Annexe 1 · Hautement critique
NIS2 dans les collectivités territoriales françaises
La France a fait le choix d'inclure largement les administrations publiques dans le périmètre NIS2 via la loi Résilience attendue au S1 2026. Les communes de plus de 30 000 habitants, les intercommunalités (EPCI), les départements et régions sont par défaut Entités Essentielles. Les attaques massives subies par les collectivités (Aix-Marseille, Grand Cognac, Versailles) ont accéléré cette inclusion.
Qui est concerné dans ce secteur ?
- Communes > 30 000 habitants
- Communautés d'agglomération et de communes
- Métropoles et établissements publics territoriaux
- Conseils départementaux et régionaux
- Établissements publics de coopération culturelle
- CCAS (centres communaux d'action sociale) > certain seuil
- Établissements publics fonciers
Seuils de classification
Tous les organes administratifs locaux desservant une population supérieure à un seuil démographique (à confirmer dans le décret d'application : probablement 30 000 habitants), ainsi que les organes administratifs régionaux sont par défaut EE selon la transposition française.
Risques cyber typiques
Chiffrement des SI municipaux (état civil, urbanisme, paie), vol de données citoyens (RGPD), manipulation des systèmes de vidéosurveillance, blocage des services publics en ligne (espace citoyen, démarches). Coût moyen d'une attaque : 300k-2M€.
Comment CyberSCV vous aide
CyberSCV est utilisé par plusieurs collectivités et syndicats mixtes français pour structurer leur démarche NIS2 sans embaucher de RSSI. Le ReCyF v2.5 ANSSI est intégré nativement et le rapport PDF inclut les références à la loi Résilience.
Questions fréquentes
Ma commune de 25 000 habitants est-elle concernée ?
Pas par défaut sur le critère démographique seul, mais le décret final peut élargir. Si vous gérez en propre des SI sensibles (vidéosurveillance, fichiers sociaux), une mise en conformité préventive est recommandée.
Le maire est-il personnellement responsable ?
Oui. NIS2 prévoit la responsabilité personnelle des organes de direction. Le maire ou président d'EPCI peut être tenu responsable d'un défaut de gouvernance cyber documenté.
Existe-t-il un financement public ?
Oui, plusieurs dispositifs ANSSI (parcours cybersécurité collectivités, France Relance) couvrent partiellement les frais de mise en conformité.
Évaluez votre conformité Collectivités publiques
Lancez votre auto-évaluation NIS2 en moins de 10 minutes. Gratuit pour la première évaluation.
Démarrer gratuitement