Est-ce que je suis vraiment concerné par NIS2 ou pas ?

La question revient sans cesse chez les PME et les ETI : "Est-ce que je suis vraiment concerné par NIS2 ou pas ?" Et elle est légitime. Le périmètre est large, les secteurs sont nombreux, la distinction entre entité essentielle et entité importante n’est pas intuitive, et beaucoup d’entreprises se demandent surtout si elles peuvent être "rattrapées" par rebond, via un client déjà concerné. La Commission européenne rappelle que NIS2 couvre 18 secteurs critiques et s’applique, en règle générale, aux entités moyennes et grandes de ces secteurs. L’ANSSI, de son côté, a mis en ligne MonEspaceNIS2 précisément pour aider les organisations à déterminer si elles relèvent du périmètre.

La réponse courte est la suivante : être fournisseur d’un client concerné par NIS2 ne vous rend pas automatiquement assujetti à NIS2. En revanche, cela peut vous rendre indirectement concernés sur le plan commercial, contractuel, opérationnel et sécurité, parce que NIS2 impose aux entités en scope de mieux maîtriser leurs fournisseurs et leur chaîne d’approvisionnement. C’est là que beaucoup d’entreprises se trompent : elles pensent en “oui/non juridique”, alors que le vrai sujet est souvent un continuum entre assujettissement direct et pression indirecte via les clients. La directive impose en effet des mesures de gestion du risque et mentionne explicitement la sécurité de la chaîne d’approvisionnement, y compris dans les relations avec les fournisseurs directs et prestataires.

Pourquoi le sujet est devenu si flou

Le flou ne vient pas seulement d’un manque d’information. Il vient de la structure même de NIS2.

La directive élargit fortement le périmètre par rapport à NIS1, avec plus de secteurs, plus d’entités et une logique davantage fondée sur la taille et l’activité réelle. La Commission européenne souligne que NIS2 a relevé le niveau d’ambition avec un scope plus large, des règles plus claires et des outils de supervision renforcés. ENISA note aussi que l’élargissement du périmètre entre NIS1 et NIS2 accroît la charge pour les entreprises et les autorités, ce qui contribue aux difficultés pratiques d’identification et de mise en œuvre.

En France, il faut ajouter un point important : la transposition nationale est encore en cours, et l’ANSSI continue d’accompagner les “futures entités essentielles et importantes” avec sa FAQ, son simulateur MonEspaceNIS2 et, depuis mars 2026, le Référentiel Cyber France (ReCyF) comme document de travail. Cela confirme deux choses : le sujet est concret, mais il reste encore des zones d’interprétation au niveau national.

La première chose à comprendre : NIS2 ne vise pas "toutes les entreprises cyber"

Le premier réflexe à avoir est simple : NIS2 ne s’applique pas parce que vous faites de l’informatique, du SaaS ou de la cybersécurité. Elle s’applique d’abord parce que votre entité exerce une activité relevant des annexes de la directive et remplit les critères de taille ou d’exception prévus. L’ANSSI le formule clairement : pour savoir si NIS2 s’applique, il faut regarder si l’une des activités de l’entité relève d’un secteur ou sous-secteur visé, puis vérifier les autres critères comme les seuils d’effectif, de chiffre d’affaires ou de bilan.

Autrement dit, la bonne question n’est pas :

"Je suis un fournisseur B2B, donc suis-je concerné ?"

La bonne question est :

"Mon entité entre-t-elle directement dans un secteur NIS2, avec les bons critères de taille ou une exception particulière ?"

Le cas général : secteur + taille

Le cas général de NIS2 repose sur deux filtres.

Le premier filtre est le secteur d’activité. La Commission européenne rappelle que la directive couvre 18 secteurs critiques, incluant notamment l’énergie, les transports, la santé, le numérique, l’eau, les services postaux, certains fabricants critiques, les administrations publiques ou encore l’espace.

Le second filtre est la taille. En France, l’ANSSI indique sur MesServicesCyber que la directive vise en règle générale les entités d’au moins 50 personnes ou ayant un chiffre d’affaires et un bilan annuel supérieurs à 10 millions d’euros, sous réserve bien sûr que leur activité relève d’un secteur visé et qu’aucune exception spécifique ne modifie l’analyse. Cette logique correspond à la définition européenne des entreprises moyennes et grandes sur laquelle s’appuie NIS2.

En pratique

Dans la majorité des cas, vous êtes directement potentiellement concernés si :

1. vous appartenez à un secteur ou sous-secteur NIS2 ;
2. vous êtes une entreprise moyenne ou grande au sens des seuils retenus ;
3. et vous fournissez vos services ou exercez vos activités dans l’Union.

