Géographique - Avril 2026

NIS2 à Paris et en Île-de-France : quelles entreprises sont concernées et comment se préparer

L'Île-de-France concentre plus d'un tiers des entités françaises potentiellement soumises à la directive NIS2. Entre sièges sociaux de groupes, opérateurs d'infrastructures critiques, collectivités et scale-ups numériques, le tissu économique francilien est en première ligne. Ce guide fait le point sur les enjeux spécifiques à la région parisienne.

Paris, première région exposée à NIS2

La directive NIS2 ne connaît pas de frontières géographiques internes : une entité française est soumise à la même réglementation qu'elle soit basée à Dunkerque ou à La Défense. Mais la concentration d'activités critiques en Île-de-France rend la région particulièrement exposée.

Selon les estimations de l'ANSSI, entre 10 000 et 15 000 entités françaises entrent dans le périmètre NIS2. L'Île-de-France, qui abrite 31 % des entreprises de taille intermédiaire (ETI) et 38 % des grandes entreprises nationales selon l'INSEE, représente probablement 30 à 35 % de ce total - soit 3 000 à 5 000 entités concernées sur le seul territoire régional.

Ce n'est pas seulement une question de volume. La région concentre les sièges sociaux qui décident des politiques cybersécurité pour des filiales en province, les data centers hébergeant l'infrastructure numérique nationale, les établissements de santé les plus importants de France, et les administrations centrales. Un incident cyber majeur sur une entité NIS2 francilienne peut avoir des répercussions nationales immédiates.

À retenir

L'obligation NIS2 s'attache à l'entité juridique et à son activité, pas à sa localisation géographique. Un siège social à Paris avec des activités dans 10 régions est soumis à NIS2 au titre de son secteur d'activité - et les mesures doivent couvrir l'ensemble du système d'information, y compris les sites distants.

Les secteurs NIS2 les plus représentés en Île-de-France

Parmi les 18 secteurs couverts par la directive, plusieurs sont surreprésentés en Île-de-France par rapport au reste du territoire :

Secteur Entités NIS2 (type) Spécificité francilienne
Infrastructures numériques Data centers, IXP, DNS, cloud 80 % des data centers tier III+ français en Île-de-France
Gestion des services TIC ESN, intégrateurs, MSP Concentration des grandes ESN (Capgemini, Sopra, Atos...)
Marchés financiers Banques, assurances, bourses La Défense : premier quartier d'affaires européen
Santé CHU, hôpitaux, cliniques AP-HP (38 hôpitaux, 100 000 agents), plus grand groupe hospitalier d'Europe
Transport Aéroports, SNCF, RATP, gestionnaires CDG et Orly, siège RATP, siège SNCF
Administration publique Ministères, mairies, EPCI, régions Toutes les administrations centrales de l'État

Pour vérifier si votre secteur est couvert, consultez la page 18 secteurs NIS2 concernés avec le détail de chaque annexe.

Les collectivités d'Île-de-France face à NIS2

La question des collectivités territoriales est particulièrement sensible en Île-de-France. La directive NIS2 couvre les administrations publiques au niveau central et régional (article 2, point 3). La transposition française devra préciser les seuils exacts, mais plusieurs éléments sont déjà certains :

  • La Mairie de Paris (55 000 agents, budget 11 Md€) sera très probablement qualifiée d'entité essentielle ou importante selon les critères retenus
  • Le Conseil régional d'Île-de-France et les 7 conseils départementaux entrent dans le périmètre des administrations régionales
  • Les communes de plus de 30 000 habitants - Boulogne-Billancourt, Versailles, Nanterre, Créteil, Montreuil, Argenteuil, etc. - pourraient être concernées selon les seuils retenus dans la loi Résilience
  • Les grands EPCI comme la Métropole du Grand Paris et les établissements publics territoriaux (EPT) opèrent des systèmes d'information critiques qui les exposent au champ NIS2

Les collectivités avancent sur ce sujet avec le soutien de l'ANSSI via le programme CaRE (Cybersécurité accélérée pour les établissements de santé) et les dispositifs de l'OPSN (Opérateurs publics de services numériques). Pour approfondir, notre article sur NIS2 et collectivités territoriales détaille les enjeux et les calendriers.

