NIS2 en France : guide complet 2026 Directive, obligations, conformité
Directive NIS2 en France : qui est concerné, quelles obligations, quelles sanctions ? Guide complet 2026 avec feuille de route de conformité étape...
NIS2 : qui est concerné en France ? Le test en 5 minutes
Qui est concerné par NIS2 en France ? Découvrez en 5 minutes si votre entreprise est une entité essentielle ou importante grâce à notre arbre de décision
stephane Donninger
mars 16, 2026
Votre entreprise fait-elle partie des 15 000 entités françaises visées par la directive NIS2 ? La question n'a rien d'anodin : en cas de non-conformité, les sanctions peuvent atteindre 10 millions d'euros et engager la responsabilité personnelle des dirigeants.
Pourtant, beaucoup d'organisations ne savent toujours pas si elles sont concernées. Le périmètre de NIS2 est large — 18 secteurs, deux catégories d'entités, des seuils de taille, des exceptions — et les informations disponibles sont souvent fragmentées.
Cet article vous propose un test simple et rapide. En cinq minutes, vous saurez si NIS2 s'applique à votre structure, dans quelle catégorie vous tombez, et quelles sont les premières démarches à entreprendre. Nous avons construit un arbre de décision visuel, un tableau complet des secteurs concernés et des cas concrets pour lever toute ambiguïté.
Pour aller plus loin : cet article fait partie de notre guide complet NIS2 en France, qui couvre l'intégralité de la directive — obligations, sanctions, feuille de route de conformité.
L'arbre de décision NIS2 : 4 questions pour trancher
Avant de plonger dans les détails, voici la méthode la plus directe pour savoir si votre organisation entre dans le périmètre de NIS2. Répondez à ces quatre questions dans l'ordre.
Question 1 — Votre activité relève-t-elle d'un des 18 secteurs visés par NIS2 ?
C'est le premier filtre. NIS2 ne s'applique pas à toutes les entreprises : elle cible des secteurs spécifiques considérés comme critiques pour l'économie et la société. La liste complète est détaillée plus bas dans cet article.
Si votre activité principale relève de l'énergie, des transports, de la banque, de la santé, de l'eau, des infrastructures numériques, de l'administration publique, de l'espace, des services postaux, de la gestion des déchets, de la chimie, de l'agroalimentaire, de la fabrication industrielle, des services numériques ou de la recherche, passez à la question suivante.
Si votre secteur ne figure pas dans cette liste, vous n'êtes pas directement concerné. Mais attention : vous pourriez l'être indirectement (voir la question 4).
Question 2 — Votre organisation dépasse-t-elle les seuils de taille ?
NIS2 introduit des critères dimensionnels pour délimiter son périmètre. Votre organisation est concernée si elle remplit au moins un de ces trois critères : elle emploie 50 salariés ou plus, ou son chiffre d'affaires annuel atteint ou dépasse 10 millions d'euros, ou son bilan annuel atteint ou dépasse 10 millions d'euros.
Si vous êtes en dessous de ces trois seuils, vous n'êtes en principe pas concerné directement — sauf exception (question 3).
Question 3 — Faites-vous partie des entités à désignation automatique ?
Certaines organisations sont soumises à NIS2 indépendamment de leur taille. C'est le cas des fournisseurs de services DNS, des registres de noms de domaine de premier niveau (TLD), des prestataires de services de confiance qualifiés (au sens du règlement eIDAS), des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public, et des entités de l'administration publique au niveau central.
Si vous entrez dans l'une de ces catégories, vous êtes automatiquement concerné, même avec 10 salariés et un chiffre d'affaires modeste.
Question 4 — Êtes-vous fournisseur ou prestataire d'une entité régulée ?
C'est le piège que beaucoup sous-estiment. Même si votre entreprise ne remplit aucun des critères précédents, vous pouvez être indirectement touché par NIS2 via l'effet cascade.
La directive impose aux entités régulées de sécuriser leur chaîne d'approvisionnement. Concrètement, si vous êtes prestataire informatique, hébergeur, éditeur de logiciel ou fournisseur critique d'une entité soumise à NIS2, votre client vous imposera des exigences de sécurité contractuelles. Refuser ou ne pas pouvoir y répondre, c'est risquer de perdre le contrat.
Ce n'est pas une obligation directe de NIS2, mais en pratique, l'effet est le même : vous devrez démontrer un niveau de sécurité suffisant.
Les 18 secteurs concernés par NIS2 : tableau complet
NIS2 distingue deux catégories de secteurs, qui déterminent ensuite la classification de votre entité (essentielle ou importante).
