NIS2 pour les entreprises de gestion des déchets
Votre secteur entre nouvellement dans le périmètre au titre de l'annexe II de NIS2. Si votre entreprise de gestion des déchets compte 50 salariés ou plus, ou un chiffre d'affaires d'au moins 10 M€, voici votre guide pratique de ce que la loi exige et par où commencer.
Pourquoi NIS2 s'applique-t-il aux entreprises de déchets ?
La gestion des déchets a été ajoutée à NIS2 parce que les opérations modernes de gestion des déchets dépendent fortement des systèmes informatiques. La gestion de flotte, l'optimisation des tournées, les systèmes de pesée, les contrôles des installations de tri, la facturation et les déclarations réglementaires fonctionnent tous sur des logiciels en réseau. Une attaque par rançongiciel qui paralyse le système de gestion de flotte d'une entreprise de déchets n'arrête pas seulement les camions : elle crée un risque de santé publique. Des déchets non collectés dans une ville de 200 000 habitants deviennent une crise en quelques jours.
L'UE a classé la gestion des déchets à l'annexe II de la directive NIS2, ce qui signifie que les entreprises de déchets atteignant le seuil de taille (50 salariés ou plus, ou un chiffre d'affaires annuel d'au moins 10 M€) sont classées comme « entités importantes » (wichtige Einrichtungen) au titre du §28(2) BSIG. Cela signifie que l'ensemble des obligations NIS2 s'appliquent : enregistrement auprès du BSI, mesures de gestion des risques de cybersécurité, notification des incidents, sécurité de la chaîne d'approvisionnement et responsabilité de la direction.
La plupart des entreprises de déchets n'ont jamais eu affaire à une réglementation de cybersécurité auparavant. Ce n'est pas une critique : jusqu'à NIS2, il n'y avait aucune raison légale de le faire. Mais cela implique une courbe d'apprentissage plus raide que pour les secteurs déjà soumis à KRITIS. La bonne nouvelle : les environnements informatiques des entreprises de déchets sont généralement moins complexes que ceux de la banque ou de l'énergie, ce qui rend l'effort de conformité proportionnellement plus faible.
Gestion de flotte et GPS
Les logiciels et systèmes qui gèrent les itinéraires des véhicules, le suivi GPS, la planification des conducteurs et l'optimisation des tournées en temps réel. Il s'agit généralement d'une plateforme SaaS hébergée dans le cloud ou d'un serveur sur site. Si cela tombe en panne, les camions ne peuvent pas être répartis efficacement. Regroupez tous les composants de gestion de flotte en une seule entrée d'actif.
Pont-bascule et systèmes de pesée
Systèmes de pesée électroniques sur les sites qui enregistrent les poids des matériaux entrants et sortants pour la facturation et la conformité réglementaire. Souvent connectés aux systèmes ERP. Peuvent inclure d'anciens automates industriels. Regroupez le système de pont-bascule (matériel + logiciel) en un seul actif.
Système ERP et de facturation
Le système métier central gérant la relation client, les contrats, la facturation, le suivi des matériaux et les déclarations réglementaires. Couramment SAP Business One, DATEV ou des solutions sectorielles comme RECY ou Wastebox. La compromission de ce système affecte le chiffre d'affaires, les données clients et les déclarations réglementaires. Une seule entrée d'actif.
Contrôles des installations de tri et de traitement
Si votre entreprise exploite des installations de tri, des plateformes de compostage ou des usines de valorisation énergétique des déchets, vous disposez probablement de systèmes SCADA ou de contrôle industriel gérant les processus physiques. Ce sont souvent d'anciens systèmes aux fonctions de sécurité limitées. Ils constituent une catégorie de risque distincte car ils contrôlent des équipements physiques. Regroupez par installation.
Postes de travail et informatique de bureau
Ordinateurs portables, ordinateurs de bureau et appareils mobiles utilisés par le personnel administratif, les répartiteurs et la direction. Applications bureautiques standard (Microsoft 365, courrier électronique, gestion documentaire). Grundschutz permet de regrouper les appareils identiques : « 45 ordinateurs portables Windows standard » constitue une seule entrée d'actif, pas 45.
Infrastructure réseau
Routeurs, commutateurs, pare-feu et connexions VPN reliant les bureaux, les dépôts et les sites des installations. Incluez les connexions internet et tout lien site à site. Si votre entreprise a plusieurs sites, le réseau de chaque site peut constituer une entrée regroupée. Le réseau est ce qui relie tout le reste : sa compromission affecte tous les autres actifs.
1. S'enregistrer auprès du BSI
Effectuez votre enregistrement au titre du §33 BSIG via le portail du BSI. C'est l'obligation la plus visible et elle dispose de sa propre disposition de sanction (jusqu'à 500 000 €). Cela prend environ 30 minutes et vous inscrit immédiatement comme une entité qui s'engage dans ses obligations. Faites-le avant tout le reste.
2. Constituer votre inventaire des actifs
Listez les systèmes qui soutiennent vos services de collecte, de traitement et d'élimination des déchets. Utilisez les six catégories ci-dessus comme point de départ. Pour chaque actif, notez ce qu'il fait, qui le gère (interne ou fournisseur) et ce qui se passe s'il est indisponible pendant 24 heures. Cet inventaire devient le socle de tout ce qui suit.
3. Mettre en place la notification des incidents
Définissez ce qui constitue un incident significatif pour votre entreprise et établissez le processus de notification au BSI dans les délais requis (24h/72h/1 mois). Désignez qui prend la décision de notifier, qui dépose la notification et comment les joindre en dehors des heures de bureau. Vous n'avez pas besoin d'un centre opérationnel de sécurité : vous avez besoin d'une chaîne d'appels claire et d'un processus documenté.
