIP territoriaux, structures du type ADULLACT ou ADICO),
  • les bailleurs sociaux publics, CCAS importants, établissements publics locaux au-dessus des seuils.

À l’inverse, la commune de 800 habitants reste a priori hors périmètre direct – mais elle peut être désignée individuellement par l’autorité nationale au titre de l’article 2(2). Et surtout, dès lors qu’elle confie son SI à une structure mutualisée elle-même couverte, les exigences NIS2 redescendent par voie contractuelle. Dans mon expérience de conseil auprès de syndicats informatiques départementaux, c’est ce mécanisme de cascade qui a le plus d’impact opérationnel : 10 % des collectivités dans le périmètre direct, mais 80 % concernées via leur prestataire mutualisé.

Entité essentielle ou entité importante ?

Comme pour les autres secteurs, NIS2 différencie deux régimes selon la taille – voir notre guide entités essentielles vs entités importantes pour le détail.

Critère Entité essentielle Entité importante
Effectif ≥ 250 agents 50 à 249 agents
OU budget / chiffre d’affaires annuel > 50 M€ 10 à 50 M€
Supervision Ex ante (audits sans incident préalable) Ex post (après signalement)
Plafond sanction administrative 10 M€ ou 2 % 7 M€ ou 1,4 %

Une métropole, un département, une région, un grand syndicat mixte informatique sont des entités essentielles. Une communauté d’agglomération moyenne, un EPCI rural, une ville moyenne se classent généralement comme entités importantes. La différence est majeure : pour une entité essentielle, l’ANSSI peut déclencher un contrôle sans qu’un incident ne soit survenu.

Les 10 mesures de l’article 21 dans une collectivité

L’article 21(2) de NIS2 fixe un socle minimum de dix mesures de gestion des risques cyber. Notre checklist NIS2 détaillée les explique point par point ; voici leur déclinaison territoriale.

1. Analyse de risques et politique de sécurité des SI

La collectivité doit mener une analyse de risques couvrant ses actifs critiques : logiciel financier (Hélios, dématérialisation comptable), état civil dématérialisé, gestion des élections, paie, urbanisme (Cart@DS, Oxalis), périscolaire, vidéoprotection, GTB des bâtiments. La méthode EBIOS Risk Manager de l’ANSSI est le référentiel. Le livrable opposable : une cartographie des risques validée par le DGS et une PSSI signée par le maire ou le président.

2. Gestion des incidents

Le plan de gestion d’incident doit prévoir la cinétique NIS2 : 24 heures pour l’alerte précoce, 72 heures pour le rapport intermédiaire, un mois pour le rapport final. La collectivité doit identifier à l’avance ses interlocuteurs : ANSSI/cert.ssi.gouv.fr (notification formelle), CSIRT régional (appui opérationnel) et, en cas d’attaque grave, la cellule cyber du ministère de l’Intérieur.

3. Continuité d’activité et gestion des crises

Un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) sont attendus. Pour une commune, les services à protéger en priorité sont l’état civil (déclarations naissance/décès, mariages), le standard téléphonique, la paie des agents, la facturation cantine et les services aux usagers. Combien de temps la collectivité peut-elle fonctionner sans système d’information ? La réponse doit figurer dans le PCA, et le mode dégradé papier doit être documenté et testé.

4. Sécurité de la chaîne d’approvisionnement

Les collectivités sont massivement clientes de quelques éditeurs : Berger-Levrault, JVS-Mairistem, AGEDI, ARPEGE, Ciril Group, Microsoft, Google… L’article 21(2)(d) impose d’évaluer la sécurité de chaque sous-traitant et d’inscrire des clauses de sécurité aux marchés publics. Voir notre guide sur la sous-traitance sécurité sous NIS2 et RGPD. Les CCAG-TIC mis à jour intègrent désormais des exigences renforcées qui doivent être complétées par un Cahier des charges sécurité spécifique.

5. Sécurité de l’acquisition, du développement et de la maintenance

Tout nouveau projet numérique territorial – portail famille, application mobile ville, plateforme participation citoyenne, dématérialisation des autorisations d’urbanisme – doit intégrer la sécurité dès la conception. Les marchés publics doivent prévoir des audits de sécurité avant mise en service.

