En une phrase. Le secteur de l’énergie figure à l’annexe I de la directive NIS2 (secteur hautement critique) : électricité (RTE, Enedis, producteurs, opérateurs de marché), gaz (GRTgaz, distributeurs, GNL), pétrole et hydrogène sont soumis au statut d’entité essentielle ou importante, avec enregistrement ANSSI, dix mesures de gestion des risques dont une sécurité renforcée de la chaîne d’approvisionnement OT/SCADA, notification d’incident sous 24 h/72 h/1 mois, et cela vient se superposer — sans les remplacer — aux obligations préexistantes des opérateurs d’importance vitale (OIV) au titre de la loi de programmation militaire.
L’énergie est, avec la santé et la banque, l’un des secteurs les plus anciennement régulés en matière de cybersécurité en France : de nombreux exploitants de réseaux, de production ou de stockage étaient déjà opérateurs d’importance vitale (OIV) au titre de l’article L1332 du code de la défense, ou opérateurs de services essentiels (OSE) sous la première directive NIS. La directive NIS2 (UE) 2022/2555 ne remet pas en cause ce socle : elle l’élargit à un périmètre d’entités plus large et le rend homogène à l’échelle européenne, sous la supervision de l’ANSSI.
Ce guide détaille les sous-secteurs et entités concernés, la façon d’articuler NIS2 avec le régime OIV et la directive REC sur la résilience des entités critiques, la place particulière des systèmes industriels (OT/SCADA) dans les exigences de sécurité, et le plan d’action à mener en 2026.
Points clés
- L’énergie est un secteur hautement critique (annexe I) : électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène.
- De nombreux opérateurs énergie sont déjà OIV (loi de programmation militaire) ou l’étaient OSE (NIS1) : NIS2 se superpose à ce socle, il ne le remplace pas.
- La sécurité de la chaîne d’approvisionnement, une des dix mesures de l’article 21, est particulièrement sensible pour les systèmes industriels OT/SCADA.
- Enregistrement obligatoire sur MonEspaceNIS2, notification d’incident sous 24 h / 72 h / 1 mois.
- Sanctions jusqu’à 10 M€ ou 2 % du CA mondial pour une entité essentielle, 7 M€ ou 1,4 % pour une entité importante.
- La cartographie du système d’information, y compris industriel, est le prérequis technique commun à NIS2, au régime OIV et à la directive REC.
1. Le secteur énergie dans le périmètre NIS2
Les sous-secteurs et entités visées
L’annexe I de NIS2 décompose le secteur énergie en plusieurs sous-secteurs, chacun avec ses catégories d’entités types.
| Sous-secteur | Entités types | Exemples français |
|---|---|---|
| Électricité | Fournisseurs, gestionnaires de réseau de transport, gestionnaires de réseau de distribution, producteurs, opérateurs de marché désigné, exploitants de points de recharge | RTE, Enedis, producteurs indépendants |
| Réseaux de chaleur et de froid | Exploitants de réseaux urbains | Réseaux de chaleur métropolitains |
| Pétrole | Exploitants d’oléoducs, de sites de stockage, de raffinage | Raffineries, opérateurs logistiques pétroliers |
| Gaz | Entreprises de fourniture, de distribution, de transport, exploitants d’installations de stockage et de GNL | GRTgaz, distributeurs régionaux, terminaux méthaniers |
| Hydrogène | Production, stockage, transport | Projets d’électrolyseurs et de réseaux dédiés |
Entités essentielles ou importantes : les seuils
Le croisement secteur × taille s’applique comme pour les autres secteurs de l’annexe I : entité essentielle pour une grande entreprise (≥ 250 salariés ou CA > 50 M€ et bilan > 43 M€), entité importante pour une entreprise moyenne (≥ 50 salariés ou CA > 10 M€). Dans l’énergie, la quasi-totalité des gestionnaires de réseau de transport et de distribution relève mécaniquement de l’entité essentielle, compte tenu de leur taille ; les producteurs indépendants de taille intermédiaire et certains exploitants de points de recharge peuvent en revanche relever de l’entité importante.
