Comment savoir si vous êtes concerné par NIS 2 ?

La directive NIS 2 (Network and Information Security), adoptée par l’Union européenne, marque une évolution majeure en matière de cybersécurité. Avec une entrée en vigueur prévue dès 2024-2025 selon les États membres, elle impose de nouvelles obligations à un nombre élargi d’entreprises européennes, bien au-delà du périmètre couvert par NIS 1. Son objectif : améliorer la résilience des infrastructures critiques face aux cybermenaces. Mais comment savoir si votre organisation est concernée ? Cet article vous guide pas à pas.

Les critères pour savoir si vous êtes concerné

Pour déterminer si une entreprise est soumise à la directive NIS 2, trois critères sont à croiser :

1. Secteur d’activité

Votre entreprise doit appartenir à l’un des secteurs listés dans l’annexe I (entités essentielles) ou dans l’annexe II (entités importantes) de la directive.

2. Taille de l’entreprise (nombre d’employés)

• Entité essentielle (EE) : ≥ 250 employés

• Entité importante (EI) : ≥ 50 employés

3. Chiffre d’affaires ou bilan annuel

• EE : CA ≥ 50 M€ ou Bilan annuel ≥ 43 M€

• EI : CA ≥ 10 M€ ou Bilan annuel ≥ 10 M€

👉 Une entreprise remplissant les conditions de secteur + taille + seuil financier sera potentiellement classée comme entité EE ou EI.

Les entités essentielles (Annexe I)

Les entités essentielles sont jugées stratégiques pour le bon fonctionnement de la société et de l’économie. Elles appartiennent notamment aux secteurs suivants :

• Énergie : producteurs d’électricité, opérateurs de réseaux

• Transports : aéroports, compagnies ferroviaires

• Santé : hôpitaux, laboratoires

• Eau : distributeurs d’eau potable

• Infrastructures numériques : fournisseurs de services DNS, opérateurs de réseaux de communications

Exemples concrets :

Un fournisseur d’énergie électrique national

Un centre hospitalier régional

Ces entités sont soumises à une surveillance renforcée et à des sanctions plus importantes en cas de non-conformité.

Les entités importantes (Annexe II)

Les entités importantes jouent également un rôle critique dans l’économie, bien qu’elles soient considérées comme moins centrales. Elles opèrent dans des secteurs comme :

• Digital : éditeurs SaaS, marketplaces

• Industrie chimique

• Services postaux et logistique

• Production alimentaire

• Gestion des déchets

Exemples concrets :

Une PME proposant un logiciel en mode SaaS

Un acteur de la logistique internationale

Elles doivent aussi se conformer à la directive, mais bénéficient d’un niveau de supervision différencié.

Coup de pouce pratique

L’ANSSI a mis en ligne un site dédié, MonEspaceNIS2 (ajouter directement le lien : https://monespacenis2.cyber.gouv.fr/) incluant un outil de test d’éligibilité. En quelques clics, une organisation peut vérifier si elle est soumise aux obligations de la directive NIS 2.

Cas particulier à retenir :

Même si votre entreprise ne répond pas directement aux critères (secteur, taille, chiffre d’affaires), elle peut être concernée si elle est sous-traitante ou fournisseur d’une entité essentielle ou importante. Dans ce cas, les exigences de cybersécurité s’appliquent également à elle.

NIS 2 : de nouvelles obligations à respecter

Les entités concernées doivent mettre en place des mesures de cybersécurité, notamment :

• Analyse des risques et politiques de sécurité

• Prévention, détection et réponse aux cyberincidents

• Notification obligatoire à l’ANSSI en cas d’incident

• Formation continue des équipes et audits réguliers

👉 Ces obligations sont définies dans l’article 21 de la directive.

Sanctions en cas de non-conformité

Le non-respect des obligations peut entraîner :

• Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles

• Jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes

 À noter : les dirigeants peuvent également être tenus personnellement responsables en cas de manquements graves.

Interdata vous accompagne dans votre mise en conformité

Interdata accompagne les organisations dans leur mise en conformité avec la directive NIS 2 grâce à son expertise en cybersécurité réseau, mise en conformité réglementaire et gouvernance IT.