Aller au contenu
NIS2

Quelles entreprises sont concernées par la directive NIS2 en France ?

·
9 minutes de lecture
VOTRE ENTREPRISE EST-ELLE PRÊTE POUR NIS2 ?
Centralisez la gestion des appareils et des accès sur une seule plateforme, automatisez les politiques de sécurité et préparez-vous plus sereinement aux exigences de conformité et d’audit. Découvrez Factorial IT
Article rédigé par

Le paysage de la cybersécurité a changé pour toujours. Avec l’arrivée de la directive NIS2, protéger les données de votre entreprise n’est plus seulement une recommandation ou un problème exclusif du département informatique. C’est désormais une obligation légale très stricte pour des milliers d’organisations en France, sous la supervision d’organismes tels que l’Agence nationale de la sécurité des systèmes d’information.

On parle beaucoup de cette nouvelle réglementation, mais la question qui trotte réellement dans la tête de nombreux dirigeants est : cela me concerne-t-il ou mon entreprise est-elle épargnée ? La réalité est qu’elle touche beaucoup plus d’entreprises que vous ne l’imaginez, y compris un grand nombre de PME en France, notamment à travers la chaîne d’approvisionnement.

Si vous voulez en avoir le cœur net et éviter des sanctions qui peuvent être très lourdes, dans cet article, nous traduisons le jargon juridique en un langage clair pour que vous découvriez si votre entreprise est obligée de se conformer à la directive NIS2 en France.

Qui est obligé de se conformer à la directive NIS2 ?

La directive NIS2 ne s’applique pas à toutes les entreprises de la même manière. Pour déterminer quelles organisations doivent s’y conformer et adopter des mesures de cybersécurité plus strictes, la réglementation évalue la combinaison de trois facteurs principaux :

  • Champ d’application géographique : l’entreprise opère ou fournit ses services au sein de l’Union européenne.
  • Secteur d’activité : elle appartient à l’un des secteurs visés par la directive, ce qui déterminera si l’organisation est classée comme une entité essentielle ou une entité importante selon les critères adoptés en France.
  • Taille de l’organisation : elle atteint les seuils de moyenne ou grande entreprise (en règle générale, plus de 50 employés ou un chiffre d’affaires annuel supérieur à 10 millions d’euros), également utilisés en France pour identifier les organisations ayant le plus grand impact économique ou social.

Champ d’application géographique : les entreprises opérant dans l’Union européenne

La directive NIS2 s’applique aux organisations établies dans l’Union européenne, mais sa portée s’étend également aux entreprises dont le siège est en dehors de l’UE si elles fournissent des services sur le marché européen.

Cela signifie que toute entreprise internationale qui propose des services numériques, des infrastructures ou des produits critiques aux utilisateurs ou aux entreprises de l’UE peut être obligée de se conformer à la réglementation. L’objectif est de garantir que tous les systèmes qui soutiennent l’économie européenne maintiennent un niveau élevé et uniforme de cybersécurité, indépendamment de l’emplacement du siège social de l’entreprise.

Secteur d’activité : entités essentielles vs. importantes

Un autre facteur déterminant est le secteur d’activité. La directive NIS2 identifie une série d’activités considérées comme stratégiques pour le fonctionnement de la société et divise les organisations concernées en deux grandes catégories légales : les entités essentielles et les entités importantes.

Pour faire cette distinction, la réglementation dresse une liste exhaustive des secteurs assujettis, en les divisant en deux grands groupes selon leur niveau de criticité :

Secteurs hautement critiques (Annexe I) :

  • Énergie : électricité, réseaux de chaleur et de froid, pétrole, gaz et hydrogène.
  • Transports : aérien, ferroviaire, maritime et routier.
  • Banque : établissements de crédit.
  • Infrastructures des marchés financiers : opérateurs de plates-formes de négociation et contreparties centrales.
  • Santé : prestataires de soins de santé, laboratoires de référence, recherche (R&D) pharmaceutique et fabrication de médicaments.
  • Eau potable : fournisseurs et distributeurs.
  • Eaux usées : entreprises de collecte, d’élimination ou de traitement.
  • Infrastructure numérique : fournisseurs de services cloud, centres de données, réseaux de télécommunications, fournisseurs de services DNS, etc.
  • Gestion des services TIC : fournisseurs de services gérés (MSP) et de services de sécurité (MSSP) interentreprises (B2B).
  • Administration publique : entités de l’administration centrale, régionale et autorités locales (collectivités territoriales).
  • Espace : opérateurs d’infrastructures terrestres liées à l’espace.

