Le contexte, remis à plat
La directive NIS2, transposée en France par la loi du 30 avril 2025, impose un cadre cybersécurité renforcé aux organisations dites « essentielles » et « importantes ». L'ANSSI a démarré ses premières inspections début 2026. On voit passer des demandes de conformité chez des clients qui n'auraient jamais dû être concernés. Voici comment trancher soi-même.
Question 1 — Votre secteur est-il listé ?
Les secteurs couverts sont limitativement énumérés dans les annexes de la directive : énergie, transports, banque, santé, eau, infrastructures numériques, services numériques (cloud, DNS, CDN), administrations publiques, industrie manufacturière critique, chimie, alimentaire, gestion des déchets, secteur postal, recherche.
Si votre activité principale n'est pas dans cette liste : **vous n'êtes pas concerné**, même si vous êtes une grosse boîte. Passez à autre chose.
Question 2 — Dépassez-vous les seuils ?
Deux paliers :
- **Entité essentielle** : plus de 250 salariés ET (CA > 50 M€ OU bilan > 43 M€), dans un secteur « hautement critique ».
- **Entité importante** : plus de 50 salariés ET (CA > 10 M€ OU bilan > 10 M€), dans un secteur critique.
Sous ces seuils, même en secteur listé, vous n'êtes en général pas dans le scope obligatoire. Sauf exceptions (opérateurs uniques d'un service, secteur santé, etc.).
Question 3 — Êtes-vous fournisseur d'un régulé ?
C'est le piège du moment. Un régulé NIS2 a l'obligation de sécuriser sa chaîne d'approvisionnement. Il peut donc, par contrat, exiger de vous des mesures équivalentes. Vous n'êtes pas *directement* régulé, mais vous êtes *contractuellement* obligé. Vérifiez vos contrats-cadres : les clauses cyber ont bougé fin 2025.
Question 4 — Si vous êtes concerné, par quoi commencer ?
- **Analyse de risque documentée** (obligation cardinale)
- **Politique de gestion des incidents** avec notification à l'ANSSI sous 24h
- **Chiffrement et gestion des accès**
- **Continuité d'activité et sauvegardes testées**
- **Formation et sensibilisation**
Ce ne sont pas des cases à cocher : la première inspection ANSSI vérifie que tout ceci existe et fonctionne. Faux documents = amende.
Le démarchage à ignorer
Vous allez recevoir des emails du type *« Mise en conformité NIS2 obligatoire — audit 4 500 € »*. Neuf fois sur dix, c'est du spam. Un vrai auditeur ne prospecte pas comme ça. Si vous êtes vraiment concerné et que vous cherchez de l'aide, demandez à votre CCI ou à votre fédération professionnelle. Sinon, gardez votre budget.
Si vous n'êtes pas sûr, un audit express de 2 jours (cf. notre [méthodologie](/methodologie)) répond à la question à moindre coût.