Comprendre les seuils NIS2 : taille, chiffre d’affaires, catégorie d’entité

Pourquoi les seuils NIS2 sont décisifs pour savoir si une entreprise est concernée?

La directive NIS2 ne se limite pas à une liste de secteurs. Elle introduit également un critère simple et objectif : la taille de l’entreprise. Ces seuils permettent à l’Union européenne d’identifier rapidement quelles organisations doivent appliquer les obligations de cybersécurité. Ils clarifient le périmètre et évitent les décisions arbitraires, un point critiqué dans la première version de la directive.

Pour les entreprises françaises — PME, ETI ou grandes organisations — comprendre ces seuils est essentiel pour déterminer si elles entrent dans NIS2, et dans quelle catégorie réglementaire : entité essentielle ou entité importante.

Les seuils européens : la règle générale NIS2

NIS2 repose sur la définition européenne des entreprises de taille moyenne.Si une entreprise dépasse un seul de ces seuils et opère dans un secteur couvert, elle est automatiquement concernée.

Une entreprise entre dans NIS2 si elle dépasse l’un des seuils suivants :

• plus de 50 salariés

• plus de 10 millions d’euros de chiffre d’affaires

• plus de 10 millions d’euros de total de bilan

Ce critère de taille est volontairement simple : il permet aux entreprises de savoir instantanément si elles sont dans le périmètre réglementaire.

Pourquoi ces seuils ?

Parce que les entreprises de cette taille :

• opèrent des systèmes numériques structurés

• dépendent de prestataires techniques

• ont un rôle important dans les chaînes d’approvisionnement

• présentent un impact significatif en cas de rupture

La majorité des PME et ETI industrielles, de services ou numériques entrent dans ce périmètre.

Les exceptions : quand une entreprise plus petite est aussi concernée.

Contrairement à une idée répandue, une entreprise peut être soumise à NIS2 même si elle ne dépasse aucun seuil de taille.

Catégories concernées malgré leur petite taille

Une entité est automatiquement incluse si :

• elle fournit un service critique à un opérateur essentiel

• elle opère une infrastructure technique indispensable

• elle détient un accès privilégié à un client NIS2

• elle fournit un service numérique ou logiciel massivement utilisé

• son interruption pourrait générer un impact sociétal majeur

Ces cas sont fréquents dans :

• le cloud

• l’infogérance

• le SaaS

• l’industrie connectée

• la maintenance technique

• la cybersécurité (SOC, MSSP)

C’est l’un des points les plus mal compris de la directive.

Comment les seuils déterminent la catégorie : essentielle ou importante.

Les seuils ne déterminent pas seulement si une entreprise est concernée : ils servent aussi à distinguer les entités essentielles et importantes.

Entités essentielles

Sont considérées comme essentielles :

• les organisations des secteurs vitaux (énergie, santé, transport, eau, infrastructures numériques…)

• et qui dépassent un seuil de taille ou

• celles désignées comme critiques par l’État, même en dessous des seuils ou

• les prestataires indispensables au fonctionnement d’un service essentiel

Entités importantes

Relèvent de cette catégorie :

• les entreprises des secteurs économiques non vitaux, mais sensibles (industrie, déchets, alimentation, recherche…)

• dépassant un seuil de taille ou

• certaines entreprises critiques dans la chaîne d’approvisionnement

La distinction impacte la supervision :

• audits renforcés pour les essentiels

• contrôle réactif pour les importants

Comment interpréter les seuils dans les cas particuliers

Certaines entreprises françaises ont des structures complexes : sous-filiales, groupes, multi-sites, mix IT/OT. Voici comment appliquer les seuils.

Cas 1 : Groupe d’entreprises

Les seuils s’appliquent généralement au niveau de l’entité légale, sauf si la chaîne technique est intégrée au niveau du groupe.

Cas 2 : Filiale sous-traitante

Une petite filiale peut être concernée si :

• elle opère une fonction critique

• elle détient des données sensibles

• elle fournit un service clé à une entité NIS2

Cas 3 : PME prestataire

Une PME peut entrer dans NIS2 simplement car :• elle détient des accès privilégiés• elle fournit un service indispensable• elle opère une plateforme logicielle sensible

➤ Vérifier votre catégorie en quelques questions : Normi.fr/wizard

Ce que les seuils impliquent concrètement pour les entreprises

Une fois les seuils dépassés, l’entreprise doit :

• appliquer les mesures de sécurité minimales

• cartographier ses risques TI/OT

• superviser ses prestataires

• mettre en place une gouvernance cybersécurité

• établir des procédures de détection et de réponse

• documenter un plan d’action

• notifier les incidents selon les obligations NIS2

Pour beaucoup d'entreprises, il s’agit de structurer un dispositif existant plutôt que de repartir de zéro.

Les erreurs fréquentes dans la compréhension des seuils

Voici les confusions les plus courantes et à éviter :

“Nous sommes trop petits, donc pas concernés.”

Faux : les petites entreprises prestataires peuvent être incluses.

“Nous ne dépassons pas les seuils, donc nous ne ferons rien.”

Faux : si vous êtes fournisseur critique, vous êtes potentiellement concerné.

“Les seuils s’appliquent au groupe, pas à l’entité.”

Faux : l’application dépend de l'organisation juridique et technique.

Conclusion : les seuils NIS2 rendent le périmètre plus lisible

Les seuils NIS2 permettent une première réponse simple à la question “sommes-nous concernés ?”, mais ils ne suffisent pas.Ils doivent être interprétés en complément :

• du secteur d’activité

• du rôle dans la chaîne de valeur

• de la dépendance opérationnelle

• et du lien avec les acteurs essentiels

Pour les entreprises françaises, la meilleure approche est d’effectuer une vérification combinée secteur + taille + rôle.

➤ Vérifier automatiquement votre statut NIS2 : Normi.fr/wizard ➤ Obtenir un plan d’action adapté : Normi.fr