NIS2 et conformité des systèmes d'intelligence artificielle.
La directive NIS2 (Directive UE 2022/2555) est transposée dans les droits nationaux européens depuis octobre 2024. Elle élargit le périmètre par rapport à NIS1 et couvre désormais une grande partie des entreprises mondiales opérant en Europe : énergie, transport, santé, finance, infrastructure numérique, administration publique, gestion des déchets. Pour les systèmes IA déployés par ces entités, NIS2 impose des mesures de cybersécurité techniques et organisationnelles, une gouvernance au niveau de la direction et des délais de signalement d'incidents stricts.
Quel est le périmètre d'application en 2026 ?
NIS2 distingue entités essentielles (article 3, annexe I) et entités importantes (annexe II). La taille seuil est généralement de 50 salariés et 10 millions EUR de chiffre d'affaires, avec abaissement pour certains secteurs critiques (DNS, télécoms, services TIC managés). En France, l'ANSSI est l'autorité compétente. Une entreprise qui exploite un système IA pour son activité régulée est dans le champ par effet de la nature de l'entité, indépendamment du caractère IA du système.
Quelles mesures techniques sont attendues pour l'IA ?
L'article 21 de NIS2 liste dix domaines de mesures : analyse de risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité du développement, politiques de chiffrement, contrôle d'accès et d'authentification, formation du personnel, hygiène cyber, multi-facteur. Pour un système IA, cela se traduit par : modèles versionnés et signés, journaux d'inférence non altérables, contrôle d'accès aux artefacts d'entraînement, séparation environnements, tests de robustesse adversariale documentés, et un plan de réponse à incident qui couvre les attaques par injection, exfiltration de données par inversion de modèle et empoisonnement.
Quels délais de signalement d'incidents ?
L'article 23 impose trois étapes. Premièrement, une alerte précoce dans les 24 heures suivant la connaissance de l'incident significatif. Deuxièmement, une notification d'incident dans les 72 heures avec évaluation initiale, gravité et impact. Troisièmement, un rapport final dans le mois. Pour les systèmes IA, le seuil d'incident significatif inclut toute compromission affectant la confidentialité, l'intégrité ou la disponibilité du modèle, ainsi que toute manipulation de la sortie pouvant affecter les utilisateurs ou la régulation. L'ANSSI a publié en 2025 des modèles de notification que nous intégrons par défaut dans nos livraisons.
Comment se construit la gouvernance NIS2 pour l'IA ?
NIS2 responsabilise nommément la direction. L'article 20 impose à l'organe de gestion d'approuver les mesures, de superviser leur mise en oeuvre et de suivre une formation cyber adéquate. En cas de violation, des amendes administratives peuvent atteindre 10 millions EUR ou 2 pour cent du chiffre d'affaires mondial pour les entités essentielles. La direction peut également être tenue personnellement responsable. Concrètement, cela se traduit par : un comité IA et cyber au plus haut niveau, un registre des risques IA mis à jour trimestriellement, et un plan de mise à niveau qui intègre les recommandations ENISA et les retours d'expérience sectoriels.
Comment s'articule NIS2 avec le Règlement européen sur l'IA ?
Les obligations sont complémentaires. NIS2 vise la cybersécurité de l'organisation et de ses chaînes. Le Règlement européen sur l'IA vise la sécurité, la robustesse et la cybersécurité du système IA en tant que produit (article 15). Les deux textes convergent sur la robustesse adversariale et la traçabilité, mais NIS2 ajoute la dimension organisationnelle et le signalement d'incidents. Une entité essentielle qui déploie un système IA classé risque élevé doit satisfaire les deux régimes, avec des contrôles et des journaux conçus pour servir simultanément les deux jeux d'exigences.
Questions fréquentes
NIS2 s'applique-t-elle aux fournisseurs IA non européens ?
Si l'entité régulée est en UE, son fournisseur IA reçoit les obligations en cascade contractuelle. Pour les fournisseurs établis hors UE qui servent des services numériques européens, le mécanisme du représentant légal s'applique.
Quelle différence avec ISO 27001 ?
ISO 27001 est une norme volontaire. NIS2 est une obligation légale avec amendes. Mais ISO 27001 couvre une grande partie des mesures NIS2 et peut servir de base de mise en conformité, complétée par les exigences spécifiques de signalement et de responsabilité de la direction.
Comment Impetora aide-t-elle ?
Nos systèmes IA sortent avec un dossier cyber complet : registre des actifs, analyse de risques, journaux signés, modèles de notification ANSSI préremplis, plan de réponse adversarial. Audit ISO 27001 prévu en 2026.