6. Évaluation de l’efficacité des mesures

Audits internes, indicateurs et tests d’intrusion deviennent la norme. L’ANSSI recommande au minimum un test annuel sur le périmètre exposé sur internet (portails citoyens, accès distants, services dématérialisés). Le programme « Mon Service Sécurisé » de l’ANSSI offre par ailleurs un dispositif gratuit d’auto-évaluation pour les services en ligne des collectivités.

7. Cyber-hygiène et formation

Tout agent accédant au SI doit être formé : agents administratifs, services techniques, écoles, ATSEM, police municipale, élus. Le programme type couvre le phishing, la gestion des mots de passe, l’usage des messageries, la conduite à tenir face à un rançongiciel. La formation doit être tracée. Voir notre programme de sensibilisation à la sécurité. Pour les agents en télétravail, une charte informatique à jour est indispensable.

8. Cryptographie

Les bases de données état civil, fiscalité, paie, scolaire doivent être chiffrées au repos et en transit. La messagerie professionnelle doit utiliser des canaux chiffrés (TLS 1.2 minimum). Les clés USB et supports amovibles utilisés sur les postes administratifs doivent être chiffrées (BitLocker, VeraCrypt) – exigence rappelée par la CNIL dans ses contrôles sur les collectivités.

9. Sécurité des ressources humaines et contrôle d’accès

Le principe du moindre privilège s’applique : un agent du service urbanisme n’a pas à accéder à la paie ; un agent de la police municipale n’a pas à consulter l’état civil. Les habilitations doivent être pilotées par profil métier et revues à chaque mouvement (recrutement, mutation, départ). L’article 21(2)(i) impose explicitement le contrôle d’accès. La gestion des comptes à privilèges (DSI, prestataires) requiert un dispositif renforcé (PAM, journalisation, MFA systématique).

10. Authentification forte et communications sécurisées

L’authentification multifacteur (MFA) est attendue pour les accès sensibles : administration des serveurs, accès aux logiciels métier, connexion VPN, comptes de prestataires distants. Pour les usages liés à FranceConnect Agent ou aux services de l’État (Hélios, Chorus Pro), la MFA est déjà déployée. Pour les outils internes, le rattrapage est en cours dans la majorité des collectivités.

Notifications d’incident : la double voie ANSSI / CNIL

La cinétique NIS2

Face à un incident significatif (interruption d’un service public numérique, altération de données, cyberattaque), l’article 23 de NIS2 impose :

  • Dans les 24 heures : alerte précoce au CSIRT (l’ANSSI), précisant si l’incident est présumé causé par un acte malveillant et s’il est susceptible d’avoir un impact transfrontalier.
  • Dans les 72 heures : notification d’incident complète avec évaluation préliminaire de l’impact, indicateurs de compromission, gravité.
  • Dans un mois : rapport final avec description détaillée, cause racine, mesures correctives et leçons tirées.

Cette procédure de notification cyberattaque doit être écrite à l’avance, validée par la direction et déclenchable 24/7. Pour les collectivités, l’ANSSI met à disposition un téléservice de signalement dédié, complété par un point de contact opérationnel auprès du CSIRT régional.

L’articulation avec le RGPD

Une attaque sur une collectivité touche presque toujours des données personnelles : état civil, fichiers scolaires, fichiers sociaux du CCAS, fichiers de la police municipale, vidéoprotection. Il faut alors cumuler :

  • Auprès de la CNIL : notification sous 72 heures en application de l’Art. 33 du RGPD, dès lors que la violation présente un risque pour les droits et libertés des personnes ;
  • Auprès du CSIRT/ANSSI : notification NIS2 sous 24 heures puis 72 heures.

Les délais ne sont pas alignés (24h NIS2 vs 72h RGPD). En pratique, mieux vaut s’organiser sur le délai le plus court (24h) et déclencher dans la foulée la notification CNIL. La CNIL a publié plusieurs sanctions contre des collectivités depuis 2022 sur des manquements à l’article 32 RGPD : l’inaction post-incident est un facteur aggravant systématique.

