Conformité NIS2

NIS2 : qui est concerné ?

Beaucoup d'organisations ignorent qu'elles entrent dans le champ de NIS2, souvent parce que leur secteur y a été ajouté ou parce qu'elles fournissent une entité régulée. Cette page explique comment déterminer si vous êtes concerné, et à quel titre.
Experts seniors nominatifs
Prix publics affichés
Livrables priorisés par le risque
Intervention partout en France

NIS2 · 01

Deux critères : le secteur et la taille

L'éligibilité à NIS2 repose principalement sur deux critères combinés. Le premier est sectoriel : la directive dresse la liste des secteurs concernés, répartis entre secteurs hautement critiques et autres secteurs critiques. Le second est la taille de l'entité, appréciée à partir de l'effectif et du chiffre d'affaires selon les seuils européens.

Concrètement, une organisation est généralement visée lorsqu'elle exerce dans un secteur listé et qu'elle atteint la taille d'une moyenne ou grande entreprise. En dessous de ces seuils, elle échappe le plus souvent au régime, sauf cas particuliers.

Secteurs hautement critiques : énergie, transports, banque, marchés financiers, santé, eau potable et eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace.
Autres secteurs critiques : services postaux et d'expédition, gestion des déchets, produits chimiques, agroalimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules), fournisseurs numériques, recherche.

NIS2 · 02

Entité essentielle ou entité importante ?

Une fois l'éligibilité établie, il reste à déterminer votre catégorie. En simplifiant, les grandes entités des secteurs hautement critiques relèvent des entités essentielles, tandis que les autres entités concernées relèvent généralement des entités importantes. Cette qualification détermine le régime de supervision qui vous sera appliqué et mérite d'être établie avec rigueur.

NIS2 · 03

Les cas où la taille ne compte pas

La règle de taille connaît des exceptions. Certaines entités sont visées quelle que soit leur taille, en raison de leur rôle critique : fournisseurs d'infrastructures ou de services numériques particuliers, acteurs uniques dans leur pays, ou certaines entités de l'administration publique. Une petite structure peut donc être concernée si son activité est jugée sensible.

En cas de doute, une analyse au cas par cas s'impose : la qualification engage des obligations juridiques, elle mérite d'être établie plutôt que supposée.

Notre méthode

Une intervention cadrée, du premier échange au suivi.

La même rigueur à chaque mission, quel que soit le périmètre.

1

Cadrage

Périmètre, objectifs et règles d'engagement définis avec vous.

2

Intervention

Nos experts exécutent la mission : outillage et analyse manuelle.

3

Restitution

Rapport priorisé par le risque, synthèse direction et plan d'action.

4

Accompagnement

Suivi de la remédiation et contre-vérification des correctifs.

Le pôle Conformité NIS2

La vue d'ensemble et les prestations sœurs de ce pôle d'expertise.

Prêt à y voir clair sur votre exposition ?

Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.

Questions fréquentes

Mon entreprise est un sous-traitant : suis-je concerné ?

Peut-être, à deux titres. Vous pouvez être directement visé si vous relevez d'un secteur et d'une taille concernés. Vous pouvez aussi être indirectement sollicité par vos clients régulés, tenus de sécuriser leur chaîne d'approvisionnement et donc d'exiger des garanties de leurs fournisseurs.

Comment savoir rapidement si je suis concerné ?

Le point de départ est de croiser votre secteur avec la liste NIS2, puis votre taille avec les seuils européens. Notre simulateur NIS2 facilitera ce premier tri ; en attendant, nos experts qualifient votre situation lors d'un échange de cadrage.