La directive NIS2 (directive (UE) 2022/2555) repose sur une distinction structurante entre deux categories d’entites soumises a ses obligations : les entites essentielles et les entites importantes. Cette classification determine non seulement le niveau de supervision applicable, mais aussi le plafond des sanctions encourues et l’intensite des obligations de notification. Pourtant, de nombreuses organisations peinent encore a determiner dans quelle categorie elles se situent. Ce guide analyse en detail les criteres de classification, les differences de regime juridique et les consequences operationnelles de cette distinction.

I. Le mecanisme de classification NIS2

A. Abandon de l’ancien systeme NIS1

La directive NIS2 abandonne la distinction entre “operateurs de services essentiels” (OSE) et “fournisseurs de services numeriques” (FSN) qui prevalait sous NIS1. Ce changement n’est pas cosmetic : il traduit une refonte complete du mecanisme d’identification des entites concernees.

Sous NIS1, chaque Etat membre disposait d’une large marge de manoeuvre pour designer les entites soumises a la directive. Ce systeme avait conduit a des disparites flagrantes. Un meme operateur pouvait etre designe comme OSE en France mais echapper a toute obligation en Belgique. NIS2 corrige cette faiblesse en instaurant des criteres objectifs et harmonises.

B. Criteres de classification : secteur et taille

La classification repose sur deux criteres cumulatifs : le secteur d’activite et la taille de l’entite.

Le critere sectoriel distingue les secteurs hautement critiques (Annexe I : energie, transports, banque, infrastructures des marches financiers, sante, eau potable, eaux usees, infrastructures numeriques, gestion des services TIC B2B, administration publique, espace) des autres secteurs critiques (Annexe II : services postaux, gestion des dechets, chimie, agroalimentaire, fabrication, fournisseurs numeriques, recherche).

Le critere de taille repose sur les seuils definis par la recommandation 2003/361/CE. Sont concernees les entites depassant les seuils de la moyenne entreprise, c’est-a-dire au moins 250 salaries, ou un chiffre d’affaires superieur a 50 millions d’euros, ou un total de bilan superieur a 43 millions d’euros.

C. La regle de classification

La combinaison de ces deux criteres determine la categorie :

• Entites essentielles : grandes entreprises operant dans un secteur de l’Annexe I (secteurs hautement critiques). Certaines entites sont automatiquement classees comme essentielles quelle que soit leur taille : les fournisseurs de reseaux de communications electroniques publics de grande envergure, les prestataires de services de confiance qualifies, les registres de noms de domaine de premier niveau, les fournisseurs de services DNS et les entites d’administration publique centrale.

• Entites importantes : moyennes entreprises operant dans un secteur de l’Annexe I, et toutes les entites (moyennes et grandes) operant dans un secteur de l’Annexe II.

Cette regle comporte des exceptions. Les Etats membres peuvent reclasser certaines entites dans une categorie superieure si leur perturbation aurait un impact significatif sur l’ordre public, la securite publique ou la sante publique. L’ANSSI a ainsi la possibilite de qualifier d’essentielles des entites qui, selon les criteres generaux, releveraient de la categorie “importantes”.

II. Differences de regime juridique

A. Le regime de supervision

La difference la plus significative entre les deux categories concerne le mode de supervision.

Les entites essentielles sont soumises a un regime de supervision ex ante. Concretement, l’autorite competente (en France, l’ANSSI) peut diligenter des inspections, des audits de securite et des controles a tout moment, y compris en l’absence d’incident. Ce regime s’apparente a celui des secteurs bancaire et financier, ou la supervision prudentielle est permanente.

Les entites importantes relevent d’un regime de supervision ex post. L’autorite competente n’intervient qu’en cas d’incident, de signalement ou de preuve tangible de non-conformite. Ce regime est moins intrusif mais ne signifie pas que les obligations de fond sont allegees : les entites importantes doivent appliquer les memes mesures de securite que les entites essentielles.

