Directive NIS 2 & Transport : Pourquoi votre responsabilité de dirigeant est engagée dès 2026.

GESTION DES RISQUES & ASSURANCES
Écrit par Jean-François ELSEN

Nous sommes le 27 avril 2026. En Belgique, les entités essentielles viennent de franchir l'échéance critique du 18 avril 2026 pour leur première vérification de conformité au niveau Basic ou Important . Partout en Europe, la Directive (UE) 2022/2555 (NIS 2) n'est plus une lointaine promesse administrative, mais un étau juridique qui se resserre sur les secteurs du transport et de la logistique.

1. Classification NIS 2 : Êtes-vous une entité Essentielle ou Importante ?

La directive NIS 2 abandonne la désignation discrétionnaire au profit d'une règle de seuil automatique basée sur la taille et le secteur d'activité.

  • Entités Essentielles (EE) NIS 2 : Elles concernent les secteurs hautement critiques comme le transport routier, ferroviaire, aérien et par eau . Elles doivent compter plus de 250 employés ou afficher un chiffre d'affaires supérieur à 50 M€.

  • Entités Importantes (EI) NIS 2 : Elles incluent les secteurs critiques comme la gestion des déchets (si activité principale) et les services postaux . Elles concernent les structures dépassant 50 employés ou 10 M€ de chiffre d'affaires.

  • Le levier de la « Size-Cap » : Une PME peut être requalifiée en entité essentielle si elle est l'unique prestataire d'un service critique ou si son interruption impacte la sécurité publique.

2. Les 10 mesures de cybersécurité obligatoires selon l'Article 21 de NIS 2

L'Article 21 de la directive NIS 2 impose une approche « tous risques » visant à protéger vos réseaux, vos systèmes d'information et leur environnement physique. Votre exploitation doit impérativement valider ces points :

  • Politiques de sécurité NIS 2 : Analyse des risques et politiques écrites pour la sécurité des systèmes d'information.

  • Gestion des incidents : Mise en œuvre de procédures de détection, d'analyse et de réponse.

  • Continuité des activités : Planification de la gestion des sauvegardes, reprise après sinistre et gestion de crise.

  • Sécurité de la chaîne d'approvisionnement NIS 2 : Évaluation obligatoire du niveau de cybersécurité de vos fournisseurs directs et prestataires.

  • Hygiène informatique : Pratiques de base et formations à la cybersécurité pour l'ensemble du personnel.

  • Cryptographie : Politiques et procédures relatives à l'utilisation du chiffrement.

  • Sécurité des RH : Politiques de contrôle d'accès et gestion des actifs.

  • Authentification sécurisée : Utilisation de solutions multifactorielles (MFA) ou de communications sécurisées.

  • Évaluation de l'efficacité : Procédures pour tester et évaluer l'efficacité des mesures de gestion des risques.

  • Divulgation des vulnérabilités : Mise en place d'une politique de divulgation coordonnée des vulnérabilités.

3. Sanctions NIS 2 et Responsabilité Pénale des Dirigeants : Le mur des 10 millions d'euros

L'innovation majeure de NIS 2 réside dans la responsabilité directe et personnelle des organes de direction.

  • Plafond de sanction pour les EE : Jusqu'à 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial total.

  • Plafond de sanction pour les EI : Jusqu'à 7 000 000 € ou 1,4 % du chiffre d'affaires annuel mondial total.

  • Obligations de la direction : Les organes de direction doivent approuver les mesures de cybersécurité, superviser leur mise en œuvre et peuvent être tenus responsables des manquements.

  • Interdiction de diriger : Dans certains cas graves, les autorités peuvent demander une interdiction temporaire d'exercer des fonctions de direction au niveau de directeur général ou de représentant légal.

  • Coûts de mise en œuvre NIS 2 : Pour les entités non couvertes par NIS 1, la Commission européenne prévoit une hausse moyenne de 22 % du budget TIC.

4. Convergence NIS 2 : Le lien stratégique avec le RGPD et la Directive CER

La cybersécurité sous NIS 2 s'inscrit dans un écosystème de conformité globale, notamment pour les sites industriels sensibles.

  • NIS 2 et le RGPD : Tout traitement de données à caractère personnel doit respecter le RGPD. En cas d'incident touchant des données personnelles, une notification croisée aux autorités de protection des données est obligatoire.

  • Principe Non bis in idem : Une entité ne peut être frappée d'une amende financière par les autorités NIS 2 si une amende RGPD a déjà été infligée pour le même fait.

  • Collision avec la Directive CER : Les entités identifiées comme critiques sous la Directive CER (résilience physique) sont automatiquement classées comme entités essentielles sous NIS 2.

Conclusion : L’Audit de Sincérité, rempart opérationnel face aux exigences NIS 2

Le Règlement DIWASS (transfert de déchets) et la Directive CER convergent tous vers NIS 2. Dans cet environnement de haute vigilance, la sécurité de votre chaîne d'approvisionnement est votre première ligne de défense.

🛡️ Sécurisez votre patrimoine et votre conformité

Jean-François ELSEN

Jean-François ELSEN est auditeur et expert en sûreté industrielle. Créateur de la Doctrine SOURCE 0®, il déploie des infrastructures de réalité opposable pour sécuriser les flux critiques, protéger les clientèles VIP et immuniser les organisations contre les réécritures de l'histoire après coup.

https://jfelsen.com
Précédent

Export Défense 2026 : Pourquoi l’expertise fragmentée de vos prestataires menace votre responsabilité de dirigeant.
Suivant

Directive CER - 17 Juillet 2026 : Pourquoi votre Conseiller à la Sécurité ADR devient le garant de votre sûreté physique.