Entreprises essentielles vs importantes dans la directive NIS2

La directive NIS2 marque un tournant décisif dans les obligations de cybersécurité pour des milliers d’entreprises en Europe. Bien que toutes les organisations concernées doivent respecter un niveau de protection élevé et des mesures de sécurité uniformes, la réglementation introduit une distinction clé entre les entités essentielles et les entités importantes. Cette classification, encadrée en France sous la stricte supervision de l’ANSSI, n’affecte pas tant les mesures techniques à mettre en œuvre, mais influe directement sur le niveau de contrôle de l’État et sur le montant des éventuelles sanctions.

Comprendre cette différence est fondamental pour anticiper, évaluer les risques et éviter tout manquement au sein du cadre légal français. Dans cet article, nous vous expliquons de manière claire ce que signifie chaque catégorie, en quoi elles diffèrent et comment savoir dans laquelle s’inscrit votre organisation.

Qu’est-ce que la directive NIS2 et pourquoi classifie-t-elle les entreprises ?

La directive NIS2 est la nouvelle réglementation de l’Union européenne qui, suite à sa transposition dans la législation nationale française, renforce les exigences en matière de cybersécurité pour les entreprises qui fournissent des services critiques ou essentiels à la société et à l’économie. Son objectif est d’améliorer la résilience face aux cyberattaques et de garantir une réponse coordonnée en cas d’incident, dans le cadre opérationnel défini par l’ANSSI. 

Afin d’appliquer ces obligations de manière efficace et proportionnée, la réglementation classifie les organisations en fonction de leur niveau de criticité et de leur impact potentiel. En France, cette distinction est clé pour s’assurer que l’effort de mise en conformité soit cohérent avec le risque que chaque entité représente pour la continuité de l’État et de l’économie.

C’est pourquoi la directive NIS2 fait la distinction entre les Entités Essentielles (EE) et les Entités Importantes (EI). Cette classification s’effectue en fonction de facteurs tels que le secteur d’activité, la taille de l’organisation (effectifs et chiffre d’affaires), la dépendance aux systèmes numériques ou encore les conséquences qu’aurait une interruption de son activité sur la souveraineté et la sécurité du pays.

 Qu’est-ce qu’une entreprise essentielle selon la directive NIS2 ?

Une entité essentielle selon la directive NIS2 est une organisation qui opère dans des secteurs considérés comme critiques pour le fonctionnement de la société et de l’économie, et dont l’interruption pourrait avoir un impact significatif sur les services de base, la sécurité publique ou la stabilité du pays. En France, l’ANSSI est chargée de veiller à ce que ces entités respectent les normes de résilience les plus strictes. 

Pour qu’une organisation soit considérée comme une Entité Essentielle (EE), elle doit répondre aux critères suivants :

1. Opérer dans un secteur de « haute criticité »

Les secteurs considérés comme de « haute criticité » en France correspondent à l’Annexe I de la directive :

• Énergie : électricité, réseaux de chaleur et de froid urbains, pétrole, gaz et hydrogène.

• Transports : aérien, ferroviaire, maritime et routier.

• Banque : établissements de crédit.

• Infrastructures des marchés financiers : exploitants de plates-formes de négociation, systèmes de règlement et contreparties centrales.

• Santé : prestataires de soins de santé, laboratoires de référence, activités de recherche et développement pharmaceutique et fabricants de médicaments.

• Eau potable : fournisseurs et distributeurs responsables de l’approvisionnement.

• Eaux usées : entreprises chargées de la collecte, de l’élimination ou du traitement.

• Infrastructure numérique : fournisseurs de services cloud, centres de données, réseaux de télécommunications, fournisseurs de services DNS et registres de noms de domaine.

• Gestion des services TIC : fournisseurs de services gérés (MSP) et fournisseurs de services de sécurité gérés (MSSP).

• Administration publique : entités de l’administration centrale et régionale.

• Espace : exploitants d’infrastructures terrestres qui soutiennent la fourniture de services spatiaux.

2. Taille de l’organisation

Pour qu’une entreprise soit considérée comme essentielle, elle doit remplir l’une des conditions suivantes :

• Avoir plus de 250 employés, ou

• Avoir un chiffre d’affaires annuel supérieur à 50 millions d’euros (ou un bilan supérieur à 43 millions).

3. Opérer dans l’Union européenne

L’entreprise doit être établie au sein de l’Union européenne. Dans le cas de la France, la réglementation concerne toute organisation qui fournit ces services critiques sur le sol français, peu importe où se trouve son siège social, dès lors qu’elle gère des infrastructures essentielles pour les citoyens ou les entreprises en France.

Exemple d’entreprise essentielle en France

• Entreprise : FranceÉnergie Distribution.

• Secteur : Énergie (Distribution d’électricité).

• Taille : 600 employés et 150 millions d’euros de chiffre d’affaires.

Pourquoi est-elle considérée comme une entité essentielle ? Parce qu’elle opère dans un secteur hautement critique (l’énergie) et dépasse le seuil de grande entreprise défini par l’ANSSI et la réglementation européenne (plus de 250 employés et plus de 50 M€).

Qu’est-ce qu’une entreprise importante selon la directive NIS2 ?

Une entreprise importante (appelée en France Entité Importante ou EI) selon la directive NIS2 est une organisation qui opère dans des secteurs critiques pour la société et l’économie, mais dont l’interruption aurait un impact moindre que celui des entités essentielles. Ces entreprises restent soumises aux mêmes obligations de cybersécurité, mais avec un régime de supervision différent : en France, l’ANSSI applique une supervision réactive (dite ex-post) plutôt que proactive.

