Entités essentielles vs importantes selon NIS2 : quelle est la différence et qu'est-ce que cela signifie pour votre organisation ?
La directive NIS2 s'applique à plus de 160'000 organisations dans toute l'UE, mais les obligations ne sont pas les mêmes pour tout le monde. Que vous soyez classé comme entité essentielle ou comme entité importante, cela détermine votre régime de surveillance, vos délais de notification et les sanctions encourues en cas de non-conformité. Si vous opérez à travers plusieurs filiales et juridictions, la complexité se multiplie rapidement.
La plupart des organisations avec lesquelles nous échangeons ne savent pas vraiment dans quelle catégorie elles se situent, ou supposent que la classification est identique pour chaque filiale. Ce n'est pas le cas. Ce guide explique précisément comment NIS2 classe les entités, ce que chaque catégorie exige, et comment gérer la conformité sur l'ensemble de votre groupe sans vous noyer dans les tableaux Excel.
NIS2 ne traite pas toutes les organisations de la même manière, et les différences ont de réelles conséquences
Le niveau de classification dont relève votre organisation détermine tout, de la manière dont les autorités vous surveillent à l'ampleur des amendes encourues. Pour les groupes disposant de filiales dans plusieurs États membres de l'UE, le tableau se complique rapidement.
Deux niveaux, des contrôles différents
Les entités essentielles font l'objet d'une surveillance proactive, ex ante : les autorités peuvent vous auditer à tout moment, sans incident déclencheur. Les entités importantes font l'objet d'une surveillance réactive, ex post : les enquêtes interviennent après qu'un problème survient. La différence n'est pas seulement procédurale. Elle change fondamentalement le niveau de préparation que vous devez maintenir n'importe quel jour de la semaine.
160'000+
Organisations estimées dans le champ d'application de NIS2 à travers l'UE, analyse d'impact de la Commission européenne, directive 2022/2555
La classification varie selon l'entité
Votre société mère peut être classée comme essentielle en Allemagne, tandis qu'une filiale est qualifiée d'importante aux Pays-Bas, et qu'une autre sort entièrement du champ d'application dans une troisième juridiction. La classification est déterminée par le secteur, le sous-secteur, la taille de l'entité et parfois par une désignation directe de l'État membre. Ce n'est pas une simple case à cocher au niveau du groupe. Chaque entité juridique doit être évaluée indépendamment.
18 secteurs, 11 sous-secteurs
Couverts par les annexes I et II de NIS2, directive 2022/2555, articles 2 à 3
La responsabilité personnelle est en jeu
Les entités essentielles comme importantes partagent les mêmes exigences de responsabilité de la direction au titre de l'article 20. La direction générale doit approuver les mesures de gestion des risques cyber, suivre des formations et peut être tenue personnellement responsable en cas de manquement. Les sanctions diffèrent selon le niveau, mais l'exposition personnelle est bien réelle pour les deux : jusqu'à 2 % du chiffre d'affaires mondial pour les entités essentielles et 1,4 % pour les entités importantes.
Jusqu'à 2 % du chiffre d'affaires annuel mondial
Plafond de sanction maximal pour les entités essentielles, directive NIS2, article 34, paragraphe 4. Les entités importantes encourent jusqu'à 1,4 %.
Le problème multi-entités que la plupart des équipes de conformité ignorent :
La plupart des organisations avec lesquelles nous travaillons supposaient au départ que leur classification NIS2 était uniforme dans tout le groupe. Elle l'est rarement. Une entreprise de 12 filiales peut facilement compter des entités essentielles dans trois juridictions, des entités importantes dans quatre, et des entités hors champ pour le reste, chacune avec ses propres nuances de transposition nationale. Gérer cela dans des tableaux Excel signifie que quelqu'un, quelque part, se trompe.
200+
Heures économisées sur la gestion du registre des traitements
Medtec a récupéré plus de 200 heures auparavant consacrées aux mises à jour manuelles du registre des traitements lors de leur préparation à l'ISO 27001, du temps réorienté vers un travail stratégique sur la protection des données.
