NIS2 : votre PME est-elle concernée ? Critères et seuils d'application

Les 2 catégories NIS2

NIS2 distingue deux niveaux d'obligations :

Entités essentielles

Les organisations les plus critiques. Obligations renforcées, sanctions maximales (10 M EUR ou 2 % du CA).

Critères : 250+ salariés OU 50 M EUR+ de CA, dans un secteur "hautement critique".

Entités importantes

Le périmètre élargi de NIS2. Obligations légèrement allégées, mais sanctions significatives (7 M EUR ou 1,4 % du CA).

Critères : 50+ salariés OU 10 M EUR+ de CA, dans un secteur "critique" ou "autre secteur critique".

Les 18 secteurs concernés

Secteurs hautement critiques (Annexe I)

1. Énergie (électricité, pétrole, gaz, hydrogène)
2. Transports (aérien, ferroviaire, maritime, routier)
3. Banque
4. Infrastructures des marchés financiers
5. Santé (hôpitaux, labos, fabricants dispositifs médicaux)
6. Eau potable
7. Eaux usées
8. Infrastructure numérique (DNS, cloud, data centers, CDN)
9. Gestion des services TIC (B2B)
10. Administration publique
11. Espace

Autres secteurs critiques (Annexe II)

12. Services postaux et d'expédition
13. Gestion des déchets
14. Fabrication, production et distribution de produits chimiques
15. Production, transformation et distribution de denrées alimentaires
16. Fabrication (dispositifs médicaux, électronique, machines, véhicules)
17. Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux)
18. Recherche

Arbre de décision : suis-je concerné ?

Question 1 : Votre organisation a-t-elle 50+ salariés OU un CA supérieur à 10 M EUR ?

• Non → Vous n'êtes probablement pas concerné (sauf désignation spécifique). Stop.
• Oui → Question 2.

Question 2 : Votre activité principale relève-t-elle d'un des 18 secteurs listés ci-dessus ?

• Non → Vous n'êtes pas concerné. Stop.
• Oui → Question 3.

Question 3 : Avez-vous 250+ salariés OU un CA supérieur à 50 M EUR ?

• Oui → Vous êtes probablement une entité essentielle (obligations renforcées).
• Non → Question 4.

Question 4 : Votre activité relève-t-elle d'un secteur "hautement critique" (Annexe I) ?

• Oui → Vous êtes une entité importante (mais potentiellement essentielle si désignée).
• Non → Vous êtes une entité importante (Annexe II).

Exception : L'ANSSI peut désigner individuellement des entités comme "essentielles" quelle que soit leur taille, si leur activité est jugée critique pour la nation.

Focus PME : les secteurs où vous êtes souvent concerné sans le savoir

Services numériques : Si vous êtes éditeur SaaS, hébergeur, MSP, ou fournisseur cloud avec 50+ salariés — vous êtes concerné.

Santé : Cliniques, groupes de labos, fabricants de dispositifs médicaux — même les "petits" acteurs sont visés.

Industrie manufacturière : Fabricants de machines, électronique, équipements médicaux — le secteur 16 est très large.

BTP et gestion des déchets : Souvent oublié, mais les entreprises de gestion des déchets sont explicitement dans l'Annexe II.

Agroalimentaire : Toute la chaîne de production, transformation et distribution alimentaire.

Ce que ça implique concrètement

Si vous êtes concerné, vous devez :

1. Vous inscrire auprès de l'ANSSI (S2 2026)
2. Réaliser une analyse de risques proportionnée
3. Mettre en place un PRA/PCA testé et à jour
4. Notifier les incidents significatifs dans les 24h
5. Sécuriser votre chaîne d'approvisionnement
6. Former vos dirigeants aux enjeux cyber
7. Documenter toutes vos mesures pour prouver votre conformité

Lire aussi : NIS2 et PME : guide pratique de conformité

Le point 3 est souvent le plus structurant. Un PRA conforme ISO 22301 couvre une grande partie des exigences NIS2.

Rejoignez la liste d'attente PRAVIO pour créer votre PRA conforme en quelques heures.