Secteurs hautement critiques (Annexe 1 de la directive)
| Secteur | Exemples d'entités concernées |
|---|---|
| Énergie | Producteurs et distributeurs d'électricité, opérateurs de réseaux de gaz, raffineries, producteurs d'hydrogène, réseaux de chaleur et de froid |
| Transports | Compagnies aériennes, gestionnaires d'aéroports, entreprises ferroviaires (SNCF, opérateurs fret), compagnies maritimes, ports, sociétés d'autoroutes, opérateurs de transport routier |
| Banque | Établissements de crédit au sens du règlement CRR |
| Infrastructures des marchés financiers | Opérateurs de plateformes de négociation, contreparties centrales |
| Santé | Hôpitaux publics et privés, cliniques, laboratoires d'analyses, fabricants de dispositifs médicaux, industrie pharmaceutique, grossistes-répartiteurs |
| Eau potable | Opérateurs de production et distribution d'eau destinée à la consommation humaine |
| Eaux usées | Opérateurs de collecte, traitement et rejet des eaux usées urbaines et industrielles |
| Infrastructures numériques | Fournisseurs de points d'échange internet (IXP), DNS, cloud computing, centres de données (data centers), réseaux de diffusion de contenu (CDN), prestataires de services de confiance, registres de noms de domaine TLD |
| Gestion des services TIC | Fournisseurs de services managés (MSP) et fournisseurs de services de sécurité managés (MSSP) en B2B |
| Administrations publiques | Entités de l'administration publique au niveau central et régional (le périmètre exact pour les collectivités territoriales dépend de la transposition française) |
| Espace | Opérateurs d'infrastructures au sol soutenant la fourniture de services spatiaux |
Autres secteurs critiques (Annexe 2 de la directive)
| Secteur | Exemples d'entités concernées |
|---|---|
| Services postaux et de livraison | Opérateurs postaux, entreprises de livraison de colis (y compris express) |
| Gestion des déchets | Entreprises de collecte, traitement et valorisation des déchets |
| Chimie | Fabricants, producteurs et distributeurs de substances et mélanges chimiques |
| Agroalimentaire | Entreprises de production, transformation et distribution de denrées alimentaires, y compris la grande distribution alimentaire |
| Fabrication industrielle | Fabricants de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro, fabricants de produits informatiques, électroniques et optiques, fabricants d'équipements électriques, constructeurs de machines et équipements, constructeurs de véhicules à moteur, remorques et semi-remorques, constructeurs d'autres matériels de transport |
| Fournisseurs de services numériques | Places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux |
| Recherche | Organismes de recherche (au sens large, hors enseignement) |
À noter : la transposition française via la Loi Résilience pourrait préciser ou élargir certaines sous-catégories. La liste définitive des codes NAF concernés sera publiée par décret.
Entité essentielle ou entité importante : comment savoir ?
Une fois que vous avez confirmé que votre organisation est dans le périmètre de NIS2, la question suivante est : dans quelle catégorie tombez-vous ? La réponse détermine le niveau d'exigence et de supervision auquel vous serez soumis.
La règle générale fonctionne comme suit. Si votre organisation opère dans un secteur hautement critique (Annexe 1) et qu'elle est une grande entreprise (250 salariés ou plus, ou CA ≥ 50 M€, ou bilan ≥ 43 M€), elle est classée comme entité essentielle. Si votre organisation opère dans un secteur hautement critique (Annexe 1) mais qu'elle est une entreprise de taille moyenne (50-249 salariés, ou CA entre 10 et 50 M€), elle est classée comme entité importante. Si votre organisation opère dans un autre secteur critique (Annexe 2) et dépasse les seuils de taille minimaux, elle est classée comme entité importante, quelle que soit sa taille.
Des exceptions existent : certaines entités sont automatiquement classées comme essentielles indépendamment de leur taille (fournisseurs DNS, registres TLD, prestataires de confiance qualifiés, opérateurs de communications électroniques publics).
Pour comprendre en détail les différences d'obligations entre ces deux catégories, consultez notre article dédié : Entités essentielles vs entités importantes NIS2 : quelle différence ?
5 cas concrets : suis-je concerné ?
La théorie ne suffit pas toujours. Voici cinq situations réelles pour illustrer l'application des critères.
Cas 1 — Un hôpital public de 800 salariés
Secteur santé (Annexe 1, secteur hautement critique). Plus de 250 salariés. Résultat : entité essentielle. Cet hôpital sera soumis au niveau d'exigence le plus élevé, avec des audits proactifs de l'ANSSI et des sanctions pouvant atteindre 10 M€ ou 2 % du CA.
