Conseil - Entités Essentielles & Importantes

Entités Essentielles (EE) &
Entités Importantes (EI)

La principale différence entre ces deux catégories réside dans le niveau de supervision et les potentielles sanctions en cas de non-conformité, les entités essentielles étant soumises à des exigences plus strictes[2].

Citations:

[1] https://www.proofpoint.com/fr/threat-reference/nis2-directive

[2] https://www.ceeyu.io/fr/resources/blog/nis-2-entites-essentielles-et-entites-importantes-quelle-est-la-difference

[3] https://www.mailinblack.com/ressources/blog/directive-nis2-un-nouveau-paysage-pour-la-cybersecurite-des-entreprises/

[4] https://www.entrust.com/fr/resources/learn/nis-2

[5] https://news.atempo.com/fr/news/comprendre-nis-2-en-10-questions

[6] https://shift-avocats.com/directive-nis-2/

[7] https://www.pwc.fr/fr/publications/cybersecurite/directive-nis-2.html

Secteurs concernés

Entités Essentielles (EE)

Énergie : électricité, gaz, pétrole, chauffage urbain

Santé : hôpitaux, laboratoires, infrastructures de santé critiques

Transport : ferroviaire, aérien, maritime, routier

Eau : distribution et traitement d'eau potable

Secteur public : administrations centrales, organismes gouvernementaux

Infrastructures numériques : opérateurs télécoms, services d'accès Internet

Économie et finance : services bancaires, infrastructures de marchés financiers

Entités Importantes (EI)

Technologies de l’information : fournisseurs de services cloud, plateformes numériques, centres de données

Services postaux

Alimentaire : entreprises agroalimentaires stratégiques

Fabrication : entreprises industrielles dans des secteurs sensibles

Fournisseurs tiers : entreprises de la chaîne d'approvisionnement critiques

Seuils

Voici un tableau récapitulatif des seuils de chiffre d'affaires (CA) et d'employés définis par la directive NIS2 pour déterminer si une organisation est qualifiée d'Entité Essentielle (EE) ou d'Entité Importante (EI) :

Exceptions :

Petites organisations critiques : Une entité en dessous des seuils peut être classée comme essentielle ou importante si son activité est jugée critique (par exemple, un fournisseur unique de services spécifiques).

Micro-entreprises : Les entreprises ayant moins de 10 employés ou un CA inférieur à 2 millions d'euros sont généralement exemptées, sauf si elles jouent un rôle critique dans un secteur clé.

Ces seuils permettent de hiérarchiser les obligations de cybersécurité selon la taille et l'importance des organisations. Vous avez besoin de détails sur un cas particulier ?