Quels Secteurs sont Concernés par la Directive NIS2 ? Liste Complète 2025

Les 18 Secteurs d’Activité Concernés par NIS2

La directive NIS2 élargit considérablement le champ d’application de son prédécesseur NIS1. Désormais, 18 secteurs d’activité sont soumis à des obligations de cybersécurité renforcées, répartis en deux annexes selon leur niveau de criticité.

Classification: Entités Essentielles vs Entités Importantes

NIS2 distingue deux catégories d’entités selon l’article 3 de la directive (UE) 2022/2555 :

• Entités essentielles (Annexe I) : secteurs hautement critiques pour la sécurité nationale et le fonctionnement de la société. Obligations renforcées et sanctions maximales.
• Entités importantes (Annexe II) : secteurs dont la perturbation aurait un impact significatif mais non systémique. Obligations standards.

Cette distinction impacte directement le niveau des sanctions et l’intensité des contrôles par l’ANSSI.

Liste Complète des 18 Secteurs NIS2

Annexe I – 11 Secteurs Hautement Critiques (Entités Essentielles)

1. Énergie

Sous-secteurs concernés :

• Électricité (production, transport, distribution, gestionnaires de réseaux)
• Pétrole (raffinage, stockage, distribution, oléoducs)
• Gaz naturel (production, transport, distribution, GNL, stockage)
• Hydrogène (production, stockage, transport)
• Réseaux de chauffage et refroidissement urbains

Seuils : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

2. Transport

Sous-secteurs concernés :

• Transport aérien (compagnies, aéroports, contrôle aérien)
• Transport ferroviaire (opérateurs, gestionnaires d’infrastructure)
• Transport maritime (ports, lignes maritimes, VTS)
• Transport routier (autorités de gestion du trafic)

3. Secteur bancaire

Entités concernées : Établissements de crédit au sens du règlement CRR

Note : Application conjointe avec le règlement DORA (Digital Operational Resilience Act) pour le secteur financier.

4. Infrastructures de marchés financiers

Entités concernées :

• Opérateurs de plateformes de négociation
• Contreparties centrales

5. Santé

Sous-secteurs concernés :

• Prestataires de soins de santé (hôpitaux, cliniques, centres de soins)
• Laboratoires de référence de l’UE
• Entités menant des activités de recherche et développement de médicaments
• Fabricants de produits pharmaceutiques
• Fabricants de dispositifs médicaux et de diagnostic in vitro

6. Eau potable

Entités concernées : Fournisseurs et distributeurs d’eau destinée à la consommation humaine

7. Eaux usées

Entités concernées : Entreprises collectant, évacuant ou traitant les eaux usées urbaines ou industrielles

8. Infrastructures numériques

Services concernés :

• Points d’échange Internet (IXP)
• Fournisseurs de services DNS (à l’exclusion des opérateurs de serveurs racine)
• Registres de noms de domaine de premier niveau (TLD)
• Fournisseurs de services d’informatique en nuage (cloud computing)
• Fournisseurs de services de centres de données (data centers)
• Fournisseurs de réseaux de distribution de contenu (CDN)
• Prestataires de services de confiance
• Fournisseurs de réseaux de communications électroniques publics
• Fournisseurs de services de communications électroniques accessibles au public

Seuils spécifiques cloud : Si > 5% part de marché UE dans au moins 3 pays membres

9. Gestion des services TIC (services business-to-business)

Entités concernées :

• Prestataires de services managés (Managed Service Providers – MSP)
• Prestataires de services de sécurité managés (Managed Security Service Providers – MSSP)

⚠️ Important : Les MSP/MSSP servant des entités essentielles peuvent être concernés même s’ils sont de petite taille.

10. Administration publique

Entités concernées :

• Entités de l’administration publique de niveau central (obligatoire)
• Entités de l’administration publique de niveau régional (obligatoire)
• Entités de l’administration publique de niveau local (facultatif selon décision de l’État membre)

11. Espace

Entités concernées :

• Opérateurs d’infrastructures terrestriales détenues, gérées et exploitées par les États membres ou par des parties privées
• Fournisseurs de services spatiaux soutenant la fourniture de services essentiels

Annexe II – 7 Secteurs Critiques (Entités Importantes)

12. Services postaux et de messagerie

Entités concernées : Fournisseurs de services postaux et services de messagerie express

Seuils : 50-249 salariés OU 10-50M€ CA OU 10-43M€ bilan

13. Gestion des déchets

Entités concernées : Entreprises de gestion des déchets (à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas leur activité économique principale)

14. Fabrication, production et distribution de produits chimiques

Sous-secteurs concernés :

• Fabrication, production et distribution de substances chimiques
• Fabrication, production et distribution de produits chimiques dangereux (selon règlement CLP)

15. Production, transformation et distribution de denrées alimentaires

Entités concernées :

• Opérateurs des secteurs de l’alimentaire et de l’alimentation animale (à l’exclusion des établissements de vente au détail et de restauration)
• Opérateurs de la transformation des denrées alimentaires

16. Fabrication d’équipements spécifiques

Sous-secteurs concernés selon la classification NACE :

• Dispositifs médicaux et dispositifs médicaux de diagnostic in vitro (classes IIa, IIb, III)
• Produits informatiques, électroniques et optiques
• Équipements électriques
• Machines et équipements n.c.a. (non classés ailleurs)
• Véhicules automobiles, remorques et semi-remorques
• Autres matériels de transport (construction navale, aérospatiale, militaire, cycles)

17. Fournisseurs numériques

Services concernés :

• Fournisseurs de marchés en ligne (online marketplaces)
• Fournisseurs de moteurs de recherche en ligne
• Fournisseurs de plateformes de services de réseaux sociaux (≥45M utilisateurs actifs mensuels dans l’UE)

18. Recherche

Entités concernées : Organismes de recherche dont l’objectif principal est de mener des recherches fondamentales, appliquées ou du développement expérimental

Comment Savoir si Votre Entreprise est Concernée ?

Critère 1 : Secteur d’activité

Vérifiez si votre activité principale correspond précisément à l’un des 18 secteurs listés ci-dessus (consultez les sous-secteurs détaillés).

Critère 2 : Taille de l’entreprise selon la Recommandation 2003/361/CE

Pour les secteurs Annexe I (Entités Essentielles) :

• Grande entreprise : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

Pour les secteurs Annexe II (Entités Importantes) :

• Moyenne et grande entreprise : ≥50 salariés OU ≥10M€ CA OU ≥10M€ bilan

⚠️ Exceptions : Certains secteurs (cloud, finance, DNS, TLD, services de confiance) ont des seuils spécifiques basés sur la part de marché ou sont concernés quelle que soit leur taille.

Critère 3 : Criticité des services

Même si vous êtes une PME, vous êtes concerné si :

• Vous êtes le seul fournisseur d’un service essentiel dans votre zone géographique
• Une perturbation de vos services aurait un impact transfrontalier ou systémique
• Vous fournissez des services critiques à des entités essentielles
• Vous êtes explicitement désigné par l’État membre comme essentiel

Secteurs Exclus de NIS2

Ne sont PAS concernés par NIS2 :

• Micro-entreprises (< 10 employés ET < 2M€ CA ET < 2M€ bilan) sauf exceptions spécifiques (DNS, TLD, services de confiance)
• Petites entreprises (< 50 employés ET < 10M€) dans les secteurs Annexe II
• Entreprises ne fournissant pas de services essentiels ou importants tels que définis dans les annexes
• Secteurs déjà couverts par des réglementations spécifiques équivalentes ou plus strictes

Cas Particuliers et Zones Grises

Fournisseurs de services aux entités essentielles

Si vous êtes un MSP, MSSP ou fournisseur cloud servant des entités NIS2, vous êtes classé en Entité Essentielle même si votre secteur principal n’est pas listé en Annexe I.

Entreprises multi-secteurs

Si vous opérez simultanément dans plusieurs secteurs, vous êtes soumis aux obligations les plus strictes (classification Entité Essentielle si au moins un secteur est en Annexe I).

Filiales et groupes internationaux

Chaque filiale est évaluée séparément selon son activité, sa taille et son pays d’implantation, même au sein d’un groupe. Les filiales françaises d’un groupe étranger sont soumises à NIS2 si elles remplissent les critères.

Que Faire si Vous Êtes Concerné ?

Étape 1 : Auto-évaluation précise

Réalisez un diagnostic pour confirmer votre entrée dans le champ NIS2 :

• Secteur d’activité exact (code NAF et correspondance annexes I/II)
• Taille de l’entreprise (effectif + CA + bilan consolidé si groupe)
• Criticité et impact potentiel de vos services
• Chaîne de valeur et dépendances (fournissez-vous des entités essentielles ?)

Étape 2 : Enregistrement auprès de l’ANSSI

Les entités concernées devront s’enregistrer via la plateforme MonEspaceNIS2 : monespacenis2.cyber.gouv.fr

Étape 3 : Mise en conformité selon l’article 21

Lancez votre projet de conformité NIS2 :

• Audit de cybersécurité complet (cartographie des actifs, analyse des risques)
• Gap analysis vs exigences de l’article 21 de la directive
• Plan d’action technique et organisationnel priorisé
• Formation obligatoire des dirigeants (article 20)
• Mise en place des procédures de notification d’incidents (article 23)
• Audit de la supply chain (sécurité des fournisseurs)

FAQ – Secteurs Concernés NIS2

Mon entreprise cloud de 30 salariés est-elle concernée ?

Cela dépend. Les fournisseurs cloud sont soumis à NIS2 dès 50 salariés OU s’ils détiennent > 5% de part de marché UE dans au moins 3 pays membres. Votre taille actuelle vous exclut probablement, sauf croissance rapide ou forte concentration géographique.

Je suis un MSP servant des hôpitaux, suis-je concerné ?

Oui, absolument. Les prestataires de services managés (MSP/MSSP) servant des entités essentielles sont classés en Entité Essentielle (Annexe I), avec les obligations et sanctions maximales correspondantes (10M€ OU 2% CA mondial).

Quand la liste définitive sera-t-elle publiée en France ?

Situation actuelle (février 2026) : La France a manqué la deadline du 17 octobre 2024. La transposition législative est en cours (adoption Sénat mars 2025, Assemblée septembre 2025). L’ANSSI devra publier la liste officielle des entités d’ici le 17 janvier 2025 (deadline dépassée). En pratique, les entités remplissant les critères sont d’ores et déjà soumises aux obligations européennes.

Puis-je être concerné par plusieurs réglementations (NIS2 + DORA + RGPD) ?

Oui, c’est fréquent et légal. Exemple :

• Une banque : NIS2 (secteur bancaire) + DORA (résilience opérationnelle numérique) + RGPD (données personnelles)
• Un hôpital : NIS2 (santé) + RGPD (données de santé)
• Un opérateur cloud : NIS2 (infrastructures numériques) + RGPD (sous-traitant de données)

Les exigences se cumulent mais sont partiellement complémentaires. Un SMSI ISO 27001 bien conçu peut couvrir une large partie des trois réglementations.

Y a-t-il une période de grâce pour se mettre en conformité ?

Non officiellement. La directive est applicable depuis le 18 octobre 2024. Cependant, l’ANSSI a indiqué une approche pragmatique avec une période de transition de facto pour permettre aux entités de monter en maturité. Recommandation : ne pas attendre. Les premiers contrôles et sanctions peuvent intervenir dès 2026.