NIS 2 : Qui est concerné par la nouvelle directive européenne cybersécurité ?

Face à la montée en puissance des cyberattaques et à l'interdépendance croissante de nos systèmes numériques, l’Union européenne a décidé de hausser le ton. Adoptée en décembre 2022, la directive NIS 2 (pour Network and Information Security) marque un changement d’échelle radical dans la régulation de la cybersécurité en Europe.

Elle remplace la directive NIS 1, en vigueur depuis 2016, en élargissant considérablement son périmètre : désormais, ce ne sont plus seulement les “grands opérateurs stratégiques” qui sont visés, mais des milliers d’entités publiques et privées, de toute taille, dès lors qu'elles relèvent d’un secteur jugé critique.

Mais alors, qui est réellement concerné par NIS 2 ? Comment savoir si votre entreprise, votre collectivité ou votre organisme tombe dans son périmètre d’application ? Quels sont les critères à surveiller ? Place à l'analyse.

Les entités concernées par NIS 2 : une extension sans précédent

Pour savoir si vous êtes concerné par NIS 2, il faut d’abord comprendre quels types d’entités sont visés. Cette partie vous donne les éléments pour vous situer clairement dans le dispositif.

De NIS 1 à NIS 2 : un changement d’échelle

La directive NIS 1, adoptée en 2016, ne s’appliquait qu’à une poignée d’Opérateurs de Services Essentiels (OSE) et de prestataires de services numériques. En France, cela représentait environ 250 entités, principalement des acteurs d’infrastructures critiques : énergies, banques, transport, santé, etc.

Avec NIS 2, l’Union européenne prend acte d’un fait : la résilience numérique ne peut reposer uniquement sur quelques “grands” acteurs. L’interconnexion des chaînes de valeur rend la cybersécurité de chaque maillon critique.

La directive NIS 2 vise désormais plus de 15 000 entités rien qu’en France, dont :

• des collectivités locales,
• des organismes publics ou parapublics,
• des entreprises privées, PME comprises.

L’élargissement ne porte pas seulement sur le volume, mais aussi sur le type d’acteurs concernés, via une approche combinant :

• le secteur d’activité (18 au total, listés dans les annexes I et II),
• la taille ou l’impact économique (effectifs, chiffre d’affaires, bilan),
• et parfois, une désignation par l’État, au cas par cas, en fonction du niveau de criticité.

Deux grandes catégories : Entités Essentielles (EE) vs Entités Importantes (EI)

Pour adapter les obligations aux enjeux, la directive introduit une distinction majeure entre entités essentielles (EE) et entités importantes (EI).

Catégorie	Définition	Seuils standards (hors cas particuliers)
EE (Entité essentielle)	Acteur critique ou d’envergure stratégique au niveau national ou européen	≥ 250 salariés ou Chiffre d’affaires annuel > 50 M€ et bilan annuel > 43 M€
EI (Entité importante)	Acteur significatif relevant d’un secteur critique, avec un impact moindre que les EE	≥ 50 salariés ou Chiffre d’affaires annuel > 10 M€ ou bilan annuel > 10 M€

Pourquoi une telle distinction ?

La différence entre EE et EI n’est pas seulement symbolique : elle conditionne plusieurs niveaux d’exigences :

• Surveillance : les EE sont soumises à une supervision proactive (audits, contrôles réguliers), tandis que les EI relèvent d’un contrôle a posteriori, activé en cas de manquement ou de signalement.
  
  
• Sanctions : en cas de non-respect, les EE peuvent être sanctionnées jusqu’à 2% du CA mondial, contre 1,4% pour les EI.
  
  
• Niveau de conformité attendu : le socle d’obligations est le même, mais les autorités peuvent adapter les modalités en fonction du niveau de criticité de l’entité.
  
  

Les secteurs d’activité concernés par NIS 2

L’un des apports majeurs de la directive NIS 2 est de clarifier et d’élargir le champ sectoriel des entités régulées. Là où NIS 1 restait concentrée sur un nombre restreint de secteurs stratégiques, NIS 2 répartit désormais 18 secteurs d’activité dans deux grandes catégories réglementaires : secteurs hautement critiques (annexe I) et secteurs critiques (annexe II).

Cette hiérarchisation permet une gradation des obligations en fonction du niveau d’impact que pourrait avoir une cyberattaque sur la société, l’économie ou la sécurité nationale.

