NIS 2 PME : seuils et exceptions 2026

En une phrase. NIS 2 utilise des seuils issus de la recommandation 2003/361/CE pour qualifier les entités : micro (< 10 salariés ET < 2 M€ CA), petite (< 50 ET < 10 M€), moyenne (< 250 ET < 50 M€), grande (≥ 250 OU ≥ 50 M€). En général, les micro et petites entreprises sont exclues du périmètre NIS 2 (art. 2 §2). Mais exceptions importantes : opérateurs essentiels sans seuil (DNS, registres TLD, prestataires de confiance qualifiés, opérateurs télécoms publics, administration publique). En France, ~15 000 entités concernées : majorité d’ETI, environ 2 000 PME.

L’exemption micro/petite n’est pas absolue : si une activité « critique » est concernée (administration locale, fournisseur unique d’un service essentiel), une autorité peut désigner individuellement une petite entité.

Pour approfondir : PSSI ANSSI, PCA ANSSI, SecNumCloud.

Points clés

• Exemption générale : micro (< 10 salariés ET < 2 M€) et petite (< 50 ET < 10 M€) entreprises.
• Exceptions : opérateurs critiques (DNS, télécoms, confiance, administration) — peu importe la taille.
• PME 50-250 salariés dans secteurs critiques = Entité Importante (EI).
• PME 50-250 salariés dans secteurs hautement critiques = Entité Importante (EI).
• Mesures techniques proportionnelles à la taille et au risque (art. 21 §2).

1. Seuils de qualification

Taille	Salariés	CA OU bilan
Microentreprise	< 10	< 2 M€ (CA ou bilan)
Petite entreprise	< 50	< 10 M€
Moyenne entreprise	< 250	< 50 M€ CA / < 43 M€ bilan
Grande entreprise	≥ 250 OU	≥ 50 M€ CA / ≥ 43 M€ bilan

Source : recommandation 2003/361/CE de la Commission européenne.

2. Règle générale et exemption

Article 2 §2 NIS 2 : la directive ne s’applique pas aux entités qui se qualifient comme microentreprises et petites entreprises.

Donc :

• Micro : exclu
• Petite : exclu
• Moyenne : inclus si secteur listé annexes I/II → Entité Importante (EI)
• Grande : inclus si secteur listé → Entité Essentielle (EE) si secteur hautement critique (annexe I)

3. Exceptions sans seuil

Certains opérateurs sont concernés peu importe leur taille (art. 2 §1-2) :

• Fournisseurs de réseaux de communications électroniques publics ou de services accessibles au public
• Prestataires de services de confiance qualifiés (signature électronique, etc.)
• Registres de noms de domaine TLD
• Fournisseurs de services DNS
• Administration publique (au sens directive : centrale + régionale)
• Entités identifiées comme uniques fournisseurs dans un État membre d’un service critique
• Entités dont la perturbation aurait un impact transfrontalier

4. PME 50-250 salariés : focus

Les PME entre 50 et 249 salariés dans les 18 secteurs listés sont Entités Importantes :

• Obligations identiques aux Entités Essentielles (10 mesures art. 21)
• Mais sanctions plafonnées à 7 M€ ou 1,4 % CA (vs 10 M€/2 % pour EE)
• Contrôles ex post (sur incident ou plainte) plutôt qu’ex ante systématiques

Estimation française : 5 000 PME dans le périmètre EI (sur 15 000 entités totales).

5. Principe de proportionnalité

Article 21 §2 NIS 2 : « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées ». Les mesures attendues d’une PME 60 salariés ne sont pas celles d’un groupe 5 000 salariés.

L’ANSSI publiera des guides sectoriels distinguant les attentes selon la taille. Référentiel attendu : CIS Controls IG1/IG2/IG3 (Implementation Groups) :

• IG1 : PME, bonnes pratiques de base (~30 contrôles)
• IG2 : ETI, plus avancé (~70 contrôles)
• IG3 : grands comptes, complet (~150 contrôles)

6. Cas concrets : qui est concerné ?

Entité	Statut NIS 2
Boulangerie 5 salariés	Exclu (micro)
Restaurant 25 salariés	Exclu (petite)
ESN 80 salariés (services TIC B2B)	EI (annexe I §9)
Hôpital 300 lits, 200 salariés	EE (secteur santé)
Laboratoire bio 60 salariés	EI (santé)
Banque régionale 100 salariés	EE (banque)
Cabinet d’avocats 30 salariés	Exclu (sous seuil)
Opérateur télécom local 8 salariés	INCLUS (sans seuil)
Mairie 5 agents	INCLUS (administration publique)
Bureau de poste 40 salariés	EI (services postaux annexe II)

7. Périmètre administration publique

La transposition française précise : sont concernées les administrations centrales et certaines administrations régionales/locales :

• Ministères (tous)
• Préfectures
• Conseils départementaux
• Conseils régionaux
• Grandes métropoles
• Établissements publics (CNRS, CEA, etc.)

