Directive NIS2 : êtes-vous vraiment concerné ?

Vous avez entendu parler de la directive NIS2. Peut-être votre DSI ou votre service juridique l'a évoqué en réunion. Mais concrètement : votre organisation est-elle concernée ? Et si oui, qu'est-ce que cela change vraiment pour vous ? Cet article vous donne les critères à vérifier pour le savoir, avec précision, sans jargon, et en tenant compte de la situation réelle en France.

Ce que NIS2 est, et ce qu'elle n'est pas

NIS2 est une directive européenne publiée le 14 décembre 2022 (Directive UE 2022/2555), dont l'objectif est clair : élever durablement le niveau de cybersécurité des organisations critiques pour l'économie et la société européenne.

Contrairement à une idée reçue, elle ne liste pas des solutions techniques à déployer. Elle impose une chose beaucoup plus structurante : la capacité à démontrer que les risques cyber sont réellement identifiés, gérés et pilotés au niveau de la direction.

NIS2 marque une rupture forte avec son prédécesseur (NIS1). Là où NIS1 ciblait des servicesspécifiques, NIS2 cible des entités entières. Concrètement : si votre organisation est qualifiée, c'est l'ensemble de votre système d'information pertinent qui entre dans le périmètre, pas uniquement un service isolé.

⚠️ Point important pour les entreprises françaises‍

La directive européenne est publiée et ses principes sont fixés. Mais la France n'a pas encore finalisé sa transposition nationale (le projet de loi relatif à la résilience cyber est en cours d'adoption). Cela signifie deux choses :

• Les obligations de fond définies par le texte européen s'appliquent : elles ne dépendent pas de la transposition nationale.
• Les modalités pratiques — autorité compétente, processus de notification, modalités de supervision — restent en cours de stabilisation.

L'ANSSI a publié un référentiel de sécurité à titre préparatoire, mais celui-ci n'a pas encore valeur de texte réglementaire contraignant. La bonne posture pour une organisation française : s'aligner sur le socle européen aujourd'hui, en documentant explicitement les hypothèses retenues sur les modalités nationales.

‍

Comment NIS2 détermine qui est concerné : une combinaison de 3 critères

La qualification NIS2 ne repose pas sur un seul critère. Elle résulte d'une combinaison de trois éléments : la taille, le secteur et le rôle réel dans l'écosystème. La qualification finale appartient à l'autorité nationale compétente, mais les critères de base sont fixés au niveau européen.

Critère 1 : la taille

Le premier filtre est celui de la taille. La directive renvoie explicitement à la définition européenne des PME (Recommandation 2003/361/CE). La règle correcte est la suivante :

Une organisation est potentiellement concernée si elle emploie ≥ 50 personnes ET que son chiffre d'affaires annuel OU son total de bilan est ≥ 10 M€.

Ce n'est pas un "ou" entre salariés et chiffre d'affaires. C'est un "et" : les deux conditions doivent être réunies pour que le seuil de taille soit atteint.

Exemple concret : Une entreprise de 60 salariés avec 8 M€ de CA et 7 M€ de bilan total ne franchit pas le seuil de taille. Une entreprise de 60 salariés avec 12 M€ de CA le franchit.

En dessous de ces seuils, une organisation est en principe hors champ, mais cette règle comporte des exceptions importantes (voir ci-dessous).

Point de vigilance pour les groupes : la taille s'apprécie au niveau de l'entité juridique, pas au niveau consolidé. Une filiale peut être assujettie même si le groupe ne l'est pas, en fonction de ses propres effectifs et chiffres. Les services mutualisés, interconnexions SI et gouvernance centralisée peuvent toutefois élargir le périmètre de fait.

‍

Critère 2 : le secteur d'activité

Le second filtre est sectoriel. Même si vous dépassez les seuils de taille, vous n'êtes concerné que si vous exercez dans un secteur listé par la directive (Annexes I et II).

Les entités essentielles (EE) : secteurs dont l'indisponibilité aurait un impact systémique majeur :

• Énergie (électricité, gaz, pétrole, hydrogène)
• Transports (aérien, ferroviaire, maritime, routier)
• Secteur bancaire et infrastructures des marchés financiers
• Santé (hôpitaux, laboratoires, R&D pharmaceutique)
• Eau potable et eaux usées
• Infrastructures numériques critiques (DNS, IXP, cloud, centres de données, réseaux de communications électroniques)
• Administration publique centrale

Les entités importantes (EI) : secteurs clés dont l'impact systémique est réel mais moindre :

• Services numériques (moteurs de recherche, places de marché en ligne, réseaux sociaux)
• Fabrication industrielle critique (dispositifs médicaux, produits informatiques, automobile, chimie)
• Services postaux et de livraison
• Gestion des déchets
• Recherche

Rappel clé : La classification entre entité essentielle et entité importante n'est pas uniquement sectorielle. Elle dépend du secteur (Annexe I = essentielles par défaut), de la taille, et des décisions nationales. La qualification finale est arrêtée par l'autorité nationale compétente, pas par l'organisation elle-même.

Point de vigilance : L'activité réelle prime sur l'intitulé juridique ou le code NAF. Une entreprise qui se pense "hors secteur" peut très bien être assujettie selon ce qu'elle produit ou opère concrètement.

‍

Critère 3 : des catégories incluses indépendamment de la taille

C'est le critère le plus souvent oublié : certaines catégories d'organisations sont concernées par NIS2 quelle que soit leur taille (article 2, §2 et §3 de la directive).