Les secteurs dits "hautement critiques" (Annexe I)

Ce sont les domaines dans lesquels une cyberattaque pourrait avoir des conséquences immédiates et systémiques. Toute entité opérant dans ces secteurs et dépassant les seuils (ou désignée par un État membre) est automatiquement considérée comme entité essentielle (EE).

Voici la liste complète :

• Énergie (électricité, gaz, pétrole, hydrogène, réseaux de chaleur/froid)
• Transports (aérien, ferroviaire, maritime, routier)
• Secteur bancaire
• Infrastructures des marchés financiers
• Santé (établissements de soins, laboratoires, fabricants de dispositifs médicaux critiques)
• Eaux potables et eaux usées
• Infrastructures numériques (cloud, data centers, DNS, TLD…)
• Gestion des services TIC (prestataires de services gérés et de sécurité gérés)
• Administration publique (hors défense, justice, sécurité nationale)
• Espace (opérateurs et fournisseurs de services satellitaires)

Les autres secteurs critiques (Annexe II)

Moins sensibles que ceux de l’annexe I, mais néanmoins cruciaux pour la stabilité de la société et de l’économie, les secteurs de l’annexe II donnent lieu, pour les entités éligibles, à une qualification d'entité importante (EI) (sauf désignation exceptionnelle comme EE).

Liste des secteurs de l’annexe II :

• Services postaux et d’expédition
• Gestion des déchets
• Fabrication, production et distribution de produits chimiques
• Production, transformation et distribution de denrées alimentaires
• Industries manufacturières (équipements électriques, informatiques, optiques, automobiles, machines-outils, dispositifs médicaux…)
• Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
• Recherche (public/privé dans des domaines technologiques ou critiques)

Cas spécifiques : entités concernées quel que soit leur seuil

Certaines entités sont soumises à la directive NIS 2 indépendamment de leur taille, en raison de la nature particulièrement structurante de leurs services pour l’écosystème numérique européen. Leur activité, souvent transfrontalière, justifie l’application d’un cadre technique spécifique défini directement au niveau européen, en complément des règles issues de la transposition nationale.

Sont notamment concernés :

• les fournisseurs de services DNS ;
• les registres de noms de domaine de premier niveau (TLD) ;
• les prestataires de services de confiance au sens du règlement eIDAS ;
• les fournisseurs de services cloud, de centres de données et de réseaux de diffusion de contenu (CDN) ;
• les fournisseurs de services TIC gérés, y compris les prestataires de cybersécurité externalisée.

Ces entités, du fait de leur rôle central et de leur portée souvent européenne, font l’objet de règles techniques harmonisées adoptées par la Commission européenne, afin d’assurer un niveau de cybersécurité cohérent dans l’ensemble de l’Union.

Désignations et exclusions spécifiques par l’État membre

Dans des cas précis, un État membre peut désigner une entité comme régulée, même si elle ne remplit pas les critères de taille, si son activité est jugée cruciale (ex : sous-traitant unique d’un service essentiel, administration territoriale exposée…).

Inversement, certaines entités sont exclues de manière explicite de NIS 2 :

• entités relevant de la défense, sécurité nationale, police, justice,
• certaines PME très petites, sauf exceptions mentionnées ci-dessus.

En France, l’ANSSI précisera ces désignations ou exclusions lors de la mise en œuvre réglementaire.

Sous-traitants et prestataires : un impact indirect mais majeur

Même si votre entreprise ne figure pas directement parmi les entités régulées par la directive NIS 2, vous n’êtes pas pour autant hors du champ d’impact. La directive prévoit en effet des obligations fortes de cybersécurité sur la chaîne d’approvisionnement, ce qui signifie que les exigences NIS 2 vont se diffuser en cascade à l’ensemble de l’écosystème : prestataires IT, sous-traitants industriels, freelances, éditeurs, hébergeurs, sociétés de maintenance…

La chaîne d’approvisionnement au cœur de la directive

L’article 21 de la directive NIS 2 impose aux entités concernées (EE et EI) de prendre des mesures spécifiques sur la sécurité de leur supply chain. Cela inclut :

• une évaluation des risques liés à leurs prestataires,
• des exigences contractuelles précises en matière de cybersécurité,
• une surveillance des vulnérabilités associées aux fournisseurs de logiciels, services IT, etc.