Entité essentielle ou entité importante : la différence concrète

C’est souvent le deuxième point de confusion.

NIS2 distingue les entités essentielles et les entités importantes. La logique générale est la suivante : les secteurs de l’annexe I correspondent aux secteurs de plus haute criticité, tandis que ceux de l’annexe II relèvent d’autres secteurs critiques ; selon le secteur, la taille et certains cas particuliers, une entité pourra être qualifiée d’essentielle ou d’importante. L’ANSSI rappelle d’ailleurs que si une entité relève à la fois des annexes I et II, et remplit les autres conditions, elle sera traitée comme entité essentielle.

Ce que cela change concrètement, ce n’est pas seulement l’étiquette. Cela influence surtout le niveau de supervision. La Commission européenne rappelle que NIS2 introduit des obligations de gestion des risques, de notification d’incidents, ainsi que des mécanismes de supervision et d’enforcement plus forts, avec une responsabilisation de la direction.

Peut-on devenir concerné "par rebond" via un client ?

C’est ici qu’il faut être précis.

Non, pas automatiquement sur le plan réglementaire

Le simple fait d’avoir un client assujetti à NIS2 ne vous fait pas automatiquement entrer dans le champ de la directive. Le périmètre reste d’abord déterminé par la directive elle-même, via le secteur, la taille et certaines exceptions. L’ANSSI insiste d’ailleurs sur le fait qu’il appartient à l’entité de déterminer si elle entre dans l’une des catégories prévues par la directive, et renvoie vers le simulateur MonEspaceNIS2 pour cela.

Oui, très souvent sur le plan commercial et contractuel

En revanche, vous pouvez devenir très concrètement concernés par rebond si votre client est en scope NIS2. Pourquoi ? Parce que votre client, lui, doit renforcer la maîtrise de ses risques cyber, y compris dans sa chaîne d’approvisionnement. La directive vise la sécurité de la supply chain, et ENISA rappelle que sa guidance couvre notamment la supply chain security parmi les exigences de mise en œuvre pour les secteurs concernés par le règlement d’exécution 2024/2690.

Concrètement, cela signifie que votre client pourra vous demander :

1. des questionnaires de sécurité ;
2. des preuves de mesures en place ;
3. des engagements contractuels ;
4. des garanties sur vos accès, sauvegardes, incidents, sous-traitants ou pratiques de développement ;
5. voire un alignement partiel sur ses propres exigences NIS2.

Donc la bonne formule est celle-ci :

vous n’êtes pas forcément assujetti à NIS2 par rebond, mais vous pouvez très bien être “NIS2-driven” par vos clients.

Les cas où une petite structure peut quand même être concernée

Le cas général repose sur la taille, mais il existe des exceptions.

La directive prévoit que certaines entités sont concernées quelle que soit leur taille, notamment dans certains cas spécifiques comme les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les fournisseurs de services d’enregistrement de noms de domaine, certains prestataires de confiance qualifiés, ou encore les entités désignées comme critiques au titre d’autres dispositifs. Des autorités nationales comme le NCSC irlandais rappellent aussi cette logique “regardless of size” pour certains types d’entités.

Cela veut dire qu’une PME ou une petite structure ne peut pas se contenter d’un raisonnement “nous sommes trop petits, donc hors sujet”. Dans certains métiers précis, ce raccourci est faux. Le bon test reste toujours : activité exacte + taille + exceptions.

Le cas particulier des prestataires IT, MSP, infogéreurs, MSSP et certains SaaS

C’est un point souvent sous-estimé.

L’ANSSI donne elle-même, dans sa FAQ, l’exemple de la gestion des services TIC et rappelle la définition d’un fournisseur de services gérés : une entité qui fournit des services liés à l’installation, la gestion, l’exploitation ou l’entretien de produits, réseaux, infrastructures ou applications TIC, via une assistance ou une administration active, sur site ou à distance.

Donc si vous êtes :

1. infogéreur ;
2. MSP ;
3. MSSP ;
4. prestataire d’administration active ;
5. voire certains acteurs numériques selon votre modèle exact,

la question NIS2 mérite une vraie analyse. Tous les SaaS ne sont pas automatiquement concernés, mais certains services numériques ou de gestion active peuvent clairement entrer dans le radar. ENISA rappelle d’ailleurs que ses guides 2025 couvrent explicitement les managed service providers, managed security service providers, cloud computing service providers, data centre service providers et plusieurs catégories de fournisseurs numériques.

La bonne méthode pour savoir si vous êtes concerné

Pour une PME ou une ETI, la méthode la plus robuste tient en quatre questions.

