Aller au contenu
PolicyForge

Outil gratuit

Êtes-vous concerné par NIS2 ?

Quatre questions pour savoir si votre organisation est une entité essentielle, une entité importante, concernée indirectement — ou hors périmètre. Sans inscription.

Question 1 sur 4

Dans quel secteur votre organisation exerce-t-elle son activité principale ?

Les secteurs listés proviennent des annexes I et II de la directive (UE) 2022/2555.

Comment ce simulateur décide

La directive (UE) 2022/2555 combine deux critères : le secteur d’activité — l’annexe I liste les secteurs hautement critiques (énergie, transports, santé, banques, infrastructure numérique…), l’annexe II les autres secteurs critiques (chimie, agroalimentaire, industrie, fournisseurs numériques…) — et la taille de l’organisation. Schématiquement, une grande organisation (250 salariés ou plus de 50 M€ de chiffre d’affaires) d’un secteur de l’annexe I est une entité essentielle ; une organisation moyenne (à partir de 50 salariés ou 10 M€) de l’annexe I, ou de toute taille moyenne et plus de l’annexe II, est une entité importante. Le simulateur applique cette logique, puis ajoute le cas indirect : les entités régulées doivent sécuriser leur chaîne d’approvisionnement, ce qui répercute des exigences sur leurs fournisseurs critiques.

Questions fréquentes

Comment savoir si mon entreprise est concernée par NIS2 ?

Deux critères se combinent : le secteur (les annexes I et II de la directive listent les secteurs hautement critiques et les autres secteurs critiques) et la taille (en général à partir de 50 salariés ou 10 M€ de chiffre d’affaires). Une organisation plus petite peut rester concernée par exception (DNS, services de confiance…) ou indirectement, comme fournisseur critique d’une entité régulée.

Ce simulateur remplace-t-il le test officiel de l’ANSSI ?

Non. Ce simulateur donne une orientation indicative fondée sur une lecture simplifiée de la directive (UE) 2022/2555. Le test de référence est MonEspaceNIS2, proposé par l’ANSSI sur cyber.gouv.fr, et le périmètre français définitif sera fixé par la loi de transposition.

Quelle différence entre entité essentielle et entité importante ?

Les obligations de fond sont largement identiques ; ce qui change est le régime de supervision (contrôles a priori et a posteriori pour les entités essentielles, a posteriori pour les importantes) et les plafonds de sanction : 10 M€ ou 2 % du chiffre d’affaires mondial pour les EE, 7 M€ ou 1,4 % pour les EI.

Que faire si mon entreprise est concernée ?

Commencez par documenter les mesures de l’article 21 : politique de sécurité, analyse de risques, réponse aux incidents avec notification 24 h/72 h, continuité, sécurité de la chaîne d’approvisionnement, contrôle d’accès, MFA, gestion des vulnérabilités et formation. Le référentiel ReCyF de l’ANSSI (mars 2026) décrit les mesures attendues sans attendre la loi.

Concerné ? Générez votre socle documentaire

PSSI, incidents, continuité, fournisseurs : les politiques attendues par l’article 21, générées en quelques minutes.

Voir le générateur NIS2