Cas 2 — Un éditeur de logiciel SaaS avec 80 salariés et 15 M€ de CA
Si cet éditeur fournit des services cloud ou héberge des données pour ses clients, il relève des infrastructures numériques ou de la gestion des services TIC (Annexe 1). Avec 80 salariés et 15 M€ de CA, il dépasse les seuils minimaux sans atteindre les seuils « grande entreprise ». Résultat : entité importante. Mais s'il fournit des services managés (MSP) à des entités elles-mêmes régulées, la pression sera d'autant plus forte.
Cas 3 — Une PME agroalimentaire de 120 salariés
L'agroalimentaire est un secteur de l'Annexe 2 (autre secteur critique). Avec 120 salariés et un CA supérieur à 10 M€, cette PME dépasse les seuils minimaux. Résultat : entité importante. Elle devra se conformer aux obligations NIS2, mais avec un niveau de supervision moins intrusif (contrôles ex post, c'est-à-dire sur incident ou signalement).
Cas 4 — Un cabinet de conseil de 200 salariés
Le conseil n'est pas un secteur visé par NIS2. Résultat : pas directement concerné. En revanche, si ce cabinet conseille des entités régulées et accède à leurs systèmes d'information, il pourrait se voir imposer des clauses de sécurité contractuelles par effet cascade. Bonne pratique : anticiper en alignant ses pratiques sur les exigences NIS2.
Cas 5 — Une collectivité territoriale (métropole de 500 000 habitants)
Les collectivités territoriales peuvent être concernées si elles gèrent directement des services relevant des secteurs visés : distribution d'eau potable, traitement des eaux usées, transports en commun, infrastructures numériques. Une grande métropole gérant plusieurs de ces services sera probablement classée comme entité essentielle ou importante, selon la transposition française. Pour les détails, voir notre article : NIS2 et collectivités territoriales.
L'outil officiel : MonEspaceNIS2 de l'ANSSI
Si après avoir lu cet article vous avez encore un doute, l'ANSSI a mis en place un outil officiel d'auto-évaluation : MonEspaceNIS2, accessible sur monespacenis2.cyber.gouv.fr.
Ce portail vous permet de répondre à un questionnaire guidé pour déterminer si votre entité est dans le périmètre, de connaître votre classification probable (entité essentielle ou importante), et de procéder à votre inscription officielle auprès de l'ANSSI lorsque la loi sera définitivement adoptée.
L'ANSSI recommande à toutes les organisations potentiellement concernées de réaliser ce test dès maintenant, sans attendre le vote définitif de la Loi Résilience. Cela permet d'anticiper et de lancer les premiers chantiers de conformité dans les meilleurs délais.
Les erreurs fréquentes à éviter
Plusieurs idées reçues circulent autour du périmètre de NIS2. Voici les plus courantes.
« Je ne suis pas un opérateur d'importance vitale, donc NIS2 ne me concerne pas. » Faux. NIS2 va bien au-delà des OIV. Le passage de quelques centaines d'entités à 15 000 entités concernées montre l'ampleur de l'élargissement. Les ETI et certaines PME des 18 secteurs sont dans le périmètre.
« Mon secteur n'est pas dans la liste, je suis tranquille. » Pas nécessairement. L'effet cascade via la chaîne d'approvisionnement peut vous imposer des obligations de fait. Si vos principaux clients sont des entités régulées, préparez-vous.
« La loi n'est pas encore votée, j'ai le temps. » C'est le piège le plus dangereux. La mise en conformité prend entre 12 et 24 mois. Attendre le vote définitif, c'est risquer de se retrouver en infraction dès l'entrée en vigueur. Les organisations qui agissent maintenant auront un avantage considérable.
« Les PME de moins de 50 salariés ne sont jamais concernées. » Presque vrai, mais il y a des exceptions : les entités à désignation automatique (DNS, TLD, services de confiance) sont visées quelle que soit leur taille.
Et maintenant ? Les premières actions à lancer
Si le test confirme que votre organisation est concernée par NIS2, voici les trois actions prioritaires à engager immédiatement.
La première action est de formaliser votre statut. Rendez-vous sur MonEspaceNIS2 pour officialiser votre positionnement. Identifiez si vous êtes entité essentielle ou importante. Informez votre direction générale — NIS2 engage leur responsabilité personnelle.
La deuxième action est de lancer un diagnostic. Réalisez un audit de maturité cybersécurité pour mesurer l'écart entre votre situation actuelle et les exigences de NIS2. C'est la base de votre feuille de route de conformité.
La troisième action est de vous informer en profondeur. Pour comprendre les obligations concrètes, les sanctions et la feuille de route complète, consultez notre guide complet NIS2 en France 2026.