Aller au contenu
AuditNIS2
NIS2

NIS2 suis-je concerné ? 8 critères à vérifier en 2026

Êtes-vous concerné par NIS2 ? Découvrez les 8 critères concrets pour le savoir, l'arbre de décision pas à pas et les pièges fréquents pour les TPE/PME françaises.

9 min de lecture Par Équipe Audit NIS2
Équipe d'une PME analysant si elle est concernée par la directive NIS2

La question revient cent fois par jour dans les boîtes mail des dirigeants de PME : « suis-je concerné par NIS2 ? ». Et la réponse est rarement évidente, parce que la directive européenne sur la cybersécurité ne se contente pas de viser les grands opérateurs critiques. Elle ratisse beaucoup plus large que l’ancienne directive NIS1, et elle attrape une majorité d’entreprises par effet de chaîne d’approvisionnement plutôt que par seuil direct. Cet article propose une grille de lecture en 8 critères, complétée d’un arbre de décision, pour qu’en moins de dix minutes vous sachiez si NIS2 vous concerne.

Pourquoi cette question est moins simple qu’il n’y paraît

NIS2 est la directive européenne (UE) 2022/2555 publiée le 27 décembre 2022. Elle remplace NIS1 et étend considérablement le périmètre des entités obligées. La transposition française doit être pleinement opérationnelle au 17 octobre 2026. Dans les faits, ce sont environ 15 000 entités essentielles ou importantes qui sont directement concernées en France, mais à cela s’ajoutent 35 000 à 85 000 sous-traitants soumis indirectement par les exigences contractuelles imposées par leurs donneurs d’ordre. C’est cet effet domino qui fait dire que NIS2 « concerne » potentiellement 50 000 à 100 000 entreprises françaises.

La complexité tient à trois éléments. Premièrement, le champ d’application repose sur trois critères combinés (effectif, chiffre d’affaires, secteur), et il faut que l’entreprise satisfasse un seuil et un secteur listé. Deuxièmement, certaines entités sont incluses « quel que soit leur effectif », ce qui complique la lecture pour les acteurs du numérique notamment. Troisièmement, la chaîne d’approvisionnement crée une obligation indirecte qui dépend du contrat client. Avant de répondre « non » trop vite, il faut donc cocher 8 cases.

Critère 1 : votre secteur fait-il partie des 18 secteurs listés ?

NIS2 distingue deux groupes de secteurs : les secteurs hautement critiques (qui donnent généralement le statut d’entité essentielle) et les autres secteurs critiques (entités importantes). Au total, 18 secteurs sont listés en annexes I et II de la directive.

Secteurs hautement critiques : énergie (électricité, gaz, pétrole, hydrogène, chauffage urbain), transport (aérien, ferroviaire, maritime, routier), banque, marchés financiers, santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux, pharmaceutique), eau potable et eaux usées, infrastructures numériques (DNS, registres TLD, IXP, services cloud, datacenters, CDN, fournisseurs de services managés), administration publique, espace.

Autres secteurs critiques : services postaux et courrier, gestion des déchets, fabrication / production / distribution de produits chimiques, production / transformation / distribution alimentaire (agroalimentaire), fabrication d’équipements médicaux, informatiques, électroniques, optiques, machines, véhicules et équipements de transport, fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.

Si votre activité principale ne figure pas dans cette liste, vous n’êtes pas directement concerné. Mais ne sautez pas tout de suite à la conclusion : passez aux critères suivants, parce que la chaîne d’approvisionnement et la sous-traitance peuvent vous remettre dans le jeu.

Critère 2 : effectif de l’entreprise

Le seuil d’effectif est un des trois indicateurs principaux. Au-delà de 250 salariés, vous êtes une entité essentielle dans les secteurs hautement critiques. Entre 50 et 249 salariés, vous êtes une entité importante dans tous les secteurs concernés. En dessous de 50 salariés, vous êtes a priori en dehors du champ direct, sauf cas particuliers : entités quel que soit leur effectif (DNS, IXP, fournisseurs de services managés critiques, opérateurs de communications électroniques, etc.) restent concernées.

