NIS2 et Directive REC : Double Conformité PME
En résumé
- Entité critique REC → automatiquement entité essentielle NIS2 (Article 2(3) directive NIS2)
- La REC couvre 11 secteurs — tous ont un équivalent dans les annexes NIS2
- Deux canaux de notification : SGDSN pour la REC, ANSSI pour NIS2 — pas de regroupement possible
- La Loi Résilience (transposant NIS2 et REC, et adaptant le droit français au règlement DORA) n’est pas encore promulguée — examen prévu en juillet 2026
- Meldis vous accompagne dans votre mise en conformité NIS2 intégrant la dimension REC
La Loi Résilience, dont l’examen parlementaire est attendu pour juillet 2026, transpose en droit français deux directives européennes — NIS2 et la directive REC (Résilience des Entités Critiques) — et adapte le droit français au titre du règlement DORA (déjà directement applicable, il n’est pas transposé mais nécessite la désignation d’autorités compétentes). Si NIS2 fait désormais partie du vocabulaire des PME, la directive REC reste largement méconnue — et pourtant, pour certaines entreprises, elle crée une double obligation qui change tout.
Un dirigeant d’une PME du secteur alimentaire ou des transports peut ignorer que son activité est couverte par deux directives distinctes, avec deux autorités différentes, deux cadres d’obligations et deux canaux de notification. Ce n’est pas un détail administratif : c’est une exposition réglementaire que beaucoup découvriront trop tard.
Cet article explique ce qu’est la directive REC, comment elle s’articule avec NIS2, quels sont les 11 secteurs concernés, et ce que la double conformité implique concrètement pour une PME. Si vous êtes dans un secteur critique, un accompagnement conformité NIS2 intégrant la dimension REC vous permettra d’aborder les deux obligations en une seule démarche.
Qu’est-ce que la directive REC ?
Une directive centrée sur la résilience physique
La directive (UE) 2022/2557 du 14 décembre 2022 porte sur la résilience des entités critiques (REC — ou CER en anglais, pour Critical Entities Resilience). Elle remplace la directive 2008/114/CE sur les infrastructures critiques européennes, jugée insuffisante face à l’évolution des menaces.
Son objet est précis : garantir la continuité des services essentiels face à des menaces tous risques — catastrophes naturelles, accidents industriels, actes malveillants physiques, attaques hybrides ou terrorisme. Elle ne traite pas de cybersécurité au sens strict — c’est le périmètre de NIS2. La REC protège les murs, les installations, les chaînes opérationnelles physiques.
Les entités soumises à la REC doivent notamment :
- Évaluer leurs risques dans les 9 mois suivant leur désignation (approche tous risques, réévaluation au moins tous les 4 ans)
- Établir un plan de résilience couvrant prévention, protection physique, réaction aux incidents et rétablissement
- Notifier les incidents sans délai à l’autorité compétente, avec un rapport détaillé dans le mois suivant
- Désigner un correspondant auprès de l’autorité nationale
- Vérifier les antécédents du personnel sensible (mesure spécifique à la REC, absente de NIS2)
La directive est de nature juridique identique à NIS2 : elle nécessite une transposition nationale pour être opposable aux entreprises.
Le SGDSN, autorité compétente en France
Contrairement à NIS2, dont l’autorité nationale est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), la directive REC relève en France du SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale). Le SGDSN pilote le SAIV (Système d’Activités d’Importance Vitale), le cadre français historique de protection des infrastructures critiques — que la REC va moderniser et élargir.
La transposition passe par la Loi Résilience, actuellement bloquée. Au 27 mars 2026, ce texte n’est pas encore promulgué. Son examen est envisagé en session extraordinaire, potentiellement en juillet 2026. Les obligations REC ne sont donc pas encore juridiquement opposables en France — mais les délais post-promulgation seront courts.
Pour comprendre comment ce texte s’inscrit dans le calendrier global de transposition, consultez notre article sur la Loi Résilience et NIS2.
