IA générative et NIS2.Ce que la directive change.
Validix·AI Demander un audit →
Directive UE 2022/2555 · Transposée FR oct. 2024

IA générative et NIS2.
Ce que la directive change.

NIS2 impose 10 mesures de gestion des risques cyber aux Entités Importantes (EI) et Essentielles (EE) en 2026. L'IA générative entre dans le périmètre dès qu'elle traite des données critiques pour votre métier. Détail.

Auditer ma conformité NIS2Suis-je concerné ?
01  /  Êtes-vous concerné ?

Le périmètre NIS2.

Trois catégories d'organisations sont concernées : les Entités Essentielles (EE), les Entités Importantes (EI), et les sous-traitants/fournisseurs des deux premières.

ENTITÉS ESSENTIELLES

Énergie (production, transport, distribution, gaz, hydrogène), transport (aérien, ferroviaire, routier, maritime), banque, infrastructures financières, santé (hôpitaux, fabricants pharmaceutiques, dispositifs médicaux), eau, eaux usées, infrastructures numériques (cloud providers, datacenters, CDN, DNS, registres TLD), administration publique, espace.
Seuils : plus de 250 collaborateurs ou 50 M€ de chiffre d'affaires annuel.

ENTITÉS IMPORTANTES

Services postaux et de courrier, gestion des déchets, fabrication chimique, alimentation, fabrication de produits informatiques/électroniques, dispositifs médicaux, véhicules à moteur, fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), R&D, recherche.
Seuils : plus de 50 collaborateurs ou 10 M€ de CA annuel.

SOUS-TRAITANTS / FOURNISSEURS

Effet cascade : si vous fournissez des services à une EE/EI critique, votre client pourra exiger contractuellement la conformité NIS2 dans son cahier des charges. Pour une majorité d'ETI françaises, c'est par cette voie que NIS2 s'impose.

02  /  Article 21 — 10 mesures

Les 10 mesures obligatoires.

L'article 21 de NIS2 énumère 10 mesures de gestion des risques cyber. Pour les agents IA, toutes sont pertinentes.

01

Politique d'analyse des risques

Cartographie des risques cyber sur l'ensemble des SI, dont les agents IA. Mise à jour annuelle minimum. Validation COMEX.

02

Gestion des incidents

Procédure de détection, triage, réponse, communication. Pour un agent IA : qui notifie en cas d'hallucination critique, de leak de données, ou de jailbreak réussi ?

03

Continuité d'activité

Plan de reprise et de continuité d'activité incluant les agents critiques. Tests annuels. Pour un agent indispensable : modèle de fallback, infra de secours.

04

Sécurité supply chain

Évaluation des fournisseurs (OpenAI, Anthropic, Mistral, hébergeurs cloud). Clauses de sécurité dans les contrats. Audit des sous-traitants.

05

Sécurité acquisition/dev/maintenance

Sécurité dans le cycle de vie des SI : code review, tests de pénétration, analyse de dépendances, gestion des correctifs. Aussi pour les modèles IA.

06

Évaluation continue

Politiques d'évaluation de l'efficacité des mesures cyber. Pour les agents IA : red-teaming systématique avant go-live et trimestriel ensuite.

07

Hygiène cyber + formation

Sensibilisation et formation des collaborateurs aux risques cyber. Pour l'IA générative : formation sur les usages acceptables, les risques de prompt injection, le partage de données sensibles.

08

Cryptographie

Politiques de chiffrement et de gestion des clés. Pour les agents IA : chiffrement au repos (TDE base de données), en transit (TLS 1.3), et chiffrement au niveau application si données très sensibles.

09

Sécurité des RH

Procédures de sécurité dans les RH : sélection à l'embauche, gestion des accès, départ. Pour les équipes IA : revue régulière des privilèges sur les modèles et données.

10

MFA + comms sécurisées

Authentification multifacteur pour tous les comptes privilégiés, communications chiffrées de bout en bout pour les sujets sensibles. Standard 2026.

03  /  Sanctions

Le coût de la non-conformité.

