NIS2 : entités essentielles vs entités importantes -- différences, obligations et conséquences

La directive NIS2 (directive (UE) 2022/2555) repose sur une distinction structurante entre deux catégories d’entités soumises à ses obligations : les entités essentielles et les entités importantes. Cette classification déterminé non seulement le niveau de supervision applicable, mais aussi le plafond des sanctions encourues et l’intensite des obligations de notification. Pourtant, de nombreuses organisations peinent encore a déterminer dans quelle catégorie elles se situent. Ce guide analyse en détail les critères de classification, les différences de régime juridique et les conséquences opérationnelles de cette distinction.

I. Le mécanisme de classification NIS2

A. Abandon de l’ancien système NIS1

La directive NIS2 abandonné la distinction entre “opérateurs de services essentiels” (OSE) et “fournisseurs de services numériques” (FSN) qui prévalait sous NIS1. Ce changement n’est pas cosmetic : il traduit une refonte complète du mécanisme d’identification des entités concernées.

Sous NIS1, chaque État membre disposait d’une large marge de manoeuvre pour désigner les entités soumises à la directive. Ce système avait conduit à des disparités flagrantes. Un même opérateur pouvait être désigné comme OSE en France mais échapper à toute obligation en Belgique. NIS2 corrigé cette faiblesse en instaurant des critères objectifs et harmonisés.

B. Critères de classification : secteur et taille

La classification repose sur deux critères cumulatifs : le secteur d’activité et la taille de l’entité.

Le critère sectoriel distingué les secteurs hautement critiques (Annexe I : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usees, infrastructures numériques, gestion des services TIC B2B, administration publique, espace) des autres secteurs critiques (Annexe II : services postaux, gestion des déchets, chimie, agroalimentaire, fabrication, fournisseurs numériques, recherché).

Le critère de taille repose sur les seuils définis par la recommandation 2003/361/CE. Sont concernées les entités dépassant les seuils de la moyenne entreprise, c’est-à-dire au moins 250 salariés, ou un chiffre d’affaires supérieur à 50 millions d’euros, ou un total de bilan supérieur à 43 millions d’euros.

C. La règle de classification

La combinaison de ces deux critères déterminé la catégorie :

• Entites essentielles : grandes entreprises opérant dans un secteur de l’Annexe I (secteurs hautement critiques). Certaines entités sont automatiquement classées comme essentielles quelle que soit leur taille : les fournisseurs de réseaux de communications électroniques publics de grande envergure, les prestataires de services de confiance qualifiés, les registres de noms de domaine de premier niveau, les fournisseurs de services DNS et les entités d’administration publique centrale.

• Entites importantes : moyennes entreprises opérant dans un secteur de l’Annexe I, et toutes les entités (moyennes et grandes) opérant dans un secteur de l’Annexe II.

Cette règle comporte des exceptions. Les États membres peuvent reclasser certaines entités dans une catégorie supérieure si leur perturbation aurait un impact significatif sur l’ordre public, la sécurité publique ou la santé publique. L’ANSSI a ainsi la possibilité de qualifier d’essentielles des entités qui, selon les critères généraux, releveraient de la catégorie “importantes”.

II. Différences de régime juridique

A. Le régime de supervision

La différence la plus significative entre les deux catégories concerné le mode de supervision.

Les entités essentielles sont soumises à un régime de supervision ex ante. Concrètement, l’autorité compétente (en France, l’ANSSI) peut diligenter des inspections, des audits de sécurité et des contrôles à tout moment, y compris en l’absence d’incident. Ce régime s’apparente a celui des secteurs bancaire et financier, ou la supervision prudentielle est permanente.

Les entités importantes relèvent d’un régime de supervision ex post. L’autorité compétente n’intervient qu’en cas d’incident, de signalement ou de preuve tangible de non-conformité. Ce régime est moins intrusif mais ne signifie pas que les obligations de fond sont allégées : les entités importantes doivent appliquer les mêmes mesures de sécurité que les entités essentielles.