Comptez les ETP (équivalents temps plein), pas les contrats. Les filiales et sociétés du même groupe sont consolidées si elles sont liées par une relation de contrôle.

Critère 3 : chiffre d’affaires et bilan

Le seuil financier complète l’effectif. La directive parle de chiffre d’affaires annuel supérieur à 50 M€ ou de bilan supérieur à 43 M€ pour les entités essentielles. Pour les entités importantes, les seuils sont 10 M€ de CA ou 10 M€ de bilan, combinés avec l’effectif compris entre 50 et 249 personnes.

Dans la pratique, beaucoup de PME industrielles ou numériques peuvent dépasser les 10 M€ de CA tout en restant en dessous de 250 salariés : elles entrent alors dans la catégorie importante, et doivent se conformer.

Critère 4 : statut de fournisseur d’une entité essentielle ou importante

C’est le critère qui ratisse le plus large et qui surprend le plus les TPE/PME. L’article 21 de la directive impose aux entités essentielles et importantes de sécuriser leur chaîne d’approvisionnement. Concrètement, elles doivent auditer leurs fournisseurs critiques, inscrire des clauses de sécurité dans les contrats, et vérifier la conformité de leurs sous-traitants.

Si un de vos clients est une entité essentielle ou importante (industriel régulé, grand énergéticien, hôpital, banque, opérateur télécom, fournisseur cloud, etc.), il y a de fortes chances qu’il vous demande dans les prochains mois — s’il ne l’a pas déjà fait — de remplir un questionnaire fournisseur sécurité, de signer un avenant au contrat, ou de fournir une preuve de conformité NIS2. Ne pas répondre, c’est risquer une suspension du contrat ou un non-renouvellement.

Critère 5 : présence d’un avenant ou d’une clause contractuelle NIS2

Une lettre, un email, ou un avenant de contrat mentionnant explicitement « NIS2 », « directive 2022/2555 », « cybersécurité chaîne d’approvisionnement » ou « sécurité des systèmes d’information » est un signal fort que votre client donneur d’ordre est lui-même soumis à la directive et qu’il vous transmet une partie de son obligation. À partir de là, votre conformité devient un sujet contractuel, peu importe que vous soyez ou non dans un secteur listé.

Critère 6 : exposition à des données ou systèmes critiques

Certaines structures hors secteurs listés sont quand même concernées indirectement parce qu’elles manipulent ou hébergent des données sensibles d’entités essentielles : cabinets comptables traitant la paie d’hôpitaux, cabinets d’avocats spécialisés en M&A bancaire, BET ayant accès aux plans d’infrastructures critiques, ESN intervenant chez des opérateurs OSE, etc. Dans ces cas, la pression vient des assureurs (cyber-assurance), des régulateurs sectoriels et des donneurs d’ordre. La pratique professionnelle s’aligne progressivement sur les exigences NIS2.

Critère 7 : fournisseurs numériques et opérateurs digitaux

NIS2 inclut explicitement plusieurs activités du numérique, y compris pour des structures de petite taille. Sont concernés : les fournisseurs de services managés et de services managés de sécurité (MSP, MSSP), les hébergeurs cloud, les opérateurs de datacenters, les CDN, les places de marché en ligne, les moteurs de recherche, les réseaux sociaux.

Pour une agence web de moins de 10 personnes, la question est plus subtile : elle peut être concernée si elle exerce une activité de service managé (infogérance, exploitation continue de sites e-commerce, hébergement managé) plutôt que de simple production de sites livrés. Pour un SaaS B2B, la question dépend de la criticité du service vendu et du profil de la clientèle.

Critère 8 : seuil d’effet sur la société (cas particuliers)

Enfin, certains opérateurs sont visés quel que soit leur effectif parce que leur activité est jugée critique pour la société : opérateurs de DNS, registres de noms de domaines de premier niveau, fournisseurs d’IXP (points d’échange Internet), opérateurs de communications électroniques, certains fournisseurs de services de confiance, certaines administrations publiques. Si vous opérez l’un de ces services, votre taille n’a aucune importance dans le raisonnement : vous êtes concerné.

