En une phrase. Le transport figure à l’annexe I de la directive NIS2 (directive (UE) 2022/2555) — secteur « hautement critique » — et couvre quatre sous-secteurs (aérien, ferroviaire, maritime/fluvial, routier) dont les entités doivent s’enregistrer sur MonEspaceNIS2, appliquer les dix mesures de l’article 21 et notifier tout incident important sous 24 h, sous peine de sanctions pouvant atteindre 10 M€ ou 2 % du chiffre d’affaires mondial.
Le secteur des transports cumule une exposition réglementaire déjà dense — sûreté aérienne, sûreté portuaire, statut d’opérateur d’importance vitale (OIV) au titre de la loi de programmation militaire — et se retrouve désormais placé à l’annexe I de la directive NIS2, au même rang que l’énergie ou la santé. Selon l’ANSSI (voir cyber.gouv.fr), ce classement en « secteur hautement critique » signifie que les grandes entités du transport basculent quasi automatiquement en entité essentielle (EE), avec le niveau d’exigence et de contrôle le plus élevé du dispositif.
Cet article détaille les quatre sous-secteurs visés par NIS2 dans les transports, l’articulation avec le statut d’OIV et les obligations concrètes à mettre en œuvre d’ici la fin de la période de mise en conformité. Pour le cadre général français, voir notre guide de la transposition NIS2 en France ; pour un secteur comparable de l’annexe I, voir notre article sur NIS2 dans le secteur de l’énergie.
Points clés
- Le transport est un secteur de l’annexe I (hautement critique), avec quatre sous-secteurs : aérien, ferroviaire, maritime/fluvial, routier.
- Les grandes entreprises du secteur basculent en entité essentielle (EE) ; les moyennes en entité importante (EI), selon les seuils de la recommandation 2003/361/CE.
- De nombreux opérateurs sont déjà OIV au titre de la LPM ou étaient OSE sous NIS1 : la bascule est mécanique, pas optionnelle.
- Obligations communes : enregistrement MonEspaceNIS2, dix mesures de l’article 21, gouvernance des dirigeants (article 20), notification 24 h / 72 h / 1 mois.
- Sécurité de la chaîne d’approvisionnement et des systèmes embarqués/OT (signalisation ferroviaire, systèmes ATM, automatismes portuaires) : un point d’attention spécifique au secteur.
- Sanctions jusqu’à 10 M€ ou 2 % du CA mondial (EE) et 7 M€ ou 1,4 % (EI), plus responsabilité personnelle des dirigeants.
1. Les quatre sous-secteurs NIS2 du transport
L’annexe I de la directive NIS2 découpe le transport en quatre sous-secteurs, chacun avec ses types d’entités nommément visés.
Transport aérien
Sont concernés les transporteurs aériens à usage commercial, les exploitants d’aéroports (gestionnaires d’aéroport, entités gérant des installations annexes situées dans l’enceinte aéroportuaire), ainsi que les entités de gestion du trafic aérien fournissant des services de contrôle aérien (ATM/ATC). La dépendance de ces acteurs à des systèmes de navigation, de gestion des vols et de communication sol-bord en fait des cibles naturelles ; une indisponibilité du système de contrôle du trafic aérien a un impact immédiat et visible, ce qui explique le niveau de criticité retenu.
Transport ferroviaire
Le sous-secteur ferroviaire vise les gestionnaires d’infrastructure (le type d’entité auquel appartient SNCF Réseau) et les entreprises ferroviaires assurant l’exploitation commerciale. Les systèmes de signalisation, de commande centralisée du trafic et de billettique constituent la surface d’attaque principale — des systèmes souvent hybrides IT/OT, hérités et peu conçus pour la cybersécurité d’origine.
Transport maritime et fluvial
Sont visées les compagnies de transport de passagers et de marchandises par voies navigables (maritimes et intérieures), les autorités portuaires et les exploitants d’installations portuaires, ainsi que les opérateurs de services de trafic maritime (VTS — Vessel Traffic Services). Ce sous-secteur recoupe des enjeux de sûreté portuaire déjà réglementés (code ISPS) avec lesquels la conformité NIS2 doit s’articuler sans les dupliquer.
Transport routier
Le routier couvre les autorités routières responsables de la gestion du trafic et les exploitants de systèmes de transport intelligents (ITS) — panneaux à messages variables, systèmes de péage, gestion dynamique du trafic. C’est le sous-secteur le plus récent en matière de numérisation et donc souvent le moins mature en gouvernance cyber.
2. Qui devient EE, qui devient EI
Comme pour tous les secteurs de l’annexe I, la qualification suit un croisement taille × secteur, selon la recommandation 2003/361/CE :
| Critère | Entité essentielle (EE) | Entité importante (EI) |
|---|---|---|
| Effectif | ≥ 250 salariés | ≥ 50 salariés |
| Chiffre d’affaires / bilan | CA > 50 M€ ou bilan > 43 M€ | CA > 10 M€ |
| Secteur | Annexe I (transport inclus) | Annexe I ou II |
| Sanction maximale | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
Un gestionnaire d’infrastructure ferroviaire national ou un grand aéroport sera quasi systématiquement EE. Une PME exploitant un réseau ITS local ou une petite compagnie de transport fluvial régional relèvera plutôt de l’EI — sans que cela dispense des dix mesures de l’article 21, seul le régime de contrôle (a priori pour les EE, a posteriori pour les EI) diffère.