2. Articulation NIS2 / OIV-LPM / REC : la logique du socle unique
Le régime OIV préexistant
Depuis la loi de programmation militaire de 2013, un grand nombre d’opérateurs énergie sont désignés opérateurs d’importance vitale (OIV) au titre de l’article L1332 du code de la défense, avec des obligations de sécurité fixées par des règles de sécurité sectorielles spécifiques et une plan de continuité soumis à l’ANSSI. Voir notre guide dédié à la loi de programmation militaire et aux OIV.
La directive REC : le pendant « résilience physique »
La directive (UE) 2022/2557 sur la résilience des entités critiques (REC), transposée par le même véhicule législatif français que NIS2 et DORA (la loi « résilience »), couvre le volet physique et organisationnel de la continuité des opérateurs critiques — recoupant largement le champ des OIV historiques.
Pourquoi un texte unique pour trois directives
La loi de transposition française a fait le choix d’un texte unique couvrant NIS2, REC et DORA, précisément parce que dans des secteurs comme l’énergie, un même opérateur peut être simultanément OIV (résilience physique), entité essentielle NIS2 (cybersécurité) et concerné par le volet REC. L’objectif affiché est d’éviter la multiplication des référentiels redondants et de construire, à terme, un socle unique de gestion des risques où un même plan de sécurité, une même cartographie et une même gouvernance servent les trois textes. En pratique, en 2026, les référentiels techniques restent encore distincts et un exploitant OIV doit continuer de traiter séparément ses obligations LPM en parallèle de son enregistrement NIS2, en attendant que les décrets d’application achèvent l’harmonisation.
3. La spécificité OT/SCADA et la sécurité de la chaîne d’approvisionnement
Des systèmes industriels historiquement isolés, aujourd’hui interconnectés
Les opérateurs énergie exploitent des systèmes de contrôle industriel (OT — operational technology) et des architectures SCADA pour piloter réseaux électriques, postes de transformation, sites de stockage et pipelines. Ces systèmes, longtemps conçus en réseau isolé, sont désormais interconnectés avec le système d’information de gestion pour des besoins de télémaintenance et de supervision à distance — ce qui élargit considérablement la surface d’attaque. NIS2 impose que la gestion des risques couvre l’ensemble du système d’information, OT compris, et non le seul système bureautique.
La cartographie, prérequis technique incontournable
Aucune des dix mesures de l’article 21 n’est applicable sans une connaissance précise du parc : postes de travail, automates, passerelles OT/IT, prestataires ayant un accès distant. La cartographie du système d’information — étendue aux réseaux industriels — est donc le point de départ obligé de toute mise en conformité NIS2 dans l’énergie.
La sécurité de la chaîne d’approvisionnement : la mesure la plus sensible du secteur
Parmi les dix familles de mesures de l’article 21, la sécurité de la chaîne d’approvisionnement est particulièrement critique pour l’énergie : automates, capteurs et logiciels de supervision proviennent souvent d’un nombre restreint de fournisseurs, parfois extra-européens, avec des cycles de mise à jour lents et des accès de télémaintenance permanents. Un exploitant doit cartographier ces dépendances, exiger contractuellement des garanties de sécurité de ses fournisseurs OT, et limiter les accès distants aux stricts besoins de maintenance.
4. Les obligations opérationnelles
Enregistrement sur MonEspaceNIS2
Comme tout secteur de l’annexe I, chaque opérateur énergie doit s’auto-identifier et s’enregistrer via MonEspaceNIS2, indépendamment de son statut OIV préexistant — les deux démarches sont distinctes et non substituables l’une à l’autre.
Les dix mesures de l’article 21 appliquées à l’énergie
Les priorités opérationnelles pour un exploitant énergie sont : la politique de sécurité formalisée dans une PSSI couvrant explicitement le périmètre OT, la gestion des incidents avec des procédures adaptées à la continuité de service (une coupure de réseau électrique n’a pas le même impact qu’un incident bureautique), le plan de continuité d’activité pour les fonctions vitales de production et de distribution, la sécurité de la chaîne d’approvisionnement décrite ci-dessus, et l’authentification multifacteur généralisée aux accès de télémaintenance.
