Qui relève du périmètre de NIS2 : le test complet de l'article 2
L'article 2 de NIS2 fixe un test de périmètre unique à l'échelle de l'UE. Trois parties : le secteur (annexe I ou II), la taille (moyenne ou plus grande au sens de la recommandation 2003/361/CE) et les exceptions indépendantes de la taille. Cette page les parcourt toutes dans l'ordre, de la manière dont un contrôle d'applicabilité doit se lire.
La version courte
Il existe un test unique à l'échelle de l'UE pour déterminer si NIS2 vous lie. Il figure à l'article 2 de la directive. Il comporte trois parties mobiles. Le secteur. La taille. L'exception. La plupart des explications couvrent les deux premières et s'arrêtent là. La troisième est l'endroit où les petites entités sont attirées dans le périmètre et où surviennent la plupart des surprises.
L'article 2, paragraphe 1, est le cas de base. Vous êtes inclus si vous relevez d'un secteur énuméré à l'annexe I (secteurs de haute criticité) ou à l'annexe II (autres secteurs critiques), et que vous êtes au moins une entreprise de taille moyenne au sens de la recommandation 2003/361/CE. L'article 2, paragraphe 2, énumère ensuite les cas où vous êtes inclus indépendamment de la taille. Télécommunications, prestataires de services de confiance, DNS, registres de noms de domaine de premier niveau, fournisseurs uniques de services essentiels, entités de l'administration publique et quelques autres. Être en dessous du seuil de taille ne signifie pas être hors du périmètre.
L'Allemagne transpose le même test en droit national par le §28 BSIG. La substance est identique. Les modalités (quelle agence, quel formulaire, quel délai) sont nationales. Effectuez le test une fois, consignez le résultat, conservez-le dans vos dossiers. Ce document constitue votre évaluation d'applicabilité.
Article 2, paragraphe 1, de la directive NIS2 (2022/2555)
La présente directive s'applique aux entités publiques ou privées d'un type visé à l'annexe I ou II qui sont considérées comme des moyennes entreprises au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds applicables aux moyennes entreprises prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l'Union.
Le test de base. Le secteur (annexe I ou II), la taille (moyenne ou plus grande), un service fourni dans l'Union. L'article 2, paragraphe 2, ajoute ensuite une liste de cas indépendants de la taille. L'article 2, paragraphe 3, fait entrer les entités critiques au sens de la directive REC. L'article 2, paragraphes 5 à 11, exclut la sécurité nationale, la défense, les parlements, les banques centrales et le secteur financier (DORA, lex specialis au titre de l'article 4).
Recommandation 2003/361/CE, annexe article 2
La catégorie des micro, petites et moyennes entreprises (PME) est constituée des entreprises qui occupent moins de 250 personnes et dont le chiffre d'affaires annuel n'excède pas 50 millions d'euros ou dont le total du bilan annuel n'excède pas 43 millions d'euros.
La définition officielle de la taille selon l'UE. La catégorie moyenne commence à 50 employés et au moins 10 millions d'euros de chiffre d'affaires et 10 millions d'euros de bilan. NIS2 vous capte à partir de la taille moyenne et au-dessus. « Dépasser les plafonds applicables aux moyennes » à l'article 2, paragraphe 1, désigne la grande entreprise au sens de la même recommandation. Les entreprises liées et partenaires s'agrègent, de sorte qu'une petite filiale d'une grande société mère compte souvent comme une grande entreprise.
§28 BSIG (Allemagne)
Besonders wichtige Einrichtungen sind Einrichtungen einer in Anlage 1 genannten Art und Größe; wichtige Einrichtungen sind Einrichtungen einer in Anlage 2 genannten Art und Größe.
L'Allemagne scinde les deux catégories de l'UE en « besonders wichtige » (essentielles) et « wichtige » (importantes) Einrichtungen en s'appuyant sur les Anlagen 1 et 2 du BSIG, qui reflètent les annexes I et II de la directive. Les seuils de taille et les cas indépendants de la taille suivent le texte de l'UE. D'autres États membres ont leurs propres lois de transposition (NL Cyberbeveiligingswet, AT NISG, FR ordonnance n° 2024-1184) reposant sur le même socle de l'UE.
Annexe I ou annexe II ?
