Qui doit se conformer à NIS 2 ?
NIS 2 s'applique à un large éventail d'organisations à travers l'Union européenne, élargissant considérablement le périmètre de la directive NIS originale. Comprendre si votre organisation entre dans ce périmètre est la première étape vers la conformité, et la réponse dépend de votre secteur, de votre taille et de la nature des services que vous fournissez.
Points clés
| Point | Résumé |
|---|---|
| Seuil de taille | Moyennes entreprises (50+ employés ou 10M€+ de CA) et grandes entreprises (250+ employés ou 50M€+ de CA) |
| Basé sur le secteur | 18 secteurs répartis entre entités essentielles (Annexe I) et importantes (Annexe II) |
| Exceptions | Certaines entités sont dans le périmètre quelle que soit leur taille (fournisseurs DNS, registres TLD, prestataires de services de confiance qualifiés) |
| Entités hors UE | Les organisations fournissant des services dans l'UE depuis l'extérieur peuvent également être concernées |
| Impact estimé | Plus de 160 000 entités à travers l'UE |
Réponse rapide : NIS 2 s'applique aux moyennes et grandes organisations dans 18 secteurs critiques. Si votre organisation compte 50+ employés ou 10M€+ de chiffre d'affaires annuel et opère dans l'énergie, la santé, les infrastructures numériques, la fabrication ou d'autres secteurs couverts, vous devez probablement vous conformer.
Le mécanisme de seuil de taille
NIS 2 introduit une approche claire et harmonisée pour déterminer quelles organisations entrent dans le périmètre. Contrairement à la directive NIS originale, qui laissait largement la détermination du périmètre aux États membres, NIS 2 utilise un mécanisme de seuil de taille :
| Catégorie de taille | Employés | Chiffre d'affaires annuel | Total du bilan |
|---|---|---|---|
| Moyenne | 50-249 | 10M-50M€ | 10M-43M€ |
| Grande | 250+ | 50M€+ | 43M€+ |
| Petite/Micro | Moins de 50 | Moins de 10M€ | Moins de 10M€ |
Les petites et micro-entreprises sont généralement exemptées de NIS 2, avec des exceptions spécifiques pour :
- Les prestataires de services de confiance qualifiés
- Les fournisseurs de services DNS
- Les registres de noms de domaine de premier niveau
- Les fournisseurs de réseaux de communications électroniques publics ou de services
- Les entités d'administration publique
- Les entités qui sont le seul fournisseur d'un service critique dans un État membre
- Les entités dont la perturbation pourrait avoir un impact significatif sur la sécurité publique ou la santé
Entités essentielles (Annexe I)
Les entités essentielles font l'objet du niveau de surveillance réglementaire le plus élevé sous NIS 2. Elles sont soumises à une supervision proactive, ce qui signifie que les autorités peuvent effectuer des inspections et des audits sans incident déclencheur.
| Secteur | Exemples |
|---|---|
| Énergie | Électricité, pétrole, gaz, hydrogène, chauffage et refroidissement urbains |
| Transport | Opérateurs de transport aérien, ferroviaire, fluvial et routier |
| Banque | Établissements de crédit tels que définis par la CRD |
| Infrastructures des marchés financiers | Plateformes de négociation, contreparties centrales |
| Santé | Hôpitaux, prestataires de soins, laboratoires de référence de l'UE, fabricants de dispositifs médicaux considérés comme critiques lors d'urgences de santé publique |
| Eau potable | Fournisseurs et distributeurs d'eau destinée à la consommation humaine |
| Eaux usées | Entreprises collectant, traitant ou évacuant les eaux usées urbaines, domestiques ou industrielles |
| Infrastructures numériques | IXP, fournisseurs DNS, registres TLD, cloud computing, centres de données, CDN, prestataires de services de confiance, réseaux de communications électroniques publics |
| Gestion des services TIC (B2B) | Fournisseurs de services managés et fournisseurs de services de sécurité managés |
| Administration publique | Entités de l'administration centrale (à l'exclusion du judiciaire, des parlements et des banques centrales) |
| Espace | Opérateurs d'infrastructures au sol soutenant les services spatiaux |
Entités importantes (Annexe II)
Les entités importantes font l'objet d'une supervision un peu plus légère (réactive plutôt que proactive) mais doivent toujours respecter les mêmes exigences de cybersécurité. La principale différence réside dans l'application et les sanctions.
| Secteur | Exemples |
|---|---|
| Services postaux et de courrier | Fournisseurs de services postaux et de courrier |
| Gestion des déchets | Opérateurs de collecte, transport, traitement et élimination des déchets |
| Chimie | Fabrication, production et distribution de produits chimiques |
| Alimentation | Entreprises de production, transformation et distribution alimentaires |
| Fabrication | Dispositifs médicaux, produits informatiques et électroniques, équipements électriques, machines, véhicules à moteur, remorques et autres équipements de transport |
| Fournisseurs numériques | Places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux |
| Recherche | Organismes de recherche (dont les résultats pourraient être exploités à des fins commerciales ou industrielles) |
Comment déterminer si votre organisation est dans le périmètre
Étape 1 : Vérifiez votre taille
- Avez-vous 50 employés ou plus ? Ou un chiffre d'affaires annuel de 10M€+ ?
