NIS2 : les 18 secteurs concernés

Publié le 12/09/2025 | Temps de lecture : 10 minutes

La directive NIS2 transforme radicalement le paysage de la cybersécurité européenne. Entrée en vigueur en janvier 2023, elle doit être transposée dans les droits nationaux avant octobre 2024. Cette nouvelle réglementation élargit considérablement le périmètre des entités concernées et durcit les obligations de sécurité. Découvrez si votre secteur fait partie des 18 domaines d'activité désormais régulés.

Plan de l'article

• NIS2 vs NIS1 : ce qui change fondamentalement
• Les 11 secteurs hautement critiques
• Les 7 secteurs importants
• Critères de taille : êtes-vous dans le périmètre obligatoire ?
• Les 10 mesures de cybersécurité obligatoires
• Nouvelles obligations de signalement des incidents
• Sanctions et responsabilité des dirigeants
• Calendrier de mise en conformité
• Comment préparer votre mise en conformité

NIS2 vs NIS1 : ce qui change fondamentalement

Périmètre élargi

• NIS1 : 7 secteurs, ~1 000 entités en Europe
• NIS2 : 18 secteurs, ~160 000 entités concernées

Obligations renforcées

• Mesures de cybersécurité plus précises
• Signalement d'incidents en 24h (vs 72h)
• Responsabilité personnelle des dirigeants
• Sanctions financières considérablement alourdies

Approche par la taille plutôt que par désignation

NIS2 définit des seuils automatiques selon la taille des entreprises, éliminant le processus de désignation national de NIS1.

Les 11 secteurs hautement critiques

Ces secteurs bénéficient d'obligations renforcées et d'une surveillance accrue des autorités nationales.

1. Énergie

• Production d'électricité : centrales de toute source (nucléaire, renouvelable, fossile)
• Transport et distribution d'électricité : gestionnaires de réseaux, opérateurs
• Production, transport et distribution de gaz : infrastructures gazières
• Hydrogène : production, stockage, transport
• Chauffage urbain : réseaux de distribution

Seuils : ≥50 salariés OU ≥10M€ CA

2. Transport

• Transport aérien : compagnies aériennes, gestionnaires d'aéroports
• Transport ferroviaire : entreprises ferroviaires, gestionnaires d'infrastructures
• Transport par voies navigables : compagnies de transport fluvial/maritime
• Transport routier : transport de marchandises, transport public urbain

Seuils : ≥50 salariés OU ≥10M€ CA

3. Services bancaires

• Établissements de crédit : banques, caisses d'épargne
• Institutions de monnaie électronique
• Etablissements de paiement

Seuils : ≥50 salariés OU ≥10M€ CA

4. Infrastructures de marchés financiers

• Opérateurs de marché : bourses, plateformes de trading
• Contreparties centrales : chambres de compensation
• Référentiels centraux : bases de données financières

Seuils : ≥50 salariés OU ≥10M€ CA

5. Santé

• Établissements de soins : hôpitaux, cliniques
• Laboratoires de référence : analyses médicales
• Fabricants de dispositifs médicaux critiques
• Pharmacies : distribution pharmaceutique
• Recherche et développement pharmaceutique

Seuils : ≥50 salariés OU ≥10M€ CA

6. Eau potable

• Production d'eau potable
• Distribution d'eau potable

Seuils : ≥50 salariés OU ≥10M€ CA

7. Eaux usées

• Collecte et traitement des eaux usées

Seuils : ≥50 salariés OU ≥10M€ CA

8. Infrastructures numériques

• Points d'échange Internet (IXP)
• Fournisseurs de services DNS
• Registres de noms de domaine de premier niveau (TLD)

Seuils : ≥50 salariés OU ≥10M€ CA

9. TIC - Gestion de services TIC

• Fournisseurs de services cloud computing
• Centres de données

Seuils : ≥50 salariés OU ≥10M€ CA

10. TIC - Fournisseurs de services de communications électroniques

• Opérateurs télécoms : mobile, fixe, internet
• Fournisseurs d'accès internet

Seuils : ≥50 salariés OU ≥10M€ CA

11. Espace

• Opérateurs de systèmes spatiaux
• Fournisseurs de services spatiaux

Seuils : ≥50 salariés OU ≥10M€ CA

Les 7 secteurs importants

Ces secteurs ont des obligations de cybersécurité mais une surveillance moins intensive.