B. Les pouvoirs de l’autorité compétente

Les pouvoirs de supervision différent également selon la catégorie. Pour les entités essentielles, l’autorité peut ordonner des inspections sur site et à distance, des audits de sécurité réguliers ou ciblés, des scans de sécurité, et demander la communication de toute information nécessaire, y compris les politiques de sécurité et les preuves de mise en oeuvre. Elle peut émettre des avertissements, des instructions contraignantes et imposer des délais de mise en conformité.

Pour les entités importantes, ces pouvoirs sont plus limités dans leur déclenchement : ils ne s’activent en principe qu’en réaction à un évènement (incident, plainte, information). Mais une fois declenches, les pouvoirs de contrôle sont comparables.

C. Le plafond des sanctions

C’est sur le terrain des sanctions que la distinction produit son effet le plus tangible. L’article 34 de NIS2 fixe des plafonds differencies :

• Entites essentielles : amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu.

• Entites importantes : amendes pouvant atteindre 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial total.

Ces montants sont des plafonds. L’autorité compétente déterminé le montant effectif en tenant compte de la gravité du manquement, de sa durée, des mesures prises pour en atténuer les effets, du degré de responsabilité, des antécédents et du niveau de coopération avec l’autorité. On retrouve ici une logique comparable a celle des sanctions RGPD.

D. La responsabilité des dirigeants

NIS2 introduit un mécanisme de responsabilité personnelle des organes de direction. L’article 20 precise que ces organes doivent approuver les mesures de gestion des risques, superviser leur mise en oeuvre et suivre une formation en cybersécurité. En cas de manquement, les dirigeants peuvent être tenus personnellement responsables.

Ce mécanisme s’applique aux deux catégories d’entités, mais les conséquences pratiques sont plus lourdes pour les entités essentielles en raison du risque de sanctions plus élevées et de la possibilité de suspension temporaire des fonctions de direction par l’autorité compétente – une mesure qui ne s’applique qu’aux entités essentielles.

III. Obligations communes et nuancés pratiques

A. Les mesures de gestion des risques (article 21)

L’article 21 de NIS2 énumère les mesures minimales que toutes les entités – essentielles et importantes – doivent mettre en oeuvre. Cette listé inclut : les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information, la gestion des incidents, la continuité d’activité et la gestion de crise, la sécurité de la chaîne d’approvisionnement, la sécurité de l’acquisition, du développement et de la maintenance des systèmes, les politiques et procédures d’évaluation de l’efficacité des mesures, les pratiques d’hygiène informatique et la formation, le chiffrement, la sécurité des ressources humaines, l’utilisation de solutions d’authentification forte et de communications sécurisées.

Il est fondamental de comprendre que cette listé est identique pour les deux catégories. La différence ne porte pas sur les mesures à mettre en oeuvre mais sur l’intensite de la supervision et les conséquences du non-respect.

B. Les obligations de notification d’incidents

Les obligations de notification sont également communes aux deux catégories. L’article 23 impose un système de notification en trois étapes : une alerte précoce dans les 24 heures suivant la découverte d’un incident significatif, une notification intermédiaire dans les 72 heures contenant une évaluation initiale, et un rapport final dans un délai d’un mois incluant une description détaillée de l’incident, son impact et les mesures correctives. Ce schéma reprend et renforcé les obligations déjà connues en matière de gestion des incidents de sécurité et de notification de fuite de données.

C. La sécurité de la chaîne d’approvisionnement

NIS2 impose aux deux catégories d’entités de tenir compte des risques lies à leurs prestataires et sous-traitants. Cette obligation à des implications considérables pour les relations contractuelles. Les entités doivent évaluer la sécurité de leurs fournisseurs, intégrer des exigences de sécurité dans les contrats et s’assurer que la chaîne d’approvisionnement ne constitue pas un maillon faible. Mettre en place une politique de sécurité des systèmes d’information robuste implique nécessairement de couvrir cet aspect.