Autres secteurs critiques (Annexe II) :

  • Services postaux et d’expédition.
  • Gestion des déchets.
  • Industrie chimique : fabrication, production et distribution de substances chimiques.
  • Alimentation : production, transformation et distribution en gros de denrées alimentaires.
  • Fabrication : comprend la fabrication de dispositifs médicaux, de produits informatiques, électroniques et optiques, d’équipements électriques, de machines, de véhicules automobiles et d’autres matériels de transport.
  • Fournisseurs numériques : places de marché en ligne (marketplaces), moteurs de recherche et plateformes de réseaux sociaux.
  • Recherche : organismes et instituts de recherche.

La classification finale d’une entreprise comme « essentielle » ou « importante » définira son niveau de supervision (qui sera plus strict pour les essentielles) et dépendra de la combinaison exacte entre le secteur auquel elle appartient (parmi ces listes) et sa taille.

Taille de l’organisation : la règle du seuil

En règle générale, la directive NIS2 applique ce que l’on appelle la « règle de la taille limite ». Cela signifie que la réglementation s’adresse principalement aux moyennes et grandes entreprises, car un cyber-incident sur leurs réseaux aurait un impact économique ou social plus important.

Les seuils qui déterminent l’entrée automatique dans le champ de la directive (à condition d’appartenir aux secteurs mentionnés) sont :

  • Avoir plus de 50 employés, ou
  • Avoir un chiffre d’affaires ou un bilan annuel supérieur à 10 millions d’euros.

Les entreprises qui dépassent ces limites entrent dans son champ d’application. Cependant, il existe des exceptions vitales : les microentreprises et les petites entreprises (qui n’atteignent pas ces seuils) seront également obligées de se conformer à la directive NIS2 si elles proposent des services hautement critiques.

Liste complète des secteurs et sous-secteurs concernés par la directive NIS2

Comme nous l’avons détaillé dans les points précédents, la directive classe les activités obligées en 18 grands blocs. Ci-dessous, nous vous présentons un tableau récapitulatif avec tous les secteurs, sous-secteurs et la catégorie légale qui vous correspondrait, afin que vous puissiez identifier d’un coup d’œil dans quelle situation se trouve votre entreprise :

Secteur Sous-secteur / Type d’entité (Exemples) Microentreprises et petites* Entreprises moyennes Grandes organisations
SECTEURS HAUTEMENT CRITIQUES (Annexe I)
1. Énergie Électricité, Gaz, Pétrole, Hydrogène : Producteurs, fournisseurs, gestionnaires de réseaux, opérateurs de points de recharge. (Non exigé)* Entité importante Entité essentielle
2. Transports Aérien, Ferroviaire, Maritime, Routier : Compagnies aériennes, gestionnaires d’aéroports/ports, entreprises ferroviaires. (Non exigé) Entité importante Entité essentielle
3. Secteur Financier Banque et Infrastructures : Établissements de crédit, opérateurs de plates-formes de négociation, contreparties centrales. (Non exigé) Entité importante Entité essentielle
4. Santé Prestataires de soins de santé, laboratoires de référence, recherche (R&D) de médicaments, fabricants pharmaceutiques. (Non exigé) Entité importante Entité essentielle
5. Eau Potable et Usées : Fournisseurs et distributeurs d’eau potable, entreprises de traitement des eaux usées. (Non exigé) Entité importante Entité essentielle
6. Infrastructure Numérique Fournisseurs de services cloud, centres de données, CDN, réseaux de télécommunications, DNS, registres TLD. Essentielle / Importante * Entité essentielle / Importante Entité essentielle
7. Administration Publique Entités de l’administration centrale, régionale et autorités locales (collectivités territoriales) (à l’exclusion de la défense, de la sécurité nationale, etc.). N/A N/A Entité essentielle
8. Espace Opérateurs d’infrastructures terrestres liées à l’espace. (Non exigé) Entité importante Entité essentielle
AUTRES SECTEURS CRITIQUES (Annexe II)
9. Services Postaux Prestataires de services postaux et d’expédition. (Non exigé) Entité importante Entité importante
10. Gestion des Déchets Entreprises dédiées à la collecte, l’élimination ou le traitement des déchets. (Non exigé) Entité importante Entité importante
11. Industrie Chimique Fabrication, production et distribution de substances chimiques. (Non exigé) Entité importante Entité importante
12. Alimentation Production, transformation et distribution en gros de denrées alimentaires (ex. industrie agroalimentaire, grands supermarchés). (Non exigé) Entité importante Entité importante
13. Fabrication Fabricants de dispositifs médicaux, de produits informatiques/électroniques, de machines, de véhicules automobiles. (Non exigé) Entité importante Entité importante
14. Fournisseurs Numériques Places de marché en ligne (marketplaces), moteurs de recherche, plateformes de réseaux sociaux. (Non exigé) Entité importante Entité importante

