Entreprises de la Chimie : se préparer à la nouvelle directive NIS 2

C’est quoi NIS 2 ?

Face à une menace cyber de plus en plus importante, notamment pour les PME et ETI du secteur industriel qui sont les plus attaquées, l’UE a souhaité étendre le périmètre de la précédente directive NIS 1 à l’ensemble des acteurs économiques et publics. L’objectif recherché est de proposer « des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ».

La directive européenne NIS 2 (Network Information System) a été promulguée en décembre 2022. Les 27 Etats membres de l’Union Européenne devaient la transposer dans leur droit national au 18 octobre 2024.

La directive s’applique pour toutes les entités visées ayant une activité dans un Etat membre de l’UE. Elle distingue :

• les entités essentielles (EE) qui emploient au moins 250 personnes ou ont un chiffre d'affaires annuel supérieur à 50 millions d'euros et un bilan annuel supérieur à 43 millions d'euros. Elles sont les plus régulées (Exemple : énergie, santé, transport, numérique, etc.) ;
• les entités importantes (EI) qui emploient au moins 50 personnes ou ont un chiffre d'affaires et un bilan annuel supérieur à 10 millions d'euros.

NIS 2 prévoit des amendes en % du chiffre d’affaires mondial en cas de non-conformité.

La transposition de la directive NIS 2 en France

La transposition de la directive NIS 2 en droit français est en cours. Le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité », présenté au Parlement le 15 octobre 2024, a été adopté par le Sénat le 13 mars 2025 et par la commission spéciale de l’Assemblée nationale le 9 septembre 2025.

Le projet de loi transpose 3 directives européennes connexes relatives à la cybersécurité et prend plusieurs dispositions complémentaires dans leurs champs respectifs (un titre par directive) :

• directive (UE) 2022/2557 du Parlement européen et du Conseil sur la résilience des entités critiques (dite directive REC) ;
• directive (UE) 2022/2555 (dite directive NIS2) du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 ;
• directive (UE) 2022/2556 (dite directive DORA) du Parlement Européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341.

En parallèle, l’ANSSI prépare un référentiel pour la mise en conformité en 20 objectifs sur lequel France Chimie a pu faire ses commentaires.
    

Suis-je concerné ?

La directive liste l’ensemble des activités et secteurs concernés et les distingue entre « secteurs hautement critiques » et « autres secteurs critiques » dans ses Annexes I et II.

La chimie est explicitement introduite dans la catégorie « Fabrication, production et distribution de produits chimiques ».

Toutes les entités avec un nombre d’employés supérieur ou égal à 50 OU réalisant un chiffre d’affaires ou bilan annuel supérieur ou égal à 10 millions d’euros, et exerçant leurs activités dans l’Union Européenne sont assujetties à NIS 2.

Pour faciliter l’appropriation de la directive NIS 2, l’ANSSI met à disposition un espace dédié regroupant l’ensemble des informations et ressources utiles relatives (FAQ, lettre d’information) à cette directive ainsi qu'un test pour déterminer si votre entité est régulée  : Mon espace NIS 2.
   

Je suis concerné, que se passe-t-il ?

Vous devrez être en conformité avec les règles édictées par l’Autorité Nationale de Sécurité des Systèmes d’Informations (ANSSI), une fois la directive transposée.

Ces règles, qui s'appliqueront en France, sont en cours de discussions.

Les entités soumises à NIS 2 devront s’enregistrer auprès de l’autorité nationale via un portail dédié, fournir leurs contacts, et notifier tout incident significatif sous un délai de 24 heures.
  

Comment me préparer ?

Vous avez déjà déterminé que votre entreprise est concernée par la directive NIS 2.

Lister les systèmes d’information de votre entité

Quels sont vos équipements et services en place ? Les logiciels utilisés ? Les données traitées ? Qui se connecte au système d’information et selon quelles modalités ? Quelles sont les interconnexions éventuelles avec l’extérieur ?

Pour vous aider, reportez-vous à la question 1 du guide cybersécurité pour les TPE/PME en 13 questions de l’ANSSI.

Démarrer les premières actions de sécurisation

1. Nommer un collaborateur responsable de la sécurité numérique au sein de votre entreprise.
2. Mettre en place des mesures concrètes à travers le guide "La cybersécurité pour les TPE/PME en treize question" proposé par l’ANSSI.
3. Réaliser une première évaluation et renforcer vos dispositifs de protection avec l’outil de l’ANSSI : « MonAideCyber ».
4. Si vous êtes au niveau, poussez vos limites avec le guide d’hygiène informatique de l’ANSSI.
5. Sensibilisez vos équipes à la sécurité numérique au quotidien : le MOOC de l’ANSSI est une excellente base de formation pour chaque collaborateur.
       

Je ne suis pas concerné, et alors ?

NIS 2 aura un fort impact sur l’ensemble des acteurs économiques et sur les relations contractuelles.

Même si je ne suis pas concerné, je peux en profiter pour évaluer la maturité cyber de mon entreprise.
 

Pour aller plus loin

Mettre en place des indicateurs

Les entités sont également tenues de mettre en œuvre des mesures techniques et organisationnelles adaptées : gestion des incidents, continuité d’activité, et sécurisation de la chaîne d’approvisionnement.

La circulaire France Chimie T 680 « Indicateurs Cybersécurité des systèmes d’information industriels » propose une méthode de construction d’un tableau de bord stratégique en cybersécurité OT (Operational Technology).

Cartographier de votre système d’information

France Chimie vous recommande de compléter la liste les systèmes d’information (SI) de votre entreprise par une cartographie de votre SI par process métier.

L'actualité France chimie « Se préparer à la mise en œuvre de la Directive NIS 2 » et le guide de l'ANSSI sur la « Cartographie du système d'information » pourront vous aider.

Déclarer à l’ANSSI ses incidents

Il n’est pas nécessaire d’attendre l’entrée en vigueur des obligations de NIS 2 pour déclarer à l’ANSSI ses incidents. Les entités sont invitées à le faire dès à présent sur la plateforme intitulée ClubSSI afin de bénéficier d’un accompagnement à la remédiation, le cas échéant.
   

Que fait France Chimie pour vous ?

Le Comité Cybersécurité et Transformation numérique de France Chimie travaille pour comprendre et influer sur la transposition nationale de NIS 2.

Nous échangeons avec l’ANSSI pour une mise en œuvre proportionnée de NIS 2.

Nous mobilisons nos partenaires (MEDEF, France Industrie) pour coordonner nos messages.

Nous rédigeons des circulaires et autres supports numériques pour faciliter la maîtrise et la transposition de NIS 2 auprès des industriels de la chimie.

Vous avez besoin d’être accompagné ?

Il est possible d’être accompagné dans la sécurisation numérique de votre activité.

Plusieurs recommandations :

• Cybermalveillance.gouv.fr : le site public de référence. Vous pouvez y faire une demande d’accompagnement.
• Le Diag Cybersécurité de Bpifrance : soutenu par France 2030, Bpifrance vous accompagne pour un diagnostic complet et des recommandations en matière de cybersécurité à un tarif raisonnable.