Directive NIS-2

NIS-2 distingue les entités essentielles et les entités importantes. Les deux catégories doivent mettre en place une gestion des risques, notifier les incidents sous 24, 72 heures puis 30 jours, sécuriser leur chaîne d'approvisionnement et documenter explicitement la responsabilité des dirigeants. En France, la transposition est assurée par la loi de transposition NIS-2 ; l'ANSSI est l'autorité compétente. Les amendes peuvent atteindre 10 millions d'euros ou 2 pour cent du chiffre d'affaires mondial annuel.

Les systèmes d'IA entrent dans le champ dès qu'ils participent à un service essentiel ou important : détection de fraude bancaire, aide au diagnostic hospitalier, ordonnancement logistique. En pratique, les fournisseurs d'IA apparaissent dans l'analyse de chaîne d'approvisionnement NIS-2 comme tiers critiques et doivent satisfaire aux clauses contractuelles, aux canaux de notification et aux droits d'audit. Les lignes directrices ANSSI de 2025 décrivent la profondeur attendue.