Entités essentielles vs entités importantes NIS2 : classification et obligations
NIS2 introduit une classification en deux catégories — entités essentielles (EE) et entités importantes (EI) — qui remplace la distinction « opérateurs de services essentiels / fournisseurs de services numériques » de NIS1. Cette classification détermine le niveau de supervision, les modalités de contrôle et les plafonds de sanctions. Pour une vue globale, consultez notre guide complet NIS2.
Critères de classification
La classification repose sur la combinaison de deux critères : le secteur d'activité et la taille de l'entreprise.
Critère 1 : le secteur d'activité
NIS2 distingue deux annexes de secteurs :
- Annexe I — Secteurs hautement critiques (11 secteurs) : énergie, transports, bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administrations publiques, espace
- Annexe II — Autres secteurs critiques (7 secteurs) : services postaux et d'expédition, gestion des déchets, fabrication/production/distribution de produits chimiques, production/transformation/distribution de denrées alimentaires, fabrication (dispositifs médicaux, produits informatiques/électroniques/optiques, équipements électriques, machines, véhicules, autres matériels de transport), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche
Critère 2 : la taille de l'entreprise
| Taille | Effectif | Chiffre d'affaires | NIS2 |
|---|---|---|---|
| Grande entreprise | ≥250 salariés | >50 M€ CA ou >43 M€ bilan | Essentielle (Annexe I) ou Importante (Annexe II) |
| Moyenne entreprise | 50-249 salariés | 10-50 M€ CA | Importante |
| Petite entreprise | <50 salariés | <10 M€ CA | Exclue (sauf exceptions) |
Exceptions et cas particuliers
Certaines entités sont classées essentielles quelle que soit leur taille :
- Fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public
- Prestataires de services de confiance qualifiés
- Registres de noms de domaine de premier niveau et fournisseurs de services DNS
- Administrations publiques centrales
- Entités identifiées comme critiques au titre de la directive CER (résilience des entités critiques)
- Entités spécifiquement désignées par les États membres
Différences de régime de supervision
| Aspect | Entités essentielles | Entités importantes |
|---|---|---|
| Type de contrôle | Proactif (ex ante) | Réactif (ex post) |
| Audits | Réguliers, sur place ou à distance, à tout moment | En cas d'incident, signalement ou preuve de non-conformité |
| Sanctions max | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
| Suspension dirigeants | Possible (Art. 32 §5) | Non prévue |
| Mesures de l'Art. 21 | Les 10 — niveau élevé | Les 10 — niveau adapté |
| Notification incidents | Obligatoire (Art. 23) | Obligatoire (Art. 23) |
Les 18 secteurs en détail
Voici une synthèse des secteurs couverts par NIS2, avec le nombre estimé d'entités concernées en France :
Secteurs hautement critiques (Annexe I)
- Énergie : électricité (production, transport, distribution), pétrole, gaz, hydrogène, réseaux de chaleur et de froid
- Transports : aérien, ferroviaire, maritime, routier
- Secteur bancaire : établissements de crédit
- Infrastructures des marchés financiers : opérateurs de plateformes de négociation, contreparties centrales
- Santé : prestataires de soins, laboratoires, fabricants de dispositifs médicaux critiques, industrie pharmaceutique
- Eau potable : production et distribution d'eau destinée à la consommation humaine
- Eaux usées : collecte, traitement et rejet des eaux urbaines résiduaires
- Infrastructure numérique : points d'échange Internet, fournisseurs DNS, registres TLD, fournisseurs cloud, datacenters, CDN, prestataires de confiance, réseaux de communications électroniques
- Gestion des services TIC (B2B) : fournisseurs de services managés et fournisseurs de services de sécurité managés (MSSP)
- Administrations publiques : entités centrales (les collectivités locales sont à la discrétion des États)
- Espace : opérateurs d'infrastructures terrestres contribuant aux services spatiaux
Autres secteurs critiques (Annexe II)
- Services postaux et d'expédition
- Gestion des déchets
- Produits chimiques : fabrication, production, distribution
- Denrées alimentaires : production, transformation, distribution en gros
- Fabrication : dispositifs médicaux, produits informatiques/électroniques, équipements électriques, machines, véhicules à moteur
- Fournisseurs numériques : places de marché en ligne, moteurs de recherche, réseaux sociaux
- Recherche : organismes de recherche
Spécificités françaises
La transposition française via la loi Résilience introduit plusieurs particularités :
- Périmètre élargi : la France peut inclure des sous-secteurs supplémentaires et abaisser les seuils de taille
- Collectivités territoriales : NIS2 laisse aux États le choix d'inclure ou non les administrations locales. La France pourrait inclure les grandes collectivités
- Continuité avec les OIV : les Opérateurs d'Importance Vitale (OIV) existants seront automatiquement classés entités essentielles
- Objectifs ANSSI : les ~20 objectifs de sécurité de l'ANSSI définissent le niveau d'exigence concret pour chaque catégorie d'entité
Arbre de décision : êtes-vous concerné ?
- Votre secteur est-il listé dans l'Annexe I ou II de NIS2 ? → Non : vous n'êtes pas concerné (sauf désignation spécifique). → Oui : passez à la question 2.
- Avez-vous plus de 50 salariés ou un CA supérieur à 10 M€ ? → Non : vous n'êtes pas concerné (sauf exceptions listées ci-dessus). → Oui : passez à la question 3.
- Avez-vous plus de 250 salariés ou un CA supérieur à 50 M€, ET votre secteur est en Annexe I ? → Oui : vous êtes une entité essentielle. → Non : vous êtes une entité importante.
Pour un diagnostic précis, utilisez le test d'éligibilité de Mon Espace NIS2 ou notre outil d'auto-évaluation. Les 10 mesures de l'Article 21 détaillent les obligations concrètes une fois votre classification déterminée.