ConseilCyberPlus logo ConseilCyberPlus
Retour à l'accueil

Suis-je concerné par NIS2 ?

Résultat indicatif, sans valeur juridique — comme tout test de ce type, y compris l'outil de l'ANSSI. La qualification définitive relève de l'ANSSI via MonEspaceNIS2.

Un doute sur votre situation ?

L'assujettissement NIS2 peut être subtil — secteur, sous-traitance, désignation d'office. Je vous aide à y voir clair et à construire votre mise en conformité.

Prendre contact

Comprendre l'assujettissement à NIS2

La directive NIS2 (Network and Information Security 2) élargit considérablement le périmètre de la réglementation européenne en cybersécurité. Là où la première directive NIS ne concernait qu'un nombre restreint d'opérateurs, NIS2 couvre désormais 18 secteurs d'activité et des milliers d'organisations en France, des grandes entreprises aux PME.

Les deux catégories d'entités

NIS2 distingue les entités essentielles (EE) et les entités importantes (EI). Les entités essentielles relèvent des secteurs hautement critiques (énergie, transport, santé, eau, banque, infrastructure numérique, administration publique) et atteignent les seuils de grande organisation. Elles sont soumises à une supervision proactive de l'ANSSI. Les entités importantes regroupent les organisations de taille moyenne dans ces mêmes secteurs, ainsi que celles opérant dans les secteurs critiques (déchets, chimie, agroalimentaire, fabrication, services postaux, fournisseurs numériques, recherche). Elles font l'objet d'une supervision réactive.

Les critères de taille

Une organisation est considérée comme grande à partir de 250 salariés, ou si son chiffre d'affaires dépasse 50 millions d'euros et son bilan 43 millions d'euros. Le seuil intermédiaire (entité importante) commence à 50 salariés ou 10 millions d'euros de chiffre d'affaires. Attention : ces seuils ne sont pas les seuls critères. Certaines entités sont désignées d'office par l'ANSSI quelle que soit leur taille, et une petite structure peut se voir imposer des exigences NIS2 par un client régulé dans le cadre de la sécurité de la chaîne d'approvisionnement.

Pourquoi l'activité réelle prime

Un point essentiel souvent mal compris : c'est l'activité réellement exercée qui détermine l'assujettissement, pas l'intitulé juridique ni le code APE/NAF. Une entreprise dont le code APE ne reflète pas son activité numérique critique peut tout à fait être concernée. C'est pourquoi tout test automatique, y compris celui-ci, ne fournit qu'une orientation : la qualification définitive relève de l'ANSSI via le service officiel MonEspaceNIS2.

Questions fréquentes sur NIS2

NIS2 est-elle déjà applicable en France ?

Oui. La directive est transposée en droit français et les décrets d'application sont publiés. Les organisations concernées doivent se mettre en conformité sans attendre.

Ma PME est-elle concernée par NIS2 ?

Cela dépend de votre secteur et de votre taille. Une PME d'au moins 50 salariés dans un secteur régulé est potentiellement une entité importante. Même sous ce seuil, vous pouvez être concerné si vous êtes prestataire d'une entité régulée.

Quelles sont les obligations principales de NIS2 ?

Les entités doivent mettre en œuvre des mesures de gestion des risques (les 10 mesures de l'article 21), notifier les incidents significatifs à l'ANSSI dans des délais courts, et impliquer leur direction dans la gouvernance de la cybersécurité.

Que risque-t-on en cas de non-conformité ?

NIS2 prévoit des sanctions administratives pouvant être lourdes, ainsi qu'une responsabilité renforcée des dirigeants. Au-delà de la sanction, l'enjeu reste la résilience face aux cyberattaques.