Template Excel gratuit pour déterminer votre statut NIS 2 (Entité Essentielle ou Importante) selon les 18 secteurs des Annexes I et II de la directive UE 2022/2555 et le ReCyF ANSSI 2026.
TL;DR — En résumé
Template gratuit NIS 2 : L'inscription sur MonEspaceNIS2 est obligatoire mais seulement après avoir déterminé si votre organisation est concernée. Ce templ
L'auto-diagnostic d'applicabilité NIS 2 est le point de départ obligatoire de toute démarche de conformité à la directive européenne sur la cybersécurité des réseaux et des systèmes d'information. Transposée en droit français par la Loi Résilience (en cours de promulgation), la directive UE 2022/2555 — dite NIS 2 — concerne entre 10 000 et 15 000 entités françaises réparties dans 18 secteurs d'activité. Sans déterminer formellement si votre organisation entre dans le périmètre, aucune action de mise en conformité ne peut être engagée de manière structurée. Ce template Excel, développé par des experts Lead Implementer ISO 27001 certifiés, reproduit fidèlement la logique du simulateur officiel ANSSI disponible sur cyber.gouv.fr. Il évalue trois critères cumulatifs — localisation, taille et secteur — et calcule automatiquement votre catégorie : Entité Essentielle, Entité Importante, ou hors champ d'application. Il constitue également la première pièce attendue par l'ANSSI lors d'un audit de conformité. Vous trouverez dans cet article le guide complet pour l'utiliser, comprendre les critères de qualification, éviter les erreurs classiques, et piloter efficacement votre mise en conformité dès 2026.
⚡ À retenir — Auto-diagnostic NIS 2 gratuit
Déterminer votre périmètre NIS 2 est la première obligation réglementaire : sans auto-diagnostic formalisé, aucune organisation ne peut engager sa démarche de conformité. Ce template Excel reproduit la logique du simulateur officiel ANSSI, couvre les 18 secteurs des Annexes I et II de la directive UE 2022/2555, et calcule automatiquement votre statut d'Entité Essentielle (EE), d'Entité Importante (EI) ou Hors-périmètre. Téléchargement immédiat, sans inscription.
Pourquoi l'auto-diagnostic NIS 2 est une obligation réglementaire, pas une option
La directive NIS 2 introduit une rupture majeure par rapport à NIS 1 : alors que la première directive désignait les entités via une procédure administrative de l'État, NIS 2 impose aux organisations elles-mêmes de s'auto-identifier puis de s'inscrire sur le portail MonEspaceNIS2 de l'ANSSI. Ce changement de paradigme est fondamental. L'article 3 de la directive précise que les entités doivent notifier leur statut à l'autorité compétente nationale — en France, l'ANSSI — dans les délais fixés par la loi de transposition.
Un manquement à cette obligation d'auto-identification constitue déjà en soi une infraction pouvant donner lieu à des sanctions. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le plafond est de 7 millions d'euros ou 1,4 % du CA mondial. Au-delà des sanctions financières, l'article 32 de la directive prévoit des mesures individuelles à l'encontre des dirigeants en cas de manquement grave et répété, pouvant aller jusqu'à l'interdiction temporaire d'exercer des fonctions de direction.
La réalisation d'un auto-diagnostic formalisé constitue donc la première ligne de défense juridique de votre organisation. Ce document démontre la bonne foi et la diligence raisonnable de la direction, deux critères expressément pris en compte par l'ANSSI dans ses procédures de contrôle.
Les trois critères cumulatifs de qualification NIS 2 selon l'ANSSI
Pour être soumise à NIS 2, une entité doit satisfaire simultanément trois conditions. Le Référentiel Cyber France (ReCyF), publié par l'ANSSI le 17 mars 2026, reprend ces critères et les précise pour le contexte français.
| Critère | Entité Essentielle (EE) | Entité Importante (EI) |
|---|---|---|
| Localisation | Établissement principal dans l'UE | Établissement principal dans l'UE |
| Taille | > 250 salariés OU > 50 M€ CA ET > 43 M€ bilan | > 50 salariés OU > 10 M€ CA |
| Secteur | Annexe I (11 secteurs haute criticité) | Annexe I ou Annexe II (7 secteurs) |
| Cas particuliers | Désignation par l'État (OIV, OIVS) | Prestataires DNS, TLD, cloud public |
Le critère de taille s'apprécie au niveau du groupe consolidé, et non de l'entité légale isolée. Une filiale de 30 salariés appartenant à un groupe de 300 peut donc être qualifiée d'EE. C'est l'une des erreurs les plus fréquentes identifiées lors des audits préliminaires : ne pas remonter à la taille consolidée du groupe. Notre template Excel intègre une feuille dédiée au calcul de la taille effective selon la recommandation européenne 2003/361/CE applicable aux PME et ETI.
