Entités essentielles vs importantes NIS2
NIS2 distingue deux statuts : entité essentielle (annexe I, supervision proactive ANSSI, sanctions jusqu’à 10M€) et entité importante (annexe II, supervision réactive, sanctions jusqu’à 7M€). Voici la grille officielle pour vous situer.
- Annexe I = entité essentielle (11 secteurs, supervision proactive, jusqu’à 10M€ d’amende ou 2% du CA mondial)
- Annexe II = entité importante (7 secteurs, supervision réactive, jusqu’à 7M€ ou 1,4% du CA)
- Obligations identiques sur la déclaration d’incident : alerte sous 24h, rapport sous 72h
- Le code NACE de votre activité détermine votre catégorie, indépendamment de votre taille au-delà des seuils
En 30 secondes : essentielle ou importante ?
Si votre activité figure à l’annexe I de la directive NIS2, votre entreprise est essentielle. Si elle figure à l’annexe II, elle est importante. Hors des 18 secteurs listés, vous êtes hors scope direct, sauf cas particuliers (services de confiance qualifiés, DNS).
La distinction nis2 entité essentielle importante (ou « nis2 entité essentielle importante » avec accents) ne change rien à la nature des obligations techniques. Ce qui change : l’intensité de la supervision et le plafond des sanctions.
| Dimension | Entité essentielle | Entité importante |
|---|---|---|
| Annexe | Annexe I (11 secteurs) | Annexe II (7 secteurs) |
| Supervision | Proactive (audits planifiés) | Réactive (déclenchée par incident) |
| Plafond amende | 10M€ ou 2% du CA mondial | 7M€ ou 1,4% du CA mondial |
Verdict express : annexe I = supervision lourde et risque financier maximal. Annexe II = vigilance attendue, sanctions atténuées. Les deux catégories partagent le même socle d’obligations de cybersécurité.
Définition officielle : 2 catégories, 18 secteurs
Selon l’analyse de notre rédaction des annexes consolidées de la directive (UE) 2022/2555, la classification repose sur un découpage sectoriel strict. Pas d’auto-déclaration possible, pas d’interprétation libre : le code NACE de votre activité principale fixe votre statut.
Entité essentielle (annexe I) : 11 secteurs haute criticité
L’annexe I NIS2 vise les secteurs jugés vitaux pour l’économie et la société européennes. Une défaillance y produit des effets en cascade rapides.
- Énergie : électricité, gaz, pétrole, hydrogène, chauffage urbain
- Transports : aérien, ferroviaire, maritime, routier (gestionnaires d’infrastructures)
- Banque : établissements de crédit (au sens du règlement UE 575/2013)
- Infrastructure des marchés financiers : plateformes de négociation, contreparties centrales
- Santé : hôpitaux, laboratoires de référence UE, fabricants de produits pharmaceutiques critiques
- Eau potable : fournisseurs et distributeurs d’eau destinée à la consommation humaine
- Eaux usées : opérateurs de collecte, évacuation, traitement
- Infrastructure numérique : IXP, fournisseurs DNS, registres TLD, fournisseurs cloud, data centers, CDN, services de communications électroniques
- Gestion de services TIC (B2B) : MSP et MSSP fournisseurs de services managés
- Administration publique : entités centrales et régionales (la France peut élargir aux collectivités selon transposition)
- Espace : opérateurs d’infrastructures terrestres soutenant les services spatiaux
Entité importante (annexe II) : 7 secteurs critiques
L’annexe II NIS2 couvre des secteurs où la défaillance reste sérieuse mais à propagation moins immédiate.
- Services postaux et de courrier (au sens de la directive 97/67/CE)
- Gestion des déchets : opérateurs de collecte et traitement
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution de denrées alimentaires
- Fabrication : dispositifs médicaux, informatique/électronique, machines, automobile, autres équipements de transport
- Fournisseurs numériques : places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux
- Recherche : organismes de recherche publics et privés (hors entités d’enseignement supérieur sauf option nationale)
Un tour des 18 secteurs en détail précise pour chaque branche les sous-activités exactes et les codes NACE associés.
