En France, NIS2 va concerner entre 15 000 et 18 000 organisations, contre quelques centaines sous NIS1. Mais toutes ne sont pas logées à la même enseigne.
La directive distingue deux catégories : les entités essentielles et les entités importantes, avec des niveaux de supervision, des obligations et des sanctions qui diffèrent sensiblement.
C'est une distinction que beaucoup de DSI et RSSI sous-estiment.
Savoir dans quelle catégorie vous tomberez conditionne directement l'intensité de votre effort de conformité, la nature des contrôles auxquels vous serez soumis, et les sanctions encourues en cas de manquement.
Ce guide répond à une question simple : comment déterminer avec certitude si vous êtes une entité essentielle ou entité importante et ce que ça implique concrètement pour votre organisation.
Nous couvrons les critères de classification, les cas particuliers qui échappent aux règles générales, les différences opérationnelles entre les deux statuts, et la démarche concrète pour s'auto-évaluer et s'enregistrer auprès de l'ANSSI.
Pour une vue d'ensemble sur NIS2, périmètre, obligations, sanctions et feuille de route de conformité, consultez notre guide complet NIS2 en France 2026.
NIS2 ne classe pas les organisations selon leur dangerosité intrinsèque, mais selon deux critères combinés : le secteur d'activité et la taille. De cette combinaison résulte un statut entité essentielle (EE) ou entité importante (EI), qui détermine l'intensité de la supervision et le niveau des sanctions applicables.
Les entités essentielles (EE)
Une organisation est considérée comme entité essentielle si elle emploie au moins 250 personnes ou a un chiffre d'affaires annuel supérieur à 50 millions d'euros et un bilan annuel supérieur à 43 millions d'euros Cyber, et qu'elle opère dans l'un des secteurs hautement critiques listés à l'annexe I de la directive : énergie, transport, banque, santé, eau, infrastructures numériques, administration publique, espace.
Certaines organisations sont essentielles par nature, indépendamment de leur taille. C'est le cas des fournisseurs de réseaux de communications électroniques publics, des prestataires de services de confiance qualifiés, des registres de noms de domaine de premier niveau, et des entités désignées comme critiques par l'État pour la sécurité nationale. Pour ces organisations, les seuils de taille ne s'appliquent pas.
Les entités importantes (EI)
Les entités importantes sont celles qui ne sont pas des entités essentielles et qui emploient au moins 50 personnes ou ont un chiffre d'affaires et un bilan annuel supérieur à 10 millions d'euros. Cyber Elles opèrent dans les secteurs hautement critiques (annexe I) ou dans les secteurs critiques (annexe II) : services postaux, gestion des déchets, chimie, alimentation, fabrication industrielle, fournisseurs numériques, recherche.
Un point souvent mal compris : pour les secteurs listés en annexe II, seules les grandes et moyennes entreprises sont considérées comme entités importantes. Les petites entreprises ne sont pas concernées par la directive NIS2.
Une nuance importante sur les seuils
Les seuils de taille s'apprécient au niveau de l'entité juridique, pas du groupe. Une filiale de 60 salariés appartenant à un groupe de 10 000 personnes peut être une entité importante si son activité relève d'un secteur couvert, même si la filiale seule ne dépasserait pas les seuils d'une grande entreprise. C'est un point qui surprend beaucoup de DSI de filiales françaises de groupes internationaux
Le secteur d'activité est le premier filtre à appliquer avant même de regarder votre taille. Si votre activité principale ne figure pas dans les 18 secteurs couverts par NIS2, vous n'êtes pas directement concerné, sauf si vous êtes sous-traitant d'une entité qui l'est.
NIS2 répartit ces secteurs en deux annexes qui déterminent directement votre statut potentiel.
Ce sont les secteurs dont la défaillance aurait un impact immédiat sur la sécurité nationale, la santé publique ou l'économie.
Une grande entreprise de ces secteurs est automatiquement qualifée comme entité essentielle. Une entreprise moyenne est qualifiée entité importante.