Annexe I (secteurs de haute criticité, 11 secteurs) : Énergie, Transports, Banque, Infrastructures des marchés financiers, Santé, Eau potable, Eaux usées, Infrastructure numérique, Gestion des services TIC (B2B, MSP et MSSP), Administration publique, Espace. Annexe II (autres secteurs critiques, 7 secteurs) : Services postaux et de courrier, Gestion des déchets, Produits chimiques, Denrées alimentaires, Fabrication (dispositifs médicaux, électronique, équipements électriques, machines, véhicules), Fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), Recherche. Si votre service ou activité relève de l'une ou l'autre annexe, passez au test de taille.
Entreprise moyenne ou plus grande ?
La recommandation 2003/361/CE définit l'entreprise moyenne comme comptant 50 employés ou plus, OU un chiffre d'affaires d'au moins 10 millions d'euros ET un bilan d'au moins 10 millions d'euros. L'article 2, paragraphe 1, vous capte à partir de la taille moyenne et au-dessus. L'agrégation des entreprises liées s'applique : si une société mère contrôle plus de 50 pour cent des voix, l'effectif et le chiffre d'affaires sont combinés. Une filiale de 30 personnes d'un groupe de 5 000 personnes compte dans les chiffres de ce groupe.
L'article 2, paragraphe 2, ou paragraphe 3, vous fait-il entrer indépendamment de la taille ?
L'article 2, paragraphe 2, écarte le test de taille pour : les fournisseurs de réseaux ou de services publics de communications électroniques ; les prestataires de services de confiance (eIDAS) ; les registres de noms de domaine de premier niveau et les fournisseurs de services DNS (à l'exclusion des opérateurs de serveurs racines) ; les fournisseurs uniques dans un État membre d'un service essentiel au maintien d'activités sociétales ou économiques critiques ; les entités dont une perturbation pourrait avoir un impact important sur la sûreté publique, la sécurité publique ou la santé publique, ou induire un risque systémique, ou qui sont critiques pour un secteur ou pour des secteurs interdépendants ; les entités de l'administration publique. L'article 2, paragraphe 3, fait entrer les entités identifiées comme critiques au titre de la directive REC (résilience des entités critiques). L'article 2, paragraphe 4, permet aux États membres de faire entrer l'administration publique régionale.
Le test s'effectue par entité juridique, et non par groupe
L'article 2, paragraphe 1, rattache les obligations à l'entité, et non au groupe d'entreprises. Une structure de holding comptant cinq entités juridiques effectue le test cinq fois. L'applicabilité et les obligations s'imposent à l'entité juridique relevant du périmètre. Les services du groupe peuvent mettre en œuvre les mesures de manière centralisée, mais le destinataire juridique est l'entité. Lorsque les chiffres des entreprises liées changent la taille d'une filiale, cela ne fait que modifier l'entrée du test de taille, et non qui porte l'obligation. Voir également la page sur le périmètre des filiales et des holdings.
Être en dessous du seuil de taille ne signifie pas être hors du périmètre
L'article 2, paragraphe 2, est le piège dans lequel tombent les petites entités. Les fournisseurs de télécommunications, les prestataires de services de confiance, les fournisseurs de DNS, les registres de noms de domaine de premier niveau, les fournisseurs uniques de services essentiels et certaines entités de l'administration publique sont captés indépendamment de la taille. Un prestataire de services de confiance eIDAS de cinq personnes est inclus. Un fournisseur de DNS de 20 personnes est inclus. Le test de taille ne vaut que pour le cas de base ; vérifiez la liste des exceptions avant d'écrire « hors périmètre ».
BSI / §28 BSIG et l'outil d'applicabilité
Le BSI publie sur son site un outil « Betroffenheitsprüfung » qui parcourt les Anlage 1 et Anlage 2 du BSIG. Les entités s'auto-classent et s'enregistrent via le portail d'enregistrement du BSI. Le §28 BSIG scinde le périmètre en « besonders wichtige » (essentielles, surtout annexe I) et « wichtige » (importantes, surtout annexe II) Einrichtungen, avec des plafonds de sanction différents au titre du §65 BSIG.
Suivi de transposition de l'ENISA
L'ENISA, l'agence de l'UE pour la cybersécurité, publie un suivi de transposition indiquant où en est chaque État membre dans la transposition de NIS2 en droit national. En mai 2026, plusieurs États avaient été déférés à la CJUE pour transposition tardive. La directive elle-même s'applique à compter du 18 octobre 2024 quoi qu'il en soit ; la loi nationale ne fait qu'ajouter le dispositif d'exécution local.
