La directive NIS2 établit deux catégories principales d'entités soumises à ses exigences en matière de cybersécurité : les entités essentielles (EE) et les entités importantes (EI).

Entités Essentielles (EE)

Les entités essentielles sont des organisations considérées comme critiques pour le fonctionnement de l'économie et de la société européennes[1]. Elles comprennent généralement de grandes entreprises opérant dans des secteurs critiques tels que l'énergie, les transports, la banque, la santé, l'eau potable, l'infrastructure numérique et l'administration publique centrale[4]. Ces entités ont typiquement au moins 250 employés et un chiffre d'affaires annuel d'au moins 50 millions d'euros ou un bilan annuel d'au moins 43 millions d'euros[4].

Entités Importantes (EI)

Les entités importantes, bien que moins critiques que les entités essentielles, jouent néanmoins un rôle significatif dans l'économie et la société européennes[1]. Cette catégorie inclut généralement des entreprises de taille moyenne opérant dans des secteurs tels que les services postaux, la gestion des déchets, la fabrication de produits chimiques, l'alimentation, et les fournisseurs de services numériques[4]. Ces entités ont typiquement au moins 50 employés et un chiffre d'affaires annuel ou un bilan d'au moins 10 millions d'euros[4].

La principale différence entre ces deux catégories réside dans le niveau de supervision et les potentielles sanctions en cas de non-conformité, les entités essentielles étant soumises à des exigences plus strictes[2].

Citations:

[1] https://www.proofpoint.com/fr/threat-reference/nis2-directive

[2] https://www.ceeyu.io/fr/resources/blog/nis-2-entites-essentielles-et-entites-importantes-quelle-est-la-difference

[3] https://www.mailinblack.com/ressources/blog/directive-nis2-un-nouveau-paysage-pour-la-cybersecurite-des-entreprises/

[4] https://www.entrust.com/fr/resources/learn/nis-2

[5] https://news.atempo.com/fr/news/comprendre-nis-2-en-10-questions

[6] https://shift-avocats.com/directive-nis-2/

[7] https://www.pwc.fr/fr/publications/cybersecurite/directive-nis-2.html

Secteurs concernés

Entités Essentielles (EE)

• Énergie : électricité, gaz, pétrole, chauffage urbain

• Santé : hôpitaux, laboratoires, infrastructures de santé critiques

• Transport : ferroviaire, aérien, maritime, routier

• Eau : distribution et traitement d'eau potable

• Secteur public : administrations centrales, organismes gouvernementaux

• Infrastructures numériques : opérateurs télécoms, services d'accès Internet

Entités Importantes (EI)

• Technologies de l’information : fournisseurs de services cloud, plateformes numériques, centres de données

• Économie et finance : services bancaires, infrastructures de marchés financiers

• Alimentaire : entreprises agroalimentaires stratégiques

• Fabrication : entreprises industrielles dans des secteurs sensibles

• Fournisseurs tiers : entreprises de la chaîne d'approvisionnement critiques

Seuils

Voici un tableau récapitulatif des seuils de chiffre d'affaires (CA) et d'employés définis par la directive NIS2 pour déterminer si une organisation est qualifiée d'Entité Essentielle (EE) ou d'Entité Importante (EI) :

Exceptions :

1. Petites organisations critiques : Une entité en dessous des seuils peut être classée comme essentielle ou importante si son activité est jugée critique (par exemple, un fournisseur unique de services spécifiques).

2. Micro-entreprises : Les entreprises ayant moins de 10 employés ou un CA inférieur à 2 millions d'euros sont généralement exemptées, sauf si elles jouent un rôle critique dans un secteur clé.

Ces seuils permettent de hiérarchiser les obligations de cybersécurité selon la taille et l'importance des organisations. Vous avez besoin de détails sur un cas particulier ?

Pour savoir si mon entreprise est concernée : https://monespacenis2.cyber.gouv.fr/simulateur