top of page

NIS2 : qui est concerné en France ? Les critères officiels à connaître

  • Writer: Gautier Briand
    Gautier Briand
  • Nov 25
  • 3 min read
ree

Comprendre le périmètre de la directive NIS2

La directive NIS2 élargit considérablement le champ des organisations soumises à des obligations de cybersécurité. Contrairement à la première directive NIS, qui ne concernait qu’un nombre limité d’acteurs, NIS2 introduit une logique de périmètre beaucoup plus large et structurée autour de critères objectifs.

Ce texte vise à couvrir toutes les organisations dont une interruption pourrait avoir un impact sur la société, l’économie ou la sécurité publique, ainsi que celles qui jouent un rôle clé dans les chaînes d’approvisionnement numériques.

Les trois critères majeurs pour savoir si vous êtes concerné

1. Votre secteur d’activité

La directive distingue deux grandes catégories d’entités :

  • Entités essentielles (énergie, santé, transport, eau, finance, infrastructures numériques…)

  • Entités importantes (industrie, alimentation, déchets, recherche, services numériques avancés, fabrication…)

Chaque secteur défini dans NIS2 correspond à des activités considérées comme critiques au fonctionnement du pays.Si votre entreprise opère dans l’un de ces domaines, vous êtes potentiellement dans le périmètre réglementaire.

➤ Consulter les secteurs détaillés : Normi.fr/directive


2. La taille de votre entreprise (seuils européens)

NIS2 introduit une règle simple : une entité est concernée si elle dépasse la taille “moyenne” définie par l’Union européenne.

Une entreprise est considérée de taille moyenne lorsqu’elle remplit au moins un des critères suivants :

  • plus de 50 employés

  • plus de 10 millions d’euros de chiffre d’affaires annuel

  • plus de 10 millions d’euros de total de bilan

Si vous êtes dans un secteur couvert par NIS2 et que votre entreprise dépasse ces seuils, vous êtes automatiquement concerné.


Les exceptions

Certaines entités sont concernées même si elles sont plus petites, si elles :

  • jouent un rôle critique dans la chaîne de valeur

  • opèrent des services essentiels à grande échelle

  • fournissent des services numériques sensibles

  • exploitent des infrastructures critiques locales

  • gèrent des données ou systèmes à fort impact

Cela inclut par exemple certaines PME industrielles connectées, des laboratoires spécialisés, ou des acteurs technologiques très dépendants du cloud.


3. Votre rôle dans la chaîne d’approvisionnement

Même si votre entreprise n’est pas dans un secteur ciblé, NIS2 peut s’appliquer si vous êtes fournisseur critique d’une entité soumise.Cela concerne notamment :

  • prestataires cloud

  • infogérants

  • éditeurs logiciels

  • fournisseurs de services gérés (SOC, MSSP)

  • sous-traitants techniques disposant d’accès sensibles

  • opérateurs de services numériques

  • services d’hébergement ou datacenters

Cette logique d’externalisation est centrale : une entreprise peut être compromise via un fournisseur, d’où l’importance de l’intégrer dans le périmètre.

➤ Vérifier votre situation en quelques questions : Normi.fr/wizard


Les secteurs les plus susceptibles d’être concernés

Entités essentielles

  • énergie

  • transports

  • gestion de l’eau

  • santé

  • infrastructures numériques

  • banques et services financiers

  • administrations importantes

  • opérateurs publics

Entités importantes

  • industrie manufacturière

  • agroalimentaire

  • déchets

  • chimie

  • recherche

  • services numériques spécialisés

  • prestataires d’ingénierie

  • sous-traitance technologique

NIS2 vise donc un spectre large couvrant la majorité des secteurs à forte dépendance numérique.

Les cas typiques observés en France

En pratique, les organisations les plus souvent concernées sont :

  • les PME industrielles dépassant 50 salariés

  • les ETI opérant des systèmes critiques

  • les prestataires cloud et data centers

  • les sociétés d’infogérance

  • les éditeurs SaaS utilisés à grande échelle

  • les hôpitaux, laboratoires, cliniques

  • les sociétés de transport et logistique

  • les opérateurs d’énergie et d’eau

Certaines entreprises découvrent qu’elles entrent dans le périmètre simplement parce qu’elles fournissent un acteur soumis.C’est l’un des points les plus sous-estimés de NIS2.


Comment vérifier rapidement si votre entreprise est concernée

La directive peut sembler complexe, mais la vérification se fait en trois étapes :

Étape 1 : Identifier votre secteur réglementaire

Comparer votre activité aux listes d’entités essentielles et importantes.

Étape 2 : Vérifier les seuils européens

Déterminer si vous êtes classé comme entreprise moyenne ou grande.

Étape 3 : Examiner vos clients et prestataires

Vous pouvez être concerné indirectement via votre rôle dans la chaîne de valeur.

➤ Utiliser la vérification automatique : Normi.fr/wizard

Conclusion : un périmètre plus large que prévu

NIS2 concerne un nombre bien plus important d’organisations que la première directive.Beaucoup de PME, ETI et prestataires technologiques entrent désormais dans le périmètre du fait de leur taille, de leur rôle ou de leur secteur.Pour les entreprises françaises, il est essentiel de déterminer rapidement leur statut afin d’anticiper les obligations à venir.

➤ Obtenir un plan d’action adapté à votre situation : Normi.fr ➤ Explorer les secteurs et obligations détaillés : Normi.fr/directive

Comments

bottom of page