Information des usagers

Lorsque l’incident entraîne une interruption significative d’un service public, NIS2 (article 23(2)(d)) impose une information rapide des usagers concernés. Cette obligation se combine avec celle de l’Art. 34 du RGPD lorsque le risque pour les personnes est élevé (par exemple, exfiltration de données fiscales ou sociales). Au-delà du droit, c’est devenu un enjeu de communication politique : une collectivité qui tarde à informer s’expose à une crise médiatique qui durcit la position de la CNIL et du préfet.

Articulation avec le cadre français : RGS, RGPD et plan France 2030

Le Référentiel Général de Sécurité (RGS)

Avant NIS2, les administrations françaises étaient déjà soumises au RGS (ordonnance 2005-1516, décret 2010-112), qui impose un niveau de sécurité documenté pour les téléservices et les échanges électroniques avec les usagers. Le RGS et NIS2 ne s’opposent pas : NIS2 monte le niveau d’exigence sur la gestion des risques globale, le RGS reste pertinent sur l’homologation des téléservices au cas par cas. Côté protection des données, l’article 32 du RGPD impose en parallèle un socle de mesures techniques et organisationnelles spécifiques.

RGPD article 32 et CNIL

L’article 32 du RGPD impose des mesures techniques et organisationnelles appropriées. Pour une collectivité, la CNIL contrôle régulièrement (thématique « collectivités territoriales » 2022-2024) la qualité des mots de passe, le chiffrement des sauvegardes, la gestion des habilitations, les durées de conservation et la conformité de la vidéoprotection. Une mise à niveau NIS2 bien menée couvre l’essentiel des attentes RGPD côté sécurité.

Le programme France 2030 et l’appui ANSSI

Plusieurs dispositifs financent le rattrapage cyber des collectivités :

  • le parcours cybersécurité ANSSI (audits, accompagnement gratuit pour les entités essentielles) ;
  • le programme « Mon Service Sécurisé » (auto-évaluation gratuite des services numériques en ligne) ;
  • le volet cyber-collectivités de France 2030, mobilisable via les régions et la BPI ;
  • les CSIRT régionaux (présents dans toutes les régions depuis 2024) qui assurent un appui opérationnel de proximité.

S’adosser à ces dispositifs structure le plan de mise en conformité, sécurise le financement et accélère les délais.

Gouvernance : la responsabilité personnelle des élus et des dirigeants

L’article 20 de NIS2 impose aux organes de direction d’approuver les mesures de gestion des risques, de superviser leur mise en œuvre et de suivre une formation en cybersécurité. La responsabilité peut être engagée individuellement.

Dans une collectivité, ces obligations visent :

  • le maire ou le président de l’exécutif,
  • le directeur général des services (DGS),
  • le directeur des systèmes d’information (DSI) dans son rôle technique.

Le refus d’adopter les mesures, l’absence de formation des élus ou la minimisation délibérée des risques peut engager la responsabilité administrative voire pénale du dirigeant, en plus de la sanction infligée à la personne morale.

Concrètement, je conseille aux exécutifs locaux que j’accompagne :

  1. inscrire la cybersécurité comme point récurrent en commission ou en bureau exécutif,
  2. faire signer une PSSI validée par l’exécutif et le DGS,
  3. délivrer une formation annuelle traçable aux élus de l’exécutif et aux directeurs,
  4. tenir un tableau de bord sécurité présenté semestriellement à l’exécutif,
  5. documenter chaque décision d’acceptation de risque.

L’argument à faire passer aux élus est simple : l’inaction est désormais un risque personnel, pas seulement institutionnel.

Sanctions, contrôles et calendrier

Le plafond des sanctions NIS2 pour une entité essentielle est de 10 M€ ou 2 % du chiffre d’affaires annuel mondial – montant le plus élevé. Pour une collectivité, le « chiffre d’affaires » s’apprécie au regard du budget de fonctionnement consolidé. Les sommes en jeu peuvent atteindre plusieurs millions d’euros pour une métropole ou un département.

Au-delà de l’amende administrative, les autorités disposent d’un éventail élargi : audits, mises en demeure, injonctions de rectification, interdiction temporaire d’exercer pour un dirigeant, suspension de certifications. La transposition française de NIS2 prévoit que les contrôles ANSSI sur les entités essentielles montent en charge à partir de 2026, en commençant par les entités les plus exposées.

