LegamapexDroit du numérique européen
Retour aux fiches
NIS2NIS2CybersécuritéClassification

Entités essentielles et importantes (NIS2)

La Directive (UE) 2022/2555 (NIS2), transposée en droit français par la loi du 26 février 2024, remplace la directive NIS de 2016. Elle étend considérablement le champ d'application de la réglementation en matière de cybersécurité en distinguant deux catégories d'entités : les entités essentielles et les entités importantes, soumises à des régimes de supervision différenciés.

Champ d'application : qui est concerné ?

NIS2 s'applique aux entités des secteurs listés aux Annexes I et II de la directive qui dépassent le seuil des moyennes entreprises (plus de 50 salariés OU chiffre d'affaires/bilan annuel supérieur à 10 millions €). Certaines entités sont incluses quel que soit leur taille (ex : fournisseurs de réseaux publics de communications électroniques, registres de noms de domaine TLD, administrations publiques centrales). NIS2 exclut explicitement certains secteurs déjà couverts par d'autres règlements (DORA pour la finance, etc.).

Entités essentielles (EE) — Annexe I

L'Annexe I de NIS2 liste les 11 secteurs hautement critiques dont relèvent les entités essentielles. L'objectif de cette annexe est d'identifier les secteurs dont la défaillance aurait des conséquences systémiques graves pour l'économie ou la société (coupures d'électricité, paralysie des transports, risques sanitaires majeurs). Les secteurs concernés sont :
  • Énergie (électricité, pétrole, gaz, hydrogène)
  • Transports (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire
  • Infrastructures des marchés financiers
  • Santé
  • Eau potable
  • Eaux usées
  • Infrastructure numérique (points d'échange internet, DNS, registres TLD, cloud, centres de données, réseaux CDN, services de confiance qualifiés)
  • Gestion des services TIC (fournisseurs de services managés MSP/MSSP)
  • Administrations publiques centrales (et régionales dans certains États membres)
  • Espace
Sont automatiquement classées essentielles les grandes entreprises (plus de 250 salariés, ou CA annuel > 50 M€ et bilan > 43 M€) opérant dans ces secteurs.

Entités importantes (EI) — Annexe II

L'Annexe II de NIS2 liste 7 secteurs critiques supplémentaires dont relèvent les entités importantes. Ces secteurs présentent des risques moins systémiques que ceux de l'Annexe I, mais restent sensibles. L'objectif de cette annexe est d'étendre la réglementation à des acteurs économiques qui ne sont pas vitaux au sens strict mais dont la compromission pourrait avoir des effets significatifs. Les secteurs concernés sont :
  • Services postaux et d'expédition
  • Gestion des déchets
  • Production et distribution de produits chimiques
  • Production, transformation et distribution de denrées alimentaires
  • Fabrication (dispositifs médicaux, produits informatiques et électroniques, équipements électriques, machines, véhicules, autres moyens de transport)
  • Fournisseurs numériques (places de marché en ligne, moteurs de recherche en ligne, plateformes de réseaux sociaux)
  • Recherche
Sont également classées importantes les moyennes entreprises (plus de 50 salariés ou CA/bilan > 10 M€) des secteurs de l'Annexe I qui ne remplissent pas les critères pour être essentielles.

Différences de régime entre EE et EI

Les obligations de sécurité (article 21 NIS2) sont identiques pour les entités essentielles et les entités importantes. La différence porte uniquement sur le mode de supervision et le niveau de sanctions.

Entités essentielles — supervision proactive (ex ante) :
  • L'autorité nationale (ANSSI en France) peut réaliser des audits réguliers, des inspections sur place et des scans de sécurité sans attendre qu'un incident survienne.
  • Sanctions en cas de manquement : jusqu'à 10 millions € ou 2 % du chiffre d'affaires mondial annuel (le montant le plus élevé est retenu).
Entités importantes — supervision réactive (ex post) :
  • L'autorité intervient principalement en réaction à un incident signalé ou à une plainte. Elle n'effectue pas d'audits réguliers sans raison particulière.
  • Sanctions en cas de manquement : jusqu'à 7 millions € ou 1,4 % du chiffre d'affaires mondial annuel (le montant le plus élevé est retenu).
Dans les deux cas, la notification des incidents significatifs à l'ANSSI est obligatoire dans les délais suivants : alerte précoce dans les 24h, notification complète dans les 72h, rapport final dans le mois.

Articles clés à connaître

  • Article 3 NIS2Définition et critères de distinction entre entités essentielles et entités importantes.
  • Article 21 NIS2Mesures de gestion des risques en matière de cybersécurité : identiques pour EE et EI (politiques, incidents, continuité, chaîne d'approvisionnement, etc.).
  • Article 23 NIS2Obligations de notification des incidents significatifs : alerte précoce dans les 24h, notification dans les 72h, rapport final dans le mois.
  • Article 32 NIS2Mesures de supervision des entités essentielles : audits réguliers, contrôles sur place, scans de sécurité.
  • Article 33 NIS2Mesures de supervision des entités importantes : supervision ex post, interventions sur signalement.

💡 Exemple concret

Un hôpital universitaire (secteur santé, Annexe I) avec 800 salariés est une entité essentielle → l'ANSSI peut l'auditer proactivement, sans attendre un incident. Un fournisseur de plateforme e-commerce (Annexe II) avec 120 salariés et CA de 30M€ est une entité importante → l'ANSSI interviendra principalement en réaction à un incident signalé. Les deux doivent appliquer les mêmes mesures techniques de l'article 21 (dont l'authentification multifacteur et la gestion des vulnérabilités).

Pièges à éviter

  • NIS2 ne s'applique pas aux micro-entreprises et petites entreprises (moins de 50 salariés et CA/bilan ≤ 10M€), sauf exceptions explicites.
  • Les obligations de sécurité (article 21) sont les mêmes pour EE et EI : seule la supervision diffère, pas les mesures à mettre en place.
  • La notification des incidents dans les 72h (article 23) s'applique aux deux catégories.
  • En France, NIS2 a été transposée par la loi du 26 février 2024 et s'applique progressivement. L'ANSSI publie des listes d'entités concernées.
  • Ne pas confondre NIS2 avec DORA (Règlement sur la résilience opérationnelle numérique du secteur financier) : les entités financières relèvent de DORA, pas de NIS2.

L'essentiel à retenir

  • Entités essentielles (Annexe I) : 11 secteurs hautement critiques, supervision proactive, amendes jusqu'à 10M€ ou 2 % CA mondial.
  • Entités importantes (Annexe II) : 7 secteurs critiques supplémentaires + moyennes entreprises de l'Annexe I, supervision réactive, amendes jusqu'à 7M€ ou 1,4 % CA mondial.
  • Obligations de sécurité identiques pour les deux (article 21).
  • Notification des incidents : 24h (alerte), 72h (notification), 1 mois (rapport final).
  • En France : autorité compétente = ANSSI.