Erreur fréquente

Certaines collectivités parisiennes pensent être exclues de NIS2 parce qu'elles ne "font pas de numérique". C'est inexact : dès lors qu'une administration publique régionale ou centrale fournit des services essentiels à la population et gère des systèmes d'information, elle peut être qualifiée d'entité importante. La gestion des eaux, des déchets ou des transports urbains suffit à entrer dans le périmètre.

PME et ETI parisiennes : êtes-vous vraiment concernées ?

NIS2 ne cible pas toutes les entreprises. Les seuils sont clairs : une entité doit employer au moins 50 salariés OU dépasser 10 millions d'euros de chiffre d'affaires annuel, ET exercer dans l'un des 18 secteurs critiques. En dessous de ces seuils, l'obligation ne s'applique pas directement.

Cependant, deux cas pratiques méritent l'attention des PME franciliennes :

  1. Sous-traitance critique : Une PME de 20 salariés qui fournit un service essentiel à une entité NIS2 (hébergeur, intégrateur, prestataire cyber) sera soumise à des exigences contractuelles croissantes. Les entités NIS2 doivent gérer leur chaîne d'approvisionnement (article 21, mesure 7) - ce qui se traduit par des clauses de sécurité imposées aux fournisseurs.
  2. Groupes et filiales : Une filiale francilienne d'un groupe étranger peut être qualifiée au titre de son activité propre, même si elle n'atteint pas les seuils de taille seule. La directive s'apprécie entité par entité, mais l'appartenance à un groupe peut modifier l'évaluation.

Pour trancher rapidement, utilisez notre auto-diagnostic NIS2 gratuit. Si vous êtes éligible, la mise en conformité NIS2 doit être enclenchée sans délai.

L'AP-HP et le secteur santé parisien : un cas d'école NIS2

L'Assistance Publique - Hôpitaux de Paris représente le cas NIS2 le plus emblématique en Île-de-France. Avec 38 établissements, plus de 100 000 agents, un système d'information gérant des millions de dossiers patients et des infrastructures médicales critiques, l'AP-HP sera sans aucun doute qualifiée d'entité essentielle dans le secteur Santé.

La cyberattaque subie par l'Hôpital de Corbeil-Essonnes en 2022 (ransomware Lockbit, données de 950 000 patients exfiltrées) illustre ce que NIS2 cherche à prévenir. Depuis cet incident, les obligations de notification s'appliquent désormais dans un délai de 24h pour l'alerte initiale - délai impossible à tenir sans une organisation de réponse aux incidents préalablement rodée.

Les établissements de santé parisiens avancent également dans le cadre du programme CaRE 2023-2027 qui alloue 750 millions d'euros à la cybersécurité hospitalière en France. Pour les hôpitaux, NIS2 vient renforcer un dispositif déjà en cours, mais impose une gouvernance et des obligations de reporting que beaucoup n'ont pas encore formalisées.

Comment se préparer : feuille de route pour une entité francilienne

Que vous soyez DSI d'un groupe basé à La Défense, RSSI d'un établissement de santé à l'AP-HP ou responsable cyber d'une ETI du secteur numérique à Paris, la démarche de conformité NIS2 suit la même logique en quatre phases :

Phase Contenu Délai indicatif
1 - Éligibilité Vérifier secteur + seuils de taille, enregistrement sur MonEspaceNIS2 1 à 2 semaines
2 - Analyse d'écart Gap analysis sur les 10 mesures article 21 vs situation actuelle 4 à 8 semaines
3 - Plan de remédiation Priorisation des actions, budget, responsables, jalons 2 à 4 semaines
4 - Mise en oeuvre Déploiement technique, formation des dirigeants (article 20), documentation 12 à 24 mois

Paris concentre la quasi-totalité des prestataires qualifiés ANSSI en France : PASM (prestataires d'accompagnement et de suivi en matière de sécurité), PASSI (prestataires d'audit), PDIS et PRIS pour la réponse aux incidents. Consulter le Référentiel Cyber France (ReCyF) permet de comprendre le cadre dans lequel ces prestataires opèrent et les attentes concrètes de l'ANSSI.

