Pollux Avocat
Prendre rendez-vous

Accueil

Expertises

Honoraires

Contact

Blog

A qui s’applique la directive NIS2 – SRI2 ?

NIS2 est une directive concernant le niveau de cybersécurité exigé des Etats-membres de l’Union européenne, de certaines entreprises et administrations.

Elle leur impose de mettre en place des mécanismes de gestion des risques et de déclarer leurs incidents de sécurité dans certains cas.  

Plus précisément, « NIS 2 » désigne la Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148.

NIS est l’acronyme anglais pour network and information systems.

En français, la directive est désignée sous l’acronyme SRI pour sécurité des réseaux et des systèmes d’information.

Plusieurs types d’entreprises et administrations, appelées entités, sont concernées par la directive NIS2.

Ces entités sont classées en deux catégories : les entités essentielles et les entités importantes.

Avant d’appréhender les obligations applicables à ces entités, il est nécessaire d’identifier le champ d’application de la directive NIS2.

Etes-vous concerné par la NIS2 ?

Les entités des secteurs hautement critiques et des secteurs critiques

La directive dresse une liste de « types d’entités » auxquels s’appliquent à la directive NIS2.

Ces types d’entités sont classés selon leur secteur (hautement critiques ou critiques) et sous secteurs.

D’une part, les secteurs hautement critiques sont, selon l’annexe I :

  • l’énergie : électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène ;
  • les transports : transports aériens, transports ferroviaires, transports par eau, transports routiers ;
  • le secteur bancaire ;
  • les infrastructures de marchés financiers ;
  • la santé ;
  • l’eau potable ;
  • les eaux usées ;
  • l’infrastructure numérique ;
  • la gestion des services TIC (interentreprises) ;
  • l’administration publique ; et
  • l’espace.

D’autre part, les secteurs critiques sont, selon l’annexe II :

  • les services postaux et d’expédition ;
  • la gestion des déchets ;
  • la fabrication, production et distribution de produits chimiques ;
  • la production, transformation et distribution des denrées alimentaires ;
  • la fabrication : de dispositifs médicaux et dispositifs médicaux de diagnostic in vitro, de produits informatiques, électroniques et optiques, d’équipements électriques, de machines et équipements n.c.a, de véhicules automobiles, remorques et semi-remorques, d’autres matériels de transports ;
  • les fournisseurs numériques :
  • la recherche.

Pour chaque secteur, la directive désigne les types d’entités concernés, par exemple :

  • dans le secteur de l’énergie et le sous secteur pétrole, sont visés les exploitants d’oléoducs ;
  • dans le secteur de l’infrastructure numérique, sont visés les fournisseurs de services de centres de données ou encore les prestataires de services de confiance.

Les micros entreprises et petites entreprises ne sont pas concernées par principe (cf. exception ci-après)

Au-delà, il appartiendra à chaque entreprise de ces secteurs hautement critiques et critiques de se poser la question de savoir si elle est concernée par la directive NIS2.

Les entités listées par la Directive NIS2, quelle que soit leur taille

Certaines entités sont expressément soumises à la directive NIS2, quelle que soit leur taille.

Ainsi, les entités des secteurs hautement critiques et critiques (mentionnées au point 1 ci-dessus), sont également tenu de respecter la directive NIS2 lorsque :

  • les services sont fournis par des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public ; des prestataires de services de confiance ou des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine ;
  • l’entité est le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques à l’échelle de l’Etat ;
  • une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;
  • une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ;
  • l’entité est critique en raison de son importance spécifique au niveau national ou régional ;
  • l’entité est une entité de l’administration publique des pouvoirs publics centraux ou régionaux qui fournit des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.

Ici, le critère de la taille de l’entreprise ou de l’administration est évincée, au profit de la nature de son activité.

Les entités désignées par les Etats

La directive laisse une large marge de manœuvre aux Etats qui pourront décider d’imposer les règles de cybersécurité à des entités critiques quelle que soit leur taille, aux entités de l’administration publique au niveau local, et aux établissements d’enseignement, en particulier lorsqu’ils mènent des activités de recherche critiques.

Les exclusions

NIS2 ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière (art. 2§7 NIS2).

La directive permet également aux Etat d’exclure d’autres entités de son champ d’application.  

Attention, une directive n’est pas directement applicable en droit interne. Elle doit faire l’objet d’une transposition, laquelle aurait du intervenir en octobre 2024.

A la date de rédaction du présent article, la France n’a pas transposé la Directive NIS2. Cette dernière entrera en vigueur en France, une fois que les textes de transposition de la directive (loi, décret etc) auront été adoptés et publiés.

Néanmoins, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a déjà ouvert un guichet permettant aux entreprises de se pré-enregistrer en ligne.

Aussi, la Commission a d’ores et déjà proposé, en janvier 2026, une directive de simplification de la NIS2 / SRI2.

Jessy Pollux
Avocate

Image d’illustration générée avec Copilot