4. Réviser les contrôles d'accès
Auditez qui a accès à vos systèmes critiques, en particulier la gestion de flotte, l'ERP et tout système de contrôle d'installation. Mettez en place l'authentification multifactorielle sur l'accès à distance et les comptes administratifs. Retirez l'accès des anciens salariés. C'est souvent le domaine où les gains rapides sont les plus nombreux : beaucoup d'entreprises de déchets ont des mots de passe partagés, pas de MFA et des comptes d'anciens salariés encore actifs.
5. Documenter les relations avec les fournisseurs
La plupart des entreprises de déchets externalisent d'importantes fonctions informatiques : hébergement cloud, maintenance de l'ERP, logiciels de gestion de flotte. Documentez qui sont ces fournisseurs, à quoi ils ont accès dans vos systèmes et quels engagements de sécurité ils prennent. C'est le début de votre processus de sécurité de la chaîne d'approvisionnement au titre du §30(2)(4) BSIG. Si votre prestataire informatique est compromis, vos données et vos services sont en danger.
Les entreprises de déchets ont un profil de risque unique. Contrairement à une entreprise de logiciels où presque tout est numérique, les opérations de gestion des déchets impliquent des processus physiques : des camions sur les routes, des matériaux en mouvement, des équipements sur les sites. Une cyberattaque sur la gestion de flotte a des conséquences immédiates dans le monde physique. Cette dimension de technologie opérationnelle implique que votre évaluation des risques doit prendre en compte à la fois les systèmes informatiques et tout contrôle industriel.
La plupart des entreprises de déchets externalisent fortement. Beaucoup fonctionnent avec une petite équipe informatique interne (voire sans personnel informatique dédié) et s'appuient sur des prestataires externes pour tout, du courrier électronique à l'ERP en passant par la gestion de flotte. Au titre de NIS2, vous pouvez externaliser les opérations mais pas la responsabilité : le §30 BSIG tient votre entreprise responsable des mesures de sécurité même lorsqu'un fournisseur les fournit. Cela fait de la gestion des fournisseurs votre levier de conformité le plus important.
Le côté positif : les environnements informatiques des entreprises de déchets sont généralement simples. Une entreprise de déchets de 100 personnes a peut-être 6 à 10 groupes de systèmes distincts, contre 30 ou plus pour une banque ou un hôpital de taille comparable. Cela signifie que l'effort de conformité est proportionné : vous envisagez des semaines de travail ciblé, et non un programme pluriannuel. Le critère « approprié et proportionné » du BSI joue ici en votre faveur.
Questions fréquentes
Notre entreprise de déchets est-elle réellement dans le périmètre de NIS2 ?
Si votre entreprise opère dans la collecte, le traitement ou l'élimination des déchets et compte 50 salariés ou plus, ou un chiffre d'affaires annuel d'au moins 10 M€, vous êtes presque certainement dans le périmètre en tant qu'entité importante au titre de l'annexe II de NIS2. La définition du secteur couvre l'ensemble de la chaîne de gestion des déchets. Si vous êtes proche du seuil, vérifiez si des sociétés de groupe liées vous font dépasser la limite : NIS2 utilise la définition européenne des PME, qui tient compte des entreprises liées.
Nous externalisons toute l'informatique - NIS2 s'applique-t-il quand même à nous ?
Oui, pleinement. NIS2 s'applique à l'entité qui fournit le service de gestion des déchets, quel que soit celui qui gère l'informatique. Vous pouvez externaliser le travail mais pas la responsabilité juridique (§30 BSIG). En pratique, cela signifie que votre prestataire informatique devient votre fournisseur le plus critique : documentez la relation, incluez des exigences de cybersécurité dans le contrat et vérifiez qu'il dispose de mesures de sécurité adéquates. S'il est compromis, votre obligation de notification se déclenche, pas la sienne.
À quoi ressemble un inventaire des actifs pour une entreprise de déchets ?
Plus simple que vous ne le pensez. Une entreprise de déchets type de 100 personnes compte environ 10 à 15 entrées d'actifs regroupées : système de gestion de flotte, système de pont-bascule, ERP/facturation, infrastructure réseau par site, postes de travail standard (regroupés, par exemple « 45 ordinateurs portables Windows »), messagerie/collaboration (Microsoft 365) et éventuellement SCADA ou contrôles d'installation de tri. Grundschutz permet explicitement de regrouper les actifs identiques, vous n'avez donc pas besoin d'une ligne par ordinateur portable.
Combien de temps prend la conformité NIS2 pour une entreprise de notre taille ?
Pour une entreprise de déchets de 100 personnes partant de zéro, comptez 3 à 6 mois pour atteindre un socle solide : enregistrement auprès du BSI (semaine 1), inventaire des actifs et évaluation des risques (semaines 2 à 6), processus de notification des incidents (semaines 4 à 8), améliorations du contrôle d'accès (semaines 6 à 12), documentation des politiques (en continu). Vous n'avez pas besoin d'être parfait dès le premier jour : le BSI évalue la trajectoire et la bonne foi. Après la mise en place initiale, l'effort continu porte principalement sur les revues annuelles et la réponse aux incidents.
- Directive NIS2 (UE) 2022/2555 - Annexe II, secteur 4 : Eaux usées et gestion des déchets
- BSIG - §28 (périmètre), §30 (mesures de cybersécurité), §33 (enregistrement), §38 (responsabilité de la direction)
- BSI - Orientations NIS2 spécifiques par secteur et documentation du portail d'enregistrement (2025)
- IT-Grundschutz Kompendium - OPS.1.2.5 (Fernwartung), IND.1 (Prozessleit- und Automatisierungstechnik)
- BDE Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft - documents de position sur NIS2