Suis-je un constructeur de machines au titre de NIS 2 ?
Le secteur 5 de l'annexe II de la directive NIS 2 intègre la fabrication dans le champ d'application. Les constructeurs de machines relèvent de la sous-catégorie (d), division NACE C28. Si vous avez 50 employés ou 10 millions d'euros de chiffre d'affaires, vous êtes une entité importante soumise aux dix mêmes obligations de l'article 21(2) que les grandes entreprises.
La version courte
NIS 2 couvre la fabrication en tant que secteur important. Le secteur 5 de l'annexe II nomme six sous-catégories de fabrication. La fabrication de machines et d'équipements, division NACE C28, en est une. Si c'est votre activité et que vous dépassez le seuil de taille, NIS 2 s'applique à vous.
Le test de taille figure à l'article 2(1) de la directive. 50 employés ou plus, ou 10 millions d'euros de chiffre d'affaires et de total du bilan. Atteignez l'un de ces seuils et vous êtes dans le champ d'application. En deçà des deux, vous êtes hors du champ d'application par défaut. L'Allemagne reprend le même seuil dans le §28 BSIG.
Ce qui rend la machinerie particulière, c'est l'empreinte OT. Votre cellule de production comporte des automates programmables (PLC), du SCADA, des IHM, des contrôleurs de robots, ainsi qu'un ERP et un MES au-dessus. L'article 21(2) traite l'ensemble de cette pile comme un seul système à défendre. La voie de mise en œuvre pratique en Allemagne est le BSI IT-Grundschutz, en particulier les blocs de construction IND pour les systèmes de contrôle industriel, et ISO/IEC 62443 pour la couche OT.
Annexe II point 5 de la directive NIS 2 (2022/2555) — Fabrication
(a) Manufacture of medical devices and in vitro diagnostic medical devices (NACE C32.5 in part, C26.60 in part); (b) Manufacture of computer, electronic and optical products (NACE C26); (c) Manufacture of electrical equipment (NACE C27); (d) Manufacture of machinery and equipment n.e.c. (NACE C28); (e) Manufacture of motor vehicles, trailers and semi-trailers (NACE C29); (f) Manufacture of other transport equipment (NACE C30).
Les constructeurs de machines relèvent du point (d). La référence NACE est la révision 2. Si votre activité est le meulage, le fraisage, le soudage, l'assemblage ou l'intégration de machines industrielles, d'installations ou de modules, C28 est votre division. L'annexe II est la liste des « entités importantes ». Les dix mêmes obligations de l'article 21(2) que l'annexe I, un plafond de sanction inférieur, une surveillance réactive plutôt que proactive.
Article 2(1) de la directive NIS 2 — test de taille
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Le seuil de taille utilise la définition des PME de l'UE. 50 employés ou plus, ou un chiffre d'affaires annuel supérieur à 10 millions d'euros et un total du bilan supérieur à 10 millions d'euros. Atteignez l'un de ces seuils et vous êtes dans le champ d'application. La directive énumère une poignée de cas où la taille n'importe pas, mais la pure fabrication de machines ne figure pas sur cette liste de dérogations.
§28 BSIG (Allemagne) — wichtige Einrichtung, secteur 'Verarbeitendes Gewerbe / Herstellung'
Wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 2 genannten Einrichtungsart angehören und mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten.
L'Allemagne inscrit la fabrication sous l'Anlage 2 de la BSIG, avec les six mêmes sous-catégories que le point 5 de l'annexe II de la directive. Le plafond de sanction pour les entités importantes est fixé par le §65 BSIG : jusqu'à 7 millions d'euros ou 1,4 pour cent du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
NACE C28 ou l'une des cinq voisines
Tirez votre code NACE révision 2 de votre inscription au registre du commerce ou de votre dernière déclaration statistique. S'il commence par C28, vous êtes un constructeur de machines. C26, C27, C29, C30 et la partie C32.5 pour les dispositifs médicaux sont les sous-catégories voisines de l'annexe II. Les ateliers mixtes (construction de machines plus assemblage électrique) sont généralement classés selon l'activité principale. Si votre activité principale relève de l'une de celles-ci, vous êtes dans le secteur.
