norppa.io
Guides

Guide NIS2 · 8 min

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

NIS2 s'applique bien plus largement que la directive NIS d'origine — mais pas à tout le monde. Que votre organisation soit concernée dépend de trois éléments : votre secteur, votre taille et quelques exceptions indépendantes de la taille. Ce guide passe en revue chaque test pour vous permettre de déterminer votre statut, et explique pourquoi la désignation n'est pas la seule manière dont la directive vous atteint. Le délai de transposition (17 octobre 2024) est dépassé et les États membres l'appliquent à mesure qu'ils finalisent leur droit national.

Deux catégories : entités essentielles et importantes

NIS2 classe les organisations concernées en deux niveaux. Les deux doivent satisfaire aux mêmes obligations de base en matière de sécurité et de notification ; la différence réside dans l'intensité de la surveillance et les sanctions maximales applicables.

Entités essentielles

Grandes organisations des secteurs de plus haute criticité (annexe I), ainsi que certaines entités désignées indépendamment de leur taille. Soumises à une surveillance proactive (ex ante) : audits, inspections et demandes d'informations possibles sans incident préalable.

Entités importantes

La plupart des autres organisations concernées atteignant le seuil de taille, y compris les secteurs de l'annexe II. Soumises à une surveillance réactive (ex post) : les autorités agissent en présence d'indices de non-conformité.

Quels secteurs sont concernés ?

NIS2 énumère les secteurs concernés dans deux annexes. L'annexe I couvre les secteurs de haute criticité ; l'annexe II les autres secteurs critiques. Si votre activité principale relève de l'une de ces listes et que vous atteignez le seuil de taille, vous êtes probablement concerné.

Annexe I — secteurs de haute criticité

  • Énergie (électricité, pétrole, gaz, chauffage urbain, hydrogène)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Banque et infrastructures des marchés financiers
  • Santé (prestataires, laboratoires de référence de l'UE, médicaments, dispositifs médicaux)
  • Eau potable et eaux usées
  • Infrastructure numérique (DNS, registres de TLD, centres de données, cloud, CDN, services de confiance, communications électroniques)
  • Gestion des services TIC, B2B (fournisseurs de services gérés et de sécurité gérée)
  • Administration publique (centrale et régionale)
  • Espace

Annexe II — autres secteurs critiques

  • Services postaux et de messagerie
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution de denrées alimentaires
  • Fabrication (dispositifs médicaux, informatique et électronique, machines, véhicules automobiles, autres matériels de transport)
  • Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux)
  • Organismes de recherche

Le seuil de taille

Au sein d'un secteur concerné, NIS2 ne s'applique généralement qu'à partir d'une taille minimale — la règle du plafond de taille. L'effectif comme les données financières sont pris en compte.

Grande — généralement « essentielle » (annexe I)

Au moins 250 salariés, ou chiffre d'affaires supérieur à 50 millions d'euros et total de bilan supérieur à 43 millions d'euros. Les grandes entités des secteurs de l'annexe I sont généralement classées comme essentielles. Les grandes entités des secteurs de l'annexe II restent importantes, pas essentielles.

Moyenne — généralement « importante »

Au moins 50 salariés, ou chiffre d'affaires annuel et total de bilan supérieurs à 10 millions d'euros. Atteindre le seuil de taille moyenne dans un secteur concerné vous fait généralement entrer comme entité importante.

En dessous du seuil moyen, les micro et petites organisations sont généralement hors champ — sauf si une exception indépendante de la taille s'applique.

Exceptions indépendantes de la taille — concerné quelle que soit la taille

Certaines entités sont concernées quelle que soit leur taille, en raison de leur rôle. Il s'agit notamment des prestataires de services de confiance qualifiés, des registres de noms de domaine de premier niveau et des fournisseurs de services DNS, des fournisseurs de réseaux ou de services de communications électroniques publics, et des entités qui sont l'unique fournisseur d'un service essentiel à une activité sociétale ou économique dans un État membre.

Les entités de l'administration publique et les organisations identifiées comme critiques au titre de la directive sur la résilience des entités critiques (REC/CER) peuvent également être concernées indépendamment de la taille, et les États membres peuvent désigner des entités individuellement. Si vous exploitez une infrastructure critique ou un service sans substitut, consultez la liste de désignation de votre autorité nationale plutôt que de vous fier au seul test de taille.

Non désigné ? La chaîne d'approvisionnement peut quand même vous impliquer

Même si vous n'êtes pas directement concerné, NIS2 vous atteint indirectement. Les organisations concernées doivent gérer le risque de cybersécurité de leurs fournisseurs et prestataires (art. 21, § 2, point d). En pratique, cela signifie que vos clients — banques, hôpitaux, énergéticiens, organismes publics — exigeront de plus en plus des preuves de votre niveau de sécurité comme condition de la relation commerciale.

La question pratique est donc rarement seulement « suis-je désigné ? ». C'est aussi « mes clients relèvent-ils de NIS2 ? ». Si c'est le cas, leurs obligations vous parviennent via les contrats, les questionnaires et la surveillance continue — que vous soyez ou non formellement une entité essentielle ou importante.

Ce qu'être concerné signifie en pratique

Si vous êtes concerné, les obligations principales sont :

  • Mesures de gestion des risques — le socle de l'art. 21 : analyse des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, chiffrement, contrôle d'accès et plus encore.
  • Notification des incidents — une alerte précoce à votre CSIRT national dans les 24 heures suivant un incident important, une notification plus complète dans les 72 heures et un rapport final sous un mois (art. 23).
  • Gouvernance et responsabilité — les organes de direction doivent approuver et superviser les mesures et peuvent être tenus responsables ; une formation du personnel est attendue.
  • Enregistrement — de nombreuses entités doivent s'enregistrer auprès de leur autorité nationale en fournissant leurs coordonnées et données sectorielles.

Les entités essentielles et importantes satisfont au même socle ; le niveau affecte surtout la manière dont elles sont surveillées et les sanctions maximales applicables.

Source : Directive (UE) 2022/2555 (NIS2), articles 2 et 3 et annexes I et II — consultez votre loi nationale de transposition et votre autorité de contrôle pour les détails contraignants dans votre pays.

Comment norppa.io aide

Une fois que vous savez que vos fournisseurs sont concernés — ou que vos clients attendent une assurance de niveau NIS2 — norppa.io fournit les preuves continues dont les deux sens ont besoin. Chaque domaine fournisseur surveillé est vérifié sur plus de 100 points de contrôle quotidiennement, les événements critiques toutes les six heures, avec une cartographie automatique des constatations vers les articles NIS2.

Les questionnaires d'auto-évaluation (SAQ) sont envoyés aux fournisseurs directement depuis norppa.io et se combinent au profil de risque technique, de sorte que les preuves de processus et techniques se trouvent au même endroit — prêtes pour la due diligence de vos clients ou un audit de l'autorité.

Découvrez à quoi ressemble un suivi de niveau NIS2

Un exemple de rapport fournisseur — constatations, cartographie NIS2 et preuves — en deux minutes.

Voir l'exemple de rapport

Guides associés

NIS2 et les exigences sur la chaîne d'approvisionnement — ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

NIS2 Art. 21(2) — liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.