Cybersecurity

LPM et OIV : les obligations cyber des Opérateurs d'Importance Vitale (2026)

OIV et LPM 2013 : SAIV, SIIV, règles de sécurité ANSSI, notification d'incidents, sanctions de 150 000 €. Ce qui change avec la directive REC et NIS2.

En une phrase. Les Opérateurs d’Importance Vitale (OIV) — environ 250 opérateurs publics et privés désignés par l’État dans 12 secteurs d’activités d’importance vitale (SAIV) — sont soumis depuis la loi de programmation militaire 2014-2019 (loi n° 2013-1168 du 18 décembre 2013, article 22) à des obligations de cybersécurité contraignantes sur leurs systèmes d’information d’importance vitale (SIIV) : règles de sécurité fixées par arrêtés sectoriels, déclaration des SIIV, notification des incidents à l’ANSSI, contrôles, et sanctions pénales pouvant atteindre 150 000 € pour les dirigeants.

La France a été le premier État à imposer par la loi des obligations de cybersécurité aux opérateurs critiques — trois ans avant la directive NIS. Le dispositif OIV, codifié aux articles L.1332-1 et suivants du code de la défense, reste le régime le plus exigeant du droit français, et sert de matrice au nouveau cadre issu de la directive REC (résilience des entités critiques) et de NIS2.

Ce guide présente le dispositif SAIV, les obligations LPM, leur articulation avec NIS2/REC et un plan de mise en conformité.

Points clés

  • 12 secteurs d’activités d’importance vitale (SAIV), définis dans le cadre de l’instruction générale interministérielle n° 6600/SGDSN.
  • Environ 250 OIV désignés par arrêté ministériel — la liste est non publique (elle relève de la protection du secret).
  • Obligations cyber de l’article 22 de la LPM 2013 : règles de sécurité, déclaration des SIIV, notification d’incidents à l’ANSSI, contrôles par l’ANSSI ou des prestataires qualifiés.
  • Sanctions pénales : 150 000 € d’amende pour les dirigeants en cas de manquement (article L.1332-7 du code de la défense).
  • Refonte en cours : la loi de résilience des infrastructures critiques (transposition REC/NIS2) modernise le dispositif en désignant des « opérateurs d’importance vitale » élargis.

1. Le dispositif SAIV : qui sont les OIV ?

Le dispositif de sécurité des activités d’importance vitale organise la protection des opérateurs « dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (art. L.1332-1 du code de la défense). Les 12 SAIV couvrent : activités civiles de l’État, activités militaires de l’État, activités judiciaires, espace et recherche, santé, gestion de l’eau, alimentation, énergie, communications électroniques audiovisuel et information, transports, finances, industrie.

Chaque OIV est désigné par arrêté du ministre coordonnateur de son secteur. La désignation n’est pas publique : un OIV n’a pas le droit de révéler sa qualité, et la liste consolidée est protégée. Chaque OIV désigne un délégué pour la défense et la sécurité, élabore un plan de sécurité d’opérateur (PSO) et des plans particuliers de protection (PPP) pour ses points d’importance vitale.

2. Les obligations cyber de la LPM

L’article 22 de la loi n° 2013-1168 (codifié aux articles L.2321-1 et s. et L.1332-6-1 à L.1332-6-6 du code de la défense) a ajouté un volet cyber au dispositif :

Déclaration des SIIV

Chaque OIV identifie et déclare à l’ANSSI ses systèmes d’information d’importance vitale — les systèmes dont l’atteinte compromettrait les activités d’importance vitale. Cette identification suppose une cartographie du système d’information rigoureuse : c’est le fondement de tout le reste.

Règles de sécurité obligatoires

Les arrêtés sectoriels (publiés par vagues en 2016-2017 pour chacun des secteurs) fixent une vingtaine de règles : politique de sécurité (PSSI), homologation de sécurité des SIIV, cartographie, gestion des identifications et authentifications, cloisonnement, filtrage, accès distants, journalisation, détection, gestion des incidents, gestion de crise, indicateurs. Les délais d’application étaient fixés règle par règle.

Détection qualifiée

Les OIV doivent mettre en œuvre des systèmes de détection d’événements de sécurité exploités par des prestataires qualifiés par l’ANSSI (PDIS — prestataires de détection d’incidents de sécurité), et recourir en cas d’incident à des prestataires de réponse qualifiés (PRIS).

Notification des incidents

Les incidents affectant les SIIV sont notifiés sans délai à l’ANSSI. À la différence du régime RGPD (notification CNIL sous 72 h des violations de données), la notification LPM couvre les incidents de sécurité même sans données personnelles.

