Cybersecurity

NIS2 et collectivités territoriales : qui est concerné et quelles obligations en 2026

NIS2 collectivités territoriales : régions, départements, communes de plus de 30 000 habitants concernés, enregistrement ANSSI, notification 24h/72h.

En une phrase. La France a fait le choix, ouvert par la directive NIS2 pour le secteur de l’administration publique (annexe I), d’y inclure les collectivités territoriales : régions, départements et communes de plus de 30 000 habitants ainsi que leurs groupements sont le repère communiqué par l’ANSSI pour identifier les entités concernées, soumises à enregistrement sur MonEspaceNIS2, aux dix mesures de gestion des risques de l’article 21, à la notification d’incident sous 24 h/72 h/1 mois et à la formation des élus, en plus de leurs obligations RGPD déjà en vigueur.

La directive NIS2 laissait chaque État membre libre d’intégrer ou non l’administration publique locale à son périmètre national. La France a tranché pour l’inclusion : l’ANSSI confirme que les collectivités territoriales entrent dans le champ de la loi de transposition NIS2, aux côtés de l’administration de l’État, classée en secteur hautement critique par l’annexe I de la directive (UE) 2022/2555.

Ce choix n’est pas cosmétique : les collectivités françaises ont été frappées ces dernières années par de nombreuses attaques par rançongiciel, touchant mairies, conseils départementaux et syndicats intercommunaux, avec des conséquences directes sur la continuité des services publics locaux (état civil, paie, aides sociales). Ce guide détaille qui est concerné, quelles obligations s’appliquent concrètement à une collectivité, et quels outils l’ANSSI met à disposition pour les accompagner.

Points clés

  • La France inclut les collectivités territoriales dans le périmètre NIS2, une option laissée aux États membres pour le secteur de l’administration publique (annexe I).
  • Repère communiqué par l’ANSSI : régions, départements, communes de plus de 30 000 habitants et leurs groupements (EPCI) — le décret d’application précise les seuils exacts, ce chiffre est un ordre de grandeur, pas un couperet définitif.
  • Les collectivités ont été des cibles répétées de rançongiciels ces dernières années, ce qui justifie leur intégration au dispositif.
  • Obligations : auto-identification et enregistrement sur MonEspaceNIS2, dix mesures de l’article 21 adaptées aux moyens d’une collectivité, notification d’incident sous 24 h/72 h/1 mois, formation des élus et des dirigeants (article 20).
  • L’ANSSI propose des outils dédiés : MonServiceSécurisé pour l’homologation simplifiée, un parcours de cybersécurité et des dispositifs de cofinancement.
  • NIS2 se cumule avec le RGPD, déjà pleinement applicable aux collectivités, qui traitent d’importants volumes de données personnelles (état civil, social, scolaire).

1. Le choix français : les collectivités dans le périmètre NIS2

Pourquoi cette extension nationale

La directive NIS2 impose aux États membres de couvrir l’administration publique centrale, mais laisse à leur appréciation l’inclusion de l’administration publique régionale et locale. La France a choisi d’y intégrer les collectivités territoriales, au motif que celles-ci gèrent des services essentiels à la population (état civil, action sociale, gestion de l’eau ou des déchets pour certaines, systèmes d’information mutualisés) et qu’elles constituent, de fait, une cible privilégiée pour les attaquants en raison de moyens de sécurité souvent inférieurs à ceux du secteur privé régulé.

Qui précisément : le repère communiqué par l’ANSSI

L’ANSSI communique un repère pratique pour identifier les entités locales concernées : régions, départements, communes de plus de 30 000 habitants et leurs groupements (établissements publics de coopération intercommunale — EPCI). Ce seuil de population n’est qu’un ordre de grandeur destiné à orienter l’auto-évaluation ; le décret d’application précise les critères exacts de désignation, et certaines structures plus petites mais mutualisant des systèmes d’information à l’échelle intercommunale peuvent également être concernées.