Pour les obligations détaillées, l'article de référence reste notre décryptage des obligations NIS2 article 21, qui couvre mesure par mesure ce que votre entité doit mettre en place.

Exemple concret - ETI logistique à Roissy

Un opérateur logistique de 800 salariés basé à Roissy-en-France, prestataire de l'aéroport CDG, entre dans le secteur Transport (Annexe I de NIS2). Son périmètre NIS2 couvre les systèmes de gestion d'entrepôt (WMS), les outils de traçabilité et les liaisons EDI avec les transporteurs. Première étape identifiée lors d'une gap analysis récente : absence de procédure de notification d'incidents formalisée et pas de segmentation réseau entre systèmes OT et IT. Remédiation estimée à 18 mois.

Questions fréquentes sur NIS2 à Paris et en Île-de-France

Combien d'entreprises parisiennes sont concernées par NIS2 ?

L'Île-de-France concentre entre 3 000 et 4 500 entités potentiellement soumises à NIS2 selon les estimations, soit environ 30 à 35 % du total national. Ce chiffre inclut les sièges sociaux, les collectivités, les établissements de santé et les opérateurs d'infrastructures numériques.

Les collectivités parisiennes (mairies, EPCI) sont-elles concernées par NIS2 ?

Oui. La directive NIS2 couvre les administrations publiques centrales et régionales. En Île-de-France, la mairie de Paris, le Conseil régional, les grandes communes et les établissements publics de coopération intercommunale (EPCI) entrent dans le périmètre sous réserve des seuils de la loi française de transposition.

Un siège social à Paris mais des activités en province est-il soumis à NIS2 ?

Oui. C'est le siège social qui est l'entité juridique soumise à NIS2. L'obligation s'applique à l'ensemble de l'organisation, quel que soit le lieu d'exploitation des activités. Les mesures de cybersécurité doivent couvrir l'intégralité du système d'information, y compris les sites distants et les filiales nationales.

Quels prestataires parisiens peuvent aider à la conformité NIS2 ?

Paris concentre la majorité des grands cabinets de conseil en cybersécurité, des intégrateurs et des prestataires MSSP qualifiés ANSSI. Pour des prestations de mise en conformité NIS2, privilégiez les prestataires référencés PASM ou PASSI par l'ANSSI, dont la liste est publiée sur le site de l'agence.

Par où commencer la conformité NIS2 pour une ETI parisienne ?

La première étape est de vérifier l'éligibilité au regard des seuils (50 salariés ou 10 M€ de CA) et du secteur d'activité. Ensuite : réaliser un auto-diagnostic sur MonEspaceNIS2, procéder à une analyse d'écart (gap analysis) par rapport aux 10 mesures de l'article 21, puis définir un plan de remédiation priorisé sur 12 à 18 mois.

Votre organisation francilienne est-elle concernée par NIS2 ?

Que vous soyez basé à Paris, en petite couronne ou en grande couronne, l'éligibilité NIS2 se détermine en quelques minutes. Diagnostic gratuit, résultat immédiat.

Vérifier mon éligibilité NIS2

Articles liés : Obligations NIS2 article 21 - Sanctions NIS2 - NIS2 collectivités territoriales - NIS2 PME/ETI - Gap analysis NIS2 - ReCyF ANSSI

Vérifier ma conformité NIS2