60%
Réduction du temps administratif lié à la conformité
Un constructeur aéronautique a réduit de 60 % le temps administratif lié à la conformité au cours de ses six premiers mois : son DPD se concentre désormais sur le travail stratégique plutôt que sur la course aux tableaux Excel entre les filiales.
3 mois
D'avance sur le calendrier de certification ISO 27001
Medtec a accéléré sa préparation à l'ISO 27001 de trois mois grâce aux dossiers de preuves prêts pour l'audit et aux flux de documentation automatisés de Priverion.
Entités essentielles vs importantes : le comparatif complet point par point
Chaque différence qui compte, des critères de classification aux plafonds de sanction, dans un seul tableau. À conserver pour votre prochaine présentation au conseil d'administration.
| Critère | Entités essentielles | Entités importantes |
|---|---|---|
| Secteurs couverts | Annexe I, 11 secteurs « hautement critiques » : énergie, transport, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administration publique, espace | Annexe II, 7 « autres secteurs critiques » : services postaux et de messagerie, gestion des déchets, produits chimiques, production/distribution alimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules à moteur), fournisseurs numériques, recherche |
| Seuil de taille | Grandes entités : 250 employés ou plus OU chiffre d'affaires annuel supérieur à 50 millions d'EUR OU total du bilan supérieur à 43 millions d'EUR. Certaines entités sont désignées indépendamment de leur taille (p. ex. registres de noms de domaine de premier niveau, fournisseurs DNS, prestataires de services de confiance qualifiés). | Entités moyennes : 50 à 249 employés ET chiffre d'affaires annuel de 10 à 50 millions d'EUR OU total du bilan de 10 à 43 millions d'EUR. Certaines entités plus petites peuvent être désignées par les États membres sur la base d'une évaluation de la criticité. |
| Modèle de surveillance | Ex ante (proactive) : les autorités compétentes peuvent mener des audits, des inspections, des contrôles sur place et demander des preuves à tout moment, sans incident déclencheur. Des évaluations de conformité régulières sont attendues. | Ex post (réactive) : l'action de surveillance est déclenchée après la mise en évidence d'une non-conformité, un incident signalé ou une plainte. Pas d'audit proactif de routine. |
| Délais de notification des incidents | Alerte précoce : dans les 24 heures. Notification de l'incident : dans les 72 heures. Rapport final : dans un délai d'un mois. Mêmes échéances que les entités importantes : l'article 23 s'applique de manière identique. | Alerte précoce : dans les 24 heures. Notification de l'incident : dans les 72 heures. Rapport final : dans un délai d'un mois. Obligations de notification identiques au titre de l'article 23. |
| Mesures de gestion des risques | Obligations complètes de l'article 21 : analyse des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, développement sécurisé, divulgation des vulnérabilités, hygiène cyber, cryptographie, sécurité des RH, contrôle d'accès, gestion des actifs. | Obligations identiques de l'article 21. Les exigences de gestion des risques sont les mêmes pour les deux niveaux : la différence réside dans la manière dont elles sont contrôlées, et non dans ce qu'elles exigent. |
| Responsabilité de la direction | Article 20 : les organes de direction doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre, suivre des formations en cybersécurité et peuvent être tenus personnellement responsables. Une suspension temporaire des fonctions de direction est possible. | Mêmes exigences de l'article 20 : approbation, supervision, formation, responsabilité personnelle. Toutefois, la suspension temporaire des fonctions de direction n'est prévue comme sanction que pour les entités essentielles. |
| Amendes administratives maximales | Jusqu'à 10'000'000 d'EUR ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Article 34, paragraphe 4. | Jusqu'à 7'000'000 d'EUR ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Article 34, paragraphe 5. |