Les 11 secteurs de l'annexe I sont : énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain), transport (aérien, ferroviaire, fluvial, routier), banque et établissements de crédit, infrastructures des marchés financiers, santé (établissements de soins, laboratoires, R&D pharmaceutique), eau potable, eaux usées, infrastructures numériques (fournisseurs cloud, datacenters, réseaux de distribution de contenu, services de confiance, registres DNS),
gestion des services TIC, administration publique, espace.
Ces secteurs sont moins immédiatement vitaux mais leur compromission aurait des conséquences significatives sur l'économie ou la société.
Seules les grandes et moyennes entreprises de ces secteurs sont concernées, les petites en sont exemptées.
Les 7 secteurs de l'annexe II sont : services postaux et de messagerie, gestion des déchets, fabrication et distribution de produits chimiques, production et transformation des aliments (à l'échelle industrielle), fabrication industrielle (dispositifs médicaux, équipements électroniques, machines, véhicules motorisés), fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), organismes de recherche.
Pour les entreprises industrielles françaises, le secteur "fabrication industrielle" de l'annexe II mérite une attention particulière.
Il couvre un périmètre très large : équipements électriques, machines industrielles, véhicules, dispositifs médicaux.
Une ETI industrielle de 80 salariés produisant des équipements électroniques tombe dans le périmètre NIS2 en tant qu'entité importante,
même si elle n'a aucune activité numérique apparente.
C'est l'un des angles les moins bien anticipés par les DSI de PME et ETI industrielles françaises, notamment celles qui opèrent des environnements OT (SCADA, automates, systèmes de supervision) sans avoir de département cybersécurité structuré.
*Certaines entités sont essentielles indépendamment de leur taille (voir section 3).
Les critères de taille et de secteur donnent une première réponse dans la majorité des cas. Mais NIS2 prévoit plusieurs situations qui échappent
à cette logique générale, et ce sont précisément ces cas que les DSI découvrent le plus souvent trop tard.
Certaines organisations sont automatiquement classées entités essentielles, indépendamment de leur effectif ou de leur chiffre d'affaires.
Il s'agit notamment des fournisseurs de réseaux de communications électroniques publics, des prestataires de services de confiance qualifiés au sens
du règlement eIDAS, des registres de noms de domaine de premier niveau, des fournisseurs de services DNS, et des entités désignées comme critiques par l'État pour la sécurité nationale au titre d'autres réglementations.
Pour ces organisations, la question de la taille ne se pose pas. Elles sont essentielles par la nature de leur activité, et soumises de fait aux obligations
les plus strictes et à la supervision proactive de l'ANSSI.
C'est l'un des points les plus mal compris de NIS2 en France. L'entité titulaire de la personnalité morale est susceptible d'être considérée comme
entité essentielle ou importante si l'une de ses activités relève d'un secteur ou sous-secteur identifié dans les annexes de la directive et qu'elle remplit
les critères de taille correspondants. Cyber
En pratique, cela signifie que les seuils s'apprécient au niveau de la personne morale, la filiale, et non au niveau du groupe.
Une filiale française de 60 salariés, dont l'activité relève de l'annexe II, est une entité importante au sens NIS2, même si elle appartient à un groupe
de 5 000 personnes. Inversement, une holding qui n'exerce aucune activité dans les secteurs couverts n'est pas concernée, même si ses filiales le sont.
Pour les DSI de filiales françaises de groupes internationaux, cette nuance est stratégique : la conformité NIS2 s'apprécie entité par entité, pas au niveau consolidé.
NIS2 n'impose pas directement d'obligations aux sous-traitants qui ne relèvent pas eux-mêmes des secteurs couverts.
Mais la directive impose aux entités essentielles et importantes d'évaluer et de gérer les risques liés à leur chaîne d'approvisionnement,
ce qui se traduit en pratique par des clauses contractuelles imposées aux prestataires.
Un prestataire IT ou un MSSP qui fournit des services critiques à une EE ou une EI peut donc se voir imposer des exigences NIS2 par voie contractuelle, sans être lui-même dans le périmètre réglementaire direct. C'est un vecteur d'expansion du périmètre NIS2 qui touche directement les prestataires
de backup, de résilience et de cybersécurité managée.
