Entité Essentielle ou Importante NIS2 ?

Votre entreprise est concernée par la directive NIS2, mais dans quelle catégorie tombe-t-elle exactement ? Entité essentielle ou entité importante ? La réponse n’est pas anodine : elle détermine l’étendue de vos obligations de sécurité, le mode de supervision de l’ANSSI, et le niveau des sanctions en cas de manquement. Ce guide compare les deux statuts point par point, avec les données du référentiel ANSSI ReCyf v2.5 (mars 2026) que vos concurrents ne couvrent pas encore.

Si vous n’avez pas encore déterminé si votre entreprise est assujettie à NIS2, consultez d’abord notre page sur les critères d’éligibilité NIS2. Sinon, poursuivez : la question est ici “dans quelle catégorie ?”

---

Entité essentielle et entité importante : les définitions NIS2

Ce que dit la directive (UE) 2022/2555

La directive NIS2 introduit une segmentation formelle des entités régulées en deux catégories, là où la directive NIS1 ne distinguait que les “opérateurs de services essentiels” des “fournisseurs de services numériques”. Cette segmentation répond à un impératif de proportionnalité : les risques qu’une entité fait peser sur la société varient considérablement selon sa taille et son secteur.

Une entité essentielle (EE) est une organisation dont la défaillance aurait un impact systémique majeur sur des fonctions critiques de la société : énergie, transports, santé, eau, infrastructures numériques. Une entité importante (EI) contribue également à des secteurs critiques, mais son impact potentiel est jugé moindre, ce qui justifie des obligations plus légères et une supervision différenciée.

Ce que prévoit la transposition française (Loi Résilience)

La France transpose NIS2 par la Loi Résilience, dont la promulgation est attendue au premier semestre 2026. Elle confie à l’ANSSI le rôle d’autorité nationale compétente et maintient la distinction EE/EI de la directive européenne. L’ANSSI a publié le référentiel de cybersécurité ReCyf v2.5 (mars 2026), qui décline les 20 objectifs de sécurité applicables aux entités régulées, avec des mesures différenciées selon le statut EE ou EI.

Au total, l’ANSSI estime que 15 000 à 18 000 entités seront concernées en France. La majorité seront des entités importantes.

---

Les critères de classification : taille, secteur, exceptions

Seuils de taille

La classification repose d’abord sur la taille de l’organisation, selon les seuils de la définition européenne des PME :

Ces seuils ne fonctionnent pas indépendamment du secteur : une grande entreprise n’est EE que si elle opère dans un secteur hautement critique (Annexe I de la directive). Une entreprise de 300 salariés dans la distribution alimentaire standard ne sera donc pas automatiquement EE.

Règle de combinaison : une entité est EE si elle dépasse les seuils de grande entreprise ET opère en Annexe I. Elle est EI si elle atteint les seuils de moyenne entreprise et opère en Annexe I ou II.

Les 18 secteurs : Annexe I vs Annexe II

Les exceptions : entités essentielles quelle que soit la taille

Certaines entités sont classées EE indépendamment de leur taille :

• Les entités identifiées comme infrastructures critiques au sens de la directive européenne CER (UE) 2022/2557
• Les fournisseurs de services DNS et les registres de noms de domaine de premier niveau (TLD)
• Les administrations centrales de l’État
• Les entités désignées critiques par l’ANSSI pour des raisons stratégiques nationales

Une PME de 60 salariés gérant l’infrastructure DNS d’un pays sera donc EE, quel que soit son chiffre d’affaires. Ces cas sont rares mais importants à connaître si vous opérez dans l’infrastructure numérique.

---

Obligations EE vs EI : ce qui est identique, ce qui diffère

Les 10 mesures communes de l’article 21

La directive NIS2 impose 10 catégories de mesures à toutes les entités, EE et EI confondues :

1. Politiques d’analyse et de gestion des risques
2. Gestion des incidents (détection, notification, réponse)
3. Continuité des activités (PCA, PRA, gestion de crise)
4. Sécurité de la chaîne d’approvisionnement
5. Sécurité dans l’acquisition, le développement et la maintenance des systèmes
6. Évaluation de l’efficacité des mesures de sécurité
7. Pratiques de cyberhygiène de base et formation
8. Politiques de chiffrement et de cryptographie
9. Sécurité des ressources humaines, contrôle d’accès et gestion des actifs
10. Utilisation de solutions d’authentification multifacteur (MFA)

Ces mesures constituent le socle minimum. Mais leur déclinaison concrète (et les mesures supplémentaires) varient selon le statut.

Les 20 objectifs ANSSI pour les EE vs les EI (ReCyf v2.5)

Le référentiel ReCyf v2.5 de l’ANSSI structure les obligations en 20 objectifs de sécurité. Les EI doivent en satisfaire la majorité, mais avec des mesures allégées. Les EE doivent couvrir la totalité des 20 objectifs, avec des mesures plus exigeantes sur plusieurs d’entre eux.

