NIS2 entité essentielle vs entité importante : qui est concerné en France ?

Ce que vous verrez dans cet article9 sections · ~11 min

01NIS2 en 30 secondes (et ce qui change vs NIS1)
02Le scope français : entité essentielle ou entité importante ?
03Tableau récapitulatif des secteurs
04Les seuils de taille : comment les calculer
05Les 10 mesures de gestion des risques (Article 21)
06Sanctions et responsabilité personnelle
07Calendrier de mise en conformité
08Comment savoir si vous êtes dans le scope : la méthode pratique
09En synthèse

La directive NIS2 (Network and Information Security 2) a été transposée en droit français par la loi n° 2024-449 du 24 mai 2024 et ses décrets d'application. Concrètement, environ 15 000 entités françaises sont désormais dans le scope, contre quelques centaines sous NIS1. Si vous êtes une PME ou une ETI dans l'un des secteurs régulés, la question n'est plus « est-ce que ça me concerne », mais « suis-je entité essentielle ou entité importante, et qu'est-ce que ça change ».

Cet article fait le tri, sans jargon inutile et sans alarmisme. À la fin, vous saurez où vous vous situez et ce que l'ANSSI attendra de vous.

#NIS2 en 30 secondes (et ce qui change vs NIS1)

NIS1 (2016) ciblait les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN). En France, cela représentait environ 300 entités désignées au cas par cas. NIS2 (directive UE 2022/2555) change radicalement de logique :

Champ d'application élargi : 11 secteurs « hautement critiques » (Annexe I) + 7 secteurs « autres critiques » (Annexe II), soit 18 secteurs au total.
Mécanisme automatique : plus de désignation au cas par cas. Si vous êtes dans un secteur listé et que vous dépassez les seuils de taille, vous êtes automatiquement régulé.
Deux catégories : entités essentielles (EE) et entités importantes (EI), avec des obligations identiques mais une supervision et des sanctions différenciées.
Responsabilité des dirigeants : les organes de direction doivent valider et superviser les mesures de gestion des risques. Leur responsabilité personnelle peut être engagée.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité nationale compétente. Elle publie les guides, instruit les notifications d'incidents et peut prononcer (ou faire prononcer) les sanctions.

#Le scope français : entité essentielle ou entité importante ?

La distinction repose sur deux critères combinés : le secteur d'activité (Annexe I ou Annexe II) et la taille de l'entité.

Entité essentielle (EE) :

Secteur d'Annexe I (haute criticité), ET
Grande entreprise au sens UE : ≥ 250 salariés, OU CA annuel > 50 M€ et bilan > 43 M€.

Entité importante (EI) :

Secteur d'Annexe I avec une taille moyenne (50 à 249 salariés, ou CA entre 10 et 50 M€), OU
Secteur d'Annexe II quelle que soit la taille (à partir de la taille moyenne).

À ces deux catégories s'ajoutent des cas particuliers où la taille n'est pas un critère : certains acteurs sont régulés indépendamment de leur effectif. C'est notamment le cas pour :

Les fournisseurs de réseaux de communications électroniques publics et de services de communications électroniques accessibles au public.
Les fournisseurs de services de confiance qualifiés (au sens eIDAS).
Les registres de noms de domaine de premier niveau et les fournisseurs DNS.
Les administrations publiques centrales (et certaines régionales selon décret).
Les entités identifiées comme uniques fournisseurs d'un service essentiel sur le territoire.

Pour les autres, la règle de base s'applique : les micro-entreprises et petites entreprises (< 50 salariés ET CA ≤ 10 M€) sont hors scope, sauf cas particuliers ci-dessus. C'est une bonne nouvelle pour les TPE, mais attention : si votre groupe consolide plus de 250 salariés, le calcul se fait au niveau groupe pour les filiales non autonomes.