* Notes importantes pour comprendre le tableau :

Critères de taille (Règle générale) :

  • Micro et petites entreprises : moins de 50 employés et un chiffre d’affaires ou un bilan annuel inférieur à 10 millions d’euros. En règle générale, elles sont exclues de la directive.
  • Entreprises moyennes : entre 50 et 249 employés, et un chiffre d’affaires annuel allant jusqu’à 50 millions d’euros (ou un bilan jusqu’à 43 millions).
  • Grandes organisations : plus de 250 employés et un chiffre d’affaires annuel supérieur à 50 millions d’euros (ou un bilan supérieur à 43 millions).

Exceptions clés pour les micro et petites entreprises : il existe des entités qui doivent se conformer à la directive NIS2 quelle que soit leur taille. Celles-ci incluent : les fournisseurs de réseaux publics de communications électroniques, les prestataires de services de confiance (signatures électroniques), les registres de noms de domaine de premier niveau (TLD) et les entités qui sont le fournisseur exclusif d’un service critique en France.

Alors, si je suis une petite entreprise, la directive NIS2 ne me concerne-t-elle pas ?

Il est très tentant de penser qu’en n’atteignant pas les 50 employés ou les 10 millions d’euros de chiffre d’affaires, votre PME est automatiquement exemptée de se conformer à la directive. Cependant, la réalité est qu’elle peut bel et bien vous affecter, et ce par deux voies très différentes :

1. Impact direct

Comme nous l’avons vu dans les sections précédentes, la loi elle-même établit que la taille n’a pas d’importance si votre entreprise propose des services qui sont hautement critiques pour la société ou l’économie. Vous devrez obligatoirement vous conformer à la directive NIS2, même si vous êtes une microentreprise, si votre activité est :

  • Un fournisseur de réseaux publics de communications ou de services de communications électroniques.
  • Un prestataire de services de confiance (par exemple, l’émission de signatures ou de certificats électroniques).
  • Un registre de noms de domaine de premier niveau (TLD) ou un fournisseur de services DNS.
  • Le fournisseur unique d’un service essentiel au maintien d’activités sociales ou économiques critiques dans un État membre.

2. Impact indirect

C’est la situation qui va impacter l’immense majorité des PME européennes. Bien que la loi ne vous y oblige pas directement en raison de votre taille ou de votre secteur, la directive NIS2 exige des entités essentielles et importantes qu’elles garantissent la cybersécurité de l’ensemble de leur chaîne d’approvisionnement.

Qu’est-ce que cela signifie en pratique ? Que si votre petite entreprise est le fournisseur d’une organisation qui doit se conformer à la directive NIS2 (par exemple, si vous offrez un support informatique, des logiciels, de la logistique ou de la maintenance à une banque, un hôpital ou une entreprise du secteur de l’énergie), votre client exigera contractuellement que vous appliquiez des mesures de cybersécurité strictes.