Un effet domino sur tous les métiers “connexes”

Le texte vise clairement une responsabilisation globale des écosystèmes numériques, et ne se limite pas aux entreprises en contact direct avec des infrastructures critiques. Sont potentiellement concernés :

• les ESN (entreprises de services numériques),
• les éditeurs de logiciels et fournisseurs de SaaS,
• les hébergeurs, y compris cloud souverain ou privé,
• les intégrateurs systèmes, installateurs ou mainteneurs IT,
• les SSII, infogéreurs, prestataires cybersécurité,
• les freelances spécialisés dans les services numériques ou critiques.

Même un cabinet RH sous-traitant travaillant pour un hôpital ou un acteur de la défense alimentaire peut se voir imposer des obligations NIS 2 dans le cadre de son contrat.

Vers des clauses contractuelles standardisées

Même si la transposition de NIS 2 n’est pas encore entièrement finalisée en France, la dynamique réglementaire est bien enclenchée. Les donneurs d’ordre, notamment dans les secteurs régulés (énergie, santé, infrastructures numériques…), commencent d’ores et déjà à anticiper les futures exigences.

Il est donc probable que les prochains mois voient émerger des clauses types ou référentiels contractuels dans les appels d’offres, marchés publics ou contrats-cadres privés. Ces documents viseront à s’assurer que les prestataires, fournisseurs ou sous-traitants sont en mesure de garantir un niveau de cybersécurité conforme aux attentes posées par NIS 2.

Parmi les éléments qui pourraient être exigés :

• des grilles d’auto-évaluation ou questionnaires de conformité cyber ;
• des clauses imposant la mise en place d’un PCA (Plan de Continuité d’Activité), d’un registre des incidents, ou d’un dispositif de gestion de crise ;
• la tenue à jour d’un référent sécurité, la désignation d’un contact NIS 2, ou l’adoption d’une politique formalisée de cybersécurité ;
• dans certains cas, des certifications ou labels spécifiques (ISO 27001, SecNumCloud, HDS, etc.).

Anticiper ces évolutions, même sans être directement visé par la directive, devient une posture stratégique pour de nombreux prestataires et sous-traitants.

Cela passe notamment par une compréhension claire des obligations imposées aux entités NIS 2, car elles auront un impact en cascade.

Comment vérifier si vous êtes concerné ?

La directive NIS 2 prévoit un champ d’application très large, mais c’est à chaque entité de vérifier elle-même si elle entre dans le périmètre d’application. Une démarche d’auto-positionnement s’impose, à partir de critères définis par la directive et précisés dans les travaux de transposition.

1. Vérifier votre secteur d’activité

La première étape consiste à déterminer si l’une de vos activités figure dans l’annexe I (secteurs hautement critiques) ou l’annexe II (autres secteurs critiques) de la directive. Ces secteurs sont définis de manière précise, avec parfois un découpage fin en sous-secteurs.

La directive fait référence à des définitions sectorielles européennes (règlements et nomenclatures), qu’il convient de consulter ou de faire valider par les autorités compétentes en cas de doute.

2. Appliquer les seuils de taille

Une fois le secteur identifié, vous devez comparer votre structure aux seuils de taille définis à l’article 2 de la directive (et par renvoi, à la recommandation européenne 2003/361/CE sur la définition des PME) :

• Entité essentielle (EE) si vous dépassez 250 salariés et que vous dépassez soit 50 M€ de chiffre d’affaires, soit 43 M€ de total de bilan.
• Entité importante (EI) si vous dépassez 50 salariés ou 10 M€ de CA ou de bilan, mais sans atteindre les seuils de l’EE.

Attention : il s’agit de seuils consolidés, à l’échelle de l’entité juridique, voire du groupe en cas d’intégration structurelle. Il ne faut pas se limiter à une seule activité ou à un seul établissement.

3. Un outil de simulation pour vous positionner

L’ANSSI met à disposition un simulateur officiel : MonEspaceNIS2.

Cet outil permet :

• de vérifier si votre secteur et votre taille vous placent dans le champ de la directive,
• de vous positionner en tant qu'entité essentielle, importante, ou non concernée,
• de vous préparer à l’enregistrement obligatoire auprès de l’autorité nationale.

Cet espace servira également de portail pour la déclaration d’incidents, la mise à jour des informations réglementaires, et le suivi des obligations en vigueur.