#Tableau récapitulatif des secteurs

#Annexe I — Secteurs « hautement critiques » (entités essentielles si grandes, importantes si moyennes)

Secteur	Sous-secteurs / exemples
Énergie	Électricité, gaz, pétrole, hydrogène, chauffage et refroidissement urbains
Transports	Aérien, ferroviaire, maritime/fluvial, routier (gestionnaires de trafic, opérateurs)
Banque	Établissements de crédit
Infrastructures de marchés financiers	Plateformes de négociation, contreparties centrales
Santé	Établissements de santé, fabricants de dispositifs médicaux critiques, laboratoires de référence, fabricants de produits pharmaceutiques
Eau potable	Production et distribution
Eaux usées	Collecte, traitement, évacuation (selon volume)
Infrastructure numérique	IXP, fournisseurs DNS, registres TLD, fournisseurs de cloud, datacenters, CDN, fournisseurs de services de confiance, réseaux de communications électroniques
Gestion des services TIC (B2B)	Fournisseurs de services managés (MSP) et de services de sécurité managés (MSSP)
Administration publique	Administrations centrales et certaines administrations régionales
Espace	Opérateurs d'infrastructures terrestres soutenant des services spatiaux

#Annexe II — « Autres secteurs critiques » (entités importantes uniquement)

Secteur	Sous-secteurs / exemples
Services postaux et d'expédition	La Poste, transporteurs
Gestion des déchets	Collecte et traitement
Fabrication, production et distribution de produits chimiques	Production, manipulation, distribution
Production, transformation et distribution alimentaires	Industrie agroalimentaire, distribution alimentaire de gros
Fabrication	Dispositifs médicaux et DMDIV, produits informatiques/électroniques/optiques, équipements électriques, machines, véhicules, autres équipements de transport
Fournisseurs numériques	Places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux
Recherche	Organismes de recherche (hors enseignement supérieur)

Les listes complètes (avec codes NACE) figurent en annexes de la directive et dans le décret d'application français. Si votre activité principale tombe dans une de ces lignes, vous êtes potentiellement concerné — il reste à vérifier les seuils de taille.

#Les seuils de taille : comment les calculer

Les seuils utilisés sont ceux de la recommandation 2003/361/CE (définition européenne des PME), avec une particularité : il faut consolider au niveau de l'entreprise au sens unique économique, donc inclure les entités liées et partenaires selon les règles UE.

Catégorie	Salariés	CA annuel	Bilan annuel
Micro	< 10	≤ 2 M€	≤ 2 M€
Petite	< 50	≤ 10 M€	≤ 10 M€
Moyenne	< 250	≤ 50 M€	≤ 43 M€
Grande	≥ 250	> 50 M€	> 43 M€

Règle pratique : pour passer en « moyenne », il faut soit ≥ 50 salariés, soit dépasser 10 M€ de CA et 10 M€ de bilan. Pour passer en « grande », il faut ≥ 250 salariés ou dépasser à la fois 50 M€ de CA et 43 M€ de bilan.

Attention aux groupes : si votre société est détenue à plus de 25 % par une autre, ou détient plus de 25 % d'une autre, les seuils peuvent se cumuler en partie ou en totalité. Une PME française filiale d'un groupe de 5 000 personnes sera très probablement considérée comme grande au sens NIS2.

#Les 10 mesures de gestion des risques (Article 21)

L'Article 21 de la directive impose un socle commun aux EE et aux EI. Les mesures sont techniquement et organisationnellement proportionnées au niveau de risque, mais le périmètre est figé. Les voici, sans jargon :

Politiques d'analyse des risques et de sécurité des systèmes d'information : un cadre formel, validé par la direction.
Gestion des incidents : détection, réponse, traitement, retour d'expérience.
Continuité d'activité et gestion des crises : plans de reprise, sauvegardes, procédures de bascule.
Sécurité de la chaîne d'approvisionnement : gestion des risques liés aux fournisseurs et prestataires (le sujet « SBOM » et tiers de confiance entre ici).
Sécurité de l'acquisition, du développement et de la maintenance : SDLC sécurisé, gestion des vulnérabilités, divulgation coordonnée.
Politiques d'évaluation de l'efficacité des mesures de gestion des risques.
Pratiques d'hygiène cybernétique de base et formation à la cybersécurité : sensibilisation, MFA, gestion des comptes à privilèges.
Politiques relatives à la cryptographie et au chiffrement.
Sécurité des ressources humaines, politiques de contrôle d'accès et gestion des actifs.
Authentification multi-facteur, communications sécurisées, communications d'urgence.

