.

OSE et NIS2 : c’est quoi un Opérateur de Services Essentiels ?

Réglementaire & cybersécurité

OSE = Opérateur de Services Essentiels. Statut européen issu de la directive NIS (2016), élargi et renforcé par NIS2 (2022) transposée en France en 2024-2025. Plusieurs milliers d'organisations concernées, obligations cyber significatives.

Définition de l'OSE

Un Opérateur de Services Essentiels est une organisation jugée essentielle au fonctionnement de l'économie et de la société, dont l'arrêt aurait des conséquences significatives sur la santé, la sécurité, l'environnement, l'économie ou l'ordre public. Le statut a été créé par la directive européenne NIS de 2016, puis profondément refondu par NIS2 en 2022, transposée en droit français en 2024-2025.

Contrairement à l'OIV (statut français très restrictif, environ 250 organisations classées secret défense), l'OSE concerne plusieurs milliers d'organisations en France, avec un cadre public et harmonisé au niveau européen.

Ce que NIS2 change concrètement

NIS2 marque une rupture par rapport à NIS sur plusieurs dimensions :

  • Élargissement sectoriel massif : ajout de l'administration publique, espace, gestion des déchets, fabrication de produits chimiques, alimentation, services postaux et de courrier, prestataires de services numériques étendus.
  • Critère unique de taille : toutes les entités moyennes (50 salariés et plus, ou 10 M€ de CA) et grandes des secteurs concernés sont OSE par défaut. Plus de désignation au cas par cas.
  • Deux niveaux d'entités : entités essentielles (obligations renforcées, supervision proactive) et entités importantes (obligations significatives, supervision sur incident).
  • Sanctions renforcées : jusqu'à 10 millions € ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 millions € ou 1,4 % pour les entités importantes.
  • Responsabilité personnelle des dirigeants : obligation de formation à la cybersécurité, possibilité de sanctions individuelles.

Les secteurs concernés par NIS2

NIS2 distingue 11 secteurs à haute criticité (entités essentielles) et 7 secteurs critiques (entités importantes).

  • Entités essentielles : énergie, transports, secteur bancaire, infrastructures de marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, services TIC, administration publique, espace.
  • Entités importantes : services postaux, gestion des déchets, fabrication de produits chimiques, production alimentaire, fabrication (produits médicaux, équipements électriques, machines, véhicules), prestataires numériques (moteurs de recherche, places de marché, réseaux sociaux), recherche.

À retenir : si votre organisation compte plus de 50 salariés ou réalise plus de 10 M€ de CA dans l'un de ces secteurs, vous êtes probablement OSE NIS2. Pas besoin d'attendre une notification, les obligations s'appliquent par défaut.

Les 4 obligations clés d'un OSE NIS2

  • 1. Mesures techniques et organisationnelles : analyse de risque, politique de sécurité, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des ressources humaines, cryptographie, contrôle d'accès, formation.
  • 2. Déclaration des incidents à l'ANSSI : alerte précoce sous 24h, notification détaillée sous 72h, rapport final sous 1 mois. Application immédiate dès qu'un incident a un impact significatif.
  • 3. Formation de la direction : les dirigeants doivent suivre une formation à la cybersécurité et veiller à ce que leurs équipes en suivent une. Responsabilité personnelle engagée.
  • 4. Audits périodiques : contrôle par un auditeur qualifié, fréquence définie selon le profil (essentielle vs importante).

Quand commencer la mise en conformité

La transposition française est entrée en vigueur en 2024-2025. Les contrôles ANSSI montent en puissance en 2026 et 2027. L'ANSSI a publié plusieurs guides sectoriels qui détaillent les attentes minimales. Trois jalons à anticiper :

  • Avant fin 2026 : cartographie des risques, politique de sécurité formalisée, processus de gestion d'incidents opérationnel.
  • Avant fin 2027 : dispositif complet en place, premiers audits réalisés, formation direction.
  • En continu : déclaration des incidents significatifs à l'ANSSI, sans attendre la fin de l'enquête interne.

OSE, OIV et NIS2 : comment s'articulent les statuts

Les trois cadres coexistent :

  • OIV (Code de la défense) : 250 organisations, secret défense, obligations très renforcées. Un OIV est de fait OSE NIS2.
  • OSE NIS2 : plusieurs milliers d'organisations, statut européen.
  • Régulations sectorielles spécifiques : DORA pour la banque/assurance, sectorielles santé, etc., qui peuvent imposer des obligations cumulables.

Voir notre FAQ OIV pour le cadre national et notre comparatif OIV vs OSE.

Comment Twist accompagne sur NIS2

Twist accompagne les OSE sur trois volets articulés avec la gestion de crise :

  • Diagnostic NIS2 : positionnement de votre organisation (entité essentielle ou importante), identification des écarts au cadre réglementaire, feuille de route.
  • Plan de gestion d'incidents cyber : articulation avec le PCA, formation des équipes, scénarios joués.
  • Exercices de simulation cyber : tabletop ransomware, fuite de données, attaque supply chain. Voir notre page exercice de crise.

Questions connexes

Quelle est la différence entre OIV et OSE ?

L'OIV est un statut français du Code de la défense (250 organisations, secret défense, obligations très renforcées). L'OSE est un statut européen issu de NIS et élargi par NIS2 (plusieurs milliers d'organisations, obligations significatives mais moins lourdes). Une même organisation peut être les deux. Voir notre FAQ comparative.

Mon entreprise est-elle OSE NIS2 ?

Si vous comptez plus de 50 salariés ou réalisez plus de 10 M€ de CA dans l'un des secteurs concernés (énergie, transports, banque, santé, eau, infrastructures numériques, administration, alimentation, fabrication, recherche, etc.), vous êtes très probablement OSE NIS2. Pas besoin de notification individuelle, les obligations s'appliquent par défaut.

Que se passe-t-il en cas de non-conformité NIS2 ?

Sanctions administratives jusqu'à 10 millions € ou 2 % du CA mondial pour une entité essentielle, 7 millions € ou 1,4 % pour une entité importante. Responsabilité personnelle des dirigeants possible. Au-delà, exposition à la perte de marchés publics, à des recours civils en cas d'incident, et à la responsabilité pénale en cas de faute caractérisée.

Pour aller plus loin

Positionner votre organisation sur NIS2 ?

30 minutes pour cadrer votre statut (essentielle ou importante), identifier vos écarts et prioriser la mise en conformité. Gratuit et sans engagement.

Échanger avec un consultant →

Pour aller plus loin

Twist met à disposition le fruit de ses réflexions et recherches sur la culture du risque, des ressources documentaires et propose aussi des événements.

PCS obligatoire : quel seuil ? Loi MATRAS expliquée 2026

Réglementaire & obligations Il n’y a pas de seuil démographique unique. L’obligation tient à l’exposition...

C’est quoi le SGDSN ? Défense et sécurité nationale

Défense nationale & architecture interministérielle Le SGDSN est le service du Premier ministre chargé de...

C’est quoi l’ANSSI ? Cyberdéfense de l’État

Cybersécurité & cellule de crise cyber L’ANSSI est l’autorité nationale de la sécurité des systèmes...

Votre message à bien été envoyé