NIS 2 : votre entreprise est-elle concernée ?
La directive européenne NIS 2 (Network and Information Security 2 — directive 2022/2555) est entrée en vigueur le 16 janvier 2023. Elle remplace et élargit considérablement la directive NIS 1 de 2016, en étendant son périmètre à de nombreux nouveaux secteurs et en relevant les exigences de cybersécurité.
En France, la transposition nationale est en cours via un projet de loi « Cyber » piloté par l’ANSSI. Les premières notifications aux entités concernées sont attendues courant 2025, avec des obligations de mise en conformité progressives jusqu’en 2026-2027.
Environ 15 000 à 25 000 entités françaises seront assujetties — contre 500 sous NIS 1. Êtes-vous dans le périmètre ?
Les secteurs concernés
Annexe I — Secteurs hautement critiques
- ▸Énergie (électricité, gaz, pétrole, hydrogène)
- ▸Transports (aérien, ferroviaire, maritime, routier)
- ▸Banque et infrastructures des marchés financiers
- ▸Santé (hôpitaux, labos, R&D pharma, dispositifs médicaux)
- ▸Eau potable et eaux usées
- ▸Infrastructures numériques (DNS, points d'échange, cloud, CDN)
- ▸Gestion des services TIC (MSP, MSSP)
- ▸Espace
- ▸Administration publique (centrale et régionale)
Annexe II — Autres secteurs critiques
- ▸Services postaux et de messagerie
- ▸Gestion des déchets
- ▸Fabrication (chimie, alimentation, dispositifs médicaux, électronique, machines, véhicules)
- ▸Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
- ▸Recherche
Les seuils de taille : EE vs EI
NIS 2 distingue deux catégories d’entités selon leur taille. Le statut détermine le niveau d’exigence et le montant des sanctions.
| Critère | EE — Entité Essentielle | EI — Entité Importante |
|---|---|---|
| Effectif | ≥ 250 salariés | ≥ 50 salariés |
| Chiffre d'affaires annuel | > 50 M€ | > 10 M€ |
| Bilan total | > 43 M€ | > 10 M€ |
| Sanctions max. | 10 M€ ou 2 % CA mondial | 7 M€ ou 1,4 % CA mondial |
| Supervision | Proactive (contrôles réguliers) | Réactive (après incident) |
Note : une entité est classée EE si elle dépasse à la fois le seuil d’effectif ET l’un des deux seuils financiers. Les entités dans les secteurs Annexe I dépassant les seuils EI mais pas EE sont classées EI.
Et les sous-traitants ?
NIS 2 introduit une obligation explicite de gestion des risques liés à la chaîne d’approvisionnement. Les entités assujetties doivent évaluer et contractualiser les exigences de cybersécurité avec leurs fournisseurs et prestataires numériques.
En pratique, si vous êtes prestataire IT, éditeur de logiciel, ESN, hébergeur ou intégrateur pour une entité soumise à NIS 2, votre client pourra vous imposer des audits, des questionnaires de sécurité et des clauses contractuelles renforcées.
Par ailleurs, certains fournisseurs de services managés (MSP) et prestataires de sécurité managée (MSSP) sont directement visés par la directive via l’Annexe I, quelle que soit leur taille, en raison du risque systémique qu’ils représentent.
Diagnostic en ligne — Gratuit
Êtes-vous concerné par NIS 2 ?
Notre wizard de qualification NIS 2 vous donne une réponse en 2 minutes. Puis évaluez votre maturité cybersécurité avec notre self-assessment RECYF.
Faites votre diagnostic gratuit en 10 minutesQuestions fréquentes
Et si je suis sous-traitant d'une entité NIS 2 ?+
Vous n'êtes pas directement assujetti à NIS 2 sauf si vous entrez vous-même dans le périmètre (secteur + taille). Cependant, votre client EE ou EI devra évaluer vos pratiques de cybersécurité et peut vous imposer des obligations contractuelles : audit, questionnaire, certifications (ISO 27001, SecNumCloud). Anticiper ces exigences est un avantage commercial.
Quelles sanctions en cas de non-conformité ?+
Les sanctions administratives prévues par NIS 2 peuvent atteindre 10 M€ ou 2 % du chiffre d'affaires annuel mondial pour les Entités Essentielles, et 7 M€ ou 1,4 % du CA pour les Entités Importantes. L'ANSSI dispose également de pouvoirs d'injonction et de suspension temporaire d'activité pour les dirigeants en cas de manquements graves répétés.
Quelle est la deadline pour se mettre en conformité ?+
La directive devait être transposée en droit national avant le 17 octobre 2024. En France, le projet de loi Cyber est toujours en cours de discussion au Parlement début 2025. L'ANSSI prévoit une phase d'enregistrement des entités en 2025, suivie d'une montée en exigences progressive. Il est recommandé de commencer dès maintenant : un audit de maturité prend plusieurs semaines, et les plans d'action peuvent s'étaler sur 12 à 24 mois.
Je suis une PME de 60 salariés dans le secteur de l'alimentation. Suis-je concerné ?+
Potentiellement oui. Le secteur de la fabrication alimentaire figure en Annexe II. Avec 60 salariés, vous dépassez le seuil de 50 salariés pour les Entités Importantes. Si votre chiffre d'affaires ou bilan dépasse 10 M€, vous entrez dans le périmètre NIS 2. Utilisez notre wizard de qualification pour obtenir une réponse précise en 2 minutes.