Les articles 2 et 3 de la directive (UE) 2022/2555 fixent qui relève de NIS2 — et ils le font mécaniquement. Les entités essentielles et importantes NIS2 ne se désignent pas à l'intuition : une entité entre dans le champ d'application quand elle figure dans l'une des deux annexes et franchit un seuil de taille, ou quand l'un des cas particuliers supprime entièrement la question de la taille.
Le risque opérationnel tient à l'ordre de la découverte. Les entreprises qui échouent sur NIS2 échouent rarement d'abord sur les mesures ; elles échouent sur le périmètre, en apprenant par un courrier de l'autorité qu'une ligne de l'annexe II ou une désignation nationale les couvrait depuis des mois. Quatre tests, exécutés dans l'ordre et documentés, produisent la réponse qu'un régulateur acceptera — et l'article 3, paragraphes 3 et 4, transforme cette réponse en obligation d'enregistrement, avec un délai de mise à jour de deux semaines.
Test 1 — le test sectoriel : 18 secteurs répartis sur deux annexes
L'annexe I de la directive nomme onze « secteurs hautement critiques » : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (interentreprises), administration publique et espace. L'annexe II ajoute sept « autres secteurs critiques » : services postaux et d'expédition, gestion des déchets, produits chimiques, denrées alimentaires, fabrication, fournisseurs numériques et recherche. Dix-huit secteurs au total — mais l'intitulé du secteur n'est pas le test.
La directive s'applique aux « entités d'un type visé à l'annexe I ou II ». L'unité opérante est le type d'entité listé dans l'annexe, pas l'étiquette de l'industrie. La fabrication, par exemple, couvre une liste fermée de sous-secteurs — dispositifs médicaux, produits informatiques et électroniques, équipements électriques, machines, véhicules automobiles et autres matériels de transport. Les fournisseurs numériques couvrent exactement trois types : places de marché en ligne, moteurs de recherche en ligne et plateformes de réseaux sociaux. Un éditeur de logiciels logistiques n'y figure pas ; il peut en revanche relever de l'annexe I, dans la gestion des services TIC, comme fournisseur de services gérés.
Le mode d'échec fréquent consiste à parcourir les dix-huit intitulés et à s'arrêter là. La note de périmètre cite la ligne de l'annexe mot pour mot — secteur, sous-secteur, type d'entité — ou conclut, ligne par ligne, qu'aucune ne s'applique. L'auto-évaluation NIS2 en 3 questions parcourt les annexes exactement dans cet ordre.
Test 2 — la règle du plafonnement : 50 salariés ou 10 millions d'euros
L'article 2, paragraphe 1 applique la directive aux types d'entités des annexes I et II qui répondent à la définition de moyenne entreprise de la recommandation 2003/361/CE de la Commission — ou qui en dépassent les plafonds — et qui opèrent dans l'Union. Traduit : une entité entre dans le champ à partir de 50 salariés, ou d'un chiffre d'affaires annuel et d'un total de bilan supérieurs à 10 millions d'euros.
La même arithmétique fixe la coupure haute. Les entités de l'annexe I qui dépassent les plafonds des moyennes entreprises — 250 salariés, ou plus de 50 millions d'euros de chiffre d'affaires et 43 millions de total de bilan — sont des entités essentielles au titre de l'article 3, paragraphe 1, point a). Les moyennes entreprises de l'annexe I, et les entités de l'annexe II dans le champ quelle que soit leur taille, relèvent par défaut de la catégorie importante.
Deux pièges se cachent dans la recommandation. Effectifs, chiffre d'affaires et bilan s'apprécient en incluant les entreprises partenaires et liées — une filiale de 30 personnes d'un grand groupe peut franchir le seuil sur les seuls chiffres consolidés. Et les chiffres bougent : une entité qui a passé les 50 salariés au dernier exercice clos est dans le champ maintenant, pas à la prochaine revue annuelle.
Test 3 — dans le champ quelle que soit la taille : article 2(2) à 2(4)
L'article 2, paragraphe 2 supprime le plafonnement pour des cas définis. Le point a) couvre trois types d'entités : fournisseurs de réseaux ou services de communications électroniques publics, prestataires de services de confiance, registres de noms de domaine de premier niveau et fournisseurs de services DNS. Les points b) à e) couvrent les entités qu'un État membre désigne individuellement — fournisseur unique d'un service essentiel, perturbation touchant significativement la sécurité, la sûreté ou la santé publiques, risque systémique transfrontière, ou importance nationale ou régionale spécifique. Le point f) ajoute les entités de l'administration publique de l'administration centrale.
Le paragraphe 3 étend la directive à toute entité recensée comme critique au titre de la directive (UE) 2022/2557, la directive sur la résilience des entités critiques. Le paragraphe 4 ajoute les entités fournissant des services d'enregistrement de noms de domaine, là encore sans plancher de taille.
La directive ne demande pas si une entreprise se sent critique. Elle demande si elle figure dans une annexe, dépasse un seuil ou a été nommée par une autorité — dans cet ordre.
La conséquence pratique : un fournisseur DNS de cinq personnes est dans le champ, et un courrier de désignation au titre des points b) à e) prime sur tout calcul de taille au dossier. Les désignations arrivent par les lois de transposition nationales — c'est pourquoi le dossier de périmètre suit où en sont les quatre grands marchés sur la transposition NIS2 — la loi nationale, pas la directive, dit qui signe le courrier.
Test 4 — essentielle ou importante : ce qui change entre les deux régimes
L'article 3, paragraphe 1 liste les entités essentielles : grandes entités de l'annexe I ; prestataires de services de confiance qualifiés, registres de premier niveau et fournisseurs DNS quelle que soit leur taille ; fournisseurs moyens de communications électroniques publiques ; administration centrale ; entités désignées au titre de l'article 2, paragraphe 2, points b) à e) ; entités critiques au sens de la directive 2022/2557. L'article 3, paragraphe 2 fait de toute autre entité dans le champ une entité importante. Les obligations de fond sont identiques — les mêmes mesures de l'article 21, la même horloge de notification d'incident, les mêmes devoirs de l'organe de direction au titre de l'article 20 de la directive.
Ce qui change, c'est l'exposition. Les entités essentielles subissent une supervision ex ante au titre de l'article 32 : audits, inspections sur place et demandes d'information sans soupçon requis. Les entités importantes relèvent d'une supervision ex post au titre de l'article 33 — l'autorité agit quand elle détient des preuves ou des indices d'une infraction. Les plafonds d'amende divergent de la même façon : au moins 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles au titre de l'article 34, paragraphe 4 ; au moins 7 millions ou 1,4 % au titre du paragraphe 5 pour les importantes. Comment les régulateurs nationaux construisent cette amende NIS2 est une arithmétique à lire avant de signer la note de catégorisation.
La catégorie atterrit aussi dans un registre. L'article 3, paragraphe 3 imposait aux États membres d'établir une liste des entités essentielles et importantes au plus tard le 17 avril 2025, revue au moins tous les deux ans. Le paragraphe 4 met la charge sur l'entité : soumettre le nom, l'adresse et les coordonnées à jour — y compris adresses électroniques, plages d'IP et numéros de téléphone — le secteur et le sous-secteur de l'annexe I ou II, et les États membres où les services dans le champ sont fournis. Tout changement se notifie sans retard, et en tout état de cause dans un délai de deux semaines.
Ce à quoi ça ressemble quand c'est bien fait
Trois artefacts ferment la question du périmètre dans une forme qu'un superviseur peut lire :
- Une note de périmètre datée — citant la ligne exacte de l'annexe, posant effectifs, chiffre d'affaires et total de bilan à la date de l'évaluation, appliquant les quatre tests dans l'ordre, et concluant essentielle, importante ou hors champ, signée par le juridique et le RSSI.
- L'accusé d'enregistrement — la confirmation de soumission de l'autorité nationale au titre de l'article 3, paragraphe 4, classée avec un journal des modifications montrant chaque mise à jour faite dans la fenêtre de deux semaines.
- Un procès-verbal de conseil actant la catégorisation — le régime, la conséquence en matière de supervision, le plafond d'amende applicable, et le devoir d'approbation qui en découle pour l'organe de direction.
Aucun des trois n'exige un consultant. Ils exigent que la réponse à « mon entreprise est-elle concernée par NIS2 » soit écrite, datée et classée — avant que l'autorité ne demande qui aurait dû s'enregistrer.
Sources
- Directive (UE) 2022/2555, articles 2 et 3, annexes I et II.
- Directive (UE) 2022/2557 sur la résilience des entités critiques, article 6 (recensement des entités critiques).
- Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises.
- ENISA — orientations sur le champ d'application NIS2 et la catégorisation des entités (référencées par nom).