50 employés ou 10 millions d'euros
L'article 2(1) se lit comme « se qualifie comme entreprise de taille moyenne ». La définition des PME comporte deux seuils : effectif de 50 ou plus, ou chiffre d'affaires annuel supérieur à 10 millions d'euros et total du bilan supérieur à 10 millions d'euros. Les entreprises liées et partenaires sont prises en compte. Une UG de 35 personnes au sein d'un groupe de 400 personnes est normalement comptée avec le groupe.
Votre empreinte OT
Cartographiez votre cellule de production une fois. PLC, SCADA, IHM, robots, machines CNC, MES, ERP, postes de travail d'ingénierie, boîtiers d'accès distant des fournisseurs. Cette liste est votre inventaire des actifs au titre de l'article 21(2)(a). C'est aussi le périmètre de votre analyse des risques. Grundschutz vous permet de regrouper les actifs identiques (douze machines CNC identiques en une entrée avec quantité). L'IT et l'OT sont tous deux dans le champ d'application. La réponse classique « l'OT est isolé du réseau, donc il est hors champ » ne survit pas à un audit.
L'annexe II reste NIS 2
Les entités de l'annexe II sont « importantes », non « essentielles ». Les dix mesures de l'article 21(2) sont les mêmes que pour l'annexe I. Ce qui diffère, c'est le plafond de sanction et le style de surveillance. Le §65 BSIG plafonne les amendes à hauteur de 7 millions d'euros ou 1,4 pour cent du chiffre d'affaires mondial pour les entités importantes (contre 10 millions ou 2 pour cent pour les essentielles). La surveillance est réactive : le BSI intervient s'il existe un déclencheur concret, et non selon un cycle de routine. Mêmes obligations, intensité d'exécution différente.
L'OT est dans le champ d'application, point final
L'article 21 couvre les « réseaux et systèmes d'information ». Le CIR et le TIG de l'ENISA traitent tous deux l'OT, le SCADA et les PLC comme relevant du champ d'application. Le catalogue BSI IT-Grundschutz comporte des blocs de construction IND dédiés aux systèmes de contrôle industriel. ISO/IEC 62443 est la norme internationale qu'utilise la communauté de l'ingénierie, et l'ENISA met en correspondance les mesures de l'article 21 avec celle-ci. Un audit qui exclut l'OT n'est pas un audit de l'article 21.
BSI / IT-Grundschutz IND
Le BSI est l'autorité compétente pour NIS 2 en Allemagne. Pour les constructeurs de machines, la voie pratique est l'IT-Grundschutz avec les blocs de construction IND : IND.1 (commande de processus et automatisation, généralités), IND.2 (système de contrôle industriel), IND.3 (capteurs et actionneurs). Mettez-les en œuvre aux côtés des blocs de construction IT standard (SYS, NET, OPS, APP) et vous disposez d'une base de référence défendable au titre de l'article 21.
VDMA
Le Verband Deutscher Maschinen- und Anlagenbau publie des orientations sectorielles sur NIS 2, le Cyber Resilience Act et ISO/IEC 62443 pour ses membres. Il anime des groupes de travail sur la sécurité OT et traduit le texte réglementaire en langage de mise en œuvre pratique pour le secteur allemand de la machinerie. L'adhésion est volontaire mais la plupart des constructeurs de machines de taille intermédiaire en sont membres.
Guide de mise en œuvre technique de l'ENISA
L'ENISA publie un guide de mise en œuvre technique pour le CIR (UE) 2024/2690 qui met en correspondance les mesures de l'article 21 avec ISO/IEC 27001:2022, NIST CSF 2.0 et d'autres normes. Le tableau de correspondance est en version 1.2 au mois d'août 2025 sous licence CC BY 4.0. Pour la machinerie, le recoupement pertinent se fait avec la série ISO/IEC 62443, que l'ENISA référence pour la couche OT.