Directive REC vs NIS2 : deux textes, deux périmètres
La REC protège vos murs, NIS2 protège vos systèmes
L’analogie la plus utile pour un dirigeant de PME : NIS2 protège vos systèmes d’information, la REC protège vos murs. Ce sont deux couches de résilience complémentaires, qui répondent à des menaces différentes.
Une cyberattaque par ransomware relève de NIS2 — elle vise vos systèmes informatiques. Une inondation qui paralyse votre site de production, un incendie dans votre entrepôt, ou une menace physique sur votre infrastructure de distribution relèvent de la REC. Pour une entreprise dans un secteur critique, les deux risques sont réels et les deux cadres s’appliquent potentiellement en parallèle.
Pour aller plus loin sur les distinctions entre les différentes directives européennes, notre article NIS2 et Cyber Resilience Act explore une autre articulation fréquemment confondue.
Tableau comparatif REC vs NIS2
REC vs NIS2 : les différences clés
| Critère | Directive REC | Directive NIS2 |
|---|---|---|
| Référence | Directive 2022/2557 | Directive 2022/2555 |
| Cible | Entités critiques (infrastructure physique) | Entités essentielles et importantes (SI) |
| Secteurs couverts | 11 secteurs | 18 secteurs |
| Focus | Résilience physique, tous risques | Résilience cyber, systèmes d'information |
| Autorité France | SGDSN | ANSSI |
| Sanctions max | À la discrétion des États membres | 10 M€ ou 2 % CA (EE) / 7 M€ ou 1,4 % (EI) |
| Notification incidents | Sans délai + rapport 1 mois | 24h + 72h + 1 mois |
| Évaluation des risques | Tous risques (physique + cyber + naturel) | Risques cyber uniquement |
| Mesure spécifique | Vérification antécédents du personnel | Authentification multifacteur (MFA) |
| Lien entre les deux | Entité critique REC → automatiquement EE NIS2 | — |
À retenir
Les sanctions REC seront fixées par la loi française lors de la transposition — leur montant n’est pas encore connu. Seules les sanctions NIS2 sont aujourd’hui chiffrées par la directive.
Les 11 secteurs REC : êtes-vous concerné ?
Tableau des secteurs et overlap avec NIS2
| # | Secteur REC | Équivalent NIS2 |
|---|---|---|
| 1 | Énergie | ✅ Annexe 1 NIS2 |
| 2 | Transports | ✅ Annexe 1 NIS2 |
| 3 | Banque | ✅ Annexe 1 NIS2 |
| 4 | Infrastructures des marchés financiers | ✅ Annexe 1 NIS2 |
| 5 | Santé | ✅ Annexe 1 NIS2 |
| 6 | Eau potable | ✅ Annexe 1 NIS2 |
| 7 | Eaux usées | ✅ Annexe 1 NIS2 |
| 8 | Infrastructure numérique | ✅ Annexe 1 NIS2 |
| 9 | Administration publique | ✅ Annexe 1 NIS2 |
| 10 | Espace | ✅ Annexe 1 NIS2 |
| 11 | Production, transformation et distribution de produits alimentaires | ✅ Annexe 2 NIS2 |
(Source : Directive 2022/2557 + Règlement délégué UE 2023/2450)
Tous les secteurs REC ont un équivalent dans les annexes NIS2. La REC couvre 11 secteurs, contre 18 pour NIS2 — NIS2 ajoute les services postaux, les déchets, la chimie, la fabrication industrielle, les fournisseurs numériques, la recherche, et la gestion des services TIC interentreprises.
La règle d’automaticité
Voici la règle fondamentale, telle que formulée par l’ANSSI sur MonEspaceNIS2 :
“Les entités désignées comme critiques, au titre de la directive (UE) 2022/2557 sur la résilience des entités critiques (REC) sont en effet automatiquement considérées comme entités essentielles au titre de la directive NIS 2.”
