Perimetre d'application

Directive NIS2 : votre entreprise est-elle concernee ?

La directive NIS2 etend massivement le perimetre des entites soumises a des obligations cyber. Plus de 10 000 entreprises francaises sont concernees, contre environ 500 sous NIS1. Voici les criteres pour determiner si vous l'etes.

Mise à jour avril 2026

L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.

Le double critere : secteur et taille

Pour etre soumis a NIS2, une entite doit reunir deux conditions cumulatives. La premiere est d'exercer une activite dans l'un des 18 secteurs listes par la directive. La seconde est de depasser un seuil de taille fixe par reference a la recommandation europeenne 2003/361/CE relative aux PME.

Le critere sectoriel

Les 18 secteurs sont repartis en deux annexes. L'Annexe I regroupe les 11 secteurs hautement critiques (energie, transport, banque, infrastructures de marche financier, sante, eau potable, eaux usees, infrastructures numeriques, gestion des services TIC, administration publique, espace). L'Annexe II couvre 7 secteurs critiques (services postaux, dechets, fabrication, chimie, alimentation, fournisseurs numeriques, recherche).

Le detail complet de chaque secteur, avec exemples d'entreprises et sous-categories, est documente sur notre page secteurs concernes.

Le critere de taille

Sont automatiquement concernees les entites dites moyennes et grandes :

Moyenne entreprise : 50 a 249 salaries, ou CA annuel entre 10 et 50 millions d'euros, ou bilan entre 10 et 43 millions d'euros.
Grande entreprise : 250 salaries ou plus, ou CA superieur a 50 millions d'euros, ou bilan superieur a 43 millions d'euros.

Les micro-entreprises (moins de 10 salaries et moins de 2 millions d'euros) et petites entreprises (moins de 50 salaries et moins de 10 millions d'euros) sont en principe exclues, mais des exceptions importantes existent.

Entites essentielles vs entites importantes

NIS2 distingue deux statuts qui conditionnent le niveau de supervision et le bareme des sanctions :

Critere	Entites essentielles	Entites importantes
Secteurs	Annexe I (11 secteurs hautement critiques)	Annexe II (7 secteurs critiques)
Taille minimum	Grande entreprise	Moyenne entreprise
Supervision	Ex ante (controles programmes)	Ex post (apres incident)
Amende max	10 millions d'euros ou 2 pourcent CA	7 millions d'euros ou 1,4 pourcent CA
Audit obligatoire	Oui, periodique	Non, sauf demande de l'autorite

Les exceptions et cas particuliers

Entites concernees quel que soit leur taille

Independamment du seuil de taille, certaines entites sont automatiquement concernees :

Fournisseurs de services DNS, registres de noms de domaine de premier niveau.
Fournisseurs de services de confiance qualifies (certificats electroniques, horodatage).
Operateurs de reseaux de communications electroniques publics.
Administration publique centrale (ministeres, agences nationales).
Entites identifiees comme operateurs critiques au titre de la directive REC.

Sous-traitants et fournisseurs critiques

Les sous-traitants ne sont pas formellement designes comme entites NIS2, mais ils subissent indirectement la pression reglementaire. La directive impose en effet aux entites concernees d'integrer la securite de la chaine d'approvisionnement dans leur gestion des risques. Concretement, vos clients NIS2 vous demanderont des engagements contractuels, des audits, voire des certifications.

A retenir

Si vous etes un sous-traitant critique d'une entite NIS2 (hebergeur, editeur de logiciel, infogerant, prestataire MSP, fournisseur de cloud), preparez-vous a devoir documenter votre posture de securite et a accepter des audits. Le marche va se segmenter entre prestataires capables de demontrer leur conformite et les autres.

Auto-diagnostic en 5 questions

Mon activite figure-t-elle dans l'une des 18 categories listees aux annexes I et II de NIS2 ?
Mon entreprise emploie-t-elle plus de 50 salaries ou realise-t-elle plus de 10 millions d'euros de chiffre d'affaires ?
Suis-je un fournisseur de services numeriques specifique (DNS, registre, services de confiance qualifies) ?
Suis-je un sous-traitant critique d'un operateur essentiel ou d'une administration ?
Mon entite a-t-elle deja ete designee operateur d'importance vitale (OIV) ou operateur de services essentiels (OSE) sous l'ancienne directive NIS1 ?

Si vous repondez oui a la question 1 et a la question 2, ou oui aux questions 3, 4 ou 5, vous etes vraisemblablement concerne par NIS2. Pour engager la demarche, consultez notre guide mise en conformite NIS2.

Et apres ?

Une fois votre eligibilite confirmee, la prochaine etape consiste a comprendre les obligations NIS2 qui s'imposent a vous, puis a evaluer l'ecart entre votre posture actuelle et le niveau d'exigence reglementaire. Notre guide complet detaille chacune de ces etapes.