{
  "schema": "NIS2 Directive (UE) 2022/2555 — Sectors classification",
  "source": "Annexe I et II — Directive NIS2 transposée en France via loi du 30 avril 2025",
  "last_updated": "2026-05-01",
  "essential_sectors": [
    {"id": "energy", "name_fr": "Énergie", "subsectors": ["Électricité", "Réseaux de chaleur/froid", "Pétrole", "Gaz", "Hydrogène"]},
    {"id": "transport", "name_fr": "Transports", "subsectors": ["Aérien", "Ferroviaire", "Maritime", "Routier"]},
    {"id": "banking", "name_fr": "Banque", "subsectors": ["Établissements de crédit"]},
    {"id": "financial_market", "name_fr": "Infrastructures des marchés financiers", "subsectors": ["Plateformes de négociation", "Contreparties centrales"]},
    {"id": "health", "name_fr": "Santé", "subsectors": ["Établissements de santé", "Laboratoires", "Fabricants de médicaments", "Dispositifs médicaux"]},
    {"id": "water_drinking", "name_fr": "Eau potable", "subsectors": ["Distribution d'eau potable"]},
    {"id": "water_waste", "name_fr": "Eaux usées", "subsectors": ["Collecte et traitement des eaux usées"]},
    {"id": "digital_infra", "name_fr": "Infrastructure numérique", "subsectors": ["IXP", "DNS", "TLD", "Cloud computing", "Data centers", "CDN", "Trust services", "Communications électroniques"]},
    {"id": "ict_management", "name_fr": "Gestion des services TIC", "subsectors": ["Fournisseurs de services managés (MSP)", "MSSP"]},
    {"id": "public_admin", "name_fr": "Administrations publiques", "subsectors": ["État", "Collectivités territoriales > 30k hab."]},
    {"id": "space", "name_fr": "Espace", "subsectors": ["Opérateurs d'infrastructures spatiales"]}
  ],
  "important_sectors": [
    {"id": "postal", "name_fr": "Services postaux et de courrier"},
    {"id": "waste", "name_fr": "Gestion des déchets"},
    {"id": "chemical", "name_fr": "Fabrication, production, distribution de substances chimiques"},
    {"id": "food", "name_fr": "Production, transformation et distribution alimentaire"},
    {"id": "manufacturing", "name_fr": "Fabrication", "subsectors": ["Dispositifs médicaux", "Informatique/électronique", "Équipements électriques", "Machines", "Véhicules à moteur"]},
    {"id": "digital_services", "name_fr": "Services numériques", "subsectors": ["Places de marché en ligne", "Moteurs de recherche", "Réseaux sociaux"]},
    {"id": "research", "name_fr": "Recherche"}
  ],
  "size_thresholds": {
    "essential": {"medium_or_large": "≥ 250 employés OU CA ≥ 50M€", "applies_below": "Tous les opérateurs critiques quel que soit la taille"},
    "important": {"medium_or_large": "≥ 50 employés OU CA ≥ 10M€"}
  },
  "key_obligations": [
    "Analyse de risques cyber documentée",
    "Politique sécurité SI",
    "Gestion des incidents (notification ANSSI 24h/72h/1 mois)",
    "Continuité d'activité et reprise après sinistre",
    "Sécurité de la chaîne d'approvisionnement",
    "Sécurité dans le cycle de vie SI",
    "Politiques de tests et audits sécurité",
    "Cryptographie et chiffrement",
    "Sécurité RH",
    "MFA et authentification renforcée",
    "Communications sécurisées d'urgence"
  ],
  "sanctions_max": {
    "essential": "10 000 000 EUR ou 2% du CA mondial",
    "important": "7 000 000 EUR ou 1.4% du CA mondial"
  }
}