Si vous ne le faites pas, cette grande entreprise sera contrainte de se passer de vos services et de chercher un autre fournisseur afin de ne pas s’exposer aux vulnérabilités ni aux amendes millionnaires de la directive. Par conséquent, même en tant que PME, la cybersécurité n’est plus optionnelle : c’est une exigence commerciale indispensable pour survivre et continuer à opérer sur le marché B2B.

En quoi les entités essentielles diffèrent-elles des entités importantes ?

Étant donné que la réglementation divise les entreprises concernées en ces deux catégories, il est normal de se demander en quoi elles diffèrent dans les faits. Au niveau technique, la directive exige des deux qu’elles appliquent des mesures de cybersécurité similaires, mais la grande différence réside dans la manière dont le gouvernement les surveille et dans le montant des amendes.

  • Entités essentielles : ayant un impact critique sur le pays, elles font l’objet d’une supervision proactive. C’est-à-dire que les autorités leur feront subir des audits et des inspections périodiques pour vérifier qu’elles respectent la loi, et elles s’exposent aux amendes les plus élevées de la directive.
  • Entités importantes : elles font l’objet d’une supervision réactive. En règle générale, le gouvernement ne les enquêtera ou ne les inspectera que si elles subissent une cyberattaque grave ou s’il existe des preuves qu’elles enfreignent la réglementation. Les amendes maximales sont également légèrement inférieures.

Exemples pratiques d’application de la directive NIS2

Pour mieux comprendre comment se croisent tous les critères que nous avons vus (secteur, taille et criticité), nous allons analyser deux scénarios quotidiens. L’un dans lequel l’entreprise est tenue de se conformer à la directive et l’autre dans lequel, en principe, elle resterait hors de sa portée directe.

Cas 1 : L’entreprise qui EST concernée

Imaginez une entreprise appelée « Distributions Alimentaires du Sud ».

  • Secteur : elle se consacre à la distribution en gros de denrées alimentaires (Secteur inclus dans l’Annexe II : Autres secteurs critiques).
  • Taille : elle compte 120 employés et réalise un chiffre d’affaires annuel de 15 millions d’euros.

La directive NIS2 la concerne-t-elle ? Oui. Ayant plus de 50 employés et dépassant les 10 millions d’euros de chiffre d’affaires, elle respecte la « règle de la taille limite » (c’est une moyenne entreprise). Comme elle appartient à un secteur de l’Annexe II, la directive la classe automatiquement comme une « entité importante ». Elle devra appliquer les mesures de cybersécurité exigées et notifier tout incident grave, bien que les inspections de l’ANSSI ne seront menées de manière réactive qu’en cas de problème. De plus, sa première obligation légale après l’entrée en vigueur de la loi française sera de s’enregistrer formellement sur la plateforme officielle que l’ANSSI mettra en place afin d’avoir un recensement à jour de toutes les entités réglementées.

Cas 2 : L’entreprise qui N’EST PAS concernée directement

Imaginez maintenant une entreprise appelée « Transports Rapides Locaux ».

  • Secteur : elle se consacre au transport routier de marchandises (Secteur inclus dans l’Annexe I : Secteurs hautement critiques).
  • Taille : c’est une entreprise familiale de 25 employés réalisant un chiffre d’affaires annuel de 3 millions d’euros.

La directive NIS2 la concerne-t-elle ? Non, de manière directe. Bien qu’elle opère dans un secteur hautement critique (les transports), cette entreprise n’atteint pas les seuils de taille minimaux (moins de 50 employés et moins de 10 millions de chiffre d’affaires), elle est donc considérée comme une petite entreprise. N’étant pas le fournisseur exclusif d’un service critique au niveau national, elle est exclue de l’obligation légale directe.

Mais comme nous l’avons vu dans la section précédente, si cette entreprise est engagée par une grande chaîne de supermarchés qui doit se conformer à la directive NIS2, cette grande entreprise pourrait exiger contractuellement qu’elle améliore sa cybersécurité, la rendant ainsi indirectement concernée par la chaîne d’approvisionnement.

Articles Similaires