IV. Comment déterminer sa catégorie : méthode pratique

A. Étape 1 : vérifier l’appartenance sectorielle

La première question est : mon activité relève-t-elle de l’un des 18 secteurs couverts par NIS2 ? La réponse n’est pas toujours evidente. Un éditeur de logiciel SaaS destiné aux entreprises pourrait relever de la “gestion des services TIC (B2B)” de l’Annexe I. Un prestataire d’hébergement cloud relève des “infrastructures numériques”. La checklist de conformité NIS2 fournit une grille d’analyse détaillée.

B. Étape 2 : évaluer la taille de l’entité

Si l’entité opère dans un secteur couvert, il faut déterminer si elle dépasse les seuils de la moyenne entreprise. Attention : les seuils s’analysent au niveau du groupe si l’entité fait partie d’un groupe, conformément aux règles de la recommandation 2003/361/CE sur les entreprises liées et partenaires.

C. Étape 3 : vérifier les exceptions

Certaines entités sont classées essentielles indépendamment de leur taille. D’autres peuvent être reclassees par l’autorité nationale. Il est indispensable de vérifier auprès de l’ANSSI si un mécanisme de désignation spécifique s’applique. Le texte de transposition français, consultable sur Legifrance, apportera des précisions complémentaires.

D. Étape 4 : anticiper et documenter

Quelle que soit la catégorie, la démarche de conformité est similaire dans sa structuré : réaliser une analyse de risques, déployer les mesures de l’article 21, mettre en place les processus de notification, documenter l’ensemble. Le rôle du RSSI est central dans cette démarche. Les organisations peuvent également recourir à un audit de sécurité informatique pour évaluer leur niveau de maturité.

V. Calendrier et transposition en droit français

La date limite de transposition était fixée au 17 octobre 2024. La France a engagé le processus législatif, et l’ANSSI a publié des lignes directrices preparatoires. Le texte de transposition devrait préciser les modalités d’enregistrement des entités, les seuils spécifiques éventuels, les procédures de notification et le cadre des sanctions, conformément aux prescriptions de la directive NIS2.

Les entités concernées n’ont pas intérêt a attendre l’adoption définitive du texte national. Les obligations de fond sont suffisamment précises dans la directive elle-même pour engager des maintenant les travaux de mise en conformité. L’ENISA fournit des ressources et des guides sectoriels utiles pour accompagner cette démarche.

FAQ

Comment savoir si mon entreprise est une entité essentielle ou importante au sens de NIS2 ?

La classification dépend de deux critères : le secteur d’activité (18 secteurs repartis entre les Annexes I et II de NIS2) et la taille de l’entité (seuils de la moyenne entreprise). Les grandes entreprises des secteurs de l’Annexe I sont essentielles ; les moyennes entreprises des secteurs de l’Annexe I et toutes les entités des secteurs de l’Annexe II sont importantes. Certaines entités spécifiques (DNS, services de confiance qualifiés, administration publique centrale) sont essentielles quelle que soit leur taille.

Les obligations de sécurité sont-elles les mêmes pour les deux catégories ?

Oui. L’article 21 de NIS2 impose le même socle de mesures de gestion des risques aux entités essentielles et importantes. La différence porte sur le mode de supervision (ex ante vs ex post), le plafond des sanctions (10 millions / 2% vs 7 millions / 1,4%) et certains pouvoirs spécifiques de l’autorité, comme la possibilité de suspendre les fonctions de direction pour les seules entités essentielles.

Quelles sont les sanctions en cas de non-conformité ?

Les entités essentielles s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial. Pour les entités importantes, le plafond est de 7 millions d’euros ou 1,4% du chiffre d’affaires mondial. Les dirigeants peuvent en outre être tenus personnellement responsables des manquements aux obligations de supervision et d’approbation des mesures de sécurité.

Une PME peut-elle être soumise à NIS2 ?

Oui, dans plusieurs cas. D’abord, si elle dépasse les seuils de la moyenne entreprise (250 salariés, 50 millions de CA ou 43 millions de bilan). Ensuite, certaines entités sont soumises à NIS2 quelle que soit leur taille (fournisseurs DNS, prestataires de services de confiance qualifiés, registres TLD). Enfin, un État membre peut décider d’inclure une entité de plus petite taille s’il estime que sa perturbation aurait un impact significatif sur la sécurité publique ou l’économie.