‍

Dans le numéro 363 de décembre 2025 de la revue Droit & Patrimoine, Florian Perretin, avocat en droit du numérique, décrypte les impacts concrets de la directive européenne NIS 2 sur les collectivités territoriales françaises.

À travers une analyse juridique et opérationnelle, il met en lumière une tension centrale :

une ambition réglementaire européenne de très haut niveau confrontée à un réalisme budgétaire local de plus en plus contraint.

Les points clés développés dans l’article

🔹 Une nouvelle grammaire de la cybersécurité publique

NIS 2 ne se contente pas d’ajouter des obligations : elle impose une logique systémique de continuité du service public, dépassant la seule protection des données personnelles et recomposant l’articulation RGPD / RGS / cybersécurité.

🔹 Un périmètre massif pour les collectivités

Le projet de loi « Résilience » classe comme entités essentielles les régions, départements, communes > 30 000 habitants, métropoles et certaines intercommunalités ; les autres structures deviennent entités importantes.

Conséquence directe : de nombreuses collectivités entrent dans le champ de NIS 2.

🔹 Une dissymétrie juridique préoccupante

Alors que le projet de loi prévoit d’exempter les collectivités d’amendes administratives NIS 2, le RGPD continue de s’appliquer pleinement via l’article 32.

Le risque ne disparaît pas : il se déplace vers la CNIL et la responsabilité civile, créant une incohérence normative.

🔹 Un mur budgétaire

Le coût de conformité est estimé entre 100 k€ et 200 k€ pour une entité « importante » et jusqu’à 900 k€ pour une entité « essentielle ».

Pour des collectivités dont le budget IT est souvent inférieur à 1 % des dépenses globales, la conformité devient un exercice de haute voltige.

🔹 Mutualiser sans concentrer le risque

Florian Perretin alerte sur les effets pervers de la mutualisation : elle est nécessaire, mais elle concentre aussi le risque systémique. La résilience territoriale suppose cloisonnement, redondance et autonomie minimale.

🔹 Contractualiser la cybersécurité

NIS 2 transforme la commande publique : clauses cyber opposables, gestion active de la chaîne d’approvisionnement, exigences sur PRA/PCA, audits, notification d’incident.

🔹 Le rôle politique des élus

La cybersécurité n’est plus une affaire de DSI : elle devient une question de gouvernance publique, engageant élus, directions générales, juristes, DPO et communicants de crise.

‍
Article publié dans Droit & Patrimoine, n°363 – décembre 2025

Heading 1

Heading 2

Heading 3

Heading 4

Heading 5

Heading 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

Block quote

Ordered list

1. Item 1
2. Item 2
3. Item 3

Unordered list

• Item A
• Item B
• Item C

Text link

Bold text

Emphasis

^Superscript

_Subscript