Le principe : deux catégories, dix-huit secteurs

NIS2 distingue les entités essentielles (EE) et les entités importantes (EI). Les obligations de fond sont proches ; ce qui change surtout, c'est l'intensité du contrôle — supervision proactive pour les essentielles, contrôles a posteriori pour les importantes — et le plafond des sanctions.

Les secteurs dits « hautement critiques » incluent l'énergie, les transports, la banque et les infrastructures financières, la santé, l'eau, les infrastructures numériques, la gestion des services TIC et l'administration publique. Les secteurs « critiques » couvrent notamment les services postaux, la gestion des déchets, la chimie, l'agroalimentaire, l'industrie manufacturière (dispositifs médicaux, électronique, machines, véhicules), les fournisseurs de services numériques et la recherche.

Les seuils de taille : le test rapide

  • Vous opérez dans un des secteurs listés et employez au moins 250 personnes, ou réalisez plus de 50 M€ de chiffre d'affaires ? Vous êtes vraisemblablement entité essentielle (dans les secteurs hautement critiques).
  • Vous opérez dans un secteur listé et employez au moins 50 personnes, ou dépassez 10 M€ de chiffre d'affaires ? Vous entrez a minima dans la catégorie entité importante.
  • En dessous de ces seuils, vous êtes en principe hors champ — sauf cas particuliers (fournisseurs de confiance, bureaux d'enregistrement de noms de domaine, certains opérateurs uniques dans leur secteur).
Attention à l'effet de cascade : même hors champ, vous pouvez être contractuellement entraîné dans NIS2 par vos clients, qui doivent désormais maîtriser la sécurité de leur chaîne d'approvisionnement — vous compris.

En France, la transposition est pilotée par l'ANSSI, qui précise les modalités d'enregistrement des entités et le calendrier d'application. Le réflexe utile : vérifier votre situation sur le site de l'ANSSI (monespacenis2) plutôt que de supposer que « ça ne concerne que les grands ».

Les obligations concrètes

NIS2 ne demande pas une certification, mais des mesures de gestion des risques proportionnées et démontrables :

  • Gouvernance : les organes de direction approuvent les mesures de gestion des risques, en supervisent la mise en œuvre, et engagent leur responsabilité en cas de manquement. La direction doit être formée à la cybersécurité.
  • Mesures techniques et organisationnelles : analyse de risques, gestion des incidents, continuité d'activité et sauvegardes, sécurité de la chaîne d'approvisionnement, gestion des vulnérabilités, chiffrement, contrôle d'accès et authentification multifacteur.
  • Notification des incidents : alerte précoce sous 24 heures après détection d'un incident significatif, notification détaillée sous 72 heures, rapport final sous un mois.
  • Sanctions : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les importantes. Sans compter la responsabilité personnelle des dirigeants.

Par où commencer : la feuille de route en quatre temps

1. Qualifiez votre statut. Secteur, effectif, chiffre d'affaires, filiales : une demi-journée de travail qui conditionne tout le reste. 2. Mesurez l'écart. Une analyse d'écart confronte votre existant aux exigences de la directive : c'est le rôle d'un audit de sécurité cadré NIS2. 3. Priorisez par le risque. Inutile de tout traiter de front : MFA, sauvegardes testées, gestion des vulnérabilités et procédure de notification couvrent l'essentiel du risque réel pour la plupart des PME. 4. Outillez la preuve. NIS2 exige de démontrer : registres, politiques datées, comptes rendus d'exercices. Un SOC managé et une supervision continue produisent cette preuve en continu, sans mobiliser vos équipes.

C'est l'approche que nous appliquons chez SkillSys : analyse d'écart, mise en conformité technique (segmentation, EDR, SIEM managé, Zero Trust) et gouvernance trimestrielle. Une de nos missions récentes — une société financière de 80 personnes sans RSSI interne — est détaillée dans nos réalisations : trois fois moins d'incidents après la mise en conformité.

Walid EttayebFondateur de SkillSys — architecte IT et expert cybersécurité, +10 ans d'infrastructures critiques.

Vous ne savez pas si NIS2 vous concerne ? On le détermine ensemble pendant l'audit gratuit.

Évaluer ma situation NIS2