Les 18 secteurs NIS 2 : Annexe I et Annexe II en détail
La directive NIS 2 distingue deux niveaux de criticité sectorielle, qui déterminent non seulement le statut de l'entité mais aussi le niveau d'exigence des contrôles ANSSI.
Annexe I — 11 secteurs à haute criticité :
- Énergie (électricité, pétrole, gaz, hydrogène)
- Transports (aérien, ferroviaire, fluvial, routier)
- Secteur bancaire
- Infrastructures des marchés financiers
- Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
- Eau potable
- Eaux usées
- Infrastructure numérique (IXP, DNS, TLD, datacenters, CDN)
- Gestion des services TIC (B2B)
- Administration publique (centrale et régionale)
- Espace
Annexe II — 7 secteurs à criticité importante :
- Services postaux et d'expédition
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution de denrées alimentaires
- Fabrication (dispositifs médicaux, produits électroniques, machines, véhicules)
- Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
- Recherche
Une même organisation peut appartenir à plusieurs secteurs. Dans ce cas, c'est le secteur le plus restrictif (Annexe I) qui détermine le statut final. Le template Excel gère automatiquement cette logique de priorisation.
Guide pas-à-pas : utiliser le template Excel d'auto-diagnostic
Le template est structuré en cinq onglets correspondant aux étapes successives du diagnostic. Voici comment le compléter dans l'ordre recommandé.
- Téléchargez le fichier via le bouton en haut de page. Aucune inscription ni email requis. Le fichier est au format .xlsx compatible Excel 2016+, LibreOffice Calc 7+, et Google Sheets.
- Onglet 1 — Identification : renseignez la raison sociale, le SIREN, les coordonnées du représentant légal, la date d'auto-évaluation, et le nom du responsable de l'évaluation (RSSI ou Direction générale).
- Onglet 2 — Critère géographique : indiquez le pays d'établissement principal au sens du droit européen. Si votre groupe est multi-national, précisez l'État membre où se situe votre établissement principal au sens de NIS 2 (critère du lieu de prise de décision).
- Onglet 3 — Critère de taille : renseignez les effectifs et données financières au niveau du groupe consolidé. Le template calcule automatiquement si vous dépassez les seuils EE ou EI.
- Onglet 4 — Critère sectoriel : cochez votre (vos) secteur(s) d'activité parmi les 18 proposés. Pour chaque secteur, la directive de rattachement (Annexe I ou II) est indiquée ainsi que les sous-secteurs précis.
- Onglet 5 — Résultat et action plan : le template calcule automatiquement votre statut (EE / EI / Hors-périmètre) et génère un plan d'action synthétique avec les prochaines étapes réglementaires.
Ce que révèle votre statut : obligations différenciées EE vs EI
Le statut NIS 2 détermine directement le niveau d'obligations applicables. Les entités essentielles sont soumises à des exigences renforcées en matière de contrôle ex-ante (audits imposés par l'ANSSI sans déclencheur incident), tandis que les entités importantes font l'objet de contrôles ex-post (déclenchés par un incident ou une plainte).
Les 10 mesures de l'article 21 de la directive s'appliquent aux deux catégories, mais avec des niveaux de maturité cibles différents selon le ReCyF ANSSI. Pour comprendre précisément ces exigences, consultez notre mapping ReCyF ANSSI vs 10 mesures article 21 qui compare les exigences pour chaque catégorie d'entité.
Une fois votre statut établi, les prochaines étapes obligatoires sont :
- Inscription sur MonEspaceNIS2 (délai fixé par décret)
- Mise en place d'une politique de gouvernance NIS 2 validée par la direction
- Réalisation d'une analyse de risque cyber conforme à l'article 21
- Déploiement progressif des 10 mesures selon le plan de mise en conformité 12 mois
Intégration avec les référentiels existants : ISO 27001 et ReCyF
Si votre organisation est déjà certifiée ISO 27001 ou en cours de certification, le travail d'auto-diagnostic NIS 2 peut s'appuyer sur la documentation existante. La cartographie des actifs critiques et l'analyse de risque ISO 27001 (clauses 6.1.2 et 8.2) constituent une base solide pour répondre aux exigences NIS 2.