1. Mon activité relève-t-elle d’un secteur ou sous-secteur NIS2 ?

C’est le point de départ. Il faut partir de l’activité réelle de l’entité juridique, pas seulement de l’étiquette commerciale. L’ANSSI insiste sur la nécessité de se référer aux définitions des annexes de la directive.

2. Est-ce que je dépasse les seuils de taille du cas général ?

En pratique, il faut vérifier l’effectif, le chiffre d’affaires et/ou le bilan au bon niveau, selon la logique NIS2 et la recommandation européenne PME à laquelle elle renvoie. L’ANSSI rappelle aussi que l’entité titulaire de la personnalité morale est le bon niveau de raisonnement.

3. Suis-je dans une exception "quelle que soit la taille" ?

Certains métiers ne sont pas sortis du périmètre par le simple fait d’être petits. C’est un point à vérifier systématiquement si vous êtes dans les services numériques structurants ou de confiance.

4. Si je ne suis pas directement en scope, suis-je indirectement sous pression de mes clients ?

C’est la question business. Même hors périmètre réglementaire direct, vous pouvez avoir besoin d’un niveau de préparation élevé si vos clients sont eux-mêmes assujettis et renforcent leurs exigences fournisseurs. La supply chain security fait explicitement partie de l’esprit et des exigences NIS2.

Le piège le plus fréquent

Le plus grand piège consiste à répondre trop vite :

1. "Oui, nous sommes concernés parce que nous vendons à de grands comptes."
2. ou à l’inverse : "Non, nous ne sommes pas concernés parce que nous sommes une PME."

Dans les deux cas, le raisonnement est trop simpliste.

La réalité est plus nuancée :

1. vous pouvez être directement assujetti ;
2. vous pouvez être hors champ direct, mais fortement impacté indirectement ;
3. ou vous pouvez être aujourd’hui hors champ, mais avec un niveau d’exigence client qui rend une préparation NIS2 très pertinente malgré tout.

Ce qu’une PME ou une ETI devrait faire maintenant

Même si votre statut exact n’est pas encore totalement tranché, attendre passivement est rarement la bonne stratégie.

L’ANSSI invite déjà les futures entités essentielles et importantes à s’engager dans une démarche de sécurisation cohérente avec NIS2 et met à disposition le ReCyF comme référentiel de travail depuis mars 2026. La Commission, de son côté, rappelle que la directive impose des mesures de gestion des risques et des notifications d’incidents aux entités concernées.

En pratique, cela veut dire :

1. clarifier votre périmètre juridique et métier ;
2. utiliser le simulateur MonEspaceNIS2 ;
3. cartographier vos activités et dépendances clients ;
4. identifier si vous êtes prestataire critique, MSP/MSSP ou fournisseur numérique potentiellement visé ;
5. préparer votre réponse fournisseur si vos clients NIS2 commencent à vous challenger.

En bref

La bonne réponse à "est-ce que je suis concerné par NIS2 ?" est rarement binaire.

Voici la lecture la plus utile :

1. Directement concerné : vous êtes dans un secteur NIS2, avec les bons seuils ou une exception spécifique.
2. Indirectement concerné : vous n’êtes peut-être pas assujetti juridiquement, mais vos clients NIS2 vont vous demander des garanties et des preuves.
3. À surveiller de près : vous êtes dans les services numériques, l’infogérance, le cloud, la gestion active ou un métier proche de la chaîne critique.

Le sujet n’est donc pas seulement de savoir si vous êtes “dedans ou dehors”. Le vrai sujet est de comprendre votre niveau d’exposition réglementaire et commerciale.

FAQ

Est-ce qu’un fournisseur d’une entreprise NIS2 est automatiquement soumis à NIS2 ?

Non. Le fait d’avoir un client assujetti ne suffit pas, à lui seul, à vous faire entrer dans le champ de la directive. En revanche, ce client peut vous imposer plus d’exigences sécurité et de preuves dans le cadre de sa gestion des fournisseurs.

Une PME peut-elle être concernée par NIS2 ?

Oui, dans certains cas. Le cas général vise les entités au moins moyennes dans les secteurs concernés, mais certaines exceptions existent quelle que soit la taille.

Comment savoir si mon SaaS est concerné ?

Il faut regarder l’activité exacte de l’entité, pas seulement le fait d’être “SaaS”. Certains fournisseurs numériques, MSP, MSSP ou services de gestion active peuvent entrer dans le périmètre, d’autres non. L’ANSSI renvoie vers les définitions des annexes et MonEspaceNIS2.

La France a-t-elle déjà totalement transposé NIS2 ?

À la date du 20 avril 2026, la transposition nationale n’est pas encore totalement stabilisée ; l’ANSSI continue de communiquer pendant la transposition et met à disposition des outils d’aide comme MonEspaceNIS2 et le ReCyF