Différences clés : supervision, sanctions, obligations
D’après les annexes officielles et les articles 21 à 36 de la directive, voici la matrice complète des écarts entre les deux statuts.
| Dimension | Entité essentielle (annexe I) | Entité importante (annexe II) |
|---|---|---|
| Supervision ANSSI | Proactive : inspections, audits sur site, demandes documentaires régulières | Réactive : déclenchée après incident ou signalement crédible |
| Plafond sanctions financières | 10 000 000€ ou 2% du CA mondial annuel (le montant le plus élevé) | 7 000 000€ ou 1,4% du CA mondial annuel |
| Audits planifiés | Oui : audits réguliers et inspections aléatoires | Non en routine : audits possibles uniquement après suspicion |
| Déclaration d’incident | Alerte sous 24h + notification sous 72h + rapport final sous 1 mois | Identique : 24h + 72h + 1 mois |
| Responsabilité du dirigeant | Engagée personnellement en cas de manquement grave | Engagée personnellement en cas de manquement grave |
| Obligations gestion des risques (art. 21) | Identiques : 10 mesures techniques et organisationnelles | Identiques : 10 mesures techniques et organisationnelles |
| Sanctions non financières | Suspension temporaire du dirigeant, retrait de certifications | Mises en demeure, ordres contraignants, pas de suspension dirigeant |
L’ANSSI précise dans ses lignes directrices que l’intensité documentaire attendue diffère également : les entités essentielles doivent maintenir un dossier de conformité formellement actualisé, mobilisable sous quelques jours. Pour les entités importantes, la documentation peut être produite à la demande, sans obligation d’archivage permanent organisé.
Comment savoir laquelle vous concerne
Trois critères s’enchaînent dans un ordre précis. Sautez une étape et vous risquez le contresens.
Critère 1 : code NACE de votre activité
Votre code d’activité économique détermine en premier lieu si vous tombez sous l’annexe I, l’annexe II, ou hors scope. Aucun choix possible : c’est la nomenclature qui décide. Une entreprise multi-activités relève du statut le plus exigeant pour ses activités assujetties.
Critère 2 : seuils de taille
Au-delà du secteur, deux seuils combinés s’appliquent : 50 salariés ou 10M€ de chiffre d’affaires annuel ou 10M€ de bilan total. Atteindre l’un d’entre eux suffit. Les TPE en dessous de ces seuils sont en principe exclues, sauf exceptions ci-dessous.
Critère 3 : exceptions PME critiques
Quelle que soit votre taille, vous êtes assujettie si vous êtes :
- Prestataire de services de confiance qualifié (eIDAS) : signature électronique, horodatage qualifié, etc.
- Fournisseur de réseau de communications électroniques publiques ou de services de communications électroniques accessibles au public
- Fournisseur de service DNS, registre de noms de domaine de premier niveau (TLD)
- Entité unique fournissant un service dont la défaillance affecterait significativement un État membre
- Administration publique centrale ou régionale (selon transposition nationale)
Pour les structures de moins de 50 salariés, consultez nos obligations spécifiques aux PME. Pour un diagnostic personnalisé en quelques clics, utilisez notre test gratuit pour vérifier votre statut.
Sanctions différenciées : un risque proportionné
L’écart de plafond entre les deux statuts n’est pas anecdotique. Sur un grand groupe industriel français à 5 milliards de CA mondial, la différence se chiffre en dizaines de millions d’euros.
Entité essentielle : amende administrative pouvant atteindre 10 000 000€ ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent. C’est le montant le plus élevé qui s’applique. Pour un groupe à 5 Md€ de CA, le plafond grimpe ainsi à 100M€.
Entité importante : plafond à 7 000 000€ ou 1,4% du CA mondial. Sur le même groupe à 5 Md€, le risque maximal serait de 70M€. Significativement moins, mais loin d’être négligeable.
Au-delà du financier, l’arsenal des sanctions inclut :
- Mises en demeure publiques avec obligation de mise en conformité sous délai
- Suspension temporaire de certifications ou autorisations professionnelles (entités essentielles uniquement)
- Suspension temporaire des fonctions du dirigeant responsable (entités essentielles uniquement)
- Astreintes journalières en cas de non-exécution d’une décision contraignante
En France, la transposition se fait via la loi Résilience, adoptée et en cours de publication au Journal Officiel. Les premières sanctions effectives sont attendues à partir de 2026, après une phase de pédagogie. Pour le détail complet, voyez notre page détail des sanctions NIS2 en France.
Cas concrets : exemples d’entreprises par catégorie
La théorie devient lisible avec quelques exemples emblématiques. Cette grille reflète la classification par secteur principal, sans préjuger des activités secondaires.
| Entreprise | Secteur principal | Annexe | Statut NIS2 |
|---|---|---|---|
| EDF | Énergie (production électricité) | I | Essentielle |
| Air Liquide | Production chimique (gaz industriels) | II | Importante |
| AP-HP (CHU) | Santé (établissement hospitalier) | I | Essentielle |
| La Poste | Services postaux et de courrier | II | Importante |
| OVHcloud | Infrastructure numérique (cloud, data centers) | I | Essentielle |
| Carrefour (logistique alimentaire) | Distribution alimentaire | II | Importante |
| Société Générale | Banque (établissement de crédit) | I | Essentielle |
| SNCF Réseau | Transports ferroviaires | I | Essentielle |
Logique de lecture : les opérateurs d’infrastructures vitales (énergie, santé, banque, transport, cloud) basculent quasi systématiquement en annexe I. Les industriels de la production de biens (chimie, alimentation, fabrication, postaux) relèvent généralement de l’annexe II, sauf cas où ils opèrent aussi des infrastructures critiques en propre.
Une question reste ? Notre guide complet de la conformité NIS2 détaille obligation par obligation ce que cela implique opérationnellement.
Questions fréquentes
Quelle différence entre entité essentielle et importante NIS2 ?
L’entité essentielle (annexe I, 11 secteurs) subit une supervision proactive de l’ANSSI avec audits planifiés et sanctions jusqu’à 10M€ ou 2% du CA mondial. L’entité importante (annexe II, 7 secteurs) relève d’une supervision réactive déclenchée par incident, avec sanctions jusqu’à 7M€ ou 1,4% du CA. Les obligations de déclaration d’incident sont identiques : alerte sous 24h, notification sous 72h.
Quels sont les 11 secteurs essentiels NIS2 ?
Annexe I de la directive (UE) 2022/2555 : énergie, transports, banque, infrastructure des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion de services TIC (B2B), administration publique, espace.
Quels sont les 7 secteurs importants NIS2 ?
Annexe II : services postaux et de courrier, gestion des déchets, fabrication chimique, production alimentaire, fabrication (mécanique, électronique, automobile, dispositifs médicaux), fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.
Une PME peut-elle être entité essentielle ?
Oui dans quelques cas. Les opérateurs de services de confiance qualifiés, les fournisseurs DNS et les registres de noms de domaine de premier niveau sont assujettis quelle que soit leur taille. Hors ces exceptions, le seuil de 50 salariés ou 10M€ de chiffre d’affaires s’applique, et en deçà votre PME reste hors scope direct.
Les sanctions sont-elles vraiment différentes selon le statut ?
Oui. Plafond entité essentielle : 10M€ ou 2% du CA mondial (le plus élevé des deux). Plafond entité importante : 7M€ ou 1,4% du CA. La responsabilité personnelle du dirigeant est engagée dans les deux cas en cas de manquement grave, mais seules les entités essentielles peuvent voir leur dirigeant suspendu temporairement de ses fonctions par décision administrative.