Pour les communes et EPCI sous le seuil direct mais désignés individuellement, les contrôles seront déclenchés à l’occasion d’incidents ou de signalements. La logique est claire : l’ANSSI privilégie l’accompagnement structuré, mais les manquements graves seront sanctionnés.

Ce qu’il faut retenir

  • Une partie significative du bloc local français est désormais couverte : régions, départements, métropoles, EPCI moyens et grands, communes au-delà d’environ 30 000 habitants, syndicats informatiques mutualisés.
  • Les communes plus petites sont couvertes indirectement via leurs prestataires mutualisés – les exigences NIS2 redescendent par voie contractuelle.
  • Les 10 mesures de l’article 21 sont opposables : analyse de risques, PCA/PRA, chiffrement, MFA, formation, supply chain – tout doit être documenté et testé.
  • La double notification est incontournable : 24h à l’ANSSI pour NIS2, 72h à la CNIL pour le RGPD, information des usagers en cas d’impact significatif.
  • La responsabilité des élus et du DGS est engagée – l’article 20 impose approbation, supervision et formation des organes de direction.
  • Les programmes ANSSI, France 2030 et les CSIRT régionaux sont des accélérateurs concrets : il faut les mobiliser dès la phase de mise en conformité.

FAQ

Une commune de 5 000 habitants est-elle concernée par NIS2 ?

Pas directement : sous les seuils de l’article 2 de la directive (50 agents et 10 M€ de budget), elle reste hors champ. Mais si elle utilise un système d’information mutualisé via un syndicat informatique ou un centre de gestion lui-même couvert, les exigences NIS2 redescendent contractuellement. Et elle reste pleinement soumise au RGPD et au RGS.

NIS2 remplace-t-elle le RGS pour les collectivités ?

Non, les deux cadres cohabitent. Le RGPD et le RGS encadrent respectivement la protection des données et la sécurité des téléservices ; NIS2 ajoute un socle de gestion des risques globale, des obligations de gouvernance et un régime de sanctions renforcé. Une bonne mise en œuvre NIS2 facilite la conformité aux deux autres cadres mais ne s’y substitue pas.

Le maire peut-il être personnellement sanctionné en cas de cyberattaque ?

Oui. L’article 20 de NIS2 impose aux organes de direction d’approuver les mesures de sécurité, de les superviser et de suivre une formation. Pour une entité essentielle (région, département, métropole, grand EPCI), des sanctions personnelles sont prévues à l’encontre des dirigeants en cas de manquement grave. La responsabilité reste distincte de la sanction administrative infligée à la collectivité elle-même.

Quelle articulation entre la notification ANSSI et la notification CNIL ?

Les deux notifications sont obligatoires et complémentaires lorsque l’incident touche des données personnelles. La notification ANSSI (alerte 24h, rapport 72h) couvre le volet sécurité et continuité ; la notification CNIL sous 72h couvre la protection des données. Mieux vaut s’organiser sur le délai le plus court (24h) et déclencher les deux notifications en parallèle.

Les CSIRT régionaux remplacent-ils l’ANSSI ?

Non. Les CSIRT régionaux assurent un appui opérationnel de proximité (conseil, premier niveau d’analyse, mise en relation), mais la notification formelle NIS2 se fait toujours auprès du CSIRT national, c’est-à-dire l’ANSSI. Pour les collectivités, le CSIRT régional est néanmoins un point d’entrée pratique, à mobiliser en complément.

Vous êtes élu, DGS, DSI ou DPO d’une collectivité et souhaitez recevoir nos analyses détaillées sur la conformité NIS2, RGPD et cybersécurité publique ? Abonnez-vous à notre newsletter hebdomadaire – aucune promotion, que de l’analyse juridique et technique.

Articles lies

NIS2 / Securite

NIS2 et hôpitaux : obligations du secteur de la santé

21 avril 2026 · 13 min
NIS2 / Securite

Zero Trust : principes, mise en œuvre et conformité

20 avril 2026 · 13 min
NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min