Sentinel NIS2 NIS2Beta
Se connecter
Sentinel NIS2 NIS2
AccueilPlateformeTarifs

Diagnostic Gratuit
Guide5 min de lecture·Directive NIS2 — Article 2

Comment identifier si vous êtes une Entité Essentielle ou Importante

La directive NIS2 distingue deux catégories d'organisations soumises à des obligations différentes. Voici comment savoir précisément dans laquelle vous vous trouvez.

Pourquoi cette qualification compte

La directive NIS2 (UE 2022/2555) ne s'applique pas uniformément à toutes les organisations. Elle introduit une classification en deux niveaux — Entité Essentielle (EE) et Entité Importante (EI) — qui détermine l'amplitude des obligations de sécurité, la fréquence des audits et le montant des sanctions potentielles.

Se tromper dans sa qualification revient soit à s'imposer des contraintes injustifiées, soit — et c'est le vrai risque — à passer sous les radars de l'ANSSI tout en étant légalement tenu par des obligations que vous ignorez.

Les critères de taille

La première grille de lecture est la taille de l'organisation. NIS2 reprend les seuils de la recommandation européenne sur les PME :

CatégorieEffectifCA annuelBilan total
Moyenne entreprise50 – 24910 M€ – 50 M€10 M€ – 43 M€
Grande entreprise≥ 250> 50 M€> 43 M€

Règle du double seuil

Pour être qualifiée, une organisation doit franchir les deux seuils simultanément : effectif ET (CA OU bilan). Une entreprise de 300 salariés avec un CA de 8 M€ n'est pas automatiquement concernée.

Les 18 secteurs couverts

La directive NIS2 couvre 18 secteurs répartis en deux annexes. L'annexe I regroupe les secteurs hautement critiques (qui peuvent donner lieu à une qualification EE), l'annexe II les secteurs critiques (EI par défaut).

Annexe I — Secteurs hautement critiques

  • Énergie (électricité, pétrole, gaz, hydrogène)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire
  • Infrastructures des marchés financiers
  • Santé
  • Eau potable
  • Eaux usées
  • Infrastructures numériques
  • Gestion des services TIC (B2B)
  • Administration publique
  • Espace

Annexe II — Secteurs critiques

  • Services postaux et d'expédition
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution des denrées alimentaires
  • Fabrication (dispositifs médicaux, électronique, mécanique, véhicules, etc.)
  • Fournisseurs numériques
  • Recherche

Les sous-secteurs sont précisément définis dans les annexes de la directive. Par exemple, le secteur « Fabrication » de l'Annexe II couvre les dispositifs médicaux critiques, l'informatique et l'électronique, les machines et équipements, les véhicules et les autres matériels de transport.

EE vs EI : les différences concrètes

La distinction entre les deux catégories n'est pas seulement sémantique. Elle a des conséquences opérationnelles et financières directes.

CritèreEntité EssentielleEntité Importante
Secteurs concernésAnnexe I uniquementAnnexes I et II
Taille minimaleGrande entreprise (≥ 250 sal.)Moyenne entreprise (≥ 50 sal.)
Supervision ANSSIProactive (ex ante)Réactive (ex post)
Sanctions maximales10 M€ ou 2% CA mondial7 M€ ou 1,4% CA mondial
Fréquence d'auditAudits réguliers imposésSur signalement ou incident

Ce que dit l'Article 2 de la directive

L'Article 2 de la directive NIS2 (UE 2022/2555) fixe le champ d'application personnel de la directive. Il précise que les États membres veillent à ce que la présente directive s'applique aux entités des secteurs visés aux annexes I et II qui remplissent les critères de taille mentionnés.

Directive NIS2 — Article 2, §1

« La présente directive s'applique aux entités publiques ou privées des types visés aux annexes I et II qui sont qualifiées de moyennes entreprises en vertu de l'article 2 de l'annexe de la recommandation 2003/361/CE ou qui dépassent les plafonds des moyennes entreprises prévus au paragraphe 1 dudit article [...] »

L'article prévoit également des exceptions : certaines entités sont soumises à NIS2 indépendamment de leur taille (prestataires de confiance qualifiés, opérateurs de registres de noms de domaine TLD, certains fournisseurs DNS, etc.).

Que faire ensuite ?

Une fois votre qualification déterminée, les étapes suivantes sont :

  1. 01

    S'enregistrer auprès de l'ANSSI

    Les entités concernées doivent se déclarer sur la plateforme MonEspaceCyber de l'ANSSI.

  2. 02

    Réaliser un diagnostic de conformité

    Évaluer votre niveau de conformité actuel au regard des 20 objectifs du référentiel ReCyF.

  3. 03

    Mettre en place un plan d'action

    Prioriser les mesures de sécurité selon votre catégorie (EE/EI) et les risques identifiés.

  4. 04

    Documenter et collecter les preuves

    Chaque mesure doit être prouvée par des éléments vérifiables en cas d'audit ANSSI.

Points clés à retenir

  • Deux critères cumulatifs : secteur (Annexe I ou II) ET taille (effectif + CA/bilan).
  • EE = Annexe I + grande entreprise. EI = Annexes I & II + moyenne entreprise.
  • Les sanctions EE sont 40% plus élevées que pour les EI.
  • Certaines petites entités peuvent être qualifiées indépendamment de leur taille.
  • L'auto-déclaration auprès de l'ANSSI est obligatoire dès qualification.

Guide suivant

Les 20 objectifs du référentiel ReCyF expliqués

Passez à l'action

Automatisez votre conformité NIS2

Sentinel NIS2 identifie automatiquement votre qualification (EE/EI), évalue votre score ReCyF et collecte les preuves pour vous. Résultat en moins de 10 minutes.

Essai gratuit →

Sans carte bancaire · Sans engagement

Entité Essentielle ou Importante NIS2 ? | Sentinel NIS2