Le ReCyF ANSSI publié en mars 2026 établit explicitement les correspondances entre les mesures NIS 2 et les contrôles ISO 27001:2022. Notre article sur le ReCyF ANSSI 2026 détaille ces synergies. Pour les organisations certifiées ISO 27001, l'auto-diagnostic NIS 2 aboutit généralement à un niveau de maturité de base satisfaisant pour les mesures 1 (politiques de sécurité), 4 (sécurité de la chaîne d'approvisionnement) et 8 (cryptographie).
Pour les organisations disposant déjà d'un audit de sécurité ISO 27001, les résultats de cet audit peuvent directement alimenter l'onglet de résultat du template, permettant un gain de temps significatif dans la constitution du dossier de conformité.
Cas pratiques : qui est concerné et qui ne l'est pas ?
La frontière du périmètre NIS 2 est parfois contre-intuitive. Voici des cas concrets tirés de notre pratique de conseil auprès d'ETI et PME françaises.
Cas 1 — ETI industrielle (fabrication de pièces aéronautiques, 400 salariés, CA 60 M€) : Secteur Fabrication / composants aéronautiques → Annexe II (secteur fabrication). Taille : EE (>250 salariés). Statut : Entité Essentielle. Obligations complètes, audit ANSSI possible sans déclencheur incident.
Cas 2 — Cabinet d'avocats (80 avocats, CA 12 M€, droit des affaires) : Secteur Juridique → hors Annexe I et II. Taille : critère taille EI dépassé. Statut : Hors périmètre NIS 2 car le secteur ne figure pas dans les annexes. Attention : des obligations RGPD et sectorielles demeurent.
Cas 3 — PME IT (hébergeur cloud B2B, 60 salariés, CA 8 M€) : Secteur Infrastructure numérique / services cloud → Annexe I (Gestion des services TIC B2B). Taille : EI (>50 salariés, mais CA <10 M€ → seuil taille EI). Statut : Entité Importante. Obligations NIS 2 applicables, contrôle ex-post.
Ces cas illustrent l'importance d'une analyse rigoureuse. Notre template Excel permet de les documenter avec les justifications précises attendues par l'ANSSI.
Comment valider et conserver votre diagnostic : les exigences documentaires
L'auto-diagnostic NIS 2 n'est pas un document interne informel : c'est une pièce réglementaire qui doit répondre à des exigences de forme. Le ReCyF ANSSI recommande notamment :
- Signature par le représentant légal ou le membre du COMEX délégué
- Date de réalisation et révision périodique (au moins annuelle ou lors de tout changement structurel)
- Identification précise des sources de données utilisées (comptes annuels, Kbis, nomenclature NAF/NACE)
- Conservation pendant au moins 5 ans avec traçabilité des révisions
- Mise à disposition dans les 72 heures suivant toute demande de l'ANSSI
Notre template inclut un onglet "Historique des révisions" conforme à ces exigences, permettant de tracer chaque mise à jour avec le nom du responsable et la justification de la modification.
Lien avec la chaîne d'approvisionnement : les sous-traitants concernés
L'article 21.2.d de NIS 2 impose la sécurisation de la chaîne d'approvisionnement, y compris vis-à-vis des sous-traitants et fournisseurs. Ce point est crucial pour l'auto-diagnostic : même si votre organisation est hors périmètre NIS 2 en propre, elle peut être soumise à des obligations contractuelles de la part de ses clients EE ou EI.
Pour gérer cette dimension, consultez notre template de cartographie des sous-traitants critiques NIS 2 qui complète naturellement l'auto-diagnostic. La politique de sécurité du système d'information (PSSI) doit également intégrer les exigences transmises par vos donneurs d'ordre EE/EI.
Les erreurs les plus fréquentes dans l'auto-diagnostic NIS 2
- Ignorer la consolidation du groupe : appliquer les seuils de taille à l'entité juridique seule plutôt qu'au groupe consolidé peut conduire à une qualification erronée (faux négatif).