Type de collectivité Statut probable Repère
Région Entité essentielle ou importante Toutes les régions
Département Entité essentielle ou importante Tous les départements
Commune Selon population Repère ANSSI : > 30 000 habitants
EPCI / groupement de communes Selon taille et mutualisation SI Repère ANSSI, notamment si SI mutualisé
Petites communes hors périmètre direct Hors NIS2 en direct Peuvent être concernées via leur EPCI ou syndicat mixte

2. Un contexte de menace réel

Les collectivités territoriales françaises ont subi, ces dernières années, une multiplication d’attaques par rançongiciel touchant des mairies et des conseils départementaux, entraînant des interruptions de services à l’état civil, à la paie ou aux prestations sociales, parfois pendant plusieurs semaines. Sans qu’il soit besoin d’avancer des montants précis, ce constat suffit à expliquer le choix français d’étendre le périmètre NIS2 : les collectivités gèrent des données sensibles et des services essentiels avec des budgets informatiques souvent très inférieurs à ceux d’une entreprise régulée de taille comparable, ce qui en fait une cible à la fois vulnérable et attractive.

3. Les obligations opérationnelles adaptées aux collectivités

Enregistrement sur MonEspaceNIS2

Chaque collectivité entrant dans le repère communiqué par l’ANSSI doit s’auto-identifier et s’enregistrer via MonEspaceNIS2. Pour les collectivités hésitant sur leur statut, l’outil d’auto-évaluation permet de lever le doute avant tout autre chantier.

Les dix mesures de l’article 21, adaptées aux moyens d’une collectivité

Les dix familles de mesures de l’article 21 s’appliquent aux collectivités comme à toute entité régulée, mais leur mise en œuvre doit composer avec des moyens humains et budgétaires limités, en particulier pour les communes moyennes. La mutualisation est ici la clé : mutualiser la fonction sécurité des systèmes d’information à l’échelle de l’EPCI ou du centre de gestion départemental, s’appuyer sur le guide d’hygiène informatique de l’ANSSI pour prioriser les mesures à fort impact et faible coût (sauvegardes hors ligne, authentification multifacteur, mise à jour des systèmes), et documenter une politique de sécurité même simplifiée, sur le modèle du guide pour rédiger une PSSI.

Notification d’incident : 24 h / 72 h / 1 mois

Les échéances de l’article 23 de NIS2 s’appliquent sans dérogation aux collectivités concernées : alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous un mois, adressées à l’ANSSI. Cette obligation se cumule avec la notification à la CNIL en cas de violation de données à caractère personnel — une collectivité victime d’un rançongiciel affectant l’état civil ou le fichier social doit donc, potentiellement, notifier les deux autorités en parallèle.

Formation des élus et des dirigeants (article 20)

Particularité du secteur public local : l’organe de direction visé par l’article 20 de NIS2 est ici l’exécutif de la collectivité — maire, président de conseil départemental ou régional, président d’EPCI — et non un dirigeant salarié. La formation aux enjeux de cybersécurité doit donc être pensée pour des élus, souvent non spécialistes, avec un accent sur la responsabilité de gouvernance plutôt que sur la technique : approuver une politique de sécurité, arbitrer un budget de mise à niveau, être informé sans délai en cas d’incident.

4. Les outils ANSSI dédiés aux collectivités

MonServiceSécurisé : une homologation simplifiée

L’ANSSI propose MonServiceSécurisé, une plateforme (accessible sur monservicesecurise.cyber.gouv.fr) dédiée aux collectivités et aux petites structures publiques pour homologuer plus simplement un système d’information ou un service numérique, sans passer par une procédure d’homologation de sécurité complète calibrée pour de grandes organisations. C’est le point d’entrée recommandé pour une collectivité qui découvre ses obligations d’homologation dans le cadre de NIS2.

Parcours de cybersécurité et cofinancements

L’ANSSI et ses partenaires proposent un parcours de cybersécurité pas à pas pour les collectivités, ainsi que des dispositifs de cofinancement — issus notamment de France Relance puis reconduits — pour financer des audits, des postes de responsable sécurité mutualisé ou des outils de détection. Une collectivité qui engage sa mise en conformité NIS2 a intérêt à solliciter ces cofinancements avant de lancer seule des investissements coûteux.

5. Cumul avec le RGPD et plan d’action

Les collectivités territoriales sont, par ailleurs, pleinement soumises au RGPD depuis 2018 pour l’ensemble de leurs traitements — état civil, listes électorales, action sociale, scolaire, vidéoprotection — avec un délégué à la protection des données obligatoire. Voir nos guides sur le RGPD dans les collectivités territoriales et son volet opérationnel. NIS2 et RGPD partagent une large base commune : cartographie des systèmes et des traitements, gestion des risques, procédure de notification d’incident, gouvernance. Une collectivité qui a déjà structuré son registre RGPD dispose d’un socle réutilisable pour NIS2.

Plan d’action 2026 pour une collectivité : (1) vérifier son statut au regard du repère ANSSI (population, mutualisation SI) et s’enregistrer sur MonEspaceNIS2 ; (2) mutualiser la fonction sécurité avec l’EPCI ou le centre de gestion si ce n’est pas déjà fait ; (3) engager ou vérifier l’homologation via MonServiceSécurisé ; (4) prioriser les mesures d’hygiène informatique à fort impact (sauvegardes, MFA, mises à jour) ; (5) former l’exécutif et tester la procédure de notification en la reliant à celle déjà en place pour le RGPD.

Une collectivité qui gère RGPD et NIS2 séparément multiplie les registres et les zones d’ombre. Legiscope permet de centraliser la cartographie des traitements et des systèmes, le suivi des mesures de sécurité et la gestion des notifications d’incident sur une seule plateforme, un enjeu particulièrement pertinent pour les collectivités aux moyens humains contraints.

FAQ

Une petite commune de moins de 30 000 habitants peut-elle être concernée par NIS2 ?

Le repère communiqué par l’ANSSI cible en priorité les communes de plus de 30 000 habitants, mais une commune plus petite peut être indirectement concernée si elle appartient à un EPCI mutualisant un système d’information désigné, ou si le décret d’application retient d’autres critères que la seule population. En cas de doute, l’auto-évaluation sur MonEspaceNIS2 permet de lever l’incertitude.

NIS2 remplace-t-il les obligations RGPD des collectivités ?

Non, les deux textes sont cumulatifs. Le RGPD protège les données personnelles traitées par la collectivité (état civil, social, scolaire) sous le contrôle de la CNIL ; NIS2 protège les systèmes d’information critiques sous le contrôle de l’ANSSI. Une collectivité doit répondre aux deux régimes, avec des autorités, des délais de notification et des référentiels de sécurité distincts, même s’ils se recoupent largement sur le fond.

Qu’est-ce que MonServiceSécurisé et à quoi sert-il concrètement ?

C’est une plateforme de l’ANSSI conçue pour permettre aux collectivités et petites structures publiques d’homologuer un système d’information de façon simplifiée, sans mobiliser les ressources d’expertise qu’exige une homologation classique. C’est l’outil recommandé pour une collectivité qui doit démontrer, dans le cadre de NIS2, qu’elle a évalué et accepté formellement les risques résiduels de ses systèmes.

Une collectivité doit-elle recruter un responsable de la sécurité des systèmes d’information dédié ?

Ce n’est pas une obligation formelle de NIS2, mais c’est fortement recommandé, notamment via la mutualisation. Une commune isolée a rarement les moyens de financer un RSSI à temps plein ; la mutualisation à l’échelle de l’EPCI, du centre de gestion départemental ou d’un syndicat mixte informatique permet de couvrir cette fonction pour plusieurs collectivités à la fois, avec l’appui des cofinancements ANSSI disponibles.

Conclusion

En intégrant les collectivités territoriales dans le périmètre NIS2, la France reconnaît que la cybersécurité du secteur public local n’est plus une option mais une condition de continuité des services essentiels aux administrés. Le repère des 30 000 habitants et des groupements donne une première boussole, mais chaque collectivité doit vérifier son statut exact sur MonEspaceNIS2. La bonne nouvelle : entre MonServiceSécurisé, les cofinancements disponibles et la mutualisation intercommunale, les outils existent pour des structures qui n’ont ni le budget ni les effectifs d’une entreprise régulée. La priorité 2026 est de ne pas attendre le prochain rançongiciel pour s’y mettre.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →