Plateformes Logistiques, êtes-vous “Entité Essentielle” NIS2 ?

Directive NIS2 : plateformes logistiques classées entités essentielles, calendrier de conformité 2026

Depuis le RGPD en 2018, les entreprises françaises connaissent bien ce scénario : une directive européenne, un calendrier annoncé, des seuils à préciser, et une course pour se conformer.

NIS2 suit un pattern similaire, mais porte sur la cybersécurité et la continuité d'activité des infrastructures essentielles et importantes, un sujet distinct de la protection des données.

Pour certains opérateurs logistiques et certaines plateformes de transport, NIS2 crée une obligation nouvelle. Vous serez probablement classés parmi les « Entités Essentielles », mais les critères précis ne sont pas encore définis.

Voici ce que vous devez comprendre maintenant, avant que les décrets ne sortent et comment anticiper rationnellement.

NIS2 vs RGPD : Deux cadres complémentaires, pas alternatifs

Le RGPD impose la protection des données personnelles. C'est une obligation fondamentale qui ne disparaît pas.

NIS2 ajoute une couche supplémentaire : la continuité d'activité des secteurs critiques et importants. Alors que le RGPD porte sur l'accès et la sécurité des données, NIS2 porte aussi sur la capacité opérationnelle : « Et si le système entier s'arrête ? Êtes-vous capable de redémarrer ? ».

Pour une plateforme logistique, cela signifie :

  • Respecter le RGPD sur vos données clients, salariés, transporteurs
  • Respecter NIS2 sur la disponibilité et la résilience de la plateforme logistique elle-même

Les deux cadres coexistent et demandent tous deux de l'investissement et des audits.

Le calendrier : Ce qui est annoncé, ce qui peut changer

  • Promulgation attendue : fin juillet 2026
  • Conformité supposée attendue : août 2026
  • Inspections administratives : Q4 2026 - Q3 2027

Important : Ces dates sont estimées selon les orientations gouvernementales actuelles et le parallèle avec la mise en œuvre du RGPD (2018-2019). Elles peuvent être repoussées selon les décrets officiels.

Ce que cela signifie concrètement aujourd'hui

  • Aujourd'hui (mai 2026) : Vous ne savez pas précisément si vous êtes « Entité Essentielle » ou non. Les seuils ne sont pas encore définis.
  • Si le calendrier tient (fin juillet 2026) : Les décrets tomberont. Vous aurez enfin la réponse, mais seulement 30 jours avant la date supposée de conformité.
  • Si le calendrier est repoussé : Vous aurez plus de temps, mais resterez dans l'incertitude plus longtemps.

Dans les deux cas : anticiper maintenant est la seule stratégie robuste. Si le calendrier accélère, vous serez prêt. Si le calendrier glisse, vous aurez gagné du temps.

Les deux conditions pour être concerné (et pourquoi la seconde crée l'incertitude)

NIS2 s'applique à vous si vous remplissez deux conditions simultanément :

  • Condition 1 : Appartenir à un secteur listé (cf ANSSI)
  • Condition 2 : Dépasser les seuils de taille

C'est là que le flou s'installe. NIS2 définit des critères qualitatifs : « au-delà des critères PME ». Mais qu'est-ce que cela signifie concrètement ? Nombre de salariés ? Chiffre d'affaires ? Criticité du service ?

Les seuils précis seront définis par décret de transposition français → attendu été 2026.

Traduction : vous pourriez découvrir fin juillet 2026 que vous êtes concernés. Ou pas. Et vous auriez 30 jours pour actionner.

L'opportunité stratégique

Cette incertitude est en réalité une opportunité. Les acteurs qui lancent maintenant un audit de positionnement auront trois avantages :

  • Clarté précoce : savoir avant juillet si vous êtes probablement concernés
  • Avance d'action : commencer les corrections pendant que les autres découvrent encore leurs obligations
  • Crédibilité : montrer à l'ANSSI que vous avez anticipé

NIS2 : Un cadre réglementaire déjà dense

Les opérateurs logistiques et les transporteurs fonctionnent déjà sous plusieurs couches réglementaires. NIS2 ne fait que s'ajouter.

  • 📋 Code du Travail : Vous gérez déjà la santé-sécurité, les évaluations de risques, les formations obligatoires.
  • 🚗 Code des Transports : Vous êtes soumis à des conditions d'exercice, des audits périodiques, des règles de sûreté.
  • 🏭 ICPE : Si vous dépassez les seuils, vous gérez des études d'impact environnementales et des prescriptions de prévention.
  • 🛡️ NIS2 : Vous ajouterez : cybersécurité, continuité d'activité, 20 objectifs de sécurité informatique.

Le point clé : toutes ces réglementations convergent vers la même idée : les plateformes logistiques sont critiques. Elles doivent être résilientes, sûres et capables de continuer à fonctionner en cas de crise.

Les 20 objectifs NIS2 : Décoder le ReCyF

Le cadre technique de NIS2 s'appelle ReCyF (Référentiel de Cybersécurité Français). Il structure la conformité autour de trois piliers et 20 objectifs.