Notification d’incidents
Les trois échéances de l’article 23 de NIS2 s’appliquent sans particularité sectorielle : alerte précoce sous 24 h, notification complète sous 72 h, rapport final sous un mois, adressées à l’ANSSI. Pour un opérateur énergie déjà OIV, cette obligation se cumule avec les procédures de signalement d’incident prévues par son régime OIV : il convient d’articuler les deux canaux dans une procédure interne unique, plutôt que de gérer deux processus parallèles en cas de crise réelle.
Gouvernance et sécurité des données
L’article 20 de NIS2 impose l’approbation des mesures de gestion des risques par les organes de direction et leur formation. Ces exigences de gouvernance recoupent largement celles de la sécurité des traitements au titre de l’article 32 du RGPD pour les données à caractère personnel que ces opérateurs traitent également (données clients, données RH), même si l’essentiel de l’enjeu NIS2 dans l’énergie porte sur la disponibilité des systèmes industriels plutôt que sur des données personnelles.
5. Sanctions et calendrier 2026
| Manquement | Entité essentielle | Entité importante |
|---|---|---|
| Gestion des risques / notification | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
| Pouvoirs complémentaires | Audits préventifs, scans de sécurité, injonctions, responsabilité des dirigeants, interdiction temporaire d’exercer | Injonctions, astreintes |
Plan d’action pour un opérateur énergie en 2026 : (1) confirmer le statut EE/EI sur MonEspaceNIS2 en parallèle du statut OIV existant ; (2) étendre la cartographie SI au périmètre OT/SCADA ; (3) auditer les contrats fournisseurs d’automates et de supervision au regard de la sécurité de la chaîne d’approvisionnement ; (4) tester la procédure de notification 24 h/72 h en la reliant au dispositif de gestion de crise OIV existant ; (5) former les dirigeants et le comité de direction aux obligations de l’article 20.
Beaucoup d’opérateurs énergie gèrent aujourd’hui leur conformité OIV, NIS2 et RGPD dans des outils disjoints, avec des cartographies redondantes. Legiscope permet de centraliser la cartographie des actifs (y compris OT), le registre des mesures de sécurité et le suivi des notifications, pour éviter de reconstruire trois fois le même référentiel.
FAQ
Un opérateur déjà OIV doit-il quand même s’enregistrer sur MonEspaceNIS2 ?
Oui. Le statut OIV relève du code de la défense, NIS2 relève d’un texte distinct transposé par la loi résilience : ce sont deux enregistrements et deux obligations séparés, même si les mesures de sécurité se recoupent largement. L’ANSSI attend un enregistrement explicite sur MonEspaceNIS2 indépendamment du statut OIV.
Les systèmes SCADA isolés du réseau internet sont-ils concernés par NIS2 ?
Oui, dès lors qu’ils font partie du système d’information de l’entité régulée. NIS2 ne limite pas son périmètre aux systèmes connectés à internet : un automate SCADA relié, même indirectement, au système de gestion ou à un accès de télémaintenance entre dans le champ de l’analyse de risques et des mesures de l’article 21.
Quelle différence entre NIS2 et la directive REC pour un opérateur énergie ?
NIS2 impose des mesures de cybersécurité (gestion des risques, notification d’incident, gouvernance). La directive REC porte sur la résilience physique et organisationnelle des entités critiques (continuité en cas d’événement physique, sabotage, catastrophe naturelle). Les deux textes sont transposés par la même loi française et concernent souvent les mêmes opérateurs, mais couvrent des risques différents et complémentaires.
Conclusion
Le secteur énergie cumule un héritage réglementaire dense — OIV, ex-OSE, NIS2, REC — que la loi française tente de faire converger vers un socle unique, sans y parvenir totalement en 2026 faute de décrets d’application stabilisés. En attendant cette convergence, chaque opérateur doit traiter séparément son enregistrement NIS2 et son statut OIV, tout en capitalisant sur les mêmes travaux de cartographie et de gestion des risques. La priorité 2026 est claire : étendre la cartographie au périmètre OT/SCADA et sécuriser la chaîne d’approvisionnement des automates industriels, le maillon le plus exposé du secteur.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial