Les 18 secteurs NIS2 : liste complète, critères et obligations par secteur
La question qu’on nous pose le plus souvent n’est pas « qu’est-ce que NIS2 ». Elle est : « est-ce que mon secteur est concerné ?». Et la réponse n’est pas toujours évidente. La directive couvre 18 secteurs, mais les subdivisions à l’intérieur de chaque secteur peuvent inclure des activités qu’on n’imaginerait pas spontanément dans une réglementation cyborsécurité.
Voici la cartographie complète, avec les distinctions qui comptent vraiment en pratique.
La logique de classification : Annexe I vs Annexe II
La directive NIS2 ne traite pas les 18 secteurs de façon identique. Elle les répartit en deux catégories aux exigences distinctes :
- Annexe I - Secteurs hautement critiques (11 secteurs) : surveillance proactive de l’ANSSI, sanctions maximales, obligation de résultat renforcée.
- Annexe II - Secteurs critiques (7 secteurs) : surveillance réactive, sanctions légèrement inférieures, mais obligations de fond identiques.
En pratique, la différence principale tient au régime de contrôle. Les entités de l’Annexe I peuvent faire l’objet d’audits et d’inspections sans attendre qu’un incident survienne. Celles de l’Annexe II ne seront généralement contrôlées qu’en cas de signalement ou d’incident avéré.
Appartenir à l’Annexe I ne signifie pas automatiquement être soumis aux obligations les plus lourdes. Le statut d’entité essentielle (EE) ou d’entité importante (EI) dépend aussi de la taille de l’organisation. Un établissement de santé de 45 salariés peut relèver de l’Annexe I sans être qualifié d’EE.
Annexe I : les 11 secteurs hautement critiques
1. Énergie
C’est le secteur le plus étendu de l’Annexe I. Il couvre l’électricité (production, transport, distribution, fourniture), le gaz naturel (transport, distribution, stockage, GNL), les hydrocarbures (oléoducs, stockage), l’hydrogène et le chauffage urbain. Les gestionnaires de réseaux de transport et de distribution sont systématiquement qualifiés d’EE, quelle que soit leur taille.
2. Transports
Quatre modes sont concernés : aérien (compagnies, aéroports, gestionnaires de trafic), ferroviaire (gestionnaires d’infrastructure, entreprises ferroviaires), maritime (compagnies, ports, systèmes de trafic maritime) et routier (autorités routières, opérateurs ITS). Les plateformes logistiques de grande taille tombent dans cette catégorie si elles opèrent des systèmes de contrôle critique.
3. Banque
Les établissements de crédit au sens de la directive CRD. En pratique, toutes les banques soumises à agrément de la BCE ou de l’ACPR en France. Les néobanques disposant d’un agrément bancaire complet sont concernées. Les prestataires de services de paiement sans agrément bancaire relèvent en revanche de l’Annexe II ou du règlement DORA.
4. Marchés financiers
Les opérateurs de marchés (Euronext Paris par exemple), les contreparties centrales (chambres de compensation) et les dépositaires centraux de titres. Ce secteur chevauche largement le périmètre du règlement DORA. Les entités soumises à DORA bénéficient d’une présomption de conformité partielle pour NIS2, mais la présomption n’est pas totale.
5. Santé
Hôpitaux, cliniques, laboratoires d’analyses médicales, fabricants de dispositifs médicaux critiques, prestataires de santé en ligne et centres de recherche pharmaceutique. Un CHU de 300 lits est automatiquement EE. Une clinique privée de 80 salariés sera EI. Ce secteur a fait l’objet d’une attention particulière de l’ANSSI après la multiplication des cyberattaques hospitalières entre 2022 et 2025.
6. Eau potable
Les fournisseurs d’eau destinée à la consommation humaine qui produisent ou distribuent plus de 10 m³/heure. Ce seuil est volontairement bas pour inclure les syndicats intercommunaux des zones rurales. C’est l’un des secteurs où de très petites structures peuvent se retrouver dans le champ NIS2.
7. Eaux usées
Les entreprises qui collectent, évacuent ou traitent les eaux urbaines résiduaires et les eaux industrielles usées. Les régies municipales de taille moyenne entrent dans ce périmètre dès lors qu’elles dépassent le seuil de 50 salariés ou 10 millions d’euros de CA.
8. Infrastructures numériques
Le secteur le plus technique de l’Annexe I. Il comprend les points d’échange internet (IXP), les fournisseurs de services DNS (hors serveurs racines), les registres TLD, les fournisseurs de services cloud, les centres de données, les réseaux de diffusion de contenu (CDN), les fournisseurs de services de confiance qualifiés (eIDAS) et les fournisseurs de réseaux de communications électroniques publics.
Un hébergeur cloud de 80 salariés peut être qualifié d’EI ou d’EE selon son chiffre d’affaires et la nature de ses clients. Pour plus de détails, voir notre article sur NIS2 pour les hébergeurs et fournisseurs cloud.
9. Gestion de services TIC (B2B)
Les fournisseurs de services gérés (MSP) et les fournisseurs de services de sécurité gérés (MSSP) sont explicitement visés. C’est une nouveauté majeure par rapport à NIS1. Un intégrateur ou prestataire informatique gérant des infrastructures pour des clients dans des secteurs critiques entre dans ce périmètre.
10. Administration publique
Les administrations centrales de l’État, les collectivités territoriales dépassant certains seuils de population et les organismes publics gérant des services critiques. La France a retenu une approche progressive pour les collectivités locales dans son projet de loi Résilience. Pour le détail, voir notre article sur NIS2 pour les collectivités territoriales.
11. Espace
Les opérateurs d’infrastructures terrestres qui soutiennent des services spatiaux : stations de contrôle, opérateurs de satellites, fournisseurs de services de navigation. Airbus Defence and Space, Thales Alenia Space ou les opérateurs de télécommunications par satellite sont clairement visés.
Annexe II : les 7 secteurs critiques
12. Services postaux et de livraison de colis
La Poste en tant qu’opérateur universel, mais aussi les grands prestataires de livraison de colis (DHL, Chronopost, GLS...) dès lors qu’ils dépassent les seuils de taille. La numérisation croissante des systèmes de tri et de suivi justifie l’inclusion de ce secteur.
13. Gestion des déchets
Les opérateurs de collecte et de traitement des déchets dangereux, les exploitants d’installations de traitement des eaux usées industrielles. Les grandes régies de collecte urbaine ne sont pas systématiquement concernées si elles n’atteignent pas les seuils.
14. Fabrication, production et distribution de substances chimiques
Les fabricants de produits chimiques dont la perturbation pourrait avoir un impact systémique. TotalÉnergies Chimie, Arkema, Solvay - mais aussi des spécialistes de taille plus modeste travaillant sur des substances critiques.
15. Production, transformation et distribution de denrées alimentaires
Les opérateurs de la chaîne alimentaire dont la taille dépasse les seuils NIS2 et qui assurent un rôle dans la sécurité alimentaire nationale. Les grands groupes de distribution (Carrefour, Leclerc) et les coopératives agricoles de grande taille sont potentiellement concernés.
16. Fabrication (manufacturing)
C’est le secteur le plus large de l’Annexe II. Il couvre la fabrication de dispositifs médicaux non critiques, de matériel informatique et électronique, de matériel électrique, de machines, de véhicules automobiles et de matériels de transport. Une entreprise de 300 salariés fabriquant des équipements industriels peut être EI si elle répond aux critères de taille.
17. Fournisseurs de services numériques
Les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de réseaux sociaux. Amazon Marketplace, Google, Meta - mais aussi les plateformes françaises d’une certaine taille. Ce secteur était déjà couvert sous NIS1, mais les obligations sont désormais alignées sur le reste de NIS2.
18. Recherche
Les organismes de recherche dont les activités ont une importance pour la sécurité nationale ou la compétitivité économique : CNRS, CEA, INRIA, grandes écoles d’ingénieurs et universités actives dans des domaines sensibles (défense, nucléaire, spatial, pharmacie).
Beaucoup d’entreprises du secteur "fabrication" concluent trop vite qu’elles ne sont pas concernées parce qu’elles ne fabriquent pas de produits "high-tech". L’Annexe II vise aussi les fabricants de machines-outils, de systèmes hydrauliques ou de composants automobiles. Si vous êtes fournisseur d’un OEM lui-même soumis à NIS2, posez-vous la question de votre propre éligibilité - et de vos obligations vis-à-vis de votre chaîne d’approvisionnement au sens de l’article 21.2d.