Entités Essentielles
Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (le plus élevé). Pas de plafond pour les manquements graves répétés.
Entités Importantes
Jusqu'à 7 millions d'euros ou 1,4 % du CA mondial (le plus élevé).
Responsabilité personnelle
Les dirigeants peuvent être interdits temporairement d'exercer en cas de manquement grave. Première fois en France qu'une obligation cyber atteint ce niveau.
Autorité de contrôle
ANSSI en France, avec pouvoirs d'inspection. Délai de mise en conformité après notification : 6 mois maximum (peut être plus court selon gravité).
Notification d'incident
Dans les 24 heures suivant la détection (alerte précoce), 72 heures (rapport intermédiaire), 1 mois (rapport final). Voir art. 23 NIS2.
04  /  Impact IA générative

Pourquoi vos agents entrent dans le périmètre.

Cas 01

Agent qui traite des données critiques

Un agent IA qui lit des contrats clients, des dossiers patients, ou des données financières est couvert par NIS2 dès lors que ces données sont essentielles à la continuité de votre activité.

Cas 02

Agent dans la supply chain

Si vous fournissez des services IA à une EE/EI, votre solution sera auditée selon NIS2. Effet cascade documenté dans l'article 21.4.

Cas 03

Agent qui prend des décisions opérationnelles

Un agent qui agit (route un email, ouvre un ticket, réserve une ressource) est dans le périmètre risque opérationnel. Donc dans NIS2.

05  /  Plan de remédiation

5 étapes pour vous mettre en conformité.

  1. Cartographie des SI critiques. Identifier les agents IA déjà déployés ou prévus, classifier par criticité, mapper aux 10 mesures de l'art. 21.
  2. Gap analysis. Pour chaque mesure : évaluer le niveau actuel (0-3), identifier les écarts, prioriser. Outil : matrice ANSSI ou template Validix.
  3. Plan d'action 12-18 mois. Roadmap avec budget, équipe, jalons. Validation par le sponsor COMEX. Coût typique pour une ETI : 80-250 K€ selon maturité actuelle.
  4. Formation et sensibilisation. Mesure 7 NIS2 + nécessaire pour le succès. 2-4 sessions/an pour les équipes critiques, e-learning pour le reste.
  5. Audit de conformité. Externe, par un cabinet certifié ANSSI. À répéter tous les 2 ans. Premier audit à valider avant fin 2026 idéalement.
06  /  FAQ
Suis-je concerné par NIS2 si j'ai 80 collaborateurs et 12 M€ de CA dans la fabrication chimique ?
Oui, vous êtes Entité Importante (seuil EI : 50 collab ou 10 M€). Les 10 mesures de l'article 21 s'appliquent. Notification d'incident sous 24h en cas de breach majeur.
Comment NIS2 et RGPD se complètent ?
RGPD = protection des données personnelles. NIS2 = sécurité des SI critiques pour la continuité d'activité. Les deux se superposent : un breach majeur sur un SI traitant des données personnelles déclenche les deux régimes (notification CNIL sous 72h ET notification ANSSI sous 24h).
Les agents IA tombent-ils dans "infrastructures numériques" au sens NIS2 ?
Pas directement (cette catégorie vise les hébergeurs, CDN, DNS). Mais un agent IA déployé chez une EE/EI relève du périmètre de l'EE/EI elle-même via les mesures de l'article 21 (sécurité, supply chain, gestion des risques).
ChatGPT Enterprise est-il NIS2-compliant ?
ChatGPT Enterprise lui-même fournit certaines garanties (SOC 2, ISO 27001, DPA EU). Mais c'est à vous, en tant qu'Entité Essentielle ou Importante, de prouver que son intégration dans votre SI respecte les 10 mesures. Vue Validix : pour des cas critiques, une solution open-weight on-premise est nettement plus simple à défendre devant l'ANSSI.
Quel délai pour se mettre en conformité ?
La directive est applicable depuis le 18 octobre 2024. La transposition française est en vigueur. Les EE/EI auraient dû s'enregistrer auprès de l'ANSSI fin 2024. En pratique, beaucoup d'organisations ont commencé leur mise en conformité en 2025-2026. Un projet sérieux prend 12-18 mois.
Combien coûte une mise en conformité NIS2 pour une ETI ?
De 80 K€ à 500 K€ selon maturité initiale, périmètre, et taille. Composantes : audit initial (budget audit raisonnable), outillage (SIEM, MFA, EDR : 30-100 K€), accompagnement (budget important), formation (10-30 K€). Possibilité de financement Bpifrance pour certains volets.
Pour aller plus loin Pillar Conformité RGPD →6 vecteurs de fuite →Checklist RGPD LLM →Avocats →Pillar Audit IA →Pillar Infra →Agents IA souverains (home) →