B. Les pouvoirs de l’autorite competente

Les pouvoirs de supervision different egalement selon la categorie. Pour les entites essentielles, l’autorite peut ordonner des inspections sur site et a distance, des audits de securite reguliers ou cibles, des scans de securite, et demander la communication de toute information necessaire, y compris les politiques de securite et les preuves de mise en oeuvre. Elle peut emettre des avertissements, des instructions contraignantes et imposer des delais de mise en conformite.

Pour les entites importantes, ces pouvoirs sont plus limites dans leur declenchement : ils ne s’activent en principe qu’en reaction a un evenement (incident, plainte, information). Mais une fois declenches, les pouvoirs de controle sont comparables.

C. Le plafond des sanctions

C’est sur le terrain des sanctions que la distinction produit son effet le plus tangible. L’article 34 de NIS2 fixe des plafonds differencies :

• Entites essentielles : amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total, le montant le plus eleve etant retenu.

• Entites importantes : amendes pouvant atteindre 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial total.

Ces montants sont des plafonds. L’autorite competente determine le montant effectif en tenant compte de la gravite du manquement, de sa duree, des mesures prises pour en attenuer les effets, du degre de responsabilite, des antecedents et du niveau de cooperation avec l’autorite. On retrouve ici une logique comparable a celle des sanctions RGPD.

D. La responsabilite des dirigeants

NIS2 introduit un mecanisme de responsabilite personnelle des organes de direction. L’article 20 precise que ces organes doivent approuver les mesures de gestion des risques, superviser leur mise en oeuvre et suivre une formation en cybersecurite. En cas de manquement, les dirigeants peuvent etre tenus personnellement responsables.

Ce mecanisme s’applique aux deux categories d’entites, mais les consequences pratiques sont plus lourdes pour les entites essentielles en raison du risque de sanctions plus elevees et de la possibilite de suspension temporaire des fonctions de direction par l’autorite competente – une mesure qui ne s’applique qu’aux entites essentielles.

III. Obligations communes et nuances pratiques

A. Les mesures de gestion des risques (article 21)

L’article 21 de NIS2 enumere les mesures minimales que toutes les entites – essentielles et importantes – doivent mettre en oeuvre. Cette liste inclut : les politiques relatives a l’analyse des risques et a la securite des systemes d’information, la gestion des incidents, la continuite d’activite et la gestion de crise, la securite de la chaine d’approvisionnement, la securite de l’acquisition, du developpement et de la maintenance des systemes, les politiques et procedures d’evaluation de l’efficacite des mesures, les pratiques d’hygiene informatique et la formation, le chiffrement, la securite des ressources humaines, l’utilisation de solutions d’authentification forte et de communications securisees.

Il est fondamental de comprendre que cette liste est identique pour les deux categories. La difference ne porte pas sur les mesures a mettre en oeuvre mais sur l’intensite de la supervision et les consequences du non-respect.

B. Les obligations de notification d’incidents

Les obligations de notification sont egalement communes aux deux categories. L’article 23 impose un systeme de notification en trois etapes : une alerte precoce dans les 24 heures suivant la decouverte d’un incident significatif, une notification intermediaire dans les 72 heures contenant une evaluation initiale, et un rapport final dans un delai d’un mois incluant une description detaillee de l’incident, son impact et les mesures correctives. Ce schema reprend et renforce les obligations deja connues en matiere de gestion des incidents de securite et de notification de fuite de donnees.

C. La securite de la chaine d’approvisionnement

NIS2 impose aux deux categories d’entites de tenir compte des risques lies a leurs prestataires et sous-traitants. Cette obligation a des implications considerables pour les relations contractuelles. Les entites doivent evaluer la securite de leurs fournisseurs, integrer des exigences de securite dans les contrats et s’assurer que la chaine d’approvisionnement ne constitue pas un maillon faible. Mettre en place une politique de securite des systemes d’information robuste implique necessairement de couvrir cet aspect.