Communes < 30 000 habitants : a priori non concernées sauf désignation individuelle.

8. Désignation individuelle par autorité

Article 2 §2 in fine : un État membre peut désigner individuellement une petite/micro entreprise si :

• Elle est le seul fournisseur dans le pays d’un service
• Perturbation aurait un impact systémique
• Elle est en dépendance critique pour d’autres entités essentielles

L’ANSSI dispose de ce pouvoir et l’utilisera au cas par cas.

9. Auto-évaluation : démarche

Pour qualifier votre statut :

1. Identifier votre secteur d’activité principal (NAF/APE)
2. Vérifier présence dans annexes I (hautement critique) ou II (autres critiques)
3. Calculer taille (effectif moyen sur 24 mois + CA ou bilan)
4. Vérifier exceptions sans seuil (DNS, télécoms, confiance, administration)
5. Consulter MonEspaceNIS2 sur cyber.gouv.fr
6. En cas de doute : contact ANSSI ou avocat spécialisé

10. PME : conformité minimale

Pour une PME EI, le socle de mesures recommandé par l’ANSSI :

1. PSSI simplifiée signée DG
2. Inventaire des actifs IT (cartographie SI)
3. MFA sur tous les accès distants
4. Sauvegarde 3-2-1 avec immuabilité
5. EDR sur tous les postes
6. Patches OS et applications < 30 jours
7. Formation sensibilisation phishing trimestrielle
8. Procédure notification incident (24h)
9. Plan de continuité documenté
10. Cyber-assurance appropriée

Budget cyber typique PME EI : 2-5 % du budget IT ou 0,3-0,8 % du CA.

11. Outils gratuits pour PME

ANSSI met à disposition :

• MonAideCyber : autodiagnostic + accompagnement
• MonEspaceNIS2 : qualification statut
• Guide PME ANSSI (2022, mis à jour 2024)
• CyberRessources (kit communication interne)
• Cybermalveillance.gouv.fr : assistance 24/7
• Référentiels CIS Benchmarks (traduits FR)

CERT-FR : alertes et avis publics.

12. Erreurs fréquentes PME

• Penser ne pas être concerné (alors qu’EI dans secteur listé)
• Calculer taille au pied de la lettre sans intégrer groupe consolidé
• Sous-estimer charge organisationnelle (formation dirigeants, notification 24h)
• Confondre RGPD et NIS 2 (regimes parallèles, obligations distinctes)
• Reporter au-delà 2026 (sanctions attendues fin 2026 / 2027)
• Sous-traiter aveuglément sans clauses NIS 2 dans contrats

FAQ

Mon entreprise de 30 salariés est-elle concernée par NIS 2 ?

En principe non (sous le seuil 50 salariés). Sauf si vous êtes : fournisseur DNS, registre TLD, prestataire de confiance qualifié, opérateur télécom public, administration publique, ou désigné individuellement par l’ANSSI. Auto-évaluation sur cyber.gouv.fr.

Comment calculer la taille de l’entreprise ?

Effectif moyen sur les 24 derniers mois (ETP) + CA OU bilan. Pour les groupes : consolidation au niveau groupe (entreprise autonome / liée / partenaire selon recommandation 2003/361/CE). Une filiale de 30 salariés d’un groupe de 5 000 = grande entreprise NIS 2.

Quelles obligations pour une PME EI ?

Les 10 mesures art. 21 s’appliquent, mais proportionnellement à la taille et au risque. Socle minimum : PSSI, MFA, sauvegarde 3-2-1, EDR, patches < 30 jours, formation, notification 24h, PCA. Budget typique : 2-5 % budget IT.

Quelle sanction risque une PME EI ?

Plafond : 7 M€ ou 1,4 % du CA mondial. Pour une PME 100 salariés CA 15 M€ : plafond = 7 M€ (montant fixe). En pratique, l’ANSSI privilégiera mise en demeure + plan de mise en conformité avant sanction. Premières sanctions attendues fin 2026 / 2027.

Une mairie est-elle concernée par NIS 2 ?

Les administrations publiques sont concernées sans seuil (transposition française précise le périmètre). Mairies de grandes métropoles : oui. Mairies < 30 000 habitants : a priori non, sauf désignation. La transposition par ordonnance précisera. Recommandation : commencer la mise à niveau cybersécurité dans tous les cas.