La plupart des réponses à "suis-je concerné par NIS2 ?" restent vagues. Voici la version déterministe. Vous relevez de la directive NIS2 (directive (UE) 2022/2555) uniquement si vous répondez oui aux deux questions.
Question 1 : votre secteur est-il couvert ?
NIS2 liste les secteurs dans deux annexes.
Annexe I (secteurs hautement critiques) : énergie, transport, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B, y compris les prestataires de services gérés), administration publique et espace.
Annexe II (autres secteurs critiques) : services postaux et de messagerie, gestion des déchets, produits chimiques, denrées alimentaires, fabrication (dispositifs médicaux, informatique et électronique, machines, véhicules), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux) et recherche.
Question 2 : êtes-vous assez grand ?
NIS2 s'applique généralement à partir de la moyenne entreprise : 50 salariés ou plus, ou 10 M EUR de chiffre d'affaires ou de bilan. En dessous, vous êtes généralement hors champ, sauf exceptions (fournisseurs DNS, registres de noms TLD, prestataires de services de confiance et certains opérateurs télécoms et d'infrastructure numérique, concernés quelle que soit leur taille).
Entité essentielle ou importante ?
- Entité essentielle (grandes entités de l'Annexe I) : supervision proactive, amendes jusqu'à 10 M EUR ou 2% du CA mondial.
- Entité importante (moyennes entités de l'Annexe I et entités de l'Annexe II) : supervision réactive, amendes jusqu'à 7 M EUR ou 1,4%.
En vertu de l'Art. 20, votre organe de direction doit approuver et superviser les mesures et engage sa responsabilité personnelle.
L'exception qui concerne les banques et assureurs : DORA, pas NIS2
Erreur la plus fréquente : le secteur bancaire et les infrastructures de marché figurent à l'Annexe I, mais DORA (règlement (UE) 2022/2554) est la lex specialis pour les entités financières. Lorsqu'un acte sectoriel impose des exigences au moins équivalentes, il s'applique à la place de NIS2 (Art. 4). Concrètement, les banques, assureurs et la plupart des entités financières réglementées suivent DORA, et non les mesures de l'Art. 21 de NIS2.
Transposition en France
En France, NIS2 est transposée en droit national et l'ANSSI est l'autorité compétente pour l'enregistrement et la supervision. Vérifiez votre statut dès maintenant et documentez votre enregistrement.
Vérifiez en 30 secondes si vous êtes concerné
-> Lancer le vérificateur d'applicabilité NIS2 gratuit - saisissez votre secteur, votre effectif et votre chiffre d'affaires pour obtenir un résultat instantané : essentielle, importante ou hors champ.
-> Quelles réglementations européennes s'appliquent à moi ? - le QuickScan couvre NIS2, RGPD, CBAM, PPWR et l'AI Act.
Source
Directive (UE) 2022/2555 (NIS2) | Règlement (UE) 2022/2554 (DORA)
Dernière vérification : 21 juin 2026.