Comment savoir si mon entreprise est une entité essentielle ou une entité importante ?

Deux critères cumulatifs s'appliquent : votre secteur d'activité doit figurer dans les 18 secteurs couverts par NIS2, et votre taille doit dépasser les seuils définis. Si vous employez 250 personnes ou dépassez 50 M€ de chiffre d'affaires et 43 M€ de bilan dans un secteur hautement critique (annexe I), vous êtes entité essentielle. Entre 50 et 249 salariés dans un secteur couvert, vous êtes entité importante. L'outil de qualification sur MonEspaceNIS2 permet de faire cette évaluation en quelques minutes.

Une petite entreprise peut-elle être concernée par NIS2 ?

Oui, dans deux cas. D'abord si elle est essentielle par nature — fournisseur de réseaux de communications publics, prestataire de services de confiance qualifié, registre DNS — indépendamment de sa taille. Ensuite si elle est sous-traitant critique d'une entité essentielle ou importante : son client peut lui imposer des exigences NIS2 par voie contractuelle, même si elle n'est pas directement dans le périmètre réglementaire.

Les seuils NIS2 s'apprécient-ils au niveau de la filiale ou du groupe ?

Au niveau de la personne morale — la filiale. Une filiale française de 80 salariés dans un secteur couvert est une entité importante, même si elle appartient à un groupe de 10 000 personnes. Inversement, une holding qui n'exerce aucune activité dans les secteurs NIS2 n'est pas concernée, même si ses filiales le sont. Chaque entité juridique s'évalue indépendamment.

Quelle est la différence concrète entre supervision ex ante et ex post ?

Pour une entité essentielle, l'ANSSI exerce un contrôle proactif — elle peut mandater des audits réguliers sans attendre qu'un incident survienne. Pour une entité importante, la supervision est réactive — elle se déclenche sur incident ou sur signalement. En pratique, une EI qui subit une cyberattaque sans plan de reprise testé fait face simultanément à une interruption prolongée et à un contrôle ANSSI immédiat. La supervision réactive ne dispense pas de se préparer.

Faut-il s'enregistrer auprès de l'ANSSI avant la transposition de NIS2 en France ?

Le pré-enregistrement n'est pas encore obligatoire dans l'attente de la loi Résilience attendue pour juillet 2026. Mais l'ANSSI encourage fortement les futures entités concernées à s'identifier dès maintenant sur MonEspaceNIS2. Cela permet d'initier le diagnostic de maturité, d'accéder aux ressources sectorielles de l'agence, et de se positionner favorablement comme organisation proactive avant l'entrée en vigueur des obligations formelles.

NIS2 - Entité essentielle ou importante : comment savoir si vous êtes concerné ?

En France, NIS2 va concerner entre 15 000 et 18 000 organisations, contre quelques centaines sous NIS1. Mais toutes ne sont pas logées à la même enseigne.
‍
La directive distingue deux catégories : les entités essentielles et les entités importantes, avec des niveaux de supervision, des obligations et des sanctions qui diffèrent sensiblement.

C'est une distinction que beaucoup de DSI et RSSI sous-estiment.
Savoir dans quelle catégorie vous tomberez conditionne directement l'intensité de votre effort de conformité, la nature des contrôles auxquels vous serez soumis, et les sanctions encourues en cas de manquement.

Ce guide répond à une question simple : comment déterminer avec certitude si vous êtes une entité essentielle ou entité importante et ce que ça implique concrètement pour votre organisation.

Nous couvrons les critères de classification, les cas particuliers qui échappent aux règles générales, les différences opérationnelles entre les deux statuts, et la démarche concrète pour s'auto-évaluer et s'enregistrer auprès de l'ANSSI.

Pour une vue d'ensemble sur NIS2, périmètre, obligations, sanctions et feuille de route de conformité, consultez notre guide complet NIS2 en France 2026.

1. Entité essentielle ou entité importante: deux statuts, deux niveaux d'exigence
‍

NIS2 ne classe pas les organisations selon leur dangerosité intrinsèque, mais selon deux critères combinés : le secteur d'activité et la taille. De cette combinaison résulte un statut entité essentielle (EE) ou entité importante (EI), qui détermine l'intensité de la supervision et le niveau des sanctions applicables.
‍

Les entités essentielles (EE)

Une organisation est considérée comme entité essentielle si elle emploie au moins 250 personnes ou a un chiffre d'affaires annuel supérieur à 50 millions d'euros et un bilan annuel supérieur à 43 millions d'euros Cyber, et qu'elle opère dans l'un des secteurs hautement critiques listés à l'annexe I de la directive : énergie, transport, banque, santé, eau, infrastructures numériques, administration publique, espace.

Certaines organisations sont essentielles par nature, indépendamment de leur taille. C'est le cas des fournisseurs de réseaux de communications électroniques publics, des prestataires de services de confiance qualifiés, des registres de noms de domaine de premier niveau, et des entités désignées comme critiques par l'État pour la sécurité nationale. Pour ces organisations, les seuils de taille ne s'appliquent pas.

‍

Les entités importantes (EI)

Les entités importantes sont celles qui ne sont pas des entités essentielles et qui emploient au moins 50 personnes ou ont un chiffre d'affaires et un bilan annuel supérieur à 10 millions d'euros. Cyber Elles opèrent dans les secteurs hautement critiques (annexe I) ou dans les secteurs critiques (annexe II) : services postaux, gestion des déchets, chimie, alimentation, fabrication industrielle, fournisseurs numériques, recherche.

Un point souvent mal compris : pour les secteurs listés en annexe II, seules les grandes et moyennes entreprises sont considérées comme entités importantes. Les petites entreprises ne sont pas concernées par la directive NIS2.

‍

1. Entité essentielle ou entité importante: deux statuts, deux niveaux d'exigence‍

1. Entité essentielle ou entité importante: deux statuts, deux niveaux d'exigence
‍