Ce qu'il faut retenir
Qui est concerné par NIS2 ? Vous l’êtes si vous remplissez 3 conditions cumulatives : atteindre 50 salariés ETP et 10 M€ de CA ou de bilan, exercer dans l’un des 18 secteurs définis par la directive, et ne pas bénéficier d’une exception. Les PME sous les seuils peuvent être impactées indirectement via la supply chain.
La question “qui est concerné par NIS2” ne devrait pas attendre un appel d’offres ou un questionnaire client pour trouver sa réponse. Pourtant, la directive multiplie par dix le nombre d’entités concernées en France : d’environ 500 entités sous NIS1, on passe à environ 15 000 entités (jusqu’à 18 000 selon les projections de la Loi Résilience) selon les estimations de l’ANSSI. La majorité des dirigeants de PME ne savent toujours pas si NIS2 concerne leur entreprise — et beaucoup le découvrent lors d’un appel d’offres ou d’un questionnaire client.
La bonne nouvelle : les critères sont objectifs. Deux sont cumulatifs (taille et secteur d’activité). Le troisième couvre les exceptions qui font entrer certaines structures indépendamment de leurs effectifs. Voici comment les appliquer à votre situation sans ambiguïté.
Pour un panorama complet de la directive et de ses exigences, consultez notre guide détaillé sur NIS2.
Les 3 critères pour savoir si votre entreprise est concernée par NIS2
Ces trois critères s’appliquent de manière cumulative : remplir la condition taille, la condition secteur et ne pas bénéficier d’une exception. Voici comment évaluer chacun d’eux.
Critère 1 : la taille de votre entreprise
Seuils officiels NIS2
| Catégorie | Effectif | Chiffre d'Affaires | Bilan |
|---|---|---|---|
| Entité importante | ≥ 50 salariés ETP | ET ≥ 10 M€ CA | OU ≥ 10 M€ bilan |
| Entité essentielle | ≥ 250 salariés ETP | OU ≥ 50 M€ CA | ET ≥ 43 M€ bilan |
Deux points souvent omis sur les seuils NIS2 :
Les seuils s’apprécient au niveau du groupe. Une filiale de 30 personnes appartenant à un groupe de 500 salariés peut être concernée par NIS2. L’ANSSI regarde la réalité économique consolidée, pas uniquement la structure juridique de la filiale.
Le comptage se fait en ETP (Équivalent Temps Plein). Les seuils NIS2 — 50 salariés ETP pour les entités importantes, 250 pour les essentielles — se calculent sur l’exercice fiscal, pas sur la liste nominale. Une entreprise avec beaucoup de temps partiels peut rester sous le seuil même avec 60 personnes sur la paie. Pour les PME proches des seuils NIS2, vérifiez votre effectif ETP et votre critère financier (10 M€ CA ou bilan) sur le dernier exercice clôturé.
Critère 2 : les 18 secteurs d’activité NIS2
11 secteurs hautement critiques → entités essentielles
1. Énergie
- Électricité (production, transport, distribution)
- Gaz, pétrole, hydrogène
- Chauffage urbain
2. Transports
- Aérien, ferroviaire, maritime, routier
- Gestionnaires d'infrastructure
- Systèmes de contrôle du trafic
3-4. Finance
- Établissements de crédit
- Bourses, chambres de compensation
- Dépositaires centraux
5. Santé
- Hôpitaux, laboratoires de référence
- Fabricants de médicaments
- Dispositifs médicaux critiques
6-7. Eau
- Eau potable (fournisseurs, distributeurs)
- Eaux usées (collecte, traitement)
8-9. Numérique
- Fournisseurs cloud, data centers, CDN
- DNS, télécom, confiance électronique
- MSP et MSSP (infogérance)
10. Administration
- Administration centrale et régionale
- Selon criticité définie par l'État
11. Espace
- Opérateurs d'infrastructures terrestres
- Stations sol, contrôle satellites
7 secteurs critiques → entités importantes
-
12. Services postaux et d'expédition : Opérateurs postaux, prestataires de services de colis.
-
13. Gestion des déchets : Collecte, traitement, élimination des déchets.
-
14. Produits chimiques : Fabrication et distribution de substances chimiques.
-
15. Denrées alimentaires : Grossistes et distributeurs industriels. Pas les restaurants ni le commerce de détail.
-
16. Fabrication : Dispositifs médicaux, équipements électroniques/optiques, machines, véhicules. Un fabricant de composants de 80 salariés est concerné.
-
17-18. Fournisseurs numériques et Recherche : Places de marché en ligne, moteurs de recherche, réseaux sociaux. Organismes de recherche (universités, CNRS, instituts).
Critère 3 : les exceptions et désignations spécifiques
Certaines entités sont concernées par NIS2 même sous les seuils de taille :
- Opérateurs DNS et registres TLD : la taille ne compte pas, la criticité de l’infrastructure prime.
- Prestataires de confiance électronique (signatures, cachets, horodatage eIDAS) : désignés automatiquement.
- Collectivités territoriales de plus de 30 000 habitants : selon le ReCyf v2.5 publié par l’ANSSI le 17 mars 2026, elles peuvent être désignées entités essentielles.
- Seul prestataire national d’un service essentiel : désignation explicite par l’État.
Entités essentielles vs entités importantes : ce qui change
Savoir qui est concerné par NIS2 ne suffit pas : il faut aussi déterminer votre catégorie. Les obligations de sécurité (mesures techniques et organisationnelles de l’article 21) sont identiques pour l’entité essentielle et l’entité importante. Ce qui diffère, c’est le régime de contrôle et les sanctions.
Comparaison des régimes EE / EI
| Critère | Entités Essentielles | Entités Importantes |
|---|---|---|
| Secteurs | Hautement critiques (1-11) | Autres critiques (12-18) |
| Supervision ANSSI | Proactive (contrôles réguliers) | Réactive (après incident) |
| Sanctions max | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
| Responsabilité dirigeants | Art. 20 — sanctions personnelles incl. interdiction de fonctions | Art. 20 — sanctions personnelles possibles |
Les entités essentielles peuvent recevoir des contrôles de l’ANSSI sans avoir eu d’incident — c’est la supervision proactive. Les entités importantes ne seront généralement contrôlées qu’après un événement signalé. Dans les deux cas, les dirigeants sont personnellement responsables (article 20) et les risques de sanctions NIS2 peuvent atteindre plusieurs millions d’euros.
PME sous les seuils : pourquoi vous êtes quand même impacté
Vous avez 35 salariés, 8 M€ de CA, et vous fournissez des services informatiques ou de sécurité à des entreprises industrielles ou de santé. NIS2 ne vous désigne pas directement. Pourtant, depuis la date limite de transposition (octobre 2024), de plus en plus de donneurs d’ordres vous envoient des questionnaires de sécurité.
C’est l’effet cascade de l’article 21 : les entités soumises à NIS2 doivent évaluer et gérer les risques de sécurité dans leur chaîne d’approvisionnement. Pour les NIS2 sous-traitants, la supply chain devient un vecteur d’obligations indirectes : même sans être directement désigné, vous devez répondre aux exigences de sécurité de vos clients concernés par NIS2. Concrètement, si vous êtes prestataire d’une entité NIS2, attendez-vous à :
- Des questionnaires de sécurité détaillés (politique RSSI, sauvegardes, MFA, chiffrement)
- Des audits de vos pratiques chez vous ou à distance
- Des clauses contractuelles imposant des exigences de sécurité minimales
- Des demandes relatives à vos propres sous-traitants
La conformité NIS2 de vos clients devient votre contrainte commerciale, même si la loi ne vous cible pas directement. Découvrez les obligations NIS2 en cascade pour les sous-traitants pour anticiper ces demandes.
Comment vérifier votre statut NIS2 en 2026
NIS2 concerne votre entreprise ? Ou vous n’êtes pas encore certain de votre périmètre ? Suivez ces trois étapes pour le déterminer avec certitude.
Étape 1 : vérifiez vos chiffres
Votre effectif atteint-il 50 salariés ETP ? Votre CA ou bilan dépasse-t-il 10 M€ ? Faites-vous partie d'un groupe qui dépasse ces seuils ? Si non aux trois questions, passez au critère des exceptions (DNS, TLD…).
Étape 2 : identifiez votre secteur
Votre activité principale relève-t-elle de l'un des 18 secteurs NIS2 ? Fournissez-vous des services numériques critiques (cloud, hébergement, infogérance) ? Les deux critères taille + secteur doivent être remplis simultanément.
Étape 3 : confirmez avec l'outil officiel
L'ANSSI met à disposition Mon Espace NIS2 pour trancher les cas limites. La directive NIS2 européenne est en cours de transposition en droit français via la Loi Résilience, actuellement en navette parlementaire. Le ReCyf v2.5 (ANSSI, mars 2026) précise les règles applicables. Consultez notre Loi Résilience : transposition française de NIS2 pour le calendrier d'adoption.
Vous êtes concerné par NIS2 : les premières actions
Si votre auto-diagnostic est positif, voici les quatre actions prioritaires :
- Validez officiellement votre statut via Mon Espace NIS2 et conservez la trace de cette démarche — cette documentation sera utile en cas de contrôle
- Identifiez un responsable interne de la mise en conformité (RSSI, DSI ou prestataire mandaté) avec un mandat clair de la direction
- Évaluez votre niveau actuel avec notre checklist NIS2 — 15 points opérationnels déclinés des 10 mesures de l’article 21 : gouvernance, gestion des risques, incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement
- Planifiez votre mise en conformité avec notre accompagnement NIS2 en Occitanie — la conformité prend 9 à 18 mois selon votre niveau de départ
La France n’a pas respecté le délai de transposition du 17 octobre 2024. La Loi Résilience est en cours d’adoption et les premières obligations s’appliqueront dès sa promulgation. Anticiper coûte moins cher que subir un contrôle ou une sanction — et plus vous prenez de l’avance, plus votre budget de mise en conformité reste maîtrisable.
FAQ : NIS2 et Éligibilité
NIS2 s'applique-t-il aux PME ?
Oui, si votre PME atteint ≥50 salariés ETP ET ≥10 M€ de chiffre d'affaires ou de bilan, et opère dans l'un des 18 secteurs NIS2. Les micro-entreprises (moins de 10 salariés, moins de 2 M€) sont généralement exemptées, sauf pour certaines infrastructures numériques critiques (DNS, TLD, cloud).
Comment savoir si mon entreprise est soumise à NIS2 ?
Vérifiez les 3 critères : taille (50 salariés ETP + 10 M€ CA ou bilan), appartenance aux 18 secteurs NIS2, et exceptions spécifiques (DNS, TLD, collectivités). Confirmez votre statut avec l'outil officiel MonEspaceNIS2 sur cyber.gouv.fr.
Les sous-traitants sont-ils concernés par NIS2 ?
Pas directement si vous êtes sous les seuils. Mais l'article 21 de la directive impose aux entités NIS2 d'évaluer la sécurité de leur chaîne d'approvisionnement. Attendez-vous à des questionnaires de sécurité, des audits et des clauses contractuelles renforcées de la part de vos clients soumis à NIS2.
Quelle différence entre entité essentielle et entité importante NIS2 ?
Les obligations de sécurité (mesures techniques et organisationnelles) sont identiques. La différence porte sur le régime de contrôle : supervision proactive pour les essentielles, réactive pour les importantes. Les sanctions maximales sont aussi différentes : 10 M€ ou 2 % du CA mondial pour les EE, contre 7 M€ ou 1,4 % pour les EI.
Quels sont les secteurs concernés par NIS2 ?
18 secteurs au total : 11 hautement critiques (énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace) et 7 critiques (services postaux, gestion des déchets, produits chimiques, denrées alimentaires, fabrication, fournisseurs numériques, recherche).
Les collectivités territoriales sont-elles concernées par NIS2 ?
Selon le ReCyf v2.5 publié par l'ANSSI en mars 2026, les collectivités territoriales de plus de 30 000 habitants peuvent être désignées entités essentielles, indépendamment des critères de taille standard. La Loi Résilience, en cours d'adoption, précisera le périmètre exact pour les administrations locales.
Vérifiez Votre Éligibilité NIS2
Obtenez un diagnostic personnalisé de votre situation NIS2 en Occitanie.
Demander un diagnostic