En d’autres termes : si vous êtes désigné entité critique REC par le SGDSN, vous devenez automatiquement entité essentielle NIS2 — sans procédure séparée, par application directe de l’Article 2(3) de la directive NIS2.
Une nuance importante : contrairement à NIS2, où les critères de taille (50 salariés ou 10 M€ de chiffre d’affaires) suffisent à déterminer l’assujettissement, la REC requiert une désignation explicite par l’État. Ce n’est pas parce que vous êtes dans le secteur alimentaire que vous êtes automatiquement entité critique — c’est le SGDSN qui désigne les entités critiques après analyse. Si vous étiez OSE (Opérateur de Services Essentiels) sous NIS1, vous êtes un candidat probable à cette désignation.
Double conformité : obligations cumulées
Deux autorités, deux cadres, beaucoup d’obligations mutualisables
Prenons un cas concret : une coopérative agroalimentaire en Occitanie, 450 salariés, 85 M€ de chiffre d’affaires, assurant la transformation et la distribution de produits alimentaires dans plusieurs régions. Elle est potentiellement dans le secteur 11 de la REC. Si le SGDSN la désigne entité critique, elle devient automatiquement entité essentielle NIS2 — et doit satisfaire simultanément aux deux cadres.
Voici ce que cela signifie en pratique :
| Obligation | REC (SGDSN) | NIS2 (ANSSI) | Mutualisable ? |
|---|---|---|---|
| Évaluation des risques | ✅ Tous risques | ✅ Cyber | ✅ Oui — approche intégrée |
| Plan de résilience / continuité | ✅ Physique | ✅ PCA/PRA | ✅ Oui |
| Notification d'incidents | ✅ Sans délai → SGDSN | ✅ 24h/72h → ANSSI | ⚠️ Non — deux canaux distincts |
| Sécurité du personnel | ✅ Vérification antécédents | ✅ Formation, MFA | ✅ Partielle |
| Gouvernance | ✅ Correspondant SGDSN | ✅ Dirigeants responsables | ✅ Oui |
Le point de vigilance le plus important est la notification d’incidents : les délais diffèrent (sans délai précis pour la REC, 24h pour NIS2) et les destinataires sont distincts (SGDSN vs ANSSI). En cas d’incident touchant à la fois l’infrastructure physique et les systèmes d’information — ce qui sera souvent le cas — il faudra notifier les deux autorités séparément.
La bonne nouvelle : l’évaluation des risques, le plan de continuité et la gouvernance sont largement mutualisables. Une démarche intégrée permet d’absorber les deux obligations sans doubler les efforts.
Pour comprendre l’ensemble des obligations NIS2 applicables, notre guide complet directive NIS2 reste la référence de départ.
Comment se préparer à la double conformité
Étape 1 : Identifier si vous êtes dans un secteur REC
Consultez les 11 secteurs du tableau ci-dessus. Si votre activité principale relève de l’un d’eux, une désignation comme entité critique n’est pas exclue. Les entreprises les plus exposées sont celles qui :
- Faisaient partie des OSE (Opérateurs de Services Essentiels) désignés sous NIS1
- Opèrent une infrastructure dont l’interruption affecterait plusieurs régions ou des services essentiels à la population
- Sont dans les secteurs alimentation, transport ou énergie avec un rayonnement supra-régional
La désignation n’est pas automatique — c’est le SGDSN qui décide. Mais attendre la désignation pour se préparer, c’est partir avec plusieurs mois de retard sur des délais qui seront courts.
Étape 2 : Intégrer les obligations dans une démarche unifiée
Ne traitez pas REC et NIS2 comme deux projets séparés. L’évaluation des risques “tous risques” exigée par la REC enrichit l’analyse de risques NIS2 : elle l’élargit au périmètre physique, ce qui donne une vision plus complète de la résilience de l’entreprise. Un seul plan de résilience peut couvrir les deux dimensions — physique et cyber — à condition d’être structuré pour répondre aux exigences des deux directives.
Ce type de démarche intégrée est précisément ce que Meldis propose dans son accompagnement conformité NIS2 : partir de l’analyse de risques globale pour construire un plan d’action proportionné.
Étape 3 : Anticiper malgré le flou réglementaire
La Loi Résilience n’est pas encore promulguée. Mais les délais post-promulgation seront serrés : les États membres devaient identifier leurs entités critiques REC avant le 17 juillet 2025 (délai de 9 mois après une transposition théoriquement due en octobre 2024 — délai non respecté par la France). Dès la promulgation effective de la Loi Résilience, les entreprises désignées disposeront de 9 mois pour réaliser leur évaluation des risques.
Commencer maintenant — inventaire des actifs critiques, cartographie des risques physiques, identification de la chaîne de désignation SGDSN — c’est s’assurer de ne pas se retrouver sous pression réglementaire en juillet ou septembre 2026.
FAQ — Directive REC et double conformité NIS2
Questions Fréquentes
Qu'est-ce que la directive REC ?
La directive (UE) 2022/2557 sur la résilience des entités critiques impose aux entreprises des 11 secteurs désignées par l'État des obligations de résilience physique : évaluation des risques tous risques, plan de résilience, notification d'incidents. Elle se distingue de NIS2 qui traite uniquement de cybersécurité.
Quelle est la différence entre la directive REC et NIS2 ?
La REC cible la résilience physique (locaux, continuité opérationnelle physique) pilotée par le SGDSN. NIS2 cible la cybersécurité (systèmes d'information) pilotée par l'ANSSI. Une entité peut être soumise aux deux simultanément — avec deux autorités distinctes et deux canaux de notification séparés.
Si mon entreprise est désignée entité critique REC, est-elle automatiquement soumise à NIS2 ?
Oui. Selon l'ANSSI (MonEspaceNIS2), les entités désignées critiques au titre de la REC sont automatiquement considérées comme entités essentielles au titre de NIS2, par application de l'Article 2(3) de la directive 2022/2555.
Quels sont les 11 secteurs couverts par la directive REC ?
Énergie, transports, banque, marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, administration publique, espace, alimentation. (Source : Directive 2022/2557 et Règlement délégué UE 2023/2450.)
La directive REC est-elle déjà applicable en France ?
Pas encore. La transposition est prévue dans la Loi Résilience, dont l'examen parlementaire est envisagé en juillet 2026. En l'absence de promulgation, les obligations REC ne sont pas encore juridiquement opposables aux entreprises françaises.
Conclusion
Deux directives, deux autorités, mais une logique commune : renforcer la résilience globale des entités qui font fonctionner les services essentiels. NIS2 protège les systèmes d’information, la directive REC protège les infrastructures physiques. Pour les entreprises des 11 secteurs concernés, ce sont deux couches complémentaires — pas deux contraintes parallèles à gérer séparément.
La Loi Résilience n’est pas encore promulguée, mais les délais qui s’ouvriront après sa publication seront courts. Les entreprises susceptibles d’être désignées entités critiques ont intérêt à préparer dès maintenant leur inventaire des risques et leur gouvernance, sans attendre la contrainte réglementaire.
Si votre secteur figure dans les 11 de la REC, la bonne question n’est pas “serons-nous désignés ?” mais “sommes-nous prêts si nous le sommes ?”. Une démarche intégrée REC + NIS2 permet de répondre aux deux exigences en une seule analyse, en mutualisant les efforts là où c’est possible.
Demandez votre diagnostic REC + NIS2 pour évaluer votre exposition et construire un plan d’action adapté à votre structure. Et pour approfondir vos obligations NIS2, retrouvez notre accompagnement conformité NIS2 sur notre page dédiée.
Sources : Directive (UE) 2022/2557 — EUR-Lex | ANSSI / MonEspaceNIS2 — Directive NIS2 et directive REC | Loi Résilience — vie-publique.fr | ANSSI — Directive NIS2