En pratique, de nombreux objectifs partagés (1-2, 4, 6-11, 13-14, 17-20) comportent des mesures individuelles supplémentaires réservées aux EE : des exigences additionnelles qui s’appliquent dans le périmètre d’un objectif commun.

Les 5 objectifs réservés aux entités essentielles

Ces 5 objectifs représentent une charge de travail significative. L’objectif 15 (SI d’admin dédié) et l’objectif 16 (SIEM) sont particulièrement structurants : ils nécessitent des investissements en infrastructure que la plupart des EI n’ont pas à engager.

Si vous êtes EE, notre guide des 20 objectifs de sécurité ANSSI détaille chaque objectif et les mesures associées.

---

Supervision ANSSI : proactive vs réactive

C’est l’une des différences les plus concrètes entre les deux statuts.

Contrôles réguliers pour les EE

Les entités essentielles font l’objet d’une supervision proactive de l’ANSSI :

• Audits planifiés, potentiellement sans mise en demeure préalable
• Inspections sur site ou à distance
• Scans de vulnérabilités réguliers initiés par l’ANSSI
• Demande de documentation et de preuves de conformité à tout moment

En d’autres termes, l’ANSSI peut frapper à la porte d’une EE sans qu’un incident se soit produit. C’est un changement majeur pour des organisations habituées à n’être contrôlées qu’en réaction à un problème.

Contrôles post-incident pour les EI

Les entités importantes bénéficient d’une supervision réactive : l’ANSSI intervient principalement après un incident signalé ou une plainte. Cela ne signifie pas une absence de contrôle, mais les vérifications sont généralement déclenchées par un événement plutôt que planifiées systématiquement.

Pour une EI, la priorité est donc de mettre en place le socle de conformité — notamment les obligations de notification d’incidents dans les 24h, pour éviter que l’ANSSI ne soit alertée par un incident mal géré.

---

Sanctions NIS2 EE vs EI : les différences chiffrées

Tableau comparatif des amendes

Responsabilité personnelle des dirigeants (EE)

C’est la disposition la plus percutante pour les dirigeants d’EE : la directive NIS2 prévoit que les personnes physiques exerçant des fonctions de direction peuvent être tenues personnellement responsables en cas de manquement grave aux obligations de sécurité.

Concrètement, un PDG ou un DSI d’une entité essentielle peut faire l’objet de sanctions individuelles si l’organisation n’a pas mis en œuvre les mesures requises et qu’un incident grave en découle. L’article 20 de la directive impose également aux dirigeants des EI d’approuver et superviser les mesures de sécurité, mais la suspension temporaire des dirigeants (art. 32§5) reste une mesure spécifique aux entités essentielles.

---

Comment déterminer votre catégorie en 5 minutes

Arbre de décision

Suivez ces étapes dans l’ordre :

Étape 1 : Mon secteur est-il concerné ?

• Non → Vous n’êtes pas assujetti à NIS2
• Oui, Annexe I → Passez à l’étape 2
• Oui, Annexe II → Passez à l’étape 3

Étape 2 : Êtes-vous une grande entreprise (≥ 250 salariés OU > 50 M€ de CA OU > 43 M€ de bilan) ?

• Oui → Vous êtes probablement Entité Essentielle
• Non → Êtes-vous une moyenne entreprise (50-249 salariés OU 10-50 M€ de CA) ? Si oui → Entité Importante. Si non → Non assujetti (sauf exception)

Étape 3 : Secteur Annexe II uniquement

• Êtes-vous une moyenne entreprise (50-249 salariés OU 10-50 M€ de CA) ? → Entité Importante
• Moins de 50 salariés et moins de 10 M€ de CA → Non assujetti

Cas particuliers à vérifier :

• Êtes-vous fournisseur de DNS/TLD ou gestionnaire de registre ? → EE quelle que soit votre taille
• Avez-vous été désigné infrastructure critique ? → EE
• Votre entreprise est-elle filiale d’un groupe dont la taille consolidée dépasse les seuils ? → Les seuils peuvent s’apprécier au niveau du groupe

Scénario 1 : PME industrielle de 120 salariés Une PME de fabrication de dispositifs médicaux avec 120 salariés et 15 M€ de CA : elle opère en Annexe II (fabrication de dispositifs médicaux), dépasse le seuil de 50 salariés et de 10 M€ de CA. Résultat : Entité Importante. Elle n’est pas soumise aux 5 objectifs réservés aux EE, mais doit mettre en place le socle des 15 objectifs ANSSI applicables aux EI.

Scénario 2 : PME services numériques proche des seuils Une ESN de 240 salariés gérant des services cloud B2B (gestion de services TIC, Annexe I) avec 48 M€ de CA : elle dépasse 50 salariés mais n’atteint pas les 250. Son CA de 48 M€ est sous le seuil de 50 M€. Résultat : Entité Importante. Mais attention : si l’entreprise recrute 10 personnes ou réalise une acquisition qui fait passer son CA à 52 M€, elle bascule en EE avec les 5 objectifs supplémentaires.

Vérifier avec MonEspaceNIS2

L’ANSSI a mis en ligne un outil officiel d’auto-évaluation : MonEspaceNIS2. Il permet aux entités de déclarer leurs secteurs d’activité et leur taille pour obtenir une première indication de leur statut. Cette déclaration servira également à l’ANSSI pour constituer le registre des entités régulées.

L’outil ne remplace pas une analyse juridique en cas de doute sur la classification — notamment pour les filiales de groupes, les entités opérant dans plusieurs secteurs ou les cas frontaliers sur les seuils.

Vous n’êtes pas certain de votre catégorie ? Notre accompagnement conformité NIS2 inclut un diagnostic de classification.

---

FAQ

Quelle différence entre entité essentielle et entité importante NIS2 ?

Les entités essentielles opèrent dans des secteurs hautement critiques (Annexe I) et dépassent les seuils de grande entreprise (≥ 250 salariés ou > 50 M€ de CA). Elles sont soumises à 20 objectifs de sécurité ANSSI, dont 5 réservés aux EE, et à une supervision proactive de l'ANSSI. Les entités importantes opèrent en Annexe I ou II avec des seuils plus bas (50-249 salariés) et bénéficient d'obligations allégées et d'une supervision réactive.

Quels sont les seuils de taille pour être entité essentielle ?

Pour être EE, une entreprise doit dépasser au moins l'un de ces critères : 250 salariés, 50 M€ de chiffre d'affaires annuel, ou 43 M€ de bilan annuel. Ces seuils s'apprécient généralement à l'échelle du groupe pour les filiales.

Les obligations de sécurité sont-elles les mêmes pour EE et EI ?

Non. Les deux catégories partagent un socle de 10 mesures (article 21 de la directive) et de nombreux objectifs ANSSI communs. Mais les EE doivent satisfaire 5 objectifs supplémentaires du référentiel ReCyf v2.5 : analyse de risques formelle (Obj. 3), audit des SIR (Obj. 5), configuration sécurisée (Obj. 12), administration dédiée (Obj. 15) et supervision par SIEM (Obj. 16).

Comment l'ANSSI supervise-t-elle les entités essentielles par rapport aux importantes ?

L'ANSSI exerce une supervision proactive sur les EE : audits planifiés, contrôles sans incident préalable, scans de vulnérabilités initiés par l'autorité. Les EI font l'objet d'une supervision réactive, déclenchée principalement après un incident ou une plainte. Dans les deux cas, la notification obligatoire d'incidents dans les 24h s'applique.

Un sous-traitant peut-il être entité essentielle ?

Oui, si le sous-traitant opère directement dans un secteur Annexe I (par exemple, gestion de services TIC B2B) et dépasse les seuils de taille. En revanche, un sous-traitant qui fournit uniquement des services génériques (comptabilité, RH) à des entités régulées n'est pas automatiquement assujetti. La chaîne d'approvisionnement est néanmoins un point de contrôle pour les entités régulées, qui doivent évaluer la sécurité de leurs fournisseurs critiques.

Une PME peut-elle être entité essentielle ?

Rarement, mais c'est possible. Les PME (< 250 salariés, < 50 M€ de CA) sont en général classées EI si elles atteignent le seuil de moyenne entreprise. Elles peuvent toutefois être EE si elles sont désignées infrastructure critique, fournisseurs de DNS/TLD, ou si l'ANSSI les désigne pour des raisons stratégiques — indépendamment de leur taille.

---

Conclusion

La distinction entre entité essentielle et entité importante NIS2 n’est pas une formalité administrative. Elle conditionne l’étendue de votre programme de sécurité, le mode de contrôle de l’ANSSI et les sanctions encourues. Les 5 objectifs réservés aux EE, particulièrement l’administration dédiée (SI d’admin) et la supervision SIEM, représentent des investissements structurants qui doivent être anticipés.

Pour aller plus loin, consultez notre guide complet directive NIS2 et le détail des sanctions NIS2.

Vous avez identifié votre catégorie et souhaitez construire votre feuille de route de conformité ? Demandez un diagnostic NIS2 gratuit : nous analysons votre situation et vous proposons un plan d’action adapté à votre taille et à votre secteur.

---

Sources : Directive (UE) 2022/2555 — EUR-Lex | ReCyf v2.5, ANSSI, mars 2026 — cyber.gouv.fr | MonEspaceNIS2 — monespacenis2.cyber.gouv.fr