Cybersecurity

NIS 2 France : différences OIV, OSE, EE, EI

NIS 2 France : différences OIV/OSE (NIS 1) et entités essentielles/importantes (NIS 2). Transposition loi 30 avril 2024. Périmètre et obligations.

TD
Dr. Thiébaut Devergranne
3 juin 20266 min read

En une phrase. En France, la sécurité des SI distingue 3 régimes superposés : OIV (Opérateurs d’Importance Vitale, ~300 entités, LPM 2013, secret défense), OSE/FSN (anciens NIS 1 transposé 2018, environ 250 entités), et désormais Entités Essentielles (EE) + Entités Importantes (EI) NIS 2 (~15 000 entités, transposition loi 30 avril 2024). NIS 2 ne remplace pas OIV (qui reste sous LPM) mais inclut tous les OSE et étend massivement le champ. Cumul possible : un OIV peut aussi être EE NIS 2.

L’ANSSI estime à 15 000 entités le périmètre français NIS 2 (Communication ANSSI 2024), contre 250 sous NIS 1. C’est une multiplication par 60 du périmètre régulé en cybersécurité.

Pour approfondir : PSSI ANSSI, SecNumCloud, PCA ANSSI.

Points clés

  • OIV (LPM 2013) : ~300 entités stratégiques, secret défense, qualification produits ANSSI.
  • OSE (NIS 1, 2018) : ~250 entités infrastructures critiques, remplacé/inclus dans EE NIS 2.
  • EE/EI (NIS 2, 2024) : 15 000 entités sur 18 secteurs, 2 catégories selon taille/criticité.
  • Cumul possible : OIV reste sous LPM + peut être EE NIS 2.
  • Sanctions : OIV jusqu’à 20 M€, EE NIS 2 jusqu’à 10 M€ ou 2 % CA mondial, EI NIS 2 jusqu’à 7 M€ ou 1,4 % CA.

1. OIV : Opérateurs d’Importance Vitale

Régime créé par la LPM 2013 (loi 18 décembre 2013) :

  • Liste secrète (ANSSI + Premier ministre)
  • ~300 entités sur 12 secteurs d’activité d’importance vitale (SAIV)
  • Identification des systèmes d’information d’importance vitale (SIIV)
  • Obligation de qualification ANSSI pour produits de détection
  • Audits ANSSI réguliers
  • Sanctions jusqu’à 20 M€

Secteurs SAIV (arrêté 2 juin 2006 modifié) : activités civiles de l’État, militaire, judiciaire, alimentation, gestion eau, énergie, communications électroniques et audiovisuel, transports, finances, industrie, santé, espace/recherche.

2. OSE : Opérateurs de Services Essentiels (NIS 1)

Régime créé par la directive NIS 1 (2016) transposée en France :

  • Loi 26 février 2018
  • Décret 23 mai 2018
  • ~250 entités identifiées
  • Secteurs : énergie, transport, banque, infrastructures de marchés, santé, eau potable, infrastructures numériques
  • Obligations sécurité + notification incidents
  • Sanctions jusqu’à 100 K€ (TPE) / 125 K€ par incident

NIS 1 est abrogée en France par la transposition NIS 2 (loi 30 avril 2024 — ordonnance entrée en vigueur progressive).

3. NIS 2 : entités essentielles et importantes

Directive UE 2022/2555 (NIS 2), transposition française loi du 30 avril 2024 (ordonnance n° 2024-394 prévue 2024-2025) :

  • 18 secteurs (vs 7 pour NIS 1)
  • 2 catégories : Entités Essentielles (EE) et Entités Importantes (EI)
  • Identification automatique par taille + secteur (vs identification individuelle NIS 1)
  • ~15 000 entités françaises concernées

4. Critères de qualification NIS 2

Pour entrer dans le périmètre :

Critère EE (Entité Essentielle) EI (Entité Importante)
Secteur Hautement critique (annexe I) Critique (annexe II)
Taille Grande entreprise (250+ salariés OU > 50 M€ CA) Moyenne (50-249 salariés OU 10-50 M€ CA)
Exceptions taille Certains : tous, peu importe taille Certains : tous

Exceptions « toutes tailles » : opérateurs de communications électroniques publics, registres TLD, services DNS, prestataires de confiance qualifiés, etc.

5. Les 18 secteurs NIS 2

Annexe I — secteurs hautement critiques (EE potentielles) :

  1. Énergie (électricité, pétrole, gaz, hydrogène, district heating)
  2. Transport (aérien, ferroviaire, par eau, routier)
  3. Banque
  4. Infrastructures de marchés financiers
  5. Santé
  6. Eau potable
  7. Eaux usées
  8. Infrastructures numériques
  9. Gestion des services TIC B2B
  10. Administration publique
  11. Espace

Annexe II — autres secteurs critiques (EI potentielles) : 12. Services postaux et de courrier 13. Gestion des déchets 14. Fabrication, production et distribution de produits chimiques 15. Production, transformation et distribution de denrées alimentaires 16. Fabrication (dispositifs médicaux, électronique, machinerie, véhicules, etc.) 17. Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux) 18. Recherche

6. Obligations NIS 2 (art. 21)

10 mesures techniques et organisationnelles :

  • (a) Politiques de risque
  • (b) Gestion d’incidents
  • © Continuité d’activité (PCA, gestion sauvegardes)
  • (d) Sécurité de la chaîne d’approvisionnement
  • (e) Sécurité acquisition et développement
  • (f) Politiques d’évaluation efficacité
  • (g) Pratiques d’hygiène cyber et formation
  • (h) Cryptographie et chiffrement
  • (i) Contrôle d’accès et gestion des actifs
  • (j) Authentification multifactorielle et communications sécurisées

7. Notification d’incidents NIS 2

Délais durcis :

  • Alerte initiale (early warning) : 24h
  • Notification d’incident : 72h
  • Rapport intermédiaire : sur demande
  • Rapport final : 1 mois

Critères de notification : impact significatif sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité.

8. Sanctions NIS 2 françaises

Catégorie Plafond
Entité Essentielle 10 M€ ou 2 % CA mondial
Entité Importante 7 M€ ou 1,4 % CA mondial
Responsabilité dirigeants Sanctions individuelles possibles
Astreintes Par jour de manquement

L’ANSSI est l’autorité de contrôle. La DGCCRF coopère pour certains secteurs.

9. Cumul OIV + NIS 2

Un OIV reste sous le régime LPM (secret défense, qualification produits, audits ANSSI). S’il entre aussi dans NIS 2 (cas fréquent), il cumule les obligations. L’ANSSI a publié en 2024 un guide de « cumul des obligations » pour éviter la double charge.

Principe général : mesures LPM > NIS 2 en cas de divergence (loi de police plus exigeante).

10. Calendrier de transposition

Date Étape
17 oct. 2024 Échéance UE de transposition
30 avril 2024 Loi française autorisant transposition par ordonnance
2024-2025 Ordonnances et décrets d’application
2025-2026 Entrée en application progressive
2026-2027 Premières sanctions attendues

La France a pris du retard (comme la majorité des États membres). L’ANSSI a publié des guides de préparation depuis fin 2023.

11. Identification : comment savoir si je suis concerné ?

L’ANSSI publie un téléservice MonEspaceNIS2 depuis 2024 :

  • Auto-évaluation
  • Identification secteur
  • Classification EE/EI
  • Liste obligations applicables
  • Notification d’incidents

Accessible via cyber.gouv.fr.

12. Articulation avec DORA, CER, eIDAS

NIS 2 coexiste avec d’autres règlements :

  • DORA (UE 2022/2554) : finance, prime sur NIS 2 pour ce secteur
  • CER (UE 2022/2557) : résilience physique des entités critiques (parallèle)
  • eIDAS 2 : prestataires de services de confiance
  • CRA (Cyber Resilience Act, 2024) : produits avec éléments numériques
  • DGA + Data Act : gouvernance et accès aux données

Lex specialis : si autre texte plus précis, il prime. Mais NIS 2 fixe le socle minimal.

FAQ

Quelle différence entre OIV et OSE ?

OIV (LPM 2013) : secret défense, ~300 entités stratégiques, audits ANSSI, qualification produits. OSE (NIS 1, 2018) : ~250 infrastructures critiques publiques, obligations sécurité + notification. NIS 2 fusionne ce dernier régime dans les Entités Essentielles avec extension massive du périmètre.

Mon entreprise est-elle soumise à NIS 2 ?

Critères : (1) appartenance à un des 18 secteurs annexes I/II, (2) seuil de taille (250+ salariés OU > 50 M€ CA pour EE ; 50-249 salariés OU 10-50 M€ CA pour EI). Certains opérateurs (DNS, registres TLD, services de confiance) sont concernés sans seuil. Auto-évaluation sur cyber.gouv.fr.

Quelles sanctions NIS 2 en France ?

EE : jusqu’à 10 M€ ou 2 % CA mondial. EI : jusqu’à 7 M€ ou 1,4 % CA. Sanctions individuelles dirigeants possibles. Astreintes par jour de manquement. L’ANSSI exerce la police administrative ; les sanctions sont prononcées par autorité administrative indépendante.

NIS 2 remplace-t-il NIS 1 ?

Oui, NIS 2 abroge NIS 1 (directive 2016/1148). En France, la loi du 30 avril 2024 organise la transition. Les OSE NIS 1 deviennent automatiquement EE NIS 2 (si critères remplis). Période transitoire jusqu’en 2025-2026.

Faut-il un DPO pour NIS 2 ?

Pas de DPO obligatoire au sens RGPD. Mais NIS 2 impose la désignation d’un point de contact unique vis-à-vis de l’ANSSI (souvent RSSI ou CISO). La gouvernance cyber doit remonter au niveau dirigeant (art. 20 : responsabilité de la direction).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →