La directive NIS2 (Network and Information Systems Directive 2) redéfinit le paysage de la cybersécurité européenne en élargissant considérablement le nombre d'entités soumises à des obligations. Contrairement à NIS1 qui ne concernait que ~1 000 entités en Belgique et ~1 500 en France, NIS2 touche désormais 20 000 à 100 000 entités par grand État membre. Comprendre si votre organisation est qualifiée d'entité essentielle ou d'entité importante est le premier pas — et ça change tout sur vos obligations.
Le cadre général de NIS2
Publiée au JOUE le 27 décembre 2022 (Directive (UE) 2022/2555), NIS2 devait être transposée par tous les États membres avant le 17 octobre 2024. En pratique, la transposition s'est étalée : la France a publié la loi REN (Résilience des Activités d'Importance Vitale) le 30 avril 2025, la Belgique l'a transposée par la loi NIS2 du 26 avril 2024 entrée en vigueur le 18 octobre 2024.
Le choix binaire « essentielle / importante » découle de deux critères cumulatifs : la taille de l'entité et le secteur d'activité.
Les deux critères clés : taille + secteur
Pour qu'une organisation tombe dans le champ de NIS2, elle doit simultanément :
- Opérer dans un des secteurs listés en Annexe I ou Annexe II de la directive
- Dépasser les seuils de taille moyenne entreprise (50 salariés ou 10 M€ de CA annuel ou 10 M€ de bilan)
En dessous de ces seuils, la directive ne s'applique pas — sauf exceptions spécifiques (fournisseurs de services DNS, registres TLD, prestataires de confiance qualifiés, administrations publiques centrales… qui sont automatiquement couverts peu importe la taille).
Entités essentielles (Annexe I)
Les entités essentielles sont celles opérant dans les secteurs hautement critiques listés en Annexe I de la directive. Être essentiel signifie subir la supervision la plus stricte.
Les 11 secteurs d'Annexe I
| Secteur | Exemples d'entités |
|---|---|
| Énergie | Électricité, pétrole, gaz, hydrogène, chauffage/refroidissement urbain |
| Transports | Aérien, ferroviaire, maritime, routier |
| Banque | Établissements de crédit agréés |
| Infrastructures de marchés financiers | Plateformes de négociation, contreparties centrales |
| Santé | Hôpitaux, laboratoires, fabricants de dispositifs médicaux critiques, production de médicaments |
| Eau potable | Fournisseurs et distributeurs d'eau destinée à la consommation humaine |
| Eaux usées | Collecte, évacuation, traitement |
| Infrastructures numériques | Points d'échange Internet (IXP), fournisseurs DNS, registres TLD, fournisseurs services cloud, data centers, CDN, services de confiance, réseaux et services de communications électroniques publics |
| Gestion des services TIC B2B | Fournisseurs de services gérés (MSP), fournisseurs de services de sécurité gérés (MSSP) |
| Administration publique | Entités centrales (obligatoire) ; régionales (option pour les États membres) |
| Espace | Opérateurs d'infrastructures au sol soutenant les services spatiaux |
Seuil de qualification « essentielle »
Pour être essentielle, vous devez être dans un secteur Annexe I ET dépasser les seuils grande entreprise :
- Plus de 250 salariés, OU
- Chiffre d'affaires annuel supérieur à 50 M€, OU
- Bilan annuel supérieur à 43 M€
Des cas automatiques existent peu importe la taille : opérateurs de services de confiance qualifiés, fournisseurs DNS, registres TLD, administrations centrales, entités identifiées comme « critiques » au sens de la directive CER (résilience des entités critiques), entités uniques dans un État membre.
Entités importantes (Annexe II)
Les entités importantes opèrent dans des secteurs également critiques mais subissent une supervision allégée (supervision réactive, pas proactive comme pour les essentielles).