Lois nationales de transposition
Pays-Bas : Cyberbeveiligingswet (NCSC comme autorité compétente). Autriche : NISG (BMI). France : ordonnance n° 2024-1184 (ANSSI). Belgique : NIS2-Wet (CCB). Le test de périmètre est identique parce que les annexes I et II relèvent du niveau de l'UE. Ce qui diffère : les portails d'enregistrement, les délais de déclaration au titre du droit procédural national, l'autorité à laquelle vous vous adressez en premier.
Nous avons moins de 50 employés, donc NIS2 ne s'applique pas.
Pas nécessairement. L'article 2, paragraphe 2, fait entrer les fournisseurs de télécommunications, de services de confiance, de DNS, les registres de noms de domaine de premier niveau, les fournisseurs uniques de services essentiels et certaines entités de l'administration publique, indépendamment de la taille. Un prestataire de services de confiance eIDAS de quatre personnes est inclus. Effectuez le contrôle des exceptions avant de vous arrêter au seuil de taille.
Nous sommes un organisme du secteur public, donc nous sommes hors du périmètre.
Cela dépend. L'article 2, paragraphe 2, point i), couvre les entités de l'administration publique au niveau central et (lorsque l'État membre le choisit) régional. L'article 2, paragraphes 5 à 11, exclut la sécurité nationale, la défense, les services répressifs, le pouvoir judiciaire, les parlements et les banques centrales, mais la plupart des autres entités de l'administration publique sont incluses. Le §28 BSIG allemand et l'outil d'applicabilité du BSI montrent le découpage local.
Notre filiale est petite, donc elle est hors du périmètre.
L'agrégation des entreprises liées au titre de la recommandation 2003/361/CE ajoute l'effectif et le chiffre d'affaires de la société mère aux chiffres de la filiale lorsque la société mère contrôle plus de 50 pour cent des voix. Une filiale de 30 personnes d'un groupe de 5 000 personnes effectue le test de taille sur les chiffres combinés, et non sur les chiffres locaux. Voir la page sur le périmètre des filiales et des holdings pour la règle complète.
Le test complet de l'article 2 prend environ dix minutes si vous le menez dans l'ordre. Le secteur d'abord (un coup d'œil aux annexes I et II). La taille ensuite (vos derniers chiffres annuels plus l'agrégation des entreprises liées si vous avez une société mère). Puis les exceptions (article 2, paragraphes 2, 3, 4 et les exclusions des paragraphes 5 à 11). Puis le résultat. Trois pages de notes suffisent.
Consignez-le. Datez-le. Signez-le. Ce document constitue votre Anwendbarkeitsprüfung. Les autorités nationales attendent de vous que vous puissiez démontrer comment vous êtes parvenu à « dans le périmètre » ou « hors du périmètre », et pas seulement la conclusion. Si les chiffres changent (une fusion, une nouvelle ligne d'activité, le franchissement d'un seuil), refaites le test et conservez la version antérieure. La traçabilité de la décision compte autant que la décision.
Le contrôle d'applicabilité sur nisd2.eu parcourt l'intégralité de l'arbre de l'article 2, dans l'ordre. Choix du secteur parmi les annexes I et II. Taille avec agrégation des entreprises liées. Liste des exceptions de l'article 2, paragraphes 2 et 3. Exclusions de l'article 2, paragraphes 5 à 11. La sortie est une Anwendbarkeitsprüfung écrite indiquant votre secteur, votre effectif et votre chiffre d'affaires, votre statut au regard des exceptions et votre classification (besonders wichtig, wichtig, ou hors périmètre).
Le contrôle est gratuit. Vous obtenez le document au format PDF et sous forme d'enregistrement versionné au sein de la plateforme. Refaites-le chaque fois que vos chiffres changent. Chaque version est horodatée et signée par l'utilisateur qui l'a effectuée, de sorte que la traçabilité est intégrée.
- Directive (UE) 2022/2555 (NIS2), article 2 et annexes I et II — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recommandation 2003/361/CE de la Commission, définition des micro, petites et moyennes entreprises — eur-lex.europa.eu/eli/reco/2003/361/oj
- Directive (UE) 2022/2557 (REC), résilience des entités critiques — eur-lex.europa.eu/eli/dir/2022/2557/oj
- Loi BSI (BSIG), §28 telle que modifiée par le NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- BSI Betroffenheitsprüfung — bsi.bund.de/dok/nis-2-betroffenheitspruefung
- Suivi de transposition NIS2 de l'ENISA (en mai 2026)