12. Services postaux et messagerie

• Services postaux universels
• Services de messagerie et de fret express

Seuils : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

13. Gestion des déchets

• Collecte, transport et traitement des déchets
• Recyclage et valorisation

Seuils : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

14. Fabrication, production et distribution de produits chimiques

• Industrie chimique et pétrochimique
• Fabrication d'engrais, pesticides, produits pharmaceutiques

Seuils : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

15. Production, transformation et distribution de denrées alimentaires

• Industrie agroalimentaire
• Distribution alimentaire de gros
• Transformation et conditionnement

Seuils : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

16. Fabrication - Dispositifs médicaux et diagnostics in vitro

• Fabricants d'équipements médicaux
• Dispositifs de diagnostic médical
• Matériel médical critique

Seuils : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

17. Fabrication - Équipements informatiques, électroniques et optiques

• Fabricants d'ordinateurs et équipements
• Composants électroniques
• Équipements de télécommunication

Seuils : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

18. Fabrication de machines et équipements

• Machines industrielles
• Équipements automobiles
• Matériel de transport

Seuils : ≥250 salariés OU ≥50M€ CA OU ≥43M€ bilan

Critères de taille : êtes-vous dans le périmètre obligatoire ?

Secteurs hautement critiques (1-11)

Seuils bas pour inclusion automatique :

• 50 salariés minimum OU
• 10 millions d'euros de chiffre d'affaires annuel

Secteurs importants (12-18)

Seuils moyennes entreprises :

• 250 salariés minimum OU
• 50 millions d'euros de chiffre d'affaires OU
• 43 millions d'euros de bilan total

Cas particuliers :

• Micro et petites entreprises généralement exemptées (sauf impact critique)
• Filiales : critères appliqués au niveau du groupe
• Sous-traitants critiques : inclusion possible par les autorités nationales

Les 10 mesures de cybersécurité obligatoires

NIS2 impose un socle minimum de 10 mesures techniques et organisationnelles :

Mesures techniques

• Politiques d'analyse et d'évaluation des risques de cybersécurité
• Gestion des incidents de cybersécurité
• Plans de continuité d'activité et de gestion de crise
• Sécurité de la chaîne d'approvisionnement numérique
• Politiques et procédures d'évaluation de l'efficacité des mesures

Mesures organisationnelles

• Formation de cybersécurité et politiques d'hygiène informatique
• Politiques et procédures relatives à l'utilisation de la cryptographie
• Politiques et procédures concernant la sécurité des ressources humaines
• Politiques et procédures pour l'utilisation sécurisée des systèmes
• Contrôle d'accès et gestion des actifs

Mise en pratique

Chaque mesure doit être documentée, mise en œuvre et régulièrement testée. Les autorités vérifient l'effectivité, pas seulement l'existence des politiques.

Nouvelles obligations de signalement des incidents

Délais de notification raccourcis

• Alerte précoce : 24 heures maximum (vs 72h en NIS1)
• Rapport d'incident : 72 heures maximum
• Rapport final : 1 mois maximum

Critères de signalement élargis

Incident significatif si impact sur :

• Disponibilité des services essentiels
• Intégrité des données critiques
• Confidentialité des informations sensibles
• Sécurité physique des personnes

Nouveauté : signalement des tentatives

NIS2 oblige à signaler certaines tentatives d'attaque, même échouées, si elles révèlent des vulnérabilités significatives.

Sanctions et responsabilité des dirigeants

Sanctions financières

Secteurs hautement critiques :

• Jusqu'à 10 millions d'euros OU
• 2% du chiffre d'affaires mondial annuel

Secteurs importants :

• Jusqu'à 7 millions d'euros OU
• 1,4% du chiffre d'affaires mondial annuel

Responsabilité personnelle des dirigeants

Nouveauté majeure : Les dirigeants peuvent être tenus personnellement responsables et faire l'objet de :

• Interdictions temporaires d'exercer des fonctions dirigeantes
• Obligations de formation en cybersécurité
• Sanctions pénales en cas de négligence grave

Calendrier de mise en conformité

Échéances déjà passées

• Janvier 2023 : Entrée en vigueur de NIS2
• Octobre 2024 : Transposition obligatoire dans les droits nationaux

Échéances à venir

• Mi-2025 : Premières désignations officielles des entités concernées
• Fin 2025 : Mise en conformité attendue pour les mesures de base
• 2026 : Début des contrôles systématisés

Particularité française

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) sera l'autorité de supervision principale, avec pouvoir de sanction renforcé.

Comment préparer votre mise en conformité

Étape 1 : Vérifiez votre inclusion dans le périmètre

Auto-évaluation :

• Identifiez votre secteur d'activité principal
• Vérifiez les seuils de taille applicables
• Évaluez votre criticité pour les services essentiels

Étape 2 : Auditez vos mesures actuelles

Gap analysis par rapport aux 10 mesures obligatoires :

• Politiques existantes vs exigences NIS2
• Maturité de vos processus de cybersécurité
• Capacités de détection et de réponse aux incidents
• Formation et sensibilisation des équipes

Étape 3 : Développez votre plan de conformité

Priorisez les actions selon :

• Criticité des vulnérabilités identifiées
• Complexité de mise en œuvre
• Ressources disponibles (budget, compétences)
• Échéances réglementaires

Étape 4 : Mettez en place la gouvernance

Désignez les responsabilités :

• Responsable cybersécurité (RSSI)
• Correspondant incidents pour l'ANSSI
• Équipe de gestion de crise
• Formations obligatoires dirigeants

Secteurs à enjeux particuliers

Finance et assurance

Spécificité : Double régulation NIS2 + réglementation bancaire (DORA) Point d'attention : Éviter les doublons et contradictions entre les deux cadres

Santé

Spécificité : Criticité maximale des données patient Point d'attention : Articulation avec le RGPD et la réglementation médicale

Numérique et télécoms

Spécificité : Secteur déjà mature en cybersécurité Point d'attention : Mise à niveau des exigences vers les standards NIS2

Industrie manufacturière

Spécificité : Convergence IT/OT (systèmes industriels) Point d'attention : Sécurisation des systèmes de production connectés

Questions fréquentes

"Notre groupe a des activités dans plusieurs secteurs"

L'entité est soumise aux obligations du secteur le plus strict de ses activités. Une holding avec des filiales dans différents secteurs peut être soumise aux obligations secteur hautement critique.

"Nous sommes sous-traitants d'une entité NIS2"

Les sous-traitants critiques peuvent être inclus dans le périmètre, même s'ils ne respectent pas les seuils de taille. L'autorité nationale peut les désigner.

"Notre siège est hors UE mais nous avons des activités en Europe"

NIS2 s'applique aux services fournis dans l'UE, quelle que soit la localisation du siège social.

La directive NIS2 marque un tournant dans l'approche européenne de la cybersécurité. Pour les 160 000 entités concernées, elle représente à la fois un défi de conformité et une opportunité de renforcer durablement leur résilience cyber.

La clé du succès réside dans une approche méthodique et l'anticipation des échéances. Plus vous commencez tôt, plus vous transformez cette contrainte réglementaire en avantage concurrentiel.

Pour approfondir votre compréhension de NIS2 et de ses implications sectorielles, consultez nos autres guides pratiques sur la conformité réglementaire.