Réponse directe : une entreprise de 50 salariés peut être concernée par NIS2 si elle opère dans l'un des 18 secteurs réglementés et dépasse le seuil de chiffre d'affaires. Ce double critère — taille et secteur — est la clé pour savoir si vous êtes dans le scope.

Depuis l'ordonnance du 3 octobre 2024, la directive NIS2 est en vigueur en France. Des milliers de PME françaises ignorent encore qu'elles sont concernées. Les contrôles de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) sont attendus dès 2026 — autant comprendre votre situation maintenant.

🏢
~15 000 entités françaises soumises à NIS2 — dont des milliers de PME entre 50 et 249 salariés

Les critères NIS2 : taille, secteur et chiffre d'affaires

NIS2 distingue deux catégories d'entités. Chaque catégorie a ses propres seuils et ses propres obligations (et sanctions). Une entité importante est soumise à des contrôles moins intrusifs qu'une entité essentielle, mais elle reste pleinement dans le scope de la directive.

Catégorie Effectif minimum Chiffre d'affaires Sanction max
Entité importante ≥ 50 salariés ≥ 10 M€ / an ou bilan ≥ 10 M€ 7 M€ ou 1,4% CA mondial
Entité essentielle ≥ 250 salariés ≥ 50 M€ CA ou bilan ≥ 43 M€ 10 M€ ou 2% CA mondial

En pratique, une PME de 50 salariés dans un secteur NIS2 sera classée entité importante si elle dépasse 10 M€ de CA annuel. Elle n'a pas à atteindre le seuil des 250 salariés pour être soumise à la directive — c'est l'erreur la plus fréquente chez les dirigeants.

⏳ Important

Le seuil NIS2 effectif est 50 salariés, pas 250. Une entreprise de taille intermédiaire entre 50 et 249 salariés dans un secteur réglementé est une entité importante — pleinement soumise à NIS2.

Le terme « NIS2 entreprise taille moyenne » dans les textes officiels désigne les ETI et grandes entreprises (entités essentielles). Les PME de 50 à 249 salariés constituent la catégorie « entités importantes ».

Les 18 secteurs concernés par NIS2

La directive NIS2 liste précisément les secteurs dans son annexe. Deux annexes distinctes — Annexe I (entités essentielles) et Annexe II (entités importantes) — couvrent au total 18 secteurs. Si votre activité principale correspond à l'un d'entre eux, vous êtes potentiellement dans le scope.

  1. Énergieélectricité, gaz, pétrole, hydrogène, chauffage urbain
  2. Transportaérien, ferroviaire, maritime, routier (TRM)
  3. Banqueétablissements de crédit, services de paiement
  4. Infrastructures des marchés financiersplateformes de négociation, contreparties centrales
  5. Santéhôpitaux, cliniques, laboratoires, dispositifs médicaux, pharma
  6. Eau potabledistribution et traitement des eaux
  7. Eaux uséescollecte, traitement et rejet des eaux usées
  8. Infrastructure numériqueIXP, DNS, TLD, cloud, centres de données, CDN
  9. Gestion des services TICMSP, MSSP, fournisseurs IT (B2B)
  10. Administration publiqueentités gouvernementales nationales et régionales
  11. Espaceopérateurs d'infrastructures spatiales terrestres
  12. Services postaux et de courrierprestataires de services postaux et colis
  13. Gestion des déchetscollecte, tri, traitement et recyclage
  14. Produits chimiquesfabrication, transport et distribution de produits chimiques dangereux
  15. Alimentationproduction, transformation et distribution alimentaire (grande échelle)
  16. Fabricationdispositifs médicaux, équipements électroniques, machines, véhicules
  17. Fournisseurs numériquesplaces de marché, moteurs de recherche, réseaux sociaux
  18. Rechercheorganismes de recherche (sens large, selon l'ANSSI)
🔎 Comment vérifier votre situation

Si votre secteur figure dans cette liste et que vous dépassez 50 salariés et 10 M€ de CA, présumez que vous êtes dans le scope. L'ANSSI publiera un registre des entités soumises à NIS2, mais en attendant, la responsabilité de l'auto-évaluation revient à chaque entreprise. En cas de doute, consultez un spécialiste ou votre MSP cybersécurité.