3. L’articulation NIS2 / LPM / REC dans les transports
Le transport est un secteur où la superposition réglementaire est la règle plutôt que l’exception :
- LPM et statut d’OIV : de nombreux opérateurs de transport (gestionnaires d’infrastructure ferroviaire, grands aéroports, ports stratégiques) sont déjà désignés opérateurs d’importance vitale au titre de l’article L1332 du code de la défense. Voir notre article dédié sur les obligations OIV et la LPM. NIS2 ne remplace pas ce régime : il s’y ajoute, avec des exigences qui se recoupent largement (analyse de risques, notification d’incidents) mais des interlocuteurs et des textes distincts.
- Bascule NIS1 : les anciens opérateurs de services essentiels (OSE) transport sous la directive NIS1 basculent mécaniquement dans NIS2, avec un périmètre d’entités élargi et des exigences renforcées.
- REC (directive (UE) 2022/2557) : les infrastructures critiques de transport peuvent également être désignées au titre de la résilience des entités critiques, volet complémentaire de la loi française de transposition.
En pratique, une même direction sécurité doit souvent gérer trois référentiels en parallèle. La priorité opérationnelle est de construire une cartographie du système d’information unique qui serve de socle commun à ces obligations, plutôt que de dupliquer les inventaires par texte.
4. Les obligations concrètes à mettre en œuvre
Au-delà de la qualification EE/EI, toute entité du transport entrant dans le périmètre NIS2 doit :
- S’enregistrer sur MonEspaceNIS2 (monespacenis2.cyber.gouv.fr), la plateforme de l’ANSSI dédiée à l’identification des entités régulées.
- Mettre en œuvre les dix mesures de l’article 21 : politique de sécurité des systèmes d’information et gestion des risques, gestion des incidents, continuité d’activité et gestion de crise, sécurité de la chaîne d’approvisionnement, sécurité de l’acquisition et du développement des systèmes, évaluation de l’efficacité des mesures, cyberhygiène et formation, cryptographie, sécurité des ressources humaines et contrôle d’accès, authentification renforcée. Formaliser ce socle dans une PSSI est la voie la plus efficace pour couvrir l’ensemble en une seule démarche documentaire.
- Assumer la gouvernance au niveau des dirigeants (article 20) : approbation des mesures de gestion des risques, formation, responsabilité en cas de manquement.
- Notifier les incidents importants selon le calendrier fixé par l’article 23 : alerte précoce sous 24 h, notification sous 72 h, rapport final sous un mois.
- Sécuriser la chaîne d’approvisionnement et les systèmes embarqués/OT — un point critique dans le transport, où signalisation ferroviaire, systèmes ATM et automatismes portuaires reposent souvent sur des équipements et des prestataires tiers peu auditables. Un plan de continuité d’activité dédié à ces systèmes OT est recommandé, distinct du PCA informatique classique.
Legiscope accompagne les opérateurs de transport dans la structuration de leur dossier de conformité NIS2 : cartographie des entités concernées par filiale, formalisation de la PSSI et suivi du calendrier de notification.
FAQ
Une compagnie aérienne régionale de petite taille est-elle concernée par NIS2 ?
Oui si elle dépasse les seuils de l’entité importante (50 salariés ou 10 M€ de CA). En dessous, elle reste hors périmètre NIS2, mais peut être visée par d’autres réglementations sectorielles de sûreté aérienne.
Le statut d’OIV dispense-t-il des obligations NIS2 ?
Non. Les deux régimes coexistent. Un opérateur déjà OIV au titre de la LPM doit malgré tout s’enregistrer sur MonEspaceNIS2 et respecter les obligations NIS2, même si de nombreuses mesures techniques se recoupent avec ses obligations OIV existantes.
Les exploitants de systèmes de transport intelligents (ITS) sont-ils vraiment visés par NIS2 ?
Oui, ils sont explicitement nommés dans le sous-secteur routier de l’annexe I. C’est souvent le profil d’entité le moins préparé, car peu habitué aux obligations de cybersécurité réglementée avant NIS2.
Quelle différence entre la notification NIS2 et une notification de violation de données RGPD ?
Ce sont deux régimes distincts : NIS2 impose de notifier tout incident de sécurité important affectant la continuité ou l’intégrité du service, indépendamment de tout impact sur des données personnelles. La notification de violation de données RGPD répond à une logique et à un calendrier propres (72 h auprès de la CNIL), qui peuvent se déclencher en parallèle si l’incident touche aussi des données à caractère personnel.
Conclusion
Le transport combine, plus que tout autre secteur de l’annexe I, une accumulation de régimes réglementaires — OIV/LPM, sûreté sectorielle, NIS1 historique — avec l’arrivée de NIS2. La bonne stratégie n’est pas de traiter NIS2 comme un texte de plus, mais de rationaliser les obligations existantes autour d’une cartographie et d’une PSSI uniques, en traitant en priorité la sécurité des systèmes embarqués et OT qui restent le point faible structurel du secteur.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial