Aller au contenu principal
Procidatec
Tous les articles
Réglementation

NIS2 en 2026 : êtes-vous concerné ? La checklist en 4 questions

Six mois après le début de l'enforcement français, les dirigeants qui nous appellent posent tous la même question : « suis-je dans le scope ? » La bonne nouvelle : 4 questions suffisent à trancher.

6 min de lecture·par Paul Schiano, Co-fondateur, Procidatec

Le contexte, remis à plat

La directive NIS2, transposée en France par la loi du 30 avril 2025, impose un cadre cybersécurité renforcé aux organisations dites « essentielles » et « importantes ». L'ANSSI a démarré ses premières inspections début 2026. On voit passer des demandes de conformité chez des clients qui n'auraient jamais dû être concernés. Voici comment trancher soi-même.

Question 1 — Votre secteur est-il listé ?

Les secteurs couverts sont limitativement énumérés dans les annexes de la directive : énergie, transports, banque, santé, eau, infrastructures numériques, services numériques (cloud, DNS, CDN), administrations publiques, industrie manufacturière critique, chimie, alimentaire, gestion des déchets, secteur postal, recherche.

Si votre activité principale n'est pas dans cette liste : **vous n'êtes pas concerné**, même si vous êtes une grosse boîte. Passez à autre chose.

Question 2 — Dépassez-vous les seuils ?

Deux paliers :

  • **Entité essentielle** : plus de 250 salariés ET (CA > 50 M€ OU bilan > 43 M€), dans un secteur « hautement critique ».
  • **Entité importante** : plus de 50 salariés ET (CA > 10 M€ OU bilan > 10 M€), dans un secteur critique.

Sous ces seuils, même en secteur listé, vous n'êtes en général pas dans le scope obligatoire. Sauf exceptions (opérateurs uniques d'un service, secteur santé, etc.).

Question 3 — Êtes-vous fournisseur d'un régulé ?

C'est le piège du moment. Un régulé NIS2 a l'obligation de sécuriser sa chaîne d'approvisionnement. Il peut donc, par contrat, exiger de vous des mesures équivalentes. Vous n'êtes pas *directement* régulé, mais vous êtes *contractuellement* obligé. Vérifiez vos contrats-cadres : les clauses cyber ont bougé fin 2025.

Question 4 — Si vous êtes concerné, par quoi commencer ?

  • **Analyse de risque documentée** (obligation cardinale)
  • **Politique de gestion des incidents** avec notification à l'ANSSI sous 24h
  • **Chiffrement et gestion des accès**
  • **Continuité d'activité et sauvegardes testées**
  • **Formation et sensibilisation**

Ce ne sont pas des cases à cocher : la première inspection ANSSI vérifie que tout ceci existe et fonctionne. Faux documents = amende.

Le démarchage à ignorer

Vous allez recevoir des emails du type *« Mise en conformité NIS2 obligatoire — audit 4 500 € »*. Neuf fois sur dix, c'est du spam. Un vrai auditeur ne prospecte pas comme ça. Si vous êtes vraiment concerné et que vous cherchez de l'aide, demandez à votre CCI ou à votre fédération professionnelle. Sinon, gardez votre budget.

Si vous n'êtes pas sûr, un audit express de 2 jours (cf. notre [méthodologie](/methodologie)) répond à la question à moindre coût.

Vous voulez en discuter ?

Cet article a soulevé une question pour votre boîte ? Échangeons 30 minutes, sans engagement.