Suis-je concerné par NIS2 ?
NIS2 concerne les entreprises de 50+ salariés ou 10M€+ de chiffre d’affaires opérant dans 18 secteurs critiques. Trois critères croisés déterminent votre statut : taille, secteur, criticité. Voici comment vérifier en 2 minutes.
- 18 secteurs concernés répartis en 11 essentiels (annexe I) + 7 importants (annexe II)
- Seuils : 50+ salariés OU 10M€+ de chiffre d’affaires (sauf criticité particulière)
- Sanctions : jusqu’à 10M€ ou 2% du CA mondial pour les entités essentielles
- Vérification officielle via monespacenis2.gouv.fr (post-transposition française)
En 30 secondes : êtes-vous concerné ?
Votre entreprise est concernée par NIS2 si elle remplit simultanément trois conditions : compter au moins 50 salariés ou réaliser plus de 10 millions d’euros de chiffre d’affaires, opérer dans l’un des 18 secteurs listés aux annexes I et II de la directive, et exercer une activité jugée critique pour le fonctionnement économique ou social européen. La question « nis2 qui est concerné » revient sans cesse depuis l’entrée en application du 17 octobre 2024. Voici la grille officielle.
Les 3 critères en un tableau
| Critère | Seuil officiel | Source |
|---|---|---|
| Taille | ≥ 50 salariés OU ≥ 10M€ CA annuel | Art. 2 directive (UE) 2022/2555 |
| Secteur | Annexes I (essentielle) ou II (importante) | Annexes officielles |
| Criticité | Activité essentielle ou importante définie par l’État | Loi de transposition nationale |
Verdict simple : si vous cochez les trois cases, vous tombez dans le périmètre obligatoire. Une seule case manquante peut suffire à vous en sortir, sauf cas de supply chain (voir plus bas). Pour un panorama complet, consultez notre guide complet NIS2.
Les 3 critères officiels NIS2
Selon l’analyse de notre rédaction, beaucoup de dirigeants surestiment la complexité du test. La directive a justement simplifié les seuils par rapport à NIS1. D’après les annexes officielles de la directive, voici comment chaque critère se décompose.
Critère 1 : Taille
Le seuil est binaire et alternatif. Vous franchissez le filtre si vous comptez au moins 50 employés équivalents temps plein, OU si votre chiffre d’affaires annuel dépasse 10 millions d’euros (le total bilan de 10M€ compte également selon la définition de la PME au sens européen). Une PME de 30 salariés à 12M€ de CA est donc concernée. Une entreprise de 80 salariés à 4M€ de CA aussi.
Les très petites entreprises sous ce double seuil sortent du scope direct. Mais la directive prévoit explicitement des exceptions de criticité : un opérateur de services de confiance qualifié, un fournisseur DNS ou un registre de noms de domaine de premier niveau peut être assujetti même en dessous des 50 salariés. L’obligations spécifiques PME détaille ces cas particuliers.
Critère 2 : Secteur
Votre activité principale doit relever d’un des 18 secteurs listés aux annexes I et II de la directive. L’annexe I regroupe 11 secteurs « essentiels » (haute criticité), l’annexe II en compte 7 « importants ». Le terme officiel est « nis2 entité essentielle importante » : vous trouverez ces deux statuts dans tous les textes ANSSI.
L’attribution se fait par code NACE (équivalent européen du code APE français). L’ANSSI précise que le critère retenu est l’activité réelle, pas seulement le code déclaré. Une entreprise classée commerce mais opérant un datacenter sera traitée comme infrastructure numérique.
Critère 3 : Criticité
Dernière étape : votre statut sera entité essentielle (EE) ou entité importante (EI). La distinction n’est pas cosmétique. Les EE subissent une supervision proactive : audits ANSSI réguliers, contrôles sur site, sanctions plafonnées à 10M€ ou 2% du CA mondial. Les EI relèvent d’un régime réactif (contrôles déclenchés par incident ou plainte) avec des sanctions plus limitées.
