Les 18 secteurs soumis a la directive NIS2
La directive NIS2 cible 18 secteurs critiques repartis entre 11 secteurs hautement critiques (Annexe I) et 7 secteurs critiques (Annexe II). Voici le detail de chaque secteur, avec les sous-categories et exemples concrets d'entites concernees.
L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.
Annexe I : 11 secteurs hautement critiques (entites essentielles)
1. Energie
Production, transport et distribution d'electricite, de gaz, de petrole, d'hydrogene, de chaleur. Operateurs de reseaux de transport (RTE, GRTgaz), gestionnaires de distribution (Enedis, GRDF), exploitants de centrales nucleaires, raffineries, terminaux GNL, fournisseurs d'energie.
2. Transport
Transport aerien (compagnies aeriennes, gestionnaires d'aeroports, controle aerien), transport ferroviaire (SNCF Reseau, gestionnaires d'infrastructure), transport par voie d'eau (ports maritimes, transport fluvial), transport routier (gestionnaires d'infrastructures intelligentes).
4. Banque
Etablissements de credit au sens de la reglementation europeenne CRR. Banques de depot, banques d'investissement, banques cooperatives, etablissements de credit specialises. La directive s'articule etroitement avec le reglement DORA pour le secteur financier.
5. Marches financiers
Plateformes de negociation (Euronext), contreparties centrales, depositaires centraux, chambres de compensation. Toutes les infrastructures de marche essentielles au fonctionnement de la zone euro.
6. Sante
Etablissements de soins (hopitaux, cliniques), laboratoires de biologie, fabricants de produits pharmaceutiques, fabricants de dispositifs medicaux critiques, producteurs et distributeurs de gaz medicaux, organismes de recherche pharmaceutique. Secteur particulierement cible par les ransomwares.
7. Eau potable
Fournisseurs d'eau potable et exploitants de stations de production. Veolia, Suez, regies municipales et intercommunales. La securite de l'approvisionnement en eau est une question de sante publique et de continuite des services essentiels.
8. Eaux usees
Gestionnaires de stations d'epuration et de reseaux de collecte des eaux usees, lorsque cette activite represente une part essentielle de leur exploitation.
9. Infrastructures numeriques
Operateurs de point d'echange Internet, fournisseurs de services DNS, registres de noms de domaine de premier niveau, fournisseurs de services d'informatique en nuage (cloud), fournisseurs de services de centres de donnees, fournisseurs de reseaux de diffusion de contenu (CDN), fournisseurs de services de communications electroniques publics, fournisseurs de services de confiance qualifies.
10. Gestion des services TIC
Fournisseurs de services geres (MSP) et fournisseurs de services de securite geres (MSSP). Cette inclusion vise les acteurs qui operent les SI d'autres entreprises et dont la compromission pourrait avoir un effet domino majeur.
11. Administration publique
Administrations centrales et regionales selon la definition de chaque Etat membre. En France, ministeres, agences nationales, prefectures, conseils regionaux. Les collectivites territoriales d'une certaine taille sont egalement visees.
12. Espace
Operateurs d'infrastructures terrestres soutenant la fourniture de services spatiaux, hors infrastructures de communication relevant des autres secteurs.
Annexe II : 7 secteurs critiques (entites importantes)
13. Services postaux et de messagerie
Operateurs postaux universels (La Poste) et fournisseurs de services de messagerie express et de transport de colis. Les acteurs majeurs du e-commerce sont concernes via cette categorie.
14. Gestion des dechets
Operateurs de collecte, traitement et elimination des dechets, lorsque cette activite represente une part essentielle de leur exploitation.
15. Fabrication, production et distribution de produits chimiques
Producteurs et distributeurs de substances chimiques au sens du reglement REACH. Industriels chimiques, fabricants de produits dangereux, distributeurs.
16. Production, transformation et distribution alimentaire
Entreprises agroalimentaires, distributeurs en gros, plateformes logistiques dont l'activite est essentielle a la securite de l'approvisionnement alimentaire.
17. Fabrication
Cinq sous-secteurs strategiques : dispositifs medicaux et dispositifs medicaux de diagnostic in vitro, produits informatiques, electroniques et optiques, equipements electriques, machines et equipements, vehicules automobiles et autres materiels de transport.
18. Fournisseurs numeriques
Places de marche en ligne, moteurs de recherche en ligne, plateformes de reseaux sociaux. Ces acteurs etaient deja concernes par NIS1 mais avec un statut leger.
19. Recherche
Organismes de recherche, universites avec activite de recherche significative. Cette inclusion vise a proteger les actifs de propriete intellectuelle et les donnees sensibles de la recherche fondamentale et appliquee.
Le passage de l'Annexe I a l'Annexe II ne signifie pas que les exigences sont moindres : les obligations de l'article 21 et de l'article 23 s'appliquent aux deux. La difference porte sur le niveau de supervision (ex ante vs ex post) et le bareme des sanctions, comme detaille sur notre page sanctions NIS2.
Comment savoir si votre activite figure dans un secteur ?
Chaque secteur est defini de maniere precise dans les annexes de la directive, avec parfois des renvois a d'autres reglementations europeennes. Une analyse au cas par cas est souvent necessaire, notamment pour les groupes multi-activites ou les acteurs aux frontieres. Pour valider votre eligibilite, consultez notre page qui est concerne par NIS2 et notre guide complet.