Que faire si vous êtes concerné — 3 étapes concrètes

Vous avez coché les cases (secteur + taille + CA) ? Voici les 3 actions prioritaires. Ne les faites pas dans cet ordre uniquement parce qu'elles sont numérotées — les étapes 1 et 2 peuvent se mener en parallèle.

1
Évaluez précisément votre périmètre NIS2

Identifiez vos systèmes d'information critiques (ceux dont la défaillance impacterait la continuité de votre activité ou celle de vos clients). Listez vos prestataires IT qui ont accès à vos systèmes. C'est la base de votre analyse de risques — obligation centrale de NIS2. Un outil de diagnostic comme DETOXIO peut cartographier votre réseau en quelques minutes et identifier les expositions prioritaires.

2
Mettez en place la détection d'incidents en temps réel

NIS2 impose de notifier tout incident significatif à l'ANSSI dans les 24 heures suivant sa détection. Sans monitoring continu, vous ne pouvez pas respecter ce délai. La bonne pratique : un outil qui surveille votre réseau en permanence et génère des alertes automatiques. Un prestataire MSP cybersécurité peut opérer ce service pour vous si vous n'avez pas de ressources internes dédiées.

3
Documentez votre gouvernance cyber et consultez un expert

NIS2 impose que la gouvernance cyber soit portée au niveau de la direction. Désignez un responsable interne, formalisez votre politique de sécurité (même simple), et préparez un plan de continuité. Pour les obligations légales précises et l'enregistrement auprès de l'ANSSI, consultez un conseil juridique spécialisé ou votre MSP cybersécurité référent.

👉 Guide complet NIS2

Vous êtes dans le scope NIS2 ? Notre guide MSP NIS2 complet couvre les 10 mesures techniques imposées, la chaîne d'approvisionnement et les étapes d'accompagnement client — avec les marges réelles pour monétiser la conformité de vos clients.

📋
NIS2 PME — Guide général
NIS2 — Ce que chaque PME doit savoir en 2026 →

Obligations concrètes, sanctions et comment DETOXIO simplifie la conformité.

Checklist pratique
Checklist NIS2 MSP : 10 actions concrètes avant octobre 2026 →

Les étapes opérationnelles à déployer chez vos clients PME, avec calendrier.

Questions fréquentes

Une PME de 50 salariés est-elle concernée par NIS2 ?
Oui, si elle opère dans l'un des 18 secteurs NIS2 et dépasse 10 M€ de chiffre d'affaires annuel. Répondre aux deux critères simultanément (taille et secteur) est indispensable. Si votre PME est en dessous de 10 M€ de CA, elle n'est généralement pas dans le scope des entités importantes — sauf exception sectorielle (entités critiques désignées par l'ANSSI).
Quel est le seuil NIS2 pour les effectifs ?
NIS2 fixe deux seuils : 50 salariés minimum pour les entités importantes (+ CA ≥ 10 M€), et 250 salariés minimum pour les entités essentielles (+ CA ≥ 50 M€ ou bilan ≥ 43 M€). Les PME entre 50 et 249 salariés dans un secteur réglementé sont donc des entités importantes — soumises à NIS2 mais avec des sanctions légèrement inférieures aux entités essentielles.
Quelles sanctions risque une PME non conforme à NIS2 ?
Pour les entités importantes (50–249 salariés), les sanctions peuvent atteindre 7 millions d'euros ou 1,4% du CA annuel mondial. Pour les entités essentielles (250 salariés et plus), le plafond monte à 10 millions d'euros ou 2% du CA mondial. En pratique, l'ANSSI peut aussi imposer des injonctions de mise en conformité, voire suspendre temporairement des responsables dirigeants.
Quand faut-il être conforme à la directive NIS2 PME France 2026 ?
NIS2 est en vigueur depuis le 3 octobre 2024 en France. Les premières vagues de contrôles de l'ANSSI sont attendues en 2026. Il n'y a pas de « période de grâce » officielle — la directive impose une mise en conformité immédiate pour les entités dans le scope. Agir maintenant réduit le risque de sanction et prépare votre entreprise aux audits à venir.
🛡 NIS2 & conformité PME

Votre PME est concernée par NIS2 ?

DETOXIO s'installe en 5 minutes, monitore votre réseau en temps réel et génère les rapports de conformité requis par l'ANSSI. 49 €/mois, hébergé en France.

Demander une démo DETOXIO →