Directive NIS2 : qui est concerné, à partir de quand et ce que cela change concrètement

Une directive longtemps perçue comme lointaine

Pendant des mois, la directive européenne NIS2 a été évoquée comme un texte majeur, mais encore abstrait. Beaucoup d’entreprises et de collectivités savaient qu’un renforcement du cadre cyber était en cours, sans pour autant se sentir directement concernées. Le flou sur le périmètre exact, combiné à une transposition nationale encore inachevée, a entretenu une forme d’attentisme.

La mise en ligne et l’actualisation de la plateforme officielle MonEspaceNIS2 marquent un tournant. Pour la première fois, l’État donne une lecture structurée et opérationnelle du cadre, en s’appuyant sur le texte de la directive et sur le projet de loi de transposition. Le message est clair : la question n’est plus théorique. Elle est désormais concrète et imminente (ANSSI).

Un changement d’échelle assumé par les pouvoirs publics

L’un des apports majeurs de NIS2 réside dans son changement d’échelle. Là où la directive NIS de 2016 ciblait un nombre limité d’opérateurs critiques, NIS2 étend très largement le périmètre des entités régulées.

Ce choix traduit une évolution profonde de la doctrine publique. La cybersécurité n’est plus considérée comme un sujet réservé à quelques infrastructures vitales. Elle devient un enjeu systémique, lié à la continuité économique, à la stabilité des services et à la résilience globale des territoires (Vie-publique).

Deux catégories structurantes au cœur du dispositif

Pour organiser cet élargissement sans appliquer un traitement uniforme à des situations très différentes, la directive NIS2 introduit une distinction centrale entre entités essentielles (EE) et entités importantes (EI).

Cette catégorisation repose sur plusieurs critères cumulatifs : le secteur d’activité, le degré de criticité, la taille de l’entité et, pour les entreprises, le chiffre d’affaires et le bilan. Elle vise à proportionner les obligations et les contrôles au rôle réel de chaque organisation dans l’économie et la société.

Entités essentielles : des seuils élevés pour des acteurs critiques

Relèvent, dans le cas général, de la catégorie des entités essentielles les organisations appartenant à des secteurs dits critiques ou hautement critiques, dès lors qu’elles dépassent certains seuils définis par la directive et repris dans le projet de loi français.

Sont considérées comme entités essentielles les entreprises qui :

• emploient au moins 250 salariés,
  ou

• réalisent un chiffre d’affaires annuel supérieur à 50 millions d’euros et disposent d’un bilan annuel supérieur à 43 millions d’euros.

Ces critères traduisent une logique de responsabilité accrue. Plus une entité est structurante, plus le niveau d’exigence réglementaire est élevé, tant en matière de prévention que de gestion des incidents.

Entités importantes : un périmètre bien plus large qu’attendu

La catégorie des entités importantes constitue le cœur du changement introduit par NIS2. Elle concerne les organisations qui ne relèvent pas du statut d’entité essentielle, mais qui dépassent néanmoins des seuils significatifs.

Sont ainsi qualifiées d’entités importantes les entreprises qui :

• emploient au moins 50 salariés,
  ou

• réalisent un chiffre d’affaires annuel supérieur à 10 millions d’euros avec un bilan supérieur à 10 millions d’euros.

Ce seuil relativement accessible explique pourquoi de nombreuses PME structurées et une large part des ETI découvrent qu’elles entrent désormais dans le champ de la directive. Pour beaucoup, c’est une première confrontation avec un cadre cyber contraignant et opposable.

Des exceptions fondées sur la fonction, non sur la taille

La directive NIS2 prévoit également des exceptions au cas général. Certaines entités sont intégrées au dispositif indépendamment de leur taille ou de leurs résultats financiers, en raison de la nature même des services qu’elles opèrent.

C’est notamment le cas des prestataires de services de confiance, des fournisseurs de services DNS, des registres de noms de domaine de premier niveau, des opérateurs de réseaux de communications électroniques publiques, ainsi que de certaines administrations publiques.

Cette approche fonctionnelle confirme un principe clé : la criticité d’un service peut primer sur la dimension économique de l’entité qui le fournit (ANSSI).

Une entrée en vigueur déjà actée au niveau européen

La directive NIS2 est entrée en vigueur dans l’Union européenne le 18 octobre 2024. Depuis cette date, les États membres sont tenus d’en assurer l’application, même si les modalités nationales sont encore en cours de finalisation.

En France, la transposition progresse. La diffusion d’outils institutionnels et de contenus de clarification vise à préparer les acteurs concernés et à réduire l’effet de surprise. Mais l’entrée en vigueur européenne crée déjà un cadre de référence auquel les organisations ne peuvent plus se soustraire.

Un texte complémentaire du RGPD, aux effets cumulatifs

NIS2 ne remplace pas le RGPD. Elle vient s’y ajouter. Là où le RGPD protège les données personnelles et les droits des individus, NIS2 vise la sécurité des systèmes d’information et la continuité des services essentiels ou importants.

Dans les faits, les deux cadres se superposent. Une cyberattaque peut désormais engager simultanément la responsabilité d’une organisation au titre de NIS2 et du RGPD. Cette articulation renforce la pression réglementaire sur la gouvernance, la gestion des risques et la capacité de réaction des dirigeants (Vie-publique).

Une bascule durable pour les entreprises et les collectivités

La clarification progressive du périmètre NIS2 confirme une transformation profonde du paysage réglementaire. La cybersécurité devient une obligation structurante pour un nombre croissant d’acteurs publics et privés.

Pour les entreprises comme pour les collectivités, la question n’est plus de savoir si NIS2 s’applique, mais si l’organisation est capable de se situer correctement, de démontrer sa conformité et d’assumer ses responsabilités dans un cadre désormais exigeant et opposable (ANSSI).