Périmètre d'application

Directive NIS2 : votre entreprise est-elle concernee ?

La directive NIS2 etend massivement le périmètre des entités soumises à des obligations cyber. Plus de 10 000 entreprises françaises sont concernees, contre environ 500 sous NIS1. Voici les critères pour déterminer si vous l'etes.

Mise à jour avril 2026

L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026, structuré en 4 piliers : Gouvernance, Protection, Défense, Résilience. La loi Résilience (transposition NIS2) sera examinée en hémicycle en juillet 2026. La plateforme MonEspaceNIS2 est ouverte au pré-enregistrement des entités.

Le double critère : secteur et taille

Pour être soumis a NIS2, une entité doit reunir deux conditions cumulatives. La première est d'exercer une activité dans l'un des 18 secteurs listes par la directive. La seconde est de dépassér un seuil de taille fixe par référence à la recommandation europeenne 2003/361/CE relative aux PME.

Le critère sectoriel

Les 18 secteurs sont repartis en deux annexes. L'Annexe I regroupe les 11 secteurs hautement critiques (énergie, transport, banque, infrastructures de marche financier, santé, eau potable, eaux usees, infrastructures numeriques, gestion des services TIC, administration publique, espace). L'Annexe II couvre 7 secteurs critiques (services postaux, dechets, fabrication, chimie, alimentation, fournisseurs numeriques, recherche).

Le detail complet de chaque secteur, avec exemples d'entreprises et sous-catégories, est documente sur notre page secteurs concernes.

Le critère de taille

Sont automatiquement concernees les entités dites moyennes et grandes :

Moyenne entreprise : 50 a 249 salariés, ou CA annuel entre 10 et 50 millions d'euros, ou bilan entre 10 et 43 millions d'euros.
Grande entreprise : 250 salariés ou plus, ou CA supérieur a 50 millions d'euros, ou bilan supérieur a 43 millions d'euros.

Les micro-entreprises (moins de 10 salariés et moins de 2 millions d'euros) et petites entreprises (moins de 50 salariés et moins de 10 millions d'euros) sont en principe exclues, mais des exceptions importantes existent.

Entités essentielles vs entités importantes

NIS2 distingue deux statuts qui conditionnent le niveau de supervision et le bareme des sanctions :

Critère	Entités essentielles	Entités importantes
Secteurs	Annexe I (11 secteurs hautement critiques)	Annexe II (7 secteurs critiques)
Taille minimum	Grande entreprise	Moyenne entreprise
Supervision	Ex ante (contrôles programmes)	Ex post (apres incident)
Amende max	10 millions d'euros ou 2 pourcent CA	7 millions d'euros ou 1,4 pourcent CA
Audit obligatoire	Oui, periodique	Non, sauf demande de l'autorite

Les exceptions et cas particuliers

Entités concernees quel que soit leur taille

Independamment du seuil de taille, certaines entités sont automatiquement concernees :

Fournisseurs de services DNS, registres de noms de domaine de premier niveau.
Fournisseurs de services de confiance qualifies (certificats electroniques, horodatage).
Opérateurs de réseaux de communications electroniques publics.
Administration publique centrale (ministeres, agences nationales).
Entités identifiees comme opérateurs critiques au titre de la directive REC.

Sous-traitants et fournisseurs critiques

Les sous-traitants ne sont pas formellement désignés comme entités NIS2, mais ils subissent indirectement la pression reglementaire. La directive impose en effet aux entités concernees d'intégrér la sécurité de la chaîne d'approvisionnement dans leur gestion des risques. Concretement, vos clients NIS2 vous demanderont des engagements contractuels, des audits, voire des certifications.

A retenir

Si vous etes un sous-traitant critique d'une entité NIS2 (hebergeur, éditeur de logiciel, infogerant, prestataire MSP, fournisseur de cloud), preparez-vous a devoir documenter votre posture de sécurité et a accepter des audits. Le marche va se segmenter entre prestataires capables de demontrer leur conformité et les autres.

Auto-diagnostic en 5 questions

Mon activité figure-t-elle dans l'une des 18 catégories listees aux annexes I et II de NIS2 ?
Mon entreprise emploie-t-elle plus de 50 salariés ou realise-t-elle plus de 10 millions d'euros de chiffre d'affaires ?
Suis-je un fournisseur de services numeriques spécifique (DNS, registre, services de confiance qualifies) ?
Suis-je un sous-traitant critique d'un opérateur essentiel ou d'une administration ?
Mon entité a-t-elle déjà ete désignée opérateur d'importance vitale (OIV) ou opérateur de services essentiels (OSE) sous l'ancienne directive NIS1 ?

Si vous repondez oui à la question 1 et à la question 2, ou oui aux questions 3, 4 ou 5, vous etes vraisemblablement concerne par NIS2. Pour engager la démarche, consultez notre guide mise en conformité NIS2.

Et apres ?

Une fois votre éligibilité confirmee, la prochaîne étape consiste a comprendre les obligations NIS2 qui s'imposent a vous, puis a évaluer l'écart entre votre posture actuelle et le niveau d'exigence reglementaire. Notre guide complet détaillé chacune de ces étapes.