Entité essentielle vs entité importante : la différence
Ces deux catégories se ressemblent en façade. Elles diffèrent radicalement sur trois axes : intensité de la supervision, plafond des sanctions, obligations déclaratives.
| Dimension | Entité essentielle (EE) | Entité importante (EI) |
|---|---|---|
| Annexe | I (11 secteurs) | II (7 secteurs) |
| Supervision ANSSI | Proactive : audits, inspections planifiées | Réactive : déclenchée par incident ou plainte |
| Plafond amende | 10M€ ou 2% CA mondial (le plus élevé) | 7M€ ou 1,4% CA mondial |
| Déclaration d’incident | Obligatoire dans 24h (alerte) + 72h (rapport) | Obligatoire dans 24h + 72h (idem) |
| Responsabilité dirigeant | Engagée personnellement | Engagée personnellement |
L’écart d’amende paraît modeste sur le papier. Pour un groupe de 500M€ de CA, la différence devient 10M€ vs 7M€. Trois millions ne se négocient pas. Notre dossier sur les sanctions financières détaillées chiffre les cas concrets remontés depuis 2024.
Détail souvent négligé : l’obligation de déclarer un incident significatif sous 24 heures est identique pour EE et EI. Le critère qui change est le seuil d’incident significatif, défini par les autorités nationales selon le secteur.
Les 18 secteurs concernés (annexes I et II)
La requête « nis2 18 secteurs concernes » revient régulièrement dans les recherches B2B. Voici le découpage officiel selon les annexes.
11 secteurs essentiels : Annexe I
- Énergie : électricité, gaz, pétrole, hydrogène, réseaux de chaleur
- Transports : aérien, ferroviaire, maritime, routier
- Banque : établissements de crédit
- Infrastructure des marchés financiers : opérateurs de plates-formes de négociation, contreparties centrales
- Santé : prestataires de soins, fabricants de dispositifs médicaux critiques, laboratoires de référence
- Eau potable : fournisseurs d’eau destinée à la consommation humaine
- Eaux usées : collecte, évacuation, traitement
- Infrastructure numérique : IXP, DNS, TLD, cloud, datacenters, CDN, services de communication électronique
- Gestion de services TIC : MSP et MSSP en B2B
- Administration publique : entités gouvernementales centrales et régionales
- Espace : opérateurs d’infrastructures spatiales au sol
7 secteurs importants : Annexe II
- Services postaux et de courrier
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution de denrées alimentaires
- Fabrication : dispositifs médicaux, produits informatiques/électroniques/optiques, équipements électriques, machines, véhicules à moteur
- Fournisseurs numériques : marketplaces, moteurs de recherche, réseaux sociaux
- Recherche : organismes de recherche
Pour un panorama secteur par secteur avec les éditeurs spécialisés, parcourez notre tour des secteurs en détail.
Cas particuliers : PME, supply chain, filiales
Trois situations échappent à la grille standard des trois critères. Connaître ces zones grises évite de mauvaises surprises.
PME et micro-entreprises
Une PME sous le seuil double (moins de 50 salariés ET moins de 10M€ CA) reste hors scope direct dans 95% des cas. Mais l’exception de criticité s’applique : opérateurs de services de confiance qualifiés, registres de noms de domaine, fournisseurs DNS, opérateurs critiques d’administration publique. Une micro-entreprise de 8 personnes opérant un service DNS commercial peut être directement assujettie.
Supply chain : l’effet domino
NIS2 introduit une obligation de sécurisation de la chaîne d’approvisionnement (article 21). Les EE et EI doivent intégrer la sécurité de leurs fournisseurs critiques dans leur analyse de risque. En pratique : si vous fournissez un service cloud, une plateforme SaaS, du MSP ou du MSSP à une entité essentielle, des clauses contractuelles vont vous imposer des contrôles équivalents. Vous n’êtes pas légalement assujetti, mais vous devez prouver votre niveau de sécurité pour conserver le contrat.
Cette dynamique fait basculer mécaniquement des centaines de PME tech dans une exigence NIS2 « contractuelle ». Comptez 200 à 400 fournisseurs critiques par grand opérateur essentiel selon les estimations sectorielles.
Groupes et filiales
Chaque entité juridique est évaluée séparément. Une holding de 150 salariés à 200M€ de CA peut être hors scope si elle ne fait que de la gestion de participations, tandis que sa filiale de 60 salariés dans l’énergie tombe dans le périmètre essentiel. La consolidation comptable n’entre pas dans l’équation NIS2.
Comment vérifier officiellement votre statut
Une fois votre auto-diagnostic posé, trois canaux officiels permettent de confirmer.
monespacenis2.gouv.fr : la plateforme ANSSI
La plateforme monespacenis2 (mon espace NIS2) est le portail officiel d’auto-déclaration en France, hébergé par l’ANSSI sur monespacenis2.cyber.gouv.fr. Elle ouvre à pleine capacité après transposition de la directive en droit français. Les entités y déclarent leur statut, leurs représentants légaux, leur DPO ou RSSI référent, et y reçoivent leurs notifications réglementaires. La requête « monespacenis2 » a explosé depuis fin 2024 : 1 300 recherches mensuelles selon les données SEMrush, signe que le réflexe administratif s’installe.
Contact direct ANSSI
L’ANSSI reste le référent national en cas de doute. Le service NIS2 répond aux dirigeants pour les cas litigieux (activité multi-secteurs, statut hybride EE/EI, exceptions de criticité). Comptez 5 à 15 jours ouvrés pour une réponse écrite officielle.
Audit interne préliminaire
Avant tout contact officiel, un audit interne en 30 points couvrant gouvernance, identification des actifs, gestion des incidents, supply chain et formation suffit à clarifier 80% des cas. Notre guide pratique étape par étape détaille la méthode complète d’auto-évaluation, conforme au référentiel ANSSI publié en 2024.
Une question revient souvent : faut-il attendre la transposition française définitive pour agir ? La réponse de l’ANSSI est claire : non. Les délais de mise en conformité restent serrés, et la directive NIS2 est déjà directement applicable pour les entités opérant à l’échelle européenne.
Questions fréquentes
Comment savoir si une PME est concernée par NIS2 ?
Une PME de moins de 50 salariés ET moins de 10M€ de chiffre d’affaires est généralement hors scope direct de NIS2. Mais si vous fournissez une entité essentielle (cloud, MSSP, SaaS critique), des clauses contractuelles peuvent vous imposer les mêmes contrôles. Les opérateurs de services de confiance qualifiés, registres DNS et fournisseurs DNS sont assujettis quelle que soit leur taille.
Quelle différence entre entité essentielle et entité importante NIS2 ?
L’entité essentielle (annexe I, 11 secteurs) subit une supervision proactive ANSSI avec audits planifiés et sanctions jusqu’à 10M€ ou 2% du CA mondial. L’entité importante (annexe II, 7 secteurs) relève d’une supervision réactive déclenchée par incident, avec sanctions plafonnées à 7M€ ou 1,4% du CA. Les obligations de déclaration d’incident (24h + 72h) sont identiques.
Les sous-traitants sont-ils concernés par NIS2 ?
Oui via la supply chain. NIS2 oblige les entités essentielles et importantes à sécuriser leurs fournisseurs critiques par clauses contractuelles, audits et obligations de transparence. Un sous-traitant non directement assujetti devra prouver son niveau de sécurité pour conserver ses contrats avec les opérateurs régulés. Comptez 200 à 400 fournisseurs critiques par grand opérateur essentiel.
À partir de quand NIS2 s’applique en France ?
La directive NIS2 est entrée en application au 17 octobre 2024 dans l’Union européenne. La France transpose via la loi Résilience attendue 2025-2026, complétée par les décrets ANSSI pour application opérationnelle. Les entités opérant à l’échelle européenne sont déjà soumises aux principes directs de la directive.
Que sont les 18 secteurs concernés par NIS2 ?
11 secteurs essentiels (annexe I) : énergie, transports, banque, infrastructure financière, santé, eau potable, eaux usées, infrastructure numérique, gestion de services TIC, administration publique, espace. 7 secteurs importants (annexe II) : services postaux, gestion des déchets, fabrication chimique, alimentation, fabrication (mécanique, électronique, automobile, médical), fournisseurs numériques, recherche.