Comprendre NIS2 · Périmètre
Êtes-vous concerné par NIS2 ?
La réponse tient à trois critères : votre secteur d'activité, votre taille, et — critère que tout le monde oublie — la réglementation de vos clients. Voici comment déterminer votre statut.
Critère 1 — votre secteur
NIS2 distingue des secteurs hautement critiques (annexe I) et des secteurs critiques (annexe II) :
| Annexe I — hautement critiques | Annexe II — critiques |
|---|---|
| Énergie (électricité, gaz, pétrole, hydrogène, réseaux de chaleur) · Transports (aérien, ferroviaire, eau, route) · Banque · Infrastructures des marchés financiers · Santé (établissements, laboratoires, fabricants de dispositifs et de médicaments) · Eau potable · Eaux usées · Infrastructures numériques (DNS, datacenters, cloud, télécoms) · Gestion des services TIC (infogérance, MSP/MSSP) · Administration publique · Espace | Services postaux et d'expédition · Gestion des déchets · Produits chimiques (fabrication, production, distribution) · Denrées alimentaires (production, transformation, distribution en gros) · Fabrication (dispositifs médicaux, informatique/électronique/optique, équipements électriques, machines, véhicules, autres matériels de transport) · Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux) · Recherche |
Critère 2 — votre taille
| Statut | Règle générale | Régime |
|---|---|---|
| Entité essentielle | Secteur annexe I et ≥ 250 salariés, ou > 50 M€ de CA (et > 43 M€ de bilan) | Supervision proactive de l'ANSSI, sanctions jusqu'à 10 M€ / 2 % du CA mondial |
| Entité importante | Secteur annexe I ou II et ≥ 50 salariés, ou > 10 M€ de CA | Contrôle a posteriori, sanctions jusqu'à 7 M€ / 1,4 % du CA mondial |
| Cas particuliers | Certaines activités sont régulées sans condition de taille : DNS, bureaux d'enregistrement de noms de domaine, prestataires de services de confiance, ou toute entité désignée par l'État comme critique | Selon désignation |
Les micro et petites entreprises (moins de 50 salariés et moins de 10 M€ de chiffre d'affaires) sont en principe hors périmètre direct — sauf cas particuliers ci-dessus.
Critère 3 — vos clients
C'est l'angle mort de la plupart des analyses. L'article 21 impose à chaque entité régulée de maîtriser la sécurité de sa chaîne d'approvisionnement : elle doit évaluer et encadrer contractuellement ses fournisseurs, y compris les plus petits. Concrètement, si vous êtes prestataire, éditeur, mainteneur ou fournisseur d'une entité NIS2, vous recevrez des questionnaires de sécurité, des clauses contractuelles et parfois des demandes d'audit — sans être vous-même dans le périmètre légal.
Questions fréquentes
Mon entreprise a moins de 50 salariés : suis-je forcément exclu ?
Non. D'abord, certaines activités sont régulées quelle que soit leur taille (fournisseurs de services DNS, bureaux d'enregistrement, opérateurs de confiance…). Ensuite, même hors périmètre direct, un sous-traitant d'une entité régulée subit ses exigences par contrat : questionnaires de sécurité, clauses, audits. La question n'est pas seulement « suis-je dans la liste ? » mais « mes clients y sont-ils ? ».
Quelle est la différence entre entité essentielle et entité importante ?
Les entités essentielles (grandes entreprises des secteurs hautement critiques) subissent une supervision proactive de l'ANSSI — contrôles possibles à tout moment — et les sanctions maximales (10 M€ / 2 %). Les entités importantes sont contrôlées a posteriori, généralement après un incident ou un signalement, avec des sanctions plafonnées à 7 M€ / 1,4 %. Les obligations de sécurité de fond sont, elles, très proches.
Comment savoir officiellement si je suis concerné ?
L'ANSSI met à disposition un test de périmètre, et l'enregistrement des entités concernées se fait auprès d'elle. Notre auto-diagnostic gratuit vous donne une première réponse argumentée en 3 minutes, puis nous la validons formellement lors du diagnostic flash.
Tranchez la question en 3 minutes
Notre auto-diagnostic applique ces critères à votre situation : secteur, taille, clients. Réponse immédiate, argumentée, gratuite.