L’enregistrement obligatoire auprès de l’autorité compétente

Une fois qu’une entité s’est identifiée comme entrant dans le périmètre de NIS 2, que ce soit en tant qu’entité essentielle (EE) ou entité importante (EI), elle ne peut pas rester passive. La directive prévoit une obligation formelle d’enregistrement auprès de l’autorité nationale compétente, qui en France est l’ANSSI.

Une obligation déclarative prévue par la directive

L’article 28 de la directive NIS 2 (et son article 3 §4) rend obligatoire la transmission d’un certain nombre d’informations aux autorités compétentes pour toutes les entités concernées. Cette démarche vise à :

• identifier précisément les entités régulées,
• faciliter la supervision des obligations NIS 2,
• et assurer une traçabilité réglementaire minimale.

La directive impose aux États membres de créer une base de données centralisée, tenue à jour, et partagée avec la Commission européenne et le réseau européen de cybersécurité.

Quelles informations devront être transmises ?

Selon le texte de la directive, chaque entité concernée devra au minimum déclarer :

• Nom légal de l’entité et forme juridique ;
• Numéro d’immatriculation (ex. SIREN/SIRET en France) ;
• Adresse principale du siège social et pays de l’UE d’établissement ;
• Nom du secteur concerné, selon l’annexe I ou II ;
• Statut d’entité essentielle ou importante ;
• Coordonnées du point de contact désigné pour la cybersécurité ;
• Identifiants de l’entité dans les registres européens, le cas échéant.

Cette liste pourra être complétée ou précisée par décret d’application national, en fonction des spécificités françaises.

Une responsabilité de l’entité, sous peine de sanctions

Il est important de souligner que la directive ne prévoit aucune notification proactive de l’État vers les entités concernées : c’est à l’organisation de prendre l’initiative de se signaler. L’absence d’enregistrement malgré un assujettissement avéré constitue un manquement, passible de sanctions administratives ou financières.

Les 3 questions à vous poser pour savoir si NIS 2 s’applique à vous

La directive NIS 2 introduit un périmètre élargi et des critères précis. Pour déterminer si votre entité est concernée, trois éléments doivent être analysés conjointement : votre secteur d’activité, votre taille (effectifs / chiffre d’affaires / bilan), et, dans certains cas, la nature critique de vos activités, même si vous êtes une petite structure.

1. Êtes-vous dans un secteur couvert par la directive ?

Deux annexes fixent les 18 secteurs d’activité concernés :

• Annexe I : secteurs dits hautement critiques (énergie, santé, finance, transports, infrastructures numériques, etc.)
• Annexe II : secteurs critiques (industrie alimentaire, chimie, services postaux, recherche, fournisseurs numériques…)

Oui : passez à l’étape 2
Non : vous n’êtes a priori pas concerné, sauf désignation spécifique par l’État.

2. Dépassez-vous les seuils de taille définis ?

Type d’entité	Effectif	Chiffre d'affaires	Bilan annuel
Entité importante (EI)	≥ 50 salariés	> 10 M€	> 10 M€
Entité essentielle (EE)	≥ 250 salariés	> 50 M€	> 43 M€

Ces seuils sont cumulatifs dans certains cas et doivent être appréciés à l’échelle de l’entité (pas seulement de l’activité critique).

Oui : passez à l’étape 3
Non : vous n’êtes pas concerné sauf exceptions spécifiques (ex : fournisseur DNS, prestataire de services de confiance, registre de noms de domaine…).

3. Êtes-vous un acteur “particulier” visé par NIS 2 ?

Certaines entités sont régulées quelle que soit leur taille. C’est le cas notamment :

• des fournisseurs de services de communications électroniques ;
• des fournisseurs de services DNS ;
• des prestataires de services de confiance ;
• des fournisseurs de cloud, data centers ou places de marché numériques ;
• des organismes publics hors fonctions régaliennes.

En pratique : utilisez MonEspaceNIS2

L’ANSSI a mis en place un outil en ligne, MonEspaceNIS2, pour :

• vérifier si votre entité est concernée par la directive ;
• accéder aux critères sectoriels et financiers ;
• préparer votre enregistrement obligatoire si vous êtes assujetti.

Cas particulier : sous-traitant ou prestataire d’un client assujetti

Même si vous n’êtes pas directement concerné par NIS 2, vous pouvez l’être indirectement :

• en tant que maillon critique d’une chaîne de production ou d’un service essentiel ;
• ou via des exigences contractuelles imposées par vos clients pour se mettre eux-mêmes en conformité.