- Confondre secteur NAF et secteur NIS 2 : la nomenclature NIS 2 (Annexes I/II) ne correspond pas exactement aux codes NAF/NACE. Un hôtel de grande taille peut être concerné via le secteur "gestion des services TIC" s'il opère une infrastructure numérique critique.
- Négliger les entités désignées : certaines entités de petite taille peuvent être directement désignées par l'État (ex : opérateurs de services essentiels de rang national) indépendamment des seuils de taille.
- Ne pas mettre à jour le diagnostic après une fusion-acquisition : un changement de taille ou de secteur suite à une opération de M&A doit déclencher un nouveau diagnostic dans les 3 mois.
- Confier l'auto-diagnostic exclusivement à la DSI : la qualification NIS 2 engage la responsabilité personnelle des dirigeants. La direction générale doit valider et signer le document.
Pilotage de la conformité NIS 2 : des outils complémentaires
L'auto-diagnostic est le point de départ. Une fois votre périmètre établi, un ensemble d'outils structurés vous permettra de piloter votre mise en conformité dans la durée. Notre centre de ressources NIS 2 propose une suite complète :
- Checklist des 10 mesures article 21 NIS 2 pour une auto-évaluation rapide de votre niveau de maturité actuel
- Tableau de bord conformité NIS 2 avec 20 KPI pour un suivi mensuel de votre progression
- Plan de mise en conformité NIS 2 sur 12 mois pour structurer votre feuille de route
- Procédure de notification d'incidents ANSSI 24h/72h pour être prêt en cas d'incident
La gestion des incidents de sécurité est également un pilier fondamental : consultez notre guide sur la gestion des incidents de sécurité informatique pour structurer votre SOC ou votre astreinte de crise. Pour les PME et ETI souhaitant externaliser leur fonction RSSI, notre article sur le RSSI externalisé présente les avantages et le coût de cette approche dans le contexte NIS 2.
FAQ — Auto-diagnostic d'applicabilité NIS 2
Qu'est-ce que l'auto-diagnostic NIS 2 et pourquoi est-il obligatoire ?
L'auto-diagnostic NIS 2 est le processus par lequel une organisation détermine si elle entre dans le périmètre de la directive UE 2022/2555. Contrairement à NIS 1 où l'État désignait les entités concernées, NIS 2 impose aux organisations elles-mêmes de s'identifier et de notifier leur statut à l'ANSSI. Cette auto-identification est une obligation réglementaire à part entière, sanctionnée en cas de manquement. Le template Excel que nous proposons formalise ce processus conformément aux attentes du ReCyF ANSSI 2026.
Comment distinguer une Entité Essentielle d'une Entité Importante selon NIS 2 ?
Une Entité Essentielle (EE) est une organisation appartenant à un secteur Annexe I (haute criticité) qui dépasse les seuils de grande entreprise : plus de 250 salariés, ou plus de 50 millions d'euros de chiffre d'affaires et 43 millions d'euros de total bilan. Une Entité Importante (EI) appartient à un secteur Annexe I ou II et dépasse les seuils de moyenne entreprise : plus de 50 salariés ou 10 millions d'euros de CA. Les EE sont soumises à des contrôles ex-ante (proactifs) de l'ANSSI, tandis que les EI font l'objet de contrôles ex-post (réactifs).
Mon organisation est hors périmètre NIS 2 : a-t-elle quand même des obligations cyber ?
Oui. Même hors périmètre NIS 2, votre organisation peut être soumise à des obligations cyber au titre du RGPD (article 32 sur la sécurité du traitement), de réglementations sectorielles (DORA pour la finance, PCI-DSS pour les paiements), ou de contrats avec des entités EE/EI qui vous imposent des exigences de sécurité dans leur chaîne d'approvisionnement. L'auto-diagnostic NIS 2 reste utile pour documenter votre analyse et démontrer votre diligence raisonnable en cas d'audit client ou d'incident.
Combien de temps faut-il pour réaliser un auto-diagnostic NIS 2 ?
Avec notre template Excel, un auto-diagnostic complet prend entre 2 et 4 heures pour une organisation de taille moyenne disposant d'un RSSI ou d'un responsable juridique. La collecte des données de taille (effectifs consolidés, chiffres financiers) est généralement l'étape la plus longue si le groupe comprend plusieurs filiales. La validation finale par la direction générale doit être budgétée séparément (30 minutes à 1 heure de COMEX).