- Si non, vous êtes généralement exempté sauf si vous entrez dans une catégorie spéciale
Étape 2 : Identifiez votre secteur
- Votre organisation opère-t-elle dans l'un des 18 secteurs listés dans les Annexes I ou II ?
- Considérez toutes vos activités, pas seulement votre activité principale
Étape 3 : Déterminez votre classification d'entité
- Secteurs de l'Annexe I : Vous êtes une entité essentielle (soumise à supervision proactive)
- Secteurs de l'Annexe II : Vous êtes une entité importante (soumise à supervision réactive)
- Certaines entités peuvent relever de plusieurs secteurs
Étape 4 : Vérifiez les circonstances particulières
- Êtes-vous une entité d'infrastructure critique au titre de la directive CER ?
- Êtes-vous le seul fournisseur d'un service critique dans un État membre ?
- Votre organisation fournit-elle des services transfrontaliers ?
Essentielle vs Importante : quelle différence ?
| Aspect | Entités essentielles | Entités importantes |
|---|---|---|
| Supervision | Proactive (ex-ante) | Réactive (ex-post) |
| Amende maximale | 10M€ ou 2 % du CA mondial | 7M€ ou 1,4 % du CA mondial |
| Exigences de cybersécurité | Identiques aux entités importantes | Identiques aux entités essentielles |
| Signalement d'incidents | Mêmes délais | Mêmes délais |
| Pouvoirs des autorités | Pouvoirs d'inspection et d'application plus larges | Inspection uniquement après preuve de non-conformité |
Les exigences de cybersécurité elles-mêmes sont identiques pour les deux catégories. Les principales différences résident dans l'approche de supervision et les sanctions maximales.
Organisations hors UE
NIS 2 a une portée extraterritoriale. Si votre organisation est établie en dehors de l'UE mais fournit des services au sein de l'UE dans un secteur couvert, vous devrez peut-être vous conformer. Plus précisément :
- Les fournisseurs de services DNS, registres TLD, fournisseurs de cloud computing, fournisseurs de centres de données, fournisseurs de CDN, fournisseurs de services managés, fournisseurs de services de sécurité managés, et places de marché en ligne, moteurs de recherche ou plateformes de réseaux sociaux doivent désigner un représentant dans l'UE
- Le représentant doit être établi dans l'un des États membres où l'entité fournit des services
- L'absence de désignation d'un représentant n'exempte pas l'entité des obligations NIS 2
Que se passe-t-il si vous ne vous conformez pas ?
La non-conformité entraîne des conséquences significatives :
- Sanctions financières : Jusqu'à 10M€ ou 2 % du CA mondial pour les entités essentielles, 7M€ ou 1,4 % pour les entités importantes
- Responsabilité de la direction : Les dirigeants peuvent être tenus personnellement responsables
- Restrictions opérationnelles : Les autorités peuvent suspendre temporairement des certifications ou des activités
- Dommage réputationnel : Le statut de conformité peut devenir un facteur dans les relations commerciales et les contrats
- Surveillance accrue : La non-conformité peut déclencher des revues de supervision plus fréquentes et intensives
Questions fréquentes
Les startups doivent-elles se conformer à NIS 2 ?
La plupart des startups sont exemptées car elles sont en dessous des seuils de taille (50 employés ou 10M€ de CA). Cependant, les startups dans certaines catégories comme les prestataires de services de confiance ou les fournisseurs DNS doivent se conformer quelle que soit leur taille. De plus, les startups en forte croissance devraient anticiper car franchir le seuil déclenche les obligations de conformité.
NIS 2 s'applique-t-elle aux entreprises SaaS ?
Cela dépend du secteur et de la taille. Les entreprises SaaS qui se qualifient comme fournisseurs de services managés, services de cloud computing ou fournisseurs d'infrastructures numériques peuvent entrer dans le périmètre. Si votre produit SaaS sert des entités essentielles ou importantes, vous pouvez également faire face à des obligations indirectes via les exigences de chaîne d'approvisionnement de vos clients.
Comment NIS 2 interagit-elle avec le droit national ?
NIS 2 est une directive, ce qui signifie que chaque État membre de l'UE doit la transposer en droit national. La directive fixe des exigences minimales, mais les États membres peuvent adopter des mesures plus strictes. Les organisations doivent vérifier leur transposition locale pour toute exigence supplémentaire au-delà du socle de la directive.