Contrôles et état d’urgence cyber

L’ANSSI peut contrôler les SIIV, elle-même ou via des prestataires d’audit qualifiés PASSI, aux frais de l’opérateur. En cas de crise majeure, le Premier ministre peut imposer des mesures aux OIV (art. L.1332-6-4).

Sanctions

L’article L.1332-7 du code de la défense punit de 150 000 € d’amende (750 000 € pour les personnes morales, par le jeu du quintuplement de l’article 131-38 du code pénal) le fait pour les dirigeants de ne pas satisfaire aux obligations — un régime pénal, là où NIS2 retient des amendes administratives en pourcentage du chiffre d’affaires.

3. OIV, NIS2, REC : la refonte 2025-2026

La loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité — le véhicule français de transposition des directives REC (UE) 2022/2557 et NIS2 (UE) 2022/2555 — modernise le dispositif SAIV, qui datait pour l’essentiel du décret n° 2006-212 du 23 février 2006 :

  • La notion d’opérateur d’importance vitale est refondue et élargie, avec une logique « tous risques » (résilience physique et cyber) héritée de REC ;
  • Les OIV sont automatiquement traités comme entités essentielles au sens de NIS2, mais conservent des exigences renforcées sur leurs SIIV — un opérateur du secteur de l’énergie cumule ainsi ces exigences avec les obligations NIS2 applicables aux opérateurs d’énergie ;
  • Le triptyque de supervision se réorganise : SGDSN pour la résilience globale, ANSSI pour le volet cyber, ministères coordonnateurs par secteur.

Concrètement, un OIV en 2026 gère trois cercles concentriques : ses SIIV (régime LPM renforcé), son SI général (exigences NIS2), et ses traitements de données personnelles (RGPD, art. 32 — sécurité des traitements). La cohérence documentaire entre ces cercles — un même registre d’actifs, des mesures tracées, des incidents corrélés — est le principal facteur de coût. C’est le type de consolidation multi-référentiels qu’une plateforme comme Legiscope automatise, en croisant cartographie, registre RGPD et exigences sectorielles.

4. Plan d’action pour un OIV (ou un futur désigné)

  1. Gouvernance : délégué défense et sécurité, RSSI, comitologie de crise.
  2. Cartographie et périmétrage SIIV : identifier, déclarer, homologuer.
  3. Conformité aux règles sectorielles : gap analysis règle par règle, plan de traitement priorisé, analyse de risques EBIOS RM.
  4. Détection et réponse : contractualiser PDIS/PRIS, tester la chaîne de notification ANSSI.
  5. Exercices : crise cyber majeure incluant le fonctionnement en mode dégradé — voir nos guides PCA et PRA.

FAQ

Comment savoir si mon entreprise est un OIV ?

Vous le savez : la désignation est notifiée par arrêté ministériel individuel, et l’opérateur est associé à la démarche (identification des points d’importance vitale, PSO). Si vous ne l’êtes pas mais opérez dans un secteur critique, votre sujet 2026 est plutôt NIS2, dont les seuils sont objectifs (secteur × taille).

Un OIV peut-il utiliser le cloud public pour ses SIIV ?

Les règles sectorielles imposent maîtrise, localisation et cloisonnement des SIIV ; en pratique, l’hébergement de SIIV s’oriente vers des offres qualifiées SecNumCloud ou des infrastructures dédiées. Le cloud public non qualifié est très difficile à homologuer pour un SIIV.

Quelle différence entre OIV et OSE ?

Les OSE (opérateurs de services essentiels) étaient la catégorie créée par la directive NIS de 2016, plus large et moins exigeante que les OIV. NIS2 a remplacé les OSE par les entités essentielles et importantes ; les OIV demeurent le cercle le plus critique, avec leur régime propre du code de la défense.

Les obligations LPM couvrent-elles les données personnelles ?

Non, elles protègent la disponibilité et l’intégrité des systèmes critiques. Le RGPD s’applique en parallèle : un incident sur un SIIV impliquant des données personnelles déclenche à la fois la notification ANSSI et la notification CNIL sous 72 heures.

Conclusion

Le dispositif OIV a dix ans d’avance sur le reste de l’Europe : règles obligatoires, détection qualifiée, contrôles, sanctions pénales. Sa refonte par la loi résilience ne l’assouplit pas — elle l’étend et l’articule avec NIS2. Pour les opérateurs, la clé n’est pas réglementaire mais opérationnelle : un périmètre SIIV net, une cartographie à jour, des prestataires qualifiés sous contrat et des exercices réguliers. Le reste — dossiers, déclarations, homologations — découle d’un socle documentaire bien tenu.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →