Comprendre NIS2 · Périmètre

Êtes-vous concerné par NIS2 ?

La réponse tient à trois critères : votre secteur d'activité, votre taille, et — critère que tout le monde oublie — la réglementation de vos clients. Voici comment déterminer votre statut.

Critère 1 — votre secteur

NIS2 distingue des secteurs hautement critiques (annexe I) et des secteurs critiques (annexe II) :

Annexe I — hautement critiquesAnnexe II — critiques
Énergie (électricité, gaz, pétrole, hydrogène, réseaux de chaleur) · Transports (aérien, ferroviaire, eau, route) · Banque · Infrastructures des marchés financiers · Santé (établissements, laboratoires, fabricants de dispositifs et de médicaments) · Eau potable · Eaux usées · Infrastructures numériques (DNS, datacenters, cloud, télécoms) · Gestion des services TIC (infogérance, MSP/MSSP) · Administration publique · Espace Services postaux et d'expédition · Gestion des déchets · Produits chimiques (fabrication, production, distribution) · Denrées alimentaires (production, transformation, distribution en gros) · Fabrication (dispositifs médicaux, informatique/électronique/optique, équipements électriques, machines, véhicules, autres matériels de transport) · Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux) · Recherche

Critère 2 — votre taille

StatutRègle généraleRégime
Entité essentielle Secteur annexe I et ≥ 250 salariés, ou > 50 M€ de CA (et > 43 M€ de bilan) Supervision proactive de l'ANSSI, sanctions jusqu'à 10 M€ / 2 % du CA mondial
Entité importante Secteur annexe I ou II et ≥ 50 salariés, ou > 10 M€ de CA Contrôle a posteriori, sanctions jusqu'à 7 M€ / 1,4 % du CA mondial
Cas particuliers Certaines activités sont régulées sans condition de taille : DNS, bureaux d'enregistrement de noms de domaine, prestataires de services de confiance, ou toute entité désignée par l'État comme critique Selon désignation

Les micro et petites entreprises (moins de 50 salariés et moins de 10 M€ de chiffre d'affaires) sont en principe hors périmètre direct — sauf cas particuliers ci-dessus.

Critère 3 — vos clients

C'est l'angle mort de la plupart des analyses. L'article 21 impose à chaque entité régulée de maîtriser la sécurité de sa chaîne d'approvisionnement : elle doit évaluer et encadrer contractuellement ses fournisseurs, y compris les plus petits. Concrètement, si vous êtes prestataire, éditeur, mainteneur ou fournisseur d'une entité NIS2, vous recevrez des questionnaires de sécurité, des clauses contractuelles et parfois des demandes d'audit — sans être vous-même dans le périmètre légal.

Pour un sous-traitant, disposer d'un dossier de sécurité structuré (inventaire, politiques, preuves) devient un avantage commercial : celui qui répond au questionnaire en deux jours gagne le contrat face à celui qui panique. C'est exactement l'usage de notre formule Essentiel.

Questions fréquentes

Mon entreprise a moins de 50 salariés : suis-je forcément exclu ?

Non. D'abord, certaines activités sont régulées quelle que soit leur taille (fournisseurs de services DNS, bureaux d'enregistrement, opérateurs de confiance…). Ensuite, même hors périmètre direct, un sous-traitant d'une entité régulée subit ses exigences par contrat : questionnaires de sécurité, clauses, audits. La question n'est pas seulement « suis-je dans la liste ? » mais « mes clients y sont-ils ? ».

Quelle est la différence entre entité essentielle et entité importante ?

Les entités essentielles (grandes entreprises des secteurs hautement critiques) subissent une supervision proactive de l'ANSSI — contrôles possibles à tout moment — et les sanctions maximales (10 M€ / 2 %). Les entités importantes sont contrôlées a posteriori, généralement après un incident ou un signalement, avec des sanctions plafonnées à 7 M€ / 1,4 %. Les obligations de sécurité de fond sont, elles, très proches.

Comment savoir officiellement si je suis concerné ?

L'ANSSI met à disposition un test de périmètre, et l'enregistrement des entités concernées se fait auprès d'elle. Notre auto-diagnostic gratuit vous donne une première réponse argumentée en 3 minutes, puis nous la validons formellement lors du diagnostic flash.

Tranchez la question en 3 minutes

Notre auto-diagnostic applique ces critères à votre situation : secteur, taille, clients. Réponse immédiate, argumentée, gratuite.