Pilier 1 : Gouvernance - 7 objectifs

Ces cinq premiers s'appliquent à tous :

  • Dresser l'inventaire de vos systèmes d'information (quel logiciel pilote quoi ?)
  • Mettre en place une gouvernance de sécurité (qui valide quoi ? qui rend compte ?)
  • Maîtriser votre écosystème (fournisseurs, prestataires, clients techniquement connectés)
  • Gérer vos équipes sur les enjeux de sécurité (formation, accès, rotation)
  • Contrôler vos systèmes d'information (sauvegarde, mises à jour, obsolescence)

Ces deux objectifs supplémentaires s'ajoutent uniquement si vous êtes "Entité Essentielle" :

  • Formaliser une approche par les risques : identifier les points de défaillance critiques et les traiter
  • Faire un audit de sécurité externe régulier

Implication pour une "Entité Essentielle" : vous devez pouvoir expliquer à l'ANSSI exactement où sont vos risques critiques et comment vous les traitez.

Pilier 2 : Protection - 9 objectifs

Six objectifs pour tous :

  • Contrôler les accès physiques (qui entre où ?)
  • Architecturer vos systèmes de manière sécurisée (segmentation, séparation des droits)
  • Sécuriser les accès distants (VPN, authentification forte)
  • Protéger contre les malveillances (antivirus, détection d'anomalies)
  • Gérer les identités et accès numériques (qui a accès à quel logiciel ?)
  • Administrer vos systèmes correctement (qui peut installer quoi ?)

Trois objectifs supplémentaires pour les "Entités Essentielles" :

  • Configuration sécurisée par défaut : chaque nouveau serveur doit être configuré selon des standards de sécurité
  • Administration depuis des ressources dédiées : les administrateurs système doivent utiliser des outils séparés et sécurisés

Implication pour une "Entité Essentielle" : architecture IT plus complexe, donc coûts augmentés.

Pilier 3 : Défense et Résilience - 4 objectifs

Trois objectifs pour tous :

  • Identifier et réagir aux incidents informatiques (avoir une équipe qui gère les crises)
  • Assurer la continuité et la reprise d'activité (vos données sont sauvegardées ailleurs ?)
  • Réagir aux crises d'origine cyber (plan de crise, communication, escalade)

Un objectif supplémentaire pour les "Entités Essentielles" :

  • Supervision de sécurité constante : surveiller 24/7 vos systèmes critiques pour détecter les anomalies

Implication pour une "Entité Essentielle" : télésurveillance 24/7 d'équipes ou de technologies de détection avancée.

Les risques attendus en cas de non-conformité NIS2

Risque réglementaire et financier

L'ANSSI aura le pouvoir de sanctionner les non-conformités. Les montants exacts ne sont pas encore définis par décret. Ce qui est certain : une non-conformité détectée lors d'une inspection administrative crée un suivi officiel. Vous ne pouvez pas l'ignorer.

Risque assurantiel

Les assureurs responsabilité civile pourraient invoquer la non-conformité réglementaire pour limiter ou refuser la couverture en cas d'incident informatique. C'est un risque à vérifier avec vos assureurs maintenant, avant que les décrets ne sortent.

Risque opérationnel et commercial

Les clients majeurs (grands groupes de distribution, chaînes de transport) auditeront probablement la conformité réglementaire de leurs prestataires. Le RGPD nous a montré que la conformité réglementaire devient un critère de sélection.

Il est probable (mais pas garanti) que NIS2 suive un chemin similaire.

ISO Sécurité : Votre partenaire sur la chaîne de sûreté

En tant qu'opérateur global de sécurité électronique, nous avons une vision systémique de votre site.

Agréments de confiance

  • NF Service APSAD @Cyber aux plus hauts niveaux : notre télésurveillance répond aux normes les plus exigeantes
  • CNAPS : certification de surveillance et maîtrise de la sécurité physique
  • Certification ANSSI pour l'ensemble de nos services

Maîtrise technique reconnue

  • Certifications aux plus hauts niveaux chez les constructeurs du marché (Hikvision, Nedap, Aritech, Castel, ...)
  • Mise à jour constante sur les standards NIS2 et les exigences ANSSI
  • Intégration poussée des technologies de supervision (hypervision, SOC "Security Operations Center", ...)

Positionnement Opérateur Global

Contrairement à un cabinet conseil pur, nous pouvons :

  • Concevoir l'architecture de sécurité adaptée à NIS2 (suite à votre audit)
  • Installer les équipements physiques (vidéo, accès, détection, incendie) ET les briques numériques (supervision)
  • Maintenir 24/7 votre infrastructure
  • Télésurveiller vos alertes critiques
  • Alerter régulièrement votre RSSI et direction

Ressources et partenaires pour vos audits NIS2

Pour un audit de positionnement et de conformité NIS2 :

  • Cabinet NORMYA : Spécialiste du conseil en cybersécurité, RGPD et audits NIS2.

Ressources officielles :

  • ANSSI : Source officielle pour tout ce qui concerne la cybersécurité en France.
  • Directive NIS2 : Le texte fondateur. À consulter pour comprendre la portée réelle de la directive.
  • ReCyF : Le cadre technique français qui opérationnalise NIS2. Document incontournable pour les 20 objectifs.
Parlons de votre projet
Découvrez nos autres actualités