Pour qu’une entreprise soit considérée comme importante sur le territoire français, elle doit répondre aux critères suivants :

1. Opérer dans un secteur de « haute criticité » ou d’« autres secteurs critiques »

Une organisation entre dans cette catégorie dans deux cas de figure :

• Si elle opère dans un secteur de « haute criticité » (vus précédemment, comme l’énergie ou la santé) mais qu’elle a la taille d’une entreprise de taille moyenne.

• Si elle opère dans les « autres secteurs critiques », peu importe qu’elle soit de taille moyenne ou grande. Ces secteurs sont les suivants :

  • Services postaux et d’expédition.

  • Gestion des déchets.

  • Industrie chimique : fabrication, production et distribution de substances chimiques.

  • Alimentation : production, transformation et distribution en gros de denrées alimentaires (secteur agroalimentaire).

  • Fabrication : inclut les dispositifs médicaux, les produits informatiques, électroniques, les machines et le matériel de transport.

  • Fournisseurs numériques : places de marché en ligne (marketplaces), moteurs de recherche et plateformes de réseaux sociaux.

  • Recherche : organismes et instituts de recherche.

2. Taille de l’organisation

En règle générale, l’ANSSI considère comme entités importantes celles qui respectent les seuils européens de la moyenne entreprise :

• Avoir entre 50 et 249 employés, ou

• Avoir un chiffre d’affaires annuel ou un bilan total compris entre 10 et 50 millions d’euros.

3. Opérer dans l’Union européenne

Tout comme pour les entités essentielles, ce cadre réglementaire ne se limite pas aux frontières physiques. Une organisation est considérée comme « importante » si son activité a un impact sur le marché français.

Cela inclut les entreprises étrangères qui fournissent des services numériques en France, lesquelles sont tenues de désigner un représentant légal dans le pays pour faire office d’agent de liaison avec l’ANSSI.

Exemple d’entreprise importante

• Entreprise : TransLog France SAS.

• Secteur : Transports (Services de logistique et de messagerie régionale).

• Taille : 120 employés et 20 millions d’euros de chiffre d’affaires.

Pourquoi est-elle considérée comme une entreprise importante ? Parce qu’elle opère dans un secteur pertinent (transports/messagerie) et qu’elle remplit les critères de taille de l’ANSSI pour les entités importantes (entre 50 et 250 employés), sans atteindre les seuils de chiffre d’affaires ou de volume qui la rendraient « essentielle ».

📌 Découvrez qui est concerné par la directive NIS2 en France.

Principales différences entre les entreprises essentielles et importantes

La distinction entre ces deux catégories est la clé de voûte de la directive NIS2. Bien que toutes deux doivent respecter les mêmes mesures de gestion des risques, l’« intensité » de la surveillance exercée par l’ANSSI et le poids des sanctions varient considérablement afin de s’adapter à la capacité de chaque organisation.

Préparez-vous à NIS2 avec plus de contrôle et moins de chaos

Centralisez appareils, accès et processus IT en un seul endroit pour réduire les tâches manuelles et gagner en visibilité.

En savoir plus

Obligations communes aux deux classifications

Qu’une entreprise soit qualifiée en France d’essentielle (EE) ou d’importante (EI), la directive NIS2 exige un niveau de protection élevé et uniforme. Toutes les organisations concernées doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles pour gérer les risques de cybersécurité, en suivant les normes définies par l’ANSSI.

Ces obligations se divisent en trois grands blocs :

1. Mesures de base de gestion des risques

La réglementation instaure un « minimum obligatoire » que l’ANSSI supervise et qui s’aligne sur son célèbre Guide d’hygiène informatique :

• Politiques d’analyse des risques et de sécurité : documenter la manière dont les menaces sont identifiées et gérées.

• Gestion des incidents : protocoles clairs de détection, de réponse et de reprise après une attaque.

• Continuité d’activité : plans de sauvegarde (backups), reprise après sinistre et gestion de crise.

• Sécurité de la chaîne d’approvisionnement : évaluer la cybersécurité des prestataires et fournisseurs (un point critique dans l’écosystème français).

• Sécurité dans l’acquisition et le développement : s’assurer que les systèmes sont sécurisés « par conception » (secure by design).

• Évaluation de l’efficacité : réaliser des audits et des contrôles de sécurité réguliers.

• Cyberhygiène et formation : sensibilisation et formation obligatoires pour les employés et la direction générale.

• Cryptographie et chiffrement : utilisation d’outils pour protéger les données sensibles.

• Sécurité des RH : contrôle d’accès et politiques du « moindre privilège ».

• Authentification multifacteur (MFA) : solutions de vérification en deux étapes et communications sécurisées.

2. Obligation de notification des incidents

Les EE comme les EI ont le même devoir de signaler à l’ANSSI tout incident significatif via ses plateformes officielles, en respectant le calendrier européen suivant :

• Alerte précoce (24 heures) : notification initiale indiquant si l’incident est grave ou s’il résulte d’actes illicites.

• Notification de l’incident (72 heures) : mise à jour des informations, évaluation de la gravité et de l’impact.

• Rapport final (1 mois) : description détaillée, cause racine et mesures correctives appliquées.

3. Responsabilité de la direction générale

En France, la transposition de la directive NIS2 insiste tout particulièrement sur le fait que les organes de direction (administrateurs et comités de direction) doivent approuver les mesures de cybersécurité et superviser leur mise en œuvre. Ils sont directement responsables en cas de manquement et ont l’obligation légale de suivre une formation spécifique à la cybersécurité afin de comprendre les risques auxquels leur organisation est exposée.

📌 Découvrez les sanctions en cas de non-respect de la directive NIS2.