| Pouvoirs d'exécution supplémentaires | Instructions contraignantes, injonctions de mise en conformité, suspension temporaire des certifications, interdiction temporaire des fonctions de direction (pour les personnes physiques ayant des responsabilités de direction). Article 32. | Instructions contraignantes et injonctions de mise en conformité. Aucun pouvoir d'interdire temporairement les fonctions de direction ni de suspendre les certifications. Article 33. |
| Obligation d'enregistrement | Doivent s'enregistrer auprès de l'autorité compétente de chaque État membre où elles fournissent des services. Auto-identification requise avant le délai de transposition de la directive. | Même obligation d'enregistrement. Doivent s'auto-identifier et s'enregistrer auprès des autorités compétentes. Aucune exemption d'enregistrement pour les entités importantes. |
| Désignation prioritaire par l'État membre | Les États membres peuvent désigner toute entité comme essentielle, quelle que soit sa taille, si une perturbation aurait un impact significatif. Cela inclut les fournisseurs uniques de services critiques. | Les États membres peuvent également désigner des entités plus petites comme importantes sur la base d'évaluations nationales de la criticité. Article 2, paragraphe 2, points b) à e). |
Source : directive (UE) 2022/2555, articles 2, 3, 20, 21, 23, 32, 33, 34, annexes I et II. La transposition nationale peut introduire des variations.
Quels secteurs relèvent de quel niveau ?
NIS2 répartit les secteurs en deux annexes. Les secteurs de l'annexe I produisent des entités essentielles (grandes organisations) ou des entités importantes (organisations moyennes). Les secteurs de l'annexe II produisent par défaut des entités importantes. Voici comment cela se décompose.
Annexe I, secteurs hautement critiques
Les grandes organisations de ces secteurs = entités essentielles
- Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
- Transport (aérien, ferroviaire, maritime, routier)
- Secteur bancaire et infrastructures des marchés financiers
- Santé (prestataires de soins, laboratoires de référence de l'UE, produits pharmaceutiques, dispositifs médicaux)
- Approvisionnement et distribution d'eau potable
- Collecte et traitement des eaux usées
- Infrastructure numérique (IXP, DNS, registres de TLD, cloud, centres de données, CDN, services de confiance, communications électroniques publiques)
- Gestion des services TIC (B2B : fournisseurs de services gérés, fournisseurs de services de sécurité gérés)
- Administration publique (niveau du gouvernement central)
- Espace
Annexe II, autres secteurs critiques
Les organisations de ces secteurs = entités importantes
- Services postaux et de messagerie
- Gestion des déchets
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution alimentaires
- Fabrication (dispositifs médicaux, ordinateurs, électronique, produits optiques, équipements électriques, machines, véhicules à moteur, remorques, autres matériels de transport)
- Fournisseurs numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux)
- Organismes de recherche
Remarque : les entités de taille moyenne des secteurs de l'annexe I sont classées comme entités importantes, et non essentielles. La taille compte.
Désignations particulières
Entités classées indépendamment de leur taille
Certaines entités sont automatiquement classées comme essentielles, quelle que soit leur taille, notamment :
- Prestataires de services de confiance qualifiés
- Registres de noms de domaine de premier niveau (TLD)
- Fournisseurs de services DNS
- Fournisseurs de réseaux ou de services de communications électroniques publics (taille moyenne et plus)
- Entités d'administration publique au niveau du gouvernement central
- Toute entité désignée comme essentielle par un État membre sur la base d'une évaluation nationale de la criticité
Directive 2022/2555, article 3, paragraphe 1, points a) à g)
Pourquoi la conformité NIS2 à l'échelle du groupe est plus difficile qu'il n'y paraît
Si vous gérez NIS2 pour une seule entité dans une seule juridiction, la directive est simple. Pour les organisations multi-entités, chaque hypothèse s'effondre.