Arbre de décision rapide

Pour synthétiser, voici un raccourci en 4 questions :

  1. Mon secteur est-il dans les 18 secteurs listés ? Si oui et que je dépasse 50 salariés ou 10 M€ de CA, je suis concerné directement.
  2. Sinon, ai-je un client qui m’a écrit ou m’a envoyé un questionnaire sur NIS2 ? Si oui, je suis concerné indirectement.
  3. Sinon, suis-je un fournisseur de services managés numériques, un opérateur DNS, un IXP, un cloud, un MSP/MSSP ? Si oui, je suis probablement concerné.
  4. Sinon, suis-je un sous-traitant régulier d’un grand compte régulé (industrie, santé, énergie, finance, télécom) ? Si oui, je serai très probablement concerné dans les 12 prochains mois.

Si vous avez répondu non aux quatre questions, vous êtes probablement hors champ. Néanmoins, les bonnes pratiques de cybersécurité (MFA, sauvegardes, sensibilisation) restent recommandées et utiles pour rassurer vos clients, vos assureurs et vos prospects.

Pièges fréquents pour les PME

Premier piège : se baser uniquement sur l’effectif. Beaucoup de TPE de moins de 10 salariés se croient hors champ alors qu’elles sont sous-traitantes d’un industriel régulé qui leur transfère l’obligation par contrat. Deuxième piège : sous-estimer le délai d’obtention d’une preuve de conformité. Un audit complet prend 7 à 10 jours, une mise en conformité opérationnelle 2 à 4 mois. Sur la deadline du 17 octobre 2026, le calendrier devient serré. Troisième piège : confondre NIS2 et RGPD. Les deux réglementations se complètent ; NIS2 ne dispense en rien des obligations RGPD et inversement.

Que faire si vous êtes concerné ?

La marche à suivre est simple. Étape 1 : un pré-audit pour établir un état des lieux clair en 48h, identifier les écarts majeurs et obtenir un plan d’action chiffré. Étape 2 : un audit complet sur les dix mesures de l’article 21 si vous devez fournir une preuve opposable à un client. Étape 3 : une mise en conformité opérationnelle accompagnée si vous n’avez pas de RSSI interne. Étape 4 : une maintenance continue pour rester conforme dans la durée.

Pour aller plus loin sur le sujet des sanctions et de la responsabilité personnelle des dirigeants, lisez notre guide complet sur les sanctions NIS2, ou si vous travaillez avec un grand donneur d’ordre, l’article dédié au statut de sous-traitant d’un OSE. Et pour démarrer concrètement, le pré-audit NIS2 à 299€ est conçu spécialement pour répondre à cette première question : où en êtes-vous, et que faut-il faire en priorité ?

Conclusion

NIS2 ne concerne pas que les grands groupes : grâce au mécanisme de la chaîne d’approvisionnement, elle attrape massivement les TPE et PME françaises, en particulier les sous-traitants d’industriels régulés, les acteurs du numérique et les structures qui manipulent des données sensibles. Plutôt que de jouer la montre, il vaut mieux trancher la question rapidement et, si vous êtes concerné, démarrer une démarche structurée. Le quiz NIS2 et le pré-audit à 299€ sont les deux points d’entrée que nous proposons : transparents, rapides, et conçus pour les PME qui n’ont pas de RSSI interne. La deadline du 17 octobre 2026 arrive plus vite qu’on ne le pense.

#nis2#obligations#champ d'application#pme#sous-traitance

Cet article vous concerne ?

Démarrez par un pré-audit à 299€, livré sous 48h. Vous repartez avec un plan d'action clair.

Démarrer mon pré-audit Faire le quiz NIS2

Prêt à sécuriser votre conformité NIS2 ?

Démarrez par un pré-audit à 299€, livré sous 48h. Sans engagement.

Démarrer mon pré-audit 07 51 13 37 69