Quels sont les seuils financiers et d'effectifs à prendre en compte pour déterminer si mon entité est régulée ?

Cas général

Dans le cas général, l’article 2 de la directive NIS 2 indique que cette dernière s’applique aux entités publiques ou privées de 18 secteurs d’activité qui constituent des entreprises moyennes conformément à l’article 2 de l’annexe de la recommandation 2003/361/CE, ou qui dépassent les seuils plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union.

Ces seuils plafonds sont constitués de critères d’effectifs, de chiffre d’affaires et de bilan annuel qui peuvent être consultés au sein de la recommandation européenne 2003/361/CE, accessible au lien suivant : Recommandation de la Commission Européenne du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises

Les critères de seuils (effectifs, chiffre d’affaires et bilan annuel) doivent être calculés sur l’ensemble des activités exercées par l’entité, et non sur les activités qui sont exclusivement mentionnées aux annexes I et II de la directive NIS 2.

Par ailleurs, cette recommandation précise notamment dans son article 4 « Données à retenir pour le calcul de l'effectif et des montants financiers et période de référence » que le montant du chiffre d'affaires retenu à retenir est le chiffre d’affaires hors taxe sur la valeur ajoutée (TVA) et hors autres droits ou taxes indirects.

La Commission européenne a également rédigé un « Guide de l’utilisateur pour la définition des Petites et Moyennes Entreprises (PME) » pour expliquer la recommandation susmentionnée. Ce guide est disponible au lien suivant : Guide de l’utilisateur pour la définition des PME - Publications Office of the EU (europa.eu)

Cas particuliers

Pour rappel, la directive s’applique quelle que soit leur taille pour certaines entités qui fournissent des services particuliers telles que :

les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public ;
les prestataires de services de confiance ;
les fournisseurs de registre des noms de domaine de premier niveau et fournisseurs de services de système de noms de domaine ;
les entités fournissant des services d’enregistrement de noms de domaine.

Le périmètre précis de l’administration publique et des collectivités territoriales régulées par NIS 2, quant à lui, sera défini à la promulgation des textes législatifs de transposition. La directive NIS 2 stipule toutefois qu’elle ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.

Par ailleurs, dans certains cas précis, un Etat membre de l’Union européenne peut désigner des entités comme étant régulées par la réglementation NIS 2, quelle que soit leur taille sur des critères de criticité, conformément à l’article 2, paragraphe 2, points b) à e) de la directive.


NB : Pour en savoir plus sur le caractère essentiel ou important d'une entité en fonction de son type et de sa taille, il est possible de se reporter aux tableaux illustratifs récapitulatifs accessibles sur la page d'information de la directive NIS 2.


Pour aller plus loin :
Si mon entité relève à la fois de l'annexe I et de l'annexe II de la directive, comment la directive s'applique-t-elle à mon entité ?
Application de la directive pour les entités multinationales et disposant de Systèmes d'Information dans plusieurs Etats membres


La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.

Mis à jour le : 31/03/2025