NIS 2 est pour les grands groupes industriels, pas pour notre atelier de 80 personnes.
Le test de taille est de 50 employés ou 10 millions d'euros de chiffre d'affaires. Un atelier de machines de 80 personnes avec le code NACE C28 est carrément dans le champ d'application. La catégorie « entité importante » de l'annexe II existe précisément pour la strate du Mittelstand. Le plafond de sanction est inférieur à celui des entités essentielles, mais les dix obligations de l'article 21(2) sont les mêmes.
Nous ne faisons que l'assemblage final, la véritable fabrication est chez nos fournisseurs.
NACE classe selon l'activité principale, et non selon le lieu de la création de valeur. Si votre entreprise vend des machines ou des modules finis sous son propre nom, votre activité principale est la fabrication, même si une grande partie de la construction se fait en amont. La classification suit l'inscription au registre du commerce et la déclaration statistique, et non le récit de la chaîne de valeur.
Nous exportons principalement, donc les règles de l'UE ne s'appliquent pas.
La directive utilise l'établissement, et non la clientèle. Si votre personne morale est établie dans un État membre de l'UE et que vous remplissez les tests de secteur et de taille, vous êtes dans le champ d'application quel que soit le lieu de vente. Les exportateurs sont des entités NIS 2 comme tout autre fabricant. Le fait que les acheteurs soient hors de l'UE ne change rien à vos obligations côté production.
Ce que nous voyons sur le terrain dans le secteur allemand de la machinerie Mittelstand : d'abord une note d'applicabilité d'une page (code NACE, effectif, chiffre d'affaires, le raisonnement juridique), puis une évaluation des écarts qui confronte les dix mesures de l'article 21(2) à l'installation IT et OT existante. La plupart des ateliers disposent déjà de quelque chose pour l'IT. Le volet OT est généralement plus maigre.
Après l'évaluation des écarts, les douze à quinze mesures les plus urgentes sont réalisées la première année. Inventaire des actifs, analyse des risques, revue des fournisseurs, traitement des incidents, segmentation OT de base, authentification multifactorielle sur les postes de travail d'ingénierie et les boîtiers d'accès distant. Le reste s'étale sur l'année ou les deux suivantes. Cela tient au titre de la clause de proportionnalité de l'article 21(1) tant que le phasage est consigné par écrit et approuvé par l'organe de direction.
Nous prenons en charge la vérification d'applicabilité du secteur 5 de l'annexe II comme une entrée en une étape : choisissez votre code NACE, confirmez l'effectif et le chiffre d'affaires, et vous atterrissez sur un espace de travail pré-amorcé avec les dix mesures de l'article 21(2) et les blocs de construction BSI IND pour la couche OT. Inventaire des actifs, registre des risques, liste des fournisseurs et flux de travail des incidents reposent sur le même modèle de données.
Les preuves spécifiques à l'OT (schémas de segmentation réseau, exports d'inventaire des PLC, revues d'accès distant des fournisseurs) s'intègrent dans la même bibliothèque de preuves que les contrôles IT. Vous n'exploitez pas un ISMS distinct pour la cellule de production. L'exigence de formation de la direction du §38 BSIG est intégrée sous forme de module de cours pour la Geschäftsführung.
- Directive (UE) 2022/2555 (NIS 2), annexe II point 5 (Fabrication) et article 2(1) (champ d'application et test de taille) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recommandation 2003/361/CE de la Commission, annexe article 2 (définition des PME)
- Classification NACE révision 2 d'Eurostat, section C divisions 26, 27, 28, 29, 30 et groupe 32.5
- Loi sur le BSI (BSIG), §28 (Anwendungsbereich, wichtige Einrichtungen) et §65 (sanctions)
- BSI IT-Grundschutz Kompendium, blocs de construction IND.1, IND.2, IND.3 — bsi.bund.de/grundschutz
- VDMA, orientations sectorielles sur NIS 2 et la sécurité OT — vdma.org
- Guide de mise en œuvre technique de l'ENISA pour le CIR (UE) 2024/2690, tableau de correspondance v1.2 (août 2025)