Les 7 secteurs d'Annexe II
| Secteur | Exemples d'entités |
|---|---|
| Services postaux et de courrier | Opérateurs postaux, fournisseurs de services de colis |
| Gestion des déchets | Collecte, traitement, recyclage |
| Fabrication, production et distribution de produits chimiques | Industrie chimique (REACH) |
| Production, transformation et distribution de denrées alimentaires | Grossistes alimentaires, industrie agroalimentaire de grande taille |
| Fabrication | Dispositifs médicaux, produits informatiques/électroniques/optiques, équipements électriques, machines, véhicules à moteur, autres matériels de transport |
| Fournisseurs numériques | Places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux |
| Recherche | Organismes de recherche (option pour les États membres) |
Seuil de qualification « importante »
Pour être qualifiée d'importante, vous devez opérer dans :
- Un secteur de l'Annexe II + dépasser les seuils de moyenne entreprise (50+ salariés OU 10+ M€ CA/bilan), OU
- Un secteur de l'Annexe I sans atteindre les seuils grande entreprise (mais en dépassant les seuils moyenne entreprise)
En d'autres termes, une PME du secteur énergétique (75 salariés, 12 M€ de CA) sera importante — pas essentielle. Un grand distributeur alimentaire (500 salariés, 200 M€ CA) sera également important car son secteur figure en Annexe II, jamais essentielle.
Pourquoi la classification compte — 5 différences majeures
La différence essentielle/importante n'est pas cosmétique : elle détermine la supervision, les sanctions, et les obligations opérationnelles.
1. Supervision ex ante vs ex post
- Essentielles : supervision proactive — l'autorité compétente peut auditer, inspecter, demander des informations à tout moment, sans suspicion préalable d'incident.
- Importantes : supervision réactive — l'autorité n'intervient qu'après un incident ou un signalement d'infraction présumée.
C'est la différence la plus lourde en pratique. Une entité essentielle doit être prête à être contrôlée à tout moment ; une entité importante peut être plus réactive.
2. Plafonds d'amendes
- Essentielles : jusqu'à 10 M€ ou 2 % du CA mondial annuel (le plus élevé)
- Importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial annuel (le plus élevé)
Pour une entreprise multinationale, cela fait une différence directe de plusieurs millions d'euros en cas de manquement majeur.
3. Responsabilité personnelle des dirigeants
Les deux catégories placent la responsabilité personnelle des dirigeants (président, CEO, membres du conseil) sur les mesures de gestion des risques cyber. Dans les cas les plus graves, la directive autorise les États membres à interdire temporairement d'exercer à certains dirigeants — y compris en tant qu'administrateur ou représentant légal — pour les entités essentielles en manquement répété.
4. Enregistrement et notification
Les deux catégories doivent :
- S'enregistrer auprès de l'autorité compétente nationale (ANSSI en France, CCB en Belgique)
- Notifier les incidents significatifs dans des délais stricts (voir notre guide notification d'incident NIS2 24h/72h/1 mois)
- Partager volontairement les informations de cyber-menaces
Mais les formulaires, fréquences et exigences de preuves sont plus lourds pour les essentielles.
5. Exigences de conformité chaînes d'approvisionnement
NIS2 introduit un principe de responsabilité de la chaîne : une entité essentielle doit évaluer et documenter les risques cyber de ses fournisseurs critiques. Cela signifie en pratique que même si votre entreprise n'est pas directement couverte par NIS2, votre client essentiel exigera de vous des garanties équivalentes.
Les 10 mesures obligatoires — identiques pour les deux catégories
L'article 21 de NIS2 impose 10 mesures minimales de gestion des risques cyber, obligatoires tant pour les entités essentielles qu'importantes :
- Politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information
- Gestion des incidents (prévention, détection, réponse)
- Continuité des activités (sauvegarde, reprise après sinistre, gestion de crise)
- Sécurité de la chaîne d'approvisionnement
- Sécurité de l'acquisition, du développement et de la maintenance des systèmes
- Évaluation de l'efficacité des mesures (politique d'audit et de test)
- Pratiques de base en matière de cyber-hygiène et formation à la cybersécurité
- Politiques et procédures relatives à la cryptographie (y compris le chiffrement)
- Sécurité des ressources humaines, politique de contrôle d'accès et gestion des actifs
- Authentification multi-facteur, communications sécurisées, communications d'urgence
La profondeur d'implémentation varie selon la criticité, mais les 10 mesures s'appliquent. Pour les entités essentielles, chaque mesure doit être documentée avec preuves ; pour les importantes, une démonstration pragmatique peut suffire.