À cela s'ajoutent les obligations de notification : déclaration d'incident significatif à l'ANSSI dans un délai de 24 heures pour l'alerte précoce, 72 heures pour la notification d'incident détaillée, et un rapport final dans le mois.

#L'overlap NIS2 ↔ ISO 27001 : un quasi sous-ensemble

Si vous êtes déjà certifié ISO/IEC 27001:2022, la majorité du chemin est faite. L'Annexe A de la 27001 (93 contrôles regroupés en 4 thèmes) couvre l'essentiel des 10 mesures NIS2 :

Mesure NIS2 (Art. 21)	Contrôles ISO 27001:2022 (Annexe A) couvrant
1. Analyse des risques, politiques	A.5.1, A.5.2, clause 6 (planification)
2. Gestion des incidents	A.5.24 à A.5.28
3. Continuité d'activité	A.5.29, A.5.30, A.8.13, A.8.14
4. Chaîne d'approvisionnement	A.5.19 à A.5.23
5. Acquisition / dev / maintenance	A.8.25 à A.8.34
6. Évaluation d'efficacité	clause 9 (audit interne, revue de direction)
7. Hygiène et formation	A.6.3, A.8.7
8. Cryptographie	A.8.24
9. RH, accès, actifs	A.5.9 à A.5.18, A.6.1 à A.6.6, A.8.1 à A.8.5
10. MFA, communications sécurisées	A.5.14, A.5.17, A.8.5, A.8.20 à A.8.22

Ce que la 27001 ne fait pas : la notification d'incident à l'autorité nationale dans des délais imposés, et l'enregistrement formel auprès de l'ANSSI. Mais le système de management ISMS, les contrôles et la documentation sont directement réutilisables. C'est précisément pour cela qu'un audit gap NIS2 sur une organisation ISO 27001 prend généralement quelques jours, là où une organisation sans cadre préalable doit construire le socle de A à Z.

#Sanctions et responsabilité personnelle

Les sanctions financières sont harmonisées au niveau UE et différenciées selon la catégorie :

Catégorie	Plafond administratif
Entité essentielle	10 M€ ou 2 % du CA annuel mondial (le plus élevé)
Entité importante	7 M€ ou 1,4 % du CA annuel mondial (le plus élevé)

À cela s'ajoutent, en droit français, des sanctions pénales spécifiques pour obstruction aux contrôles ou fausse déclaration, et — point souvent sous-estimé — la responsabilité personnelle des organes de direction. La directive impose :

L'approbation par le conseil d'administration / la direction générale des mesures de gestion des risques.
La supervision de leur mise en œuvre.
Une formation régulière des dirigeants à la cybersécurité.

En cas de manquement, l'autorité peut interdire temporairement à un dirigeant d'exercer des fonctions de direction dans l'entité concernée. Ce n'est pas anecdotique : c'est une bascule majeure du paradigme « la cyber, c'est le problème de la DSI ».

L'ANSSI dispose également de pouvoirs renforcés : audits sur site, demandes d'information sous astreinte, mise en demeure publique, et peut saisir l'autorité disciplinaire compétente.

#Calendrier de mise en conformité

La directive NIS2 est entrée en application au niveau UE le 17 octobre 2024. La transposition française par la loi du 24 mai 2024 et ses décrets précise les modalités opérationnelles. Le calendrier réaliste pour les entités concernées :

Identification et auto-déclaration : depuis l'entrée en vigueur, les entités doivent s'enregistrer auprès de l'ANSSI via le portail dédié (MonEspaceNIS2). Ce point est désormais opérationnel.
Mise en conformité des mesures Art. 21 : les autorités appliquent en pratique une approche graduée — les contrôles sérieux montent en intensité au cours des 18 à 24 premiers mois.
Notifications d'incidents : déjà obligatoires depuis l'entrée en vigueur.
Audits ANSSI : les premiers audits sur dossier puis sur site se déploient progressivement, avec une priorisation sur les entités essentielles et les secteurs les plus critiques.

Notre lecture pragmatique : il n'y a plus de période de grâce sur la déclaration, mais la mise en conformité technique reste un sujet de chantier. Le risque immédiat est moins une amende qu'une non-déclaration ou une réponse défaillante en cas d'incident.

#Comment savoir si vous êtes dans le scope : la méthode pratique

Voici une méthode en 4 étapes pour répondre, sans ambiguïté, en moins d'une journée :

Étape 1 — Inventaire d'activité. Listez vos activités principales et secondaires avec leurs codes NAF/NACE. Comparez ligne à ligne avec les Annexes I et II de la directive. Pour chaque correspondance, notez si l'activité représente plus de 5 % de votre CA. C'est cette ventilation qui détermine si vous êtes considéré comme appartenant au secteur.

Étape 2 — Calcul des seuils consolidés. Récupérez les effectifs ETP, le CA et le bilan des 2 derniers exercices clos. Si vous appartenez à un groupe, appliquez les règles de consolidation de la recommandation 2003/361/CE (entreprises liées et partenaires). Le seuil retenu est le dépassement sur 2 exercices consécutifs dans la plupart des cas.

Étape 3 — Cas particuliers. Vérifiez si une de vos activités tombe dans la liste « peu importe la taille » (telco, fournisseurs de confiance qualifiés, DNS/TLD, administrations, fournisseurs uniques d'un service essentiel). Si oui, vous êtes dans le scope même en deçà des seuils.

Étape 4 — Catégorisation et plan d'action. Croisez secteur (Annexe I ou II) et taille (moyenne ou grande). Vous obtenez votre catégorie : EE, EI, ou hors scope. Documentez la décision dans une note de cadrage signée par la direction — c'est cette note qui sera demandée en premier en cas d'audit ANSSI.

Le piège classique : penser qu'on est hors scope parce qu'on est « petit », sans vérifier ni les cas particuliers ni la consolidation groupe. Et le piège inverse : se sur-classer en EE par prudence et déclencher un effort disproportionné.

C'est précisément ce diagnostic de cadrage que nous proposons dans notre offre NIS2 : un livrable noir sur blanc, signable par la direction, qui sécurise la décision.

#En synthèse

NIS2 n'est ni un mythe, ni une nouvelle ISO. C'est une réglementation à effet automatique : si vous êtes dans le scope, vous l'êtes que vous l'ayez déclaré ou non. La différence entre entité essentielle et entité importante porte sur la supervision (proactive pour les EE, réactive pour les EI) et sur les plafonds de sanctions (10 M€ / 2 % vs 7 M€ / 1,4 %), mais les obligations de fond — les 10 mesures de l'Article 21 — sont identiques.

Pour une PME ou ETI déjà engagée dans un système de management de la sécurité de l'information (typiquement ISO 27001), le delta NIS2 est faible : essentiellement la déclaration auprès de l'ANSSI et la mécanique de notification d'incidents. Pour une organisation sans cadre préalable, c'est l'occasion d'industrialiser ce qui était jusqu'ici informel — gestion des risques, gestion des incidents, chaîne d'approvisionnement, MFA généralisée.

L'erreur à éviter est l'attentisme. Les premières sanctions ne tomberont sans doute pas demain matin, mais le coût d'un incident non notifié dans les délais (24 h alerte / 72 h notification) sera, lui, immédiat — et la responsabilité personnelle des dirigeants n'est plus une figure de style.

Vous pensez être concerné mais pas sûr ? On propose un diagnostic forfaitaire 2 500 € HT en 5 jours qui répond noir sur blanc : êtes-vous dans le scope, en quelle catégorie, avec quel plan d'action priorisé. Commander le diagnostic NIS2 →

Équipe M-KIS — Lead Auditor ISO 27001, 100 % open source.

Cet article vous parle ?

On accompagne PME, ESN et éditeurs SaaS dans leur conformité ISO 27001 / NIS2 — Lead Auditor certifié, tarifs publics, 100 % open source.

Démarrer un Diagnostic NIS2 (2 500 €) Échange découverte (30 min)

Auteur : Équipe M-KIS