IV. Comment determiner sa categorie : methode pratique

A. Etape 1 : verifier l’appartenance sectorielle

La premiere question est : mon activite releve-t-elle de l’un des 18 secteurs couverts par NIS2 ? La reponse n’est pas toujours evidente. Un editeur de logiciel SaaS destine aux entreprises pourrait relever de la “gestion des services TIC (B2B)” de l’Annexe I. Un prestataire d’hebergement cloud releve des “infrastructures numeriques”. La checklist de conformite NIS2 fournit une grille d’analyse detaillee.

B. Etape 2 : evaluer la taille de l’entite

Si l’entite opere dans un secteur couvert, il faut determiner si elle depasse les seuils de la moyenne entreprise. Attention : les seuils s’analysent au niveau du groupe si l’entite fait partie d’un groupe, conformement aux regles de la recommandation 2003/361/CE sur les entreprises liees et partenaires.

C. Etape 3 : verifier les exceptions

Certaines entites sont classees essentielles independamment de leur taille. D’autres peuvent etre reclassees par l’autorite nationale. Il est indispensable de verifier aupres de l’ANSSI si un mecanisme de designation specifique s’applique. Le texte de transposition francais, consultable sur Legifrance, apportera des precisions complementaires.

D. Etape 4 : anticiper et documenter

Quelle que soit la categorie, la demarche de conformite est similaire dans sa structure : realiser une analyse de risques, deployer les mesures de l’article 21, mettre en place les processus de notification, documenter l’ensemble. Le role du RSSI est central dans cette demarche. Les organisations peuvent egalement recourir a un audit de securite informatique pour evaluer leur niveau de maturite.

V. Calendrier et transposition en droit francais

La date limite de transposition etait fixee au 17 octobre 2024. La France a engage le processus legislatif, et l’ANSSI a publie des lignes directrices preparatoires. Le texte de transposition devrait preciser les modalites d’enregistrement des entites, les seuils specifiques eventuels, les procedures de notification et le cadre des sanctions, conformement aux prescriptions de la directive NIS2.

Les entites concernees n’ont pas interet a attendre l’adoption definitive du texte national. Les obligations de fond sont suffisamment precises dans la directive elle-meme pour engager des maintenant les travaux de mise en conformite. L’ENISA fournit des ressources et des guides sectoriels utiles pour accompagner cette demarche.

FAQ

Comment savoir si mon entreprise est une entite essentielle ou importante au sens de NIS2 ?

La classification depend de deux criteres : le secteur d’activite (18 secteurs repartis entre les Annexes I et II de NIS2) et la taille de l’entite (seuils de la moyenne entreprise). Les grandes entreprises des secteurs de l’Annexe I sont essentielles ; les moyennes entreprises des secteurs de l’Annexe I et toutes les entites des secteurs de l’Annexe II sont importantes. Certaines entites specifiques (DNS, services de confiance qualifies, administration publique centrale) sont essentielles quelle que soit leur taille.

Les obligations de securite sont-elles les memes pour les deux categories ?

Oui. L’article 21 de NIS2 impose le meme socle de mesures de gestion des risques aux entites essentielles et importantes. La difference porte sur le mode de supervision (ex ante vs ex post), le plafond des sanctions (10 millions / 2% vs 7 millions / 1,4%) et certains pouvoirs specifiques de l’autorite, comme la possibilite de suspendre les fonctions de direction pour les seules entites essentielles.

Quelles sont les sanctions en cas de non-conformite ?

Les entites essentielles s’exposent a des amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial. Pour les entites importantes, le plafond est de 7 millions d’euros ou 1,4% du chiffre d’affaires mondial. Les dirigeants peuvent en outre etre tenus personnellement responsables des manquements aux obligations de supervision et d’approbation des mesures de securite.

Une PME peut-elle etre soumise a NIS2 ?

Oui, dans plusieurs cas. D’abord, si elle depasse les seuils de la moyenne entreprise (250 salaries, 50 millions de CA ou 43 millions de bilan). Ensuite, certaines entites sont soumises a NIS2 quelle que soit leur taille (fournisseurs DNS, prestataires de services de confiance qualifies, registres TLD). Enfin, un Etat membre peut decider d’inclure une entite de plus petite taille s’il estime que sa perturbation aurait un impact significatif sur la securite publique ou l’economie.