Comment identifier votre statut en 5 étapes
Voici une méthode pratique :
- Listez vos activités — Quel est votre code APE/NACE principal ? Quelle est votre production principale ?
- Croisez avec les Annexes I et II — Votre activité correspond-elle à un des 18 secteurs listés ? Pour les activités mixtes, c'est l'activité représentant plus de 10 % du chiffre d'affaires qui compte.
- Mesurez votre taille — Effectif salarié + chiffre d'affaires + bilan. Calculez selon la recommandation UE 2003/361/CE (micro, petite, moyenne, grande entreprise).
- Appliquez la grille
- Annexe I + grande entreprise → essentielle
- Annexe I + moyenne entreprise → importante
- Annexe II + moyenne ou grande entreprise → importante
- Hors seuils → non concernée (sauf exceptions automatiques)
- Vérifiez les exceptions automatiques — Prestataires de confiance qualifiés, fournisseurs DNS, registres TLD, administrations centrales : vous êtes couverts peu importe la taille.
En cas de doute, l'autorité nationale (ANSSI en France, CCB en Belgique) peut être sollicitée. Vous pouvez également consulter notre site partenaire mise-en-conformite-nis2.be pour des ressources détaillées sur le périmètre belge.
Cas pratiques : 4 scénarios de classification
Scénario 1 — Banque régionale (580 salariés, 120 M€ CA)
- Secteur : Annexe I (Banque)
- Taille : grande entreprise
- Résultat : essentielle
Scénario 2 — PME e-commerce (30 salariés, 4 M€ CA)
- Secteur : Annexe II (place de marché en ligne)
- Taille : petite entreprise sous les seuils
- Résultat : non concernée — mais recommandé d'appliquer les bonnes pratiques NIS2 par anticipation, surtout si vous servez des clients essentiels
Scénario 3 — Hôpital public (3 500 salariés, 450 M€ budget)
- Secteur : Annexe I (Santé)
- Taille : grande entreprise
- Résultat : essentielle
Scénario 4 — Fabricant de dispositifs médicaux (150 salariés, 25 M€ CA)
- Secteur : Annexe II (fabrication de dispositifs médicaux) ET Annexe I (si considéré comme lié à la santé)
- Taille : moyenne entreprise
- Résultat : importante (souvent interprétée en Annexe II pour les fabricants non-opérateurs de soins)
Que faire dès maintenant ?
Pour les entités essentielles
- Désignez un RSSI et un point de contact NIS2 (obligation explicite de nomination)
- Inscrivez-vous auprès de l'autorité nationale (calendrier déjà passé dans la plupart des États membres)
- Mettez en œuvre les 10 mesures Art.21 de façon documentée avec preuves
- Établissez un plan de notification d'incidents (early warning 24h + signalement 72h + rapport final 1 mois)
- Testez vos plans avec des exercices de crise annuels
Pour les entités importantes
- Mettez en œuvre les 10 mesures — même niveau, approche plus pragmatique
- Documentez votre posture de sécurité pour répondre aux contrôles réactifs
- Inscrivez-vous auprès de l'autorité nationale
- Formez vos équipes à la reconnaissance et à la notification d'incidents
Notre solution BCMS ResiPlan centralise la mise en conformité NIS2, DORA, ISO 22301 et NIST CSF dans un seul outil. Pour démarrer, vous pouvez essayer ResiPlan gratuitement pendant 14 jours.
Conclusion
La distinction essentielle vs importante conditionne la sévérité des contrôles, les sanctions et la profondeur documentaire attendue. Elle ne conditionne pas en revanche le périmètre fonctionnel des 10 mesures obligatoires : celles-ci s'appliquent aux deux catégories.
Pour les organisations qui hésitent encore sur leur qualification, la règle prudente est d'aligner votre posture sur les exigences essentielles. Cela protège contre les évolutions de classification (vos revenus peuvent dépasser les seuils d'une année à l'autre), cela sécurise votre chaîne de valeur (vos clients essentiels exigeront de vous ce niveau), et cela prépare l'arrivée probable de NIS3 dans la décennie 2030.
Pour aller plus loin, consultez nos ressources complémentaires :