Tableau récapitulatif des 18 secteurs NIS2
| # | Secteur | Annexe | Surveillance | Sanction max EE |
|---|---|---|---|---|
| 1 | Énergie | I | Proactive | 10 M€ ou 2 % CA |
| 2 | Transports | I | Proactive | 10 M€ ou 2 % CA |
| 3 | Banque | I | Proactive | 10 M€ ou 2 % CA |
| 4 | Marchés financiers | I | Proactive | 10 M€ ou 2 % CA |
| 5 | Santé | I | Proactive | 10 M€ ou 2 % CA |
| 6 | Eau potable | I | Proactive | 10 M€ ou 2 % CA |
| 7 | Eaux usées | I | Proactive | 10 M€ ou 2 % CA |
| 8 | Infrastructures numériques | I | Proactive | 10 M€ ou 2 % CA |
| 9 | Gestion services TIC | I | Proactive | 10 M€ ou 2 % CA |
| 10 | Administration publique | I | Proactive | 10 M€ ou 2 % CA |
| 11 | Espace | I | Proactive | 10 M€ ou 2 % CA |
| 12 | Services postaux | II | Réactive | 7 M€ ou 1,4 % CA |
| 13 | Gestion des déchets | II | Réactive | 7 M€ ou 1,4 % CA |
| 14 | Chimie | II | Réactive | 7 M€ ou 1,4 % CA |
| 15 | Alimentation | II | Réactive | 7 M€ ou 1,4 % CA |
| 16 | Fabrication | II | Réactive | 7 M€ ou 1,4 % CA |
| 17 | Services numériques | II | Réactive | 7 M€ ou 1,4 % CA |
| 18 | Recherche | II | Réactive | 7 M€ ou 1,4 % CA |
Les seuils de taille : qui est EE, qui est EI
Appartenir à l’un des 18 secteurs ne suffit pas. Il faut aussi dépasser un seuil de taille. La directive croise secteur et taille pour déterminer le statut :
| Taille de l’organisation | Secteur Annexe I | Secteur Annexe II |
|---|---|---|
| Grande (250+ salariés ou 50 M€+ CA et 43 M€+ bilan) | Entité essentielle (EE) | Entité importante (EI) |
| Moyenne (50-249 salariés ou 10-50 M€ CA) | Entité importante (EI) | Entité importante (EI) |
| Petite (moins de 50 salariés et moins de 10 M€ CA) | Non soumise (sauf exceptions) | Non soumise (sauf exceptions) |
Résultat : une ETI de 180 salariés active dans la santé (Annexe I) est EI, pas EE. Mais elle reste pleinement soumise aux obligations de l’article 21 - seul le régime de surveillance et le barème de sanctions diffèrent. Pour le détail des obligations, notre article sur les 10 mesures de l’article 21 couvre l’ensemble des exigences.
Votre secteur est dans la liste ?
Vérifiez votre éligibilité exacte et obtenez un premier diagnostic de votre niveau de conformité NIS2.
Demander un diagnostic gratuitLes exceptions aux seuils de taille
La directive prévoit des cas où la taille n’a pas d’importance. Certaines entités sont soumises à NIS2 quelle que soit leur taille :
- Les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public
- Les fournisseurs de services de confiance qualifiés (au sens d’eIDAS)
- Les registres de noms de domaine de premier niveau et les fournisseurs de services DNS
- Les entités désignées comme critiques par un État membre pour des raisons de sécurité nationale ou d’ordre public
- Tout opérateur désigné comme opérateur de service essentiel (OSE) sous NIS1, pendant la période de transition
La France peut également désigner des entités supplémentaires dans chaque secteur si leur perturbation aurait un impact systémique significatif - même si elles sont techniquement en dessous des seuils. Le ReCyF publié par l’ANSSI le 17 mars 2026 apporte des précisions sur les critères de désignation.
Obligations spécifiques par secteur : nuances et points de vigilance
Les 10 mesures de l’article 21 s’appliquent à toutes les entités soumises à NIS2. Mais certains secteurs ont des exigences complémentaires issues d’autres textes sectoriels :
Secteur financier : DORA en complément
Les banques, sociétés d’investissement, établissements de paiement et assureurs relèvent du règlement DORA (Digital Operational Resilience Act) entré en application le 17 janvier 2025. L’article 1er de DORA précise explicitement que les entités soumises à ce règlement sont considérées comme conformes aux exigences NIS2 correspondantes. Mais ce n’est pas un blanc-seing total : les obligations de notification d’incidents restent distinctes. Voir notre comparatif NIS2 vs DORA pour le détail.
Secteur santé : contraintes RGPD et HDS
Les établissements de santé gèrent des données de santé à caractère personnel - catégorie sensible au sens du RGPD. Un incident cyber notifié à l’ANSSI peut simultanément déclencher une notification à la CNIL si des données personnelles sont compromises. La certification HDS couvre partiellement les exigences NIS2 pour les hébergeurs, mais pas pour les établissements eux-mêmes. Pour la relation entre NIS2 et protection des données, voir notre article sur l’articulation NIS2 et RGPD.
Secteur énergie : référentiels ANSSI spécifiques
Les opérateurs d’importance vitale (OIV) du secteur énergie étaient déjà soumis à des obligations de sécurité des systèmes d’information (SSIV) sous la loi de programmation militaire. NIS2 s’ajoute à ce dispositif sans le remplacer. La coexistence des deux régimes nécessite un mapping précis pour éviter les redondances et identifier les lacunes.
Secteur services TIC : responsabilité étendue aux clients
Les MSP et MSSP ont une responsabilité particulière : leurs propres systèmes peuvent servir de vecteur d’attaque contre leurs clients dans des secteurs critiques. NIS2 exige qu’ils sécurisent leur propre infrastructure avec le même niveau d’exigence que s’ils étaient directement l’entité essentielle visée. C’est un point souvent sous-estimé dans les audits de conformité.
Pour comprendre l’articulation entre NIS2 et d’autres référentiels comme l’ISO 27001, consultez notre article sur la correspondance NIS2 / ISO 27001. Et pour les échéances réglementaires, consultez notre calendrier de transposition NIS2.
Questions fréquentes
Quels sont les 18 secteurs couverts par la directive NIS2 ?
La directive NIS2 couvre 11 secteurs hautement critiques (Annexe I) : énergie, transports, banque, marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion de services TIC, administration publique, espace. Et 7 secteurs critiques (Annexe II) : services postaux, gestion des déchets, chimie, alimentation, fabrication, services numériques, recherche.
Quelle est la différence entre entité essentielle et entité importante ?
Les entités essentielles (EE) opèrent dans les secteurs de l’Annexe I et dépassent les seuils d’une grande entreprise (250+ salariés ou 50 M€+ de CA). Elles sont soumises à une surveillance proactive et aux sanctions les plus élevées (10 M€ ou 2 % du CA mondial). Les entités importantes (EI) relèvent de l’Annexe II ou des seuils intermédiaires : surveillance réactive, sanctions jusqu’à 7 M€ ou 1,4 % du CA.
Une PME peut-elle être soumise à NIS2 ?
Oui. Une PME de 50 à 249 salariés ou réalisant entre 10 et 50 millions d’euros de CA, active dans l’un des 18 secteurs, peut être qualifiée d’entité importante. Des exceptions s’appliquent : les fournisseurs de réseaux de communications électroniques ou les registres TLD sont soumis à NIS2 quelle que soit leur taille.
Comment savoir si mon entreprise relève de NIS2 ?
Deux critères cumulatifs : appartenir à l’un des 18 secteurs listés aux Annexes I ou II de la directive, et dépasser les seuils de taille (50 salariés ou 10 M€ de CA). L’ANSSI a ouvert MonEspaceNIS2 pour le pré-enregistrement. Utilisez notre auto-diagnostic NIS2 pour une première évaluation.
Quels secteurs ont les obligations les plus strictes sous NIS2 ?
Les secteurs de l’Annexe I ont les obligations les plus strictes : énergie, transports, santé, banque et infrastructures numériques notamment. Ces entités sont soumises à une surveillance proactive de l’ANSSI et aux sanctions maximales. Consultez notre page sanctions NIS2 pour le barème complet.
Vous avez identifié votre secteur. Vérifiez maintenant votre niveau de conformité vis-à-vis des 10 mesures de l’article 21, consultez le calendrier de transposition pour les échéances clés, et utilisez notre auto-diagnostic NIS2 pour obtenir une première évaluation de votre situation.