Quelles sanctions encourt une organisation qui ne réalise pas son auto-diagnostic NIS 2 ?
L'absence d'auto-diagnostic et de notification à l'ANSSI constitue un manquement aux obligations d'identification de NIS 2. Les sanctions maximales sont de 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les EE, et de 7 millions d'euros ou 1,4 % du CA pour les EI. L'article 32 prévoit en outre des mesures individuelles contre les dirigeants : mise en demeure publique et, dans les cas graves, interdiction temporaire d'exercer des fonctions managériales. Ces sanctions sont appliquées par l'ANSSI dans le cadre de ses pouvoirs de contrôle et de sanction.
Les textes réglementaires de référence sont disponibles directement sur EUR-Lex (directive UE 2022/2555) et sur Legifrance pour la transposition française. L'ANSSI publie ses ressources NIS 2 sur cyber.gouv.fr/nis2, et le CERT-FR assure la veille sur les incidents et vulnérabilités sur cert.ssi.gouv.fr.
Conclusion — Commencez votre conformité NIS 2 par le bon diagnostic
L'auto-diagnostic d'applicabilité NIS 2 est bien plus qu'un formulaire administratif : c'est le socle documentaire sur lequel repose toute votre démarche de mise en conformité. En utilisant notre template Excel, vous formalisez une analyse structurée, conforme aux attentes du ReCyF ANSSI 2026, et vous créez la première pièce d'un dossier de conformité robuste. Complétez cette démarche avec notre guide complet NIS 2 pour les entreprises et notre analyse des obligations NIS 2 pour une vision d'ensemble de vos enjeux réglementaires en 2026.
La dimension OT/IT dans l'auto-diagnostic NIS 2 pour les entités industrielles
Pour les entités des secteurs énergie, transports, eau, fabrication industrielle, ou espace, l'auto-diagnostic NIS 2 doit intégrer la dimension des systèmes de technologie opérationnelle (OT) : SCADA, DCS, automates industriels, systèmes de contrôle de process. Ces systèmes, historiquement isolés du réseau IT, sont de plus en plus interconnectés et entrent pleinement dans le périmètre NIS 2 dès lors qu'ils constituent des services essentiels ou critiques. Le ReCyF ANSSI 2026 précise que les exigences NIS 2 s'appliquent aux systèmes d'information au sens large, incluant les systèmes OT, IoT industriels, et tout système numérique utilisé pour fournir le service soumis à NIS 2. Notre template Excel prévoit une section dédiée à l'inventaire des systèmes OT dans le périmètre NIS 2, avec les critères de criticité spécifiques à ces environnements (disponibilité prioritaire, contraintes de mise à jour, isolation réseau). Pour les entités dont le SI comprend une composante OT significative, la cartographie du système d'information doit impérativement inclure la couverture OT pour que l'auto-diagnostic soit complet et sincère.
Anticiper les évolutions du périmètre NIS 2 : les révisions obligatoires
L'auto-diagnostic NIS 2 n'est pas un document à réaliser une seule fois. Le ReCyF ANSSI impose une révision au minimum annuelle de l'évaluation du périmètre. Certains événements déclenchent également une révision immédiate : toute fusion-acquisition modifiant la taille du groupe, l'entrée dans un nouveau secteur NIS 2 suite à une diversification d'activité, une cession d'activité réduisant la taille en dessous des seuils EE ou EI, ou toute désignation par l'État comme entité critique indépendamment des seuils. Le suivi des modifications du périmètre NIS 2 doit être intégré dans votre processus de veille réglementaire. Notre tableau de bord conformité NIS 2 inclut un KPI dédié au suivi de la validité du diagnostic d'applicabilité, avec alerte automatique lors de l'approche de la date de révision annuelle.
🎯 Besoin d'un accompagnement NIS 2 ?
Ayi NEDJIMI Consultants vous accompagne dans votre mise en conformité NIS 2 : diagnostic d'applicabilité, mise en œuvre des 10 mesures, préparation à l'audit ANSSI. Nos consultants certifiés ISO 27001 Lead Implementer interviennent sur toute la France.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Mise en conformité NIS 2 et ISO 27001
Accompagnement sur mesure pour les PME et ETI soumises à NIS 2 ou engagées dans une démarche ISO 27001. Gap analysis, plan d'action, audit interne.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire