NIS 2 France — périmètre

Entités essentielles et importantes : êtes-vous concerné par NIS 2 ?

En France, NIS 2 sera transposée par la loi Résilience. Cette page explique comment déterminer si votre organisation serait une entité essentielle (EE) ou importante (EI) — selon le secteur, la taille et le régime antérieur (OIV/SAIV).

Transposition en cours — informations provisoires

La loi Résilience n'est pas encore promulguée (promulgation attendue courant été 2026 ; la France a manqué l'échéance du 17 octobre 2024). Les seuils nationaux et les montants de sanctions ci-dessous sont issus du projet de loi et du ReCyF v2.5, diffusé en document de travail — ils sont susceptibles d'évoluer jusqu'au texte promulgué et à ses décrets.

Entités essentielles (EE) vs entités importantes (EI)

Selon le projet de loi. La distinction détermine surtout l'intensité de la supervision de l'ANSSI.

Entités essentielles (EE)

Grandes entités des secteurs à haute criticité (annexe I) — énergie, transports, santé, eau potable, infrastructure numérique, etc. Supervision a priori par l'ANSSI. Les anciens OIV (dispositif SAIV) devraient y basculer.

Entités importantes (EI)

Entités moyennes des secteurs de l'annexe I et entités des secteurs de l'annexe II (poste, déchets, chimie, agroalimentaire, fabrication, fournisseurs numériques, etc.). Supervision a posteriori (sur incident ou signalement).

Critère de taille et cas particuliers

Seuil « moyenne entreprise » (entrée dans le périmètre) : à partir de 50 salariés OU plus de 10 M€ de chiffre d'affaires et de total de bilan (recommandation 2003/361/CE). Seuils nationaux définitifs à confirmer sur le texte promulgué.
Seuil « grande entreprise » (en général EE en annexe I) : à partir de 250 salariés ou plus de 50 M€ de chiffre d'affaires.
Indépendamment de la taille : certains fournisseurs (DNS, registres de noms de domaine de premier niveau, fournisseurs de services cloud, centres de données, prestataires de services de confiance) sont concernés quelle que soit leur taille.
Anciens OIV (dispositif SAIV) : devraient basculer en entités essentielles. Le ReCyF leur permet d'aligner leurs mesures sur les objectifs NIS 2 sans attendre le texte définitif.
Collectivités territoriales et secteur public : la France devrait étendre le périmètre à une partie des collectivités et administrations — le seuil précis dépend du texte promulgué (à vérifier à ce moment).

Calendrier et obligations (provisoire)

17 oct. 2024 : échéance de transposition de la directive — manquée par la France (procédure d'infraction ouverte par la Commission).
17 mars 2026 : publication du ReCyF v2.5 (document de travail) et du comparateur de référentiels sur MesServicesCyber.
Été 2026 : promulgation attendue de la loi Résilience, puis décrets et arrêtés techniques. L'enregistrement obligatoire ouvre à ce moment (aujourd'hui : pré-enregistrement volontaire sur MesServicesCyber).
Notification d'incident : 24 h (pré-alerte) / 72 h (notification) / 1 mois (rapport final) au CERT-FR.
Sanctions (provisoires, projet de loi) : jusqu'à 10 M€ ou 2 % du CA mondial (EE) ; 7 M€ ou 1,4 % (EI).

Questions fréquentes

La directive NIS 2 est-elle transposée en France ?

Pas encore. La France a manqué l'échéance du 17 octobre 2024 et fait l'objet d'une procédure d'infraction. La transposition passe par le projet de loi Résilience (qui transpose aussi REC et DORA), adopté au Sénat en mars 2025 et examiné à l'Assemblée nationale ; la promulgation est attendue courant été 2026. Tant que la loi n'est pas promulguée, les seuils et sanctions restent provisoires.

Quelle est la différence entre entité essentielle et entité importante ?

Selon le projet : les entités essentielles (EE) sont les grandes entités des secteurs à haute criticité (annexe I), soumises à une supervision a priori de l'ANSSI. Les entités importantes (EI) sont les entités moyennes des secteurs de l'annexe I et les entités des secteurs de l'annexe II, soumises à une supervision a posteriori. Le périmètre exact sera fixé par le texte promulgué et ses décrets.

Qu'est-ce que le ReCyF et est-il obligatoire ?

Le ReCyF (Référentiel Cyber France) est le référentiel de l'ANSSI qui liste les mesures recommandées pour atteindre les objectifs de sécurité de NIS 2. Il est diffusé en DOCUMENT DE TRAVAIL (v2.5, 17 mars 2026) : non obligatoire par défaut, mais une entité qui l'applique peut s'en prévaloir lors d'un contrôle. Aucune version définitive ne sera publiée avant le vote de la transposition et une consultation.

Quelles sanctions sont prévues ?

D'après le projet de loi (PROVISOIRE jusqu'à promulgation) : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes. En amont, l'ANSSI peut prononcer mise en demeure, injonction et astreinte (jusqu'à 5 000 €/jour) ; l'amende est prononcée par une commission des sanctions distincte.

Prendre de l'avance, sans attendre la promulgation

Reglyze vous aide à déterminer votre catégorie probable, à aligner vos mesures sur les objectifs du ReCyF et à préparer votre dossier — pour être prêt le jour de la promulgation, pas après. Tarifs transparents en euros, hébergement dans l'UE.

Reglyze est une plateforme SaaS de conformité NIS 2 et ne remplace pas un conseil juridique qualifié. Les informations sur cette page reflètent un projet de loi non promulgué. Source officielle : cyber.gouv.fr (ANSSI).