Il s'agit notamment de :

• Fournisseurs de services DNS
• Registres de noms de domaine de premier niveau (TLD)
• Fournisseurs de services de confiance qualifiés
• Certaines infrastructures critiques identifiées comme telles par l'État
• Entités désignées explicitement par une autorité nationale

Pour ces catégories, le critère de taille ne s'applique pas. Une micro-entreprise fournissant des services DNS critiques peut être pleinement assujettie à NIS2.

‍

Critère 4 : le rôle dans l'écosystème

Au-delà de la taille et du secteur, NIS2 prend en compte le rôle réel d'une organisation dans l'écosystème. La directive vise les entités dont la perturbation pourrait entraîner un effet significatif sur la fourniture d'un service essentiel.

Une organisation habituellement hors champ peut entrer dans le périmètre si elle :

• Est explicitement désignée comme entité critique par une autorité nationale
• Présente une dépendance systémique dans la chaîne d'un acteur essentiel ou important
• Joue un rôle pour lequel aucune alternative n'existe à court terme

Nuance importante : Contrairement à la taille ou au secteur, le rôle dans l'écosystème est une interprétation opérationnelle, pas un critère juridique directement actionnable par l'organisation. Il s'applique principalement via la désignation par les autorités compétentes.

‍

Un focus sur les prestataires IT, MSP, cloud et MSSP

Les prestataires numériques occupent une place particulière dans NIS2 et beaucoup sous-estiment leur exposition.

Ces acteurs peuvent être directement assujettis à la directive, pas seulement comme fournisseurs de clients concernés. Sont notamment dans le périmètre : fournisseurs de services cloud, opérateurs de centres de données, prestataires de services managés (MSP), prestataires de sécurité managée (MSSP), fournisseurs de services DNS.

Pour ces entités, la directive est complétée par un règlement d'exécution européen directement applicable (sans attendre la transposition nationale), qui décrit des attentes opérationnelles précises adaptées aux services multi-clients et mutualisés. Ce texte s'applique dès maintenant, indépendamment du statut de transposition de chaque État membre.

Double exposition : Ces prestataires sont à la fois potentiellement assujettis en tant qu'entités, et soumis à des exigences contractuelles accrues de la part de leurs clients eux-mêmes assujettis.

‍

Ce qui relève du droit européen / ce qui dépend de la transposition nationale

‍

‍

Ce qui distingue entité essentielle et entité importante : les régimes de supervision

La distinction entre entité essentielle (EE) et entité importante (EI) ne porte pas que sur les secteurs. Elle détermine le régime de supervision applicable, avec des différences significatives :

‍

Ce que signifie concrètement être une EE : l'autorité peut contrôler votre organisation même en l'absence d'incident. Les preuves de pilotage cyber doivent donc être disponibles à tout moment, pas seulement en situation de crise.

‍

Ce que NIS2 peut sanctionner

Une formulation souvent utilisée mérite d'être précisée : NIS2 ne sanctionne pas uniquement l'absence de justification des choix. Elle sanctionne d'abord l'absence de mesures appropriées de gestion des risques cyber.

La directive prévoit :

• Des sanctions administratives importantes (selon la catégorie d'entité)
• La responsabilité personnelle des dirigeants
• La possibilité d'interdiction temporaire d'exercer pour les personnes physiques responsables

Cela dit, la capacité à justifier ses choix de manière proportionnée et documentée reste centrale : une organisation qui a pris des décisions assumées, tracées et cohérentes avec ses risques réels est bien mieux positionnée qu'une organisation qui a accumulé des contrôles sans logique claire.

‍

Les deux erreurs à éviter

L'expérience terrain montre deux travers symétriques :

La sous-qualification :

• Se croire hors champ parce qu'on est "prestataire" sans vérifier
• Raisonner sur l'intitulé juridique plutôt que sur l'activité réelle
• Oublier que certaines catégories (DNS, confiance, infrastructures critiques) sont concernées quelle que soit la taille
• Ignorer les dépendances clients et les interconnexions SI

La sur-qualification :

• Assimiler toute entreprise au-dessus des seuils à un "grand groupe"
• Appliquer des dispositifs lourds sans lien avec les risques réels
• Anticiper des exigences nationales non encore stabilisées comme si elles étaient acquises

‍

La méthode en 4 étapes pour déterminer votre situation

1. Vérifiez les seuils avec la formulation exacte : ≥ 50 salariés ET (CA ≥ 10 M€ OU bilan ≥ 10 M€), au niveau de l'entité juridique‍
2. Vérifiez si vous êtes dans une catégorie incluse indépendamment de la taille (DNS, services de confiance, désignation nationale)‍
3. Analysez votre secteur réel d'activité : pas votre code NAF, mais ce que vous produisez ou opérez concrètement‍
4. Documentez explicitement votre conclusion : que vous soyez concerné ou non, avec le raisonnement qui y mène

‍

Ce que cela implique si vous êtes concerné

Si votre organisation est assujettie, les obligations portent sur quatre grands blocs définis par le texte européen :

• Gouvernance (article 20) : la direction approuve, supervise et est responsable des mesures de sécurité‍
• Gestion des risques (article 21) : structurée, documentée, proportionnée et régulièrement révisée‍
• Gestion et notification des incidents (article 23) : capacité à détecter, réagir et notifier dans les délais‍
• Continuité : résilience opérationnelle pensée, préparée et testée sur les services critiques

Chaque bloc implique des preuves concrètes, pas de simples déclarations de principe. En tant qu'entité essentielle ou importante, vous devez être en mesure de les présenter à tout moment, sans attendre un incident.

👉 Vous ne savez pas encore où en est votre organisation face à NIS2 ? Faites notre autodiagnostic NIS2 gratuit  et obtenez une première lecture de votre exposition et de vos priorités.

‍