OIV = statut français du Code de la défense (250 organisations, secret défense). OSE = statut européen NIS2 (plusieurs milliers d'organisations). Périmètre, obligations et autorités de tutelle distincts mais cumulables.
Synthèse en 1 minute
L'OIV et l'OSE sont deux statuts réglementaires distincts qui peuvent s'appliquer à une même organisation. L'OIV relève du droit français (Code de la défense), de manière restrictive et confidentielle. L'OSE relève du droit européen (directive NIS puis NIS2), de manière plus large et publique.
Tableau comparatif détaillé
| Critère | OIV | OSE NIS2 |
|---|---|---|
| Origine juridique | Code de la défense français (art. L.1332-1) | Directive européenne NIS2 (2022) |
| Nombre d'organisations | ≈ 250 | Plusieurs milliers |
| Désignation | Arrêté du Premier ministre (notification individuelle) | Application par défaut (taille + secteur) |
| Confidentialité | Classifié secret défense | Public (sauf détails techniques) |
| Périmètre sectoriel | 12 SAIV | 18 secteurs (essentiels + importants) |
| Critère de taille | Sans critère, désignation au cas par cas | ≥ 50 salariés ou ≥ 10 M€ CA |
| Autorité de tutelle | SGDSN + HFDS ministériel + préfet | ANSSI |
| Plans obligatoires | PSO + PPP par PIV | Politique de sécurité, plan d'incidents, PCA |
| Délai déclaration incident | 72 h à l'ANSSI (LPM) | 24 h (alerte) + 72 h (notification) + 1 mois (rapport) |
| Sanctions max. | 150 k€ personne physique / 750 k€ personne morale | 10 M€ ou 2 % CA mondial (essentielle) |
| Formation direction | Habilitation secret défense pour DDS | Formation cyber obligatoire pour direction |
Quand on est les deux
Plusieurs profils d'organisation cumulent les deux statuts :
- Opérateurs télécom majeurs : OIV (Code de la défense, secteur communications) + OSE NIS2 (infrastructures numériques).
- Grandes banques systémiques : OIV (secteur finances) + OSE NIS2 (banques) + DORA (régulation sectorielle).
- Établissements de santé de référence : OIV (secteur santé) + OSE NIS2 (santé) + obligations Plan Blanc.
- Énergéticiens nationaux : OIV (secteur énergie) + OSE NIS2 (énergie).
Dans ces cas, les obligations OIV étant plus exigeantes, leur respect couvre généralement NIS2. Il reste à formaliser explicitement la conformité aux deux cadres pour faciliter les contrôles ANSSI et SGDSN.
À retenir : OIV ne remplace pas OSE et inversement. Les deux statuts coexistent. La logique "je suis OIV donc je n'ai pas à me préoccuper de NIS2" est fausse et peut exposer à des sanctions ANSSI.
Quel statut s'applique à votre organisation
Trois questions à se poser dans l'ordre :
- 1. Avez-vous reçu une notification OIV ? Si oui, vous êtes OIV. Si non, vous ne l'êtes pas (le statut ne se déclare pas).
- 2. Êtes-vous dans l'un des 18 secteurs NIS2 ? Énergie, transports, banque, santé, eau, infrastructures numériques, administration, espace, alimentation, fabrication, recherche, services postaux, gestion des déchets, produits chimiques, services TIC, prestataires numériques.
- 3. Avez-vous plus de 50 salariés ou plus de 10 M€ de CA ? Si oui, vous êtes OSE NIS2 par défaut.
Pour le détail des deux statuts, consultez nos FAQ OIV et OSE NIS2.
Comment Twist accompagne sur les deux cadres
Twist intervient sur les deux cadres dans le cadre de ses parcours entreprise :
- Diagnostic réglementaire croisé : identification précise de vos statuts et de leurs obligations cumulables.
- Mise à niveau des plans : PSO/PPP pour OIV, politique de sécurité et plan d'incidents pour OSE.
- Exercices de simulation : scénarios cyber, sabotage, défaillance technique, articulés avec autorités.
- Culture du risque opérationnelle : sensibilisation des équipes via le serious game Twist.
Pour aller plus loin
Cartographier vos obligations OIV + OSE ?
30 minutes pour identifier précisément vos statuts, leurs obligations cumulables et planifier la mise en conformité. Gratuit et sans engagement.
Échanger avec un consultant →