ML-KEM-1024 | FIPS 203 | CSPN ANSSI Chiffrement souverain post-quantique
NIS2ConformitéANSSIOIV

NIS2 et cryptographie post-quantique : ce que les entités essentielles doivent savoir

21 février 2026·Équipe Cryptops·7 min de lecture

La Directive NIS2 (UE 2022/2555) impose aux entités essentielles et importantes de mettre en oeuvre des mesures techniques de cybersécurité, dont le chiffrement des données en transit et au repos. Elle ne prescrit pas d'algorithmes spécifiques, mais les référentiels nationaux — et notamment ceux de l'ANSSI — orientent vers la cryptographie post-quantique pour les systèmes à durée de vie longue.

Qui est concerné

Entités essentielles

  • Énergie (électricité, gaz, pétrole, hydrogène)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire et marchés financiers
  • Santé, eau potable, eaux usées
  • Infrastructures numériques, services TIC
  • Administrations publiques, espace

Entités importantes

  • Services postaux
  • Gestion des déchets
  • Fabrication de produits critiques
  • Chimie, alimentation
  • Services numériques

Ce que NIS2 exige en matière de chiffrement

L'article 21 de la directive impose "des politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement". L'ANSSI, en tant qu'autorité compétente française, précise que ces politiques doivent s'appuyer sur ses référentiels : recommandations cryptographiques, référentiel de qualification des prestataires, certifications CSPN et Critères Communs.

La directive ne mentionne pas explicitement la cryptographie post-quantique. Cependant, l'exigence de conformité à "l'état de l'art" implique de prendre en compte les menaces émergentes, y compris la menace quantique. Pour les entités dont les données ont une durée de confidentialité supérieure à 10 ans, la migration post-quantique relève de cette obligation.

La position de l'ANSSI sur le post-quantique

L'ANSSI recommande une approche hybride classique + post-quantique dans un premier temps, puis une bascule complète vers les algorithmes NIST (ML-KEM-1024, ML-DSA-65) avant l'horizon 2030. Les produits certifiés CSPN ou Critères Communs offrent la présomption de conformité la plus forte face à une autorité de contrôle.

Cette recommandation s'inscrit dans un contexte européen convergent. Le BSI allemand et le NCSC britannique ont émis des avis similaires, et l'ENISA intègre la migration post-quantique dans ses lignes directrices de mise en oeuvre de NIS2.

Sanctions et responsabilité

10 M EUR
ou 2 % du CA mondial
Entités essentielles
7 M EUR
ou 1,4 % du CA mondial
Entités importantes

NIS2 prévoit également la responsabilité personnelle des dirigeants (article 20), des audits de sécurité obligatoires, des injonctions de mise en conformité et la publication des incidents de sécurité. Le montant des sanctions est calculé sur la base du plus élevé entre le montant forfaitaire et le pourcentage du chiffre d'affaires.

Implications pratiques

Pour une entité essentielle sous NIS2, le chiffrement des interconnexions réseau avec un produit certifié ANSSI constitue la réponse la plus robuste aux exigences de l'article 21. Elle offre une traçabilité complète (journaux d'audit, historique de rotation des clés), une résistance démontrée (évaluation par un CESTI indépendant) et une opposabilité immédiate face à l'autorité nationale compétente.

Les opérateurs qui déploient dès aujourd'hui un chiffrement hybride classique + post-quantique anticipent à la fois l'évolution des référentiels ANSSI et le durcissement prévisible des exigences NIS2 dans les années à venir. Cette démarche proactive constitue un argument de conformité solide face à un contrôle.

Évaluez votre conformité NIS2

Demander un audit de conformité