Une entreprise dont l'activité principale n'est pas dans les secteurs NIS2, mais qui exerce une activité secondaire qui l'est, peut être concernée pour cette seule activité secondaire. L'évaluation doit porter sur chaque activité exercée, pas uniquement sur l'activité principale déclarée au registre du commerce.
Exemple concret : un groupe alimentaire (annexe II) qui opère également ses propres infrastructures numériques internes (annexe I) pourrait se trouver soumis aux obligations des deux annexes selon la nature et la criticité de ses systèmes d'information.
La directive NIS2 prévoit des exceptions pour plusieurs types d'entités, dont les prestataires de services de confiance, les fournisseurs de services DNS,
les registres de noms de domaine de premier niveau, les fournisseurs de réseaux de communications électroniques publiques, les fournisseurs de services de communications électroniques accessibles au public et l'administration publique Cyber, ces derniers étant soumis à un régime spécifique défini
par un règlement d'exécution de la Commission européenne plutôt qu'au socle de mesures NIS2 standard applicable aux entités établies en France.
C'est ici que la distinction EE/EI prend tout son sens opérationnel. Les obligations techniques sont quasi identiques pour les deux catégories,
c'est la supervision, les délais et les sanctions qui divergent significativement
Pour une entité essentielle, l'ANSSI n'attend pas qu'un incident survienne. Elle exerce un contrôle ex ante (a priori),
ce qui signifie que vous pouvez être soumis à des audits de sécurité réguliers et obligatoires, mandatés par l'agence, pour vérifier votre conformité.
Pour une entité importante, la supervision est ex post, elle se déclenche sur incident ou sur signalement.
L'ANSSI n'interviendra pas de manière proactive tant qu'aucun événement ne le justifie. Cela ne signifie pas qu'une EI peut se permettre de ne pas
se préparer, une cyberattaque ou une fuite de données peut déclencher un contrôle immédiat.
L'effort opérationnel pour se conformer à NIS2 sera nettement plus important pour les entités essentielles, car elles font l'objet d'une surveillance constante, tandis que les entités importantes ne font l'objet de contrôles que sur signalement ou incident.
Le ReCyF de l'ANSSI structure 20 objectifs de sécurité. Les 15 premiers s'appliquent aux deux catégories. Les objectifs 16 à 20 (supervision avancée, tests de pénétration approfondis, audit externe) sont réservés aux entités essentielles.
En pratique, les objectifs 1 à 15 couvrent déjà l'essentiel des chantiers à mener : gouvernance, inventaire des actifs, gestion des accès, cloisonnement réseau, détection, continuité d'activité et résilience. Pour la plupart des ETI entités importantes, c'est déjà un programme de travail substantiel sur 12 à 18 mois.
Les deux catégories sont soumises au même calendrier de notification : alerte initiale sous 24 heures, rapport intermédiaire sous 72 heures, rapport final dans le mois. C'est un point souvent mal compris, la rapidité de notification imposée par NIS2 est identique pour les EE et les EI.
Ce qui diffère, c'est la profondeur du rapport attendu et le niveau de suivi post-incident par l'ANSSI. Pour les entités essentielles, l'ANSSI peut imposer
des mesures correctives spécifiques et suivre leur mise en œuvre de manière active.
Pour une entité importante, la priorité est de couvrir les 15 premiers objectifs ReCyF de manière solide et documentée,
en particulier les objectifs sur la continuité d'activité et le backup, qui sont les plus fréquemment en écart lors des premiers diagnostics.
La supervision réactive de l'ANSSI ne dispense pas d'être prêt : un incident sans plan de reprise testé expose simultanément à une interruption prolongée et à un contrôle ANSSI immédiat.
Pour une entité essentielle, l'approche doit être plus structurée dès le départ avec un programme de conformité formalisé, des tests réguliers documentés et une capacité de démonstration continue face à des audits proactifs.
Dans les deux cas, la composante technique (backup immuable, PRA testé, RTO/RPO vérifiés) constitue le socle sur lequel repose une grande partie des objectifs ReCyF.
Pour approfondir cet angle, consultez notre guide : NIS2 et backup : quelles obligations techniques concrètes ?
Déterminer son statut NIS2 est un processus en trois étapes que les organisations peuvent initier maintenant, sans attendre la promulgation
de la loi Résilience.
La première question est binaire : votre activité principale ou l'une de vos activités secondaires relève-t-elle d'un des 18 secteurs couverts par NIS2 ?
- Si votre activité est clairement hors périmètre (commerce de détail, services aux particuliers, hôtellerie, immobilier), vous n'êtes pas directement concerné.
- Si votre activité est dans ou proche d'un des secteurs des annexes I ou II (industrie, santé, finance, numérique, alimentation industrielle) il faut aller plus loin.
L'ANSSI met à disposition un outil de qualification sur la plateforme MonEspaceNIS2 qui guide les organisations dans cette évaluation. Il ne s'agit pas encore d'un enregistrement formel, mais d'un premier diagnostic qui permet de positionner votre entité par rapport aux critères de la directive.
Une fois le secteur confirmé, les critères de taille déterminent votre statut :
- Si vous employez 250 personnes ou plus, ou dépassez 50 M€ de chiffre d'affaires et 43 M€ de bilan → vous êtes potentiellement entité essentielle.
- Si vous employez entre 50 et 249 personnes, ou êtes entre 10 et 50 M€ de chiffre d'affaires → vous êtes potentiellement entité importante.
En dessous de 50 salariés et 10 M€ de chiffre d'affaires → vous êtes hors périmètre direct, sauf si vous êtes essentiel par nature ou sous-traitant critique d'une EE ou EI.
N'oubliez pas d'appliquer ces seuils au niveau de la personne morale concernée, pas du groupe (voir section 3).
Pour aller plus vite dans cette évaluation, notre questionnaire de maturité NIS2 vous permet de situer votre niveau de préparation en moins de 10 minutes,
en couvrant les 5 domaines clés du ReCyF : gouvernance, protection, détection, continuité et sensibilisation. [Accéder au questionnaire de maturité NIS2]
L'ANSSI a ouvert fin 2025 un dispositif de pré-enregistrement à destination des entités susceptibles d'être assujetties à NIS2,
accessible à l'adresse: monespacenis2.cyber.gouv.fr.
Ce service permet aux entités de s'identifier auprès du régulateur en fournissant des informations de base les concernant (nom, coordonnées, activités concernées, contact désigné, chiffre d'affaires, nombre de collaborateurs), d'identifier d'éventuels écarts au regard des exigences réglementaires et d'initier les travaux de mise en conformité.
Ce pré-enregistrement n'est pas encore obligatoire dans l'attente de la transposition définitive. Mais il présente deux avantages concrets : il vous positionne favorablement auprès de l'ANSSI comme organisation proactive, et il vous donne accès aux ressources et guides sectoriels publiés progressivement par l'agence.
Une fois votre statut établi, l'étape suivante est le diagnostic de maturité sur les objectifs ReCyF applicables 15 pour les EI, 20 pour les EE.
C'est à ce stade que les écarts concrets apparaissent et que la feuille de route de conformité peut être construite.
Pour aller plus loin sur la mise en conformité concrète, consultez notre guide complet NIS2 en France 2026
Déterminer votre statut NIS2: entité essentielle ou entité importante est la première décision structurante de votre démarche de conformité :
elle conditionne le périmètre de vos obligations, le niveau de supervision auquel vous serez soumis, et les sanctions encourues.
Les critères sont clairs dans leur principe (secteur d'activité et taille) mais leurs applications concrètes réservent des surprises: filiales de groupes, activités mixtes, sous-traitants critiques, entités essentielles par nature.
C'est dans ces cas particuliers que beaucoup d'organisations font des erreurs d'évaluation initiale.
Une fois votre statut établi, l'étape suivante est le diagnostic de maturité sur les objectifs ReCyF applicables. C'est à ce moment que les écarts concrets apparaissent et que la feuille de route de conformité peut être construite de manière réaliste.
Sur la composante technique, backup immuable, PRA testé, RTO/RPO vérifiés,
VYTALX accompagne les ETI et entreprises des secteurs régulés dans la mise en place d'une infrastructure de résilience conforme aux objectifs ReCyF, sans alourdir les équipes internes.