Des classifications différentes selon la filiale
Une société mère opérant dans l'énergie (annexe I) avec plus de 500 employés est essentielle. Sa filiale fournissant du conseil informatique avec 80 employés peut être importante, ou entièrement hors champ. Chaque entité juridique nécessite une évaluation indépendante au regard des critères NIS2, en tenant compte du secteur, de la taille et de la transposition propre à chaque État membre.
La transposition nationale crée des divergences
NIS2 est une directive, pas un règlement : les États membres la transposent en droit national avec une marge de variation. La mise en œuvre de l'Allemagne peut différer de celle de la France ou des Pays-Bas. Votre programme de conformité doit tenir compte de ces divergences dans chaque juridiction où vous avez des entités, et non se contenter de suivre le texte de la directive.
Infrastructure partagée, responsabilité éclatée
Une infrastructure informatique à l'échelle du groupe signifie qu'un incident de sécurité dans une filiale peut déclencher des obligations de notification pour plusieurs entités dans différentes juridictions, chacune disposant de sa propre autorité compétente. Sans gestion centralisée des incidents, vous risquez de manquer la fenêtre d'alerte précoce de 24 heures dans une entité tout en gérant la réponse dans une autre.
C'est exactement ce pour quoi Priverion a été conçu.
Gérer la conformité NIS2 à travers un groupe aux classifications mixtes, aux multiples juridictions et à l'infrastructure partagée exige plus que des tableaux Excel et des fils de courriels. Priverion vous offre une supervision centralisée avec une granularité au niveau de l'entité : votre équipe de conformité groupe voit l'ensemble du tableau pendant que chaque filiale gère ses propres obligations. La cartographie des données inter-entités, la recertification automatisée et les tableaux de bord prêts pour le conseil d'administration remplacent la course manuelle.
La gestion de la protection des données de niveau entreprise, sans les tracas de l'entreprise
Les entreprises de taille moyenne n'ont pas besoin d'une plateforme conçue pour des budgets du Fortune 50. Elles ont besoin d'une plateforme conçue pour la manière dont les programmes de protection des données multi-entités fonctionnent réellement.
L'expérience OneTrust typique
Une tarification qui augmente à chaque clic
Une tarification par utilisateur et par module signifie que les coûts explosent à mesure que votre programme se développe. Ajouter une filiale ou un membre d'équipe déclenche une nouvelle ligne de facture.
Une complexité pensée pour le Fortune 50
La surcharge de fonctionnalités implique des mois de mise en œuvre, des équipes d'administration dédiées et des services professionnels continus juste pour que tout fonctionne.
Siège aux États-Unis, hébergement aux États-Unis
Dans un contexte post-Schrems II, la localisation des données n'est pas une préférence : c'est une préoccupation juridique. L'exposition au Cloud Act américain crée un risque de transfert pour les données de conformité européennes.
Des modules vendus séparément
Registre des traitements, AIPD, gestion des fournisseurs, demandes des personnes concernées, réponse aux incidents : chacun vendu comme un module distinct avec son propre palier tarifaire.
Multi-tenance générique
La prise en charge multi-entités est une réflexion après coup, et non l'architecture. La visibilité à l'échelle du groupe nécessite des solutions de contournement et des rapports personnalisés.
La différence Priverion
Une tarification prévisible, sans pièges d'expansion
Une tarification fondée sur le nombre d'entités et la taille de l'organisation, et non par utilisateur ou par module. Ajoutez des membres d'équipe sans voir les coûts s'envoler.
Opérationnel en quelques semaines, pas en quelques mois
Une expérience utilisateur épurée que les DPD et les unités opérationnelles adoptent réellement. Aucune équipe d'administration dédiée requise. Un constructeur aéronautique a constaté une réduction de 60 % du temps administratif lié à la conformité au cours de ses six premiers mois.
Résultats client d'un constructeur aéronautique, six premiers mois après le déploiement
Conçu en Suisse, hébergé en Suisse, données localisées en Europe
Tout le traitement des données au sein de l'infrastructure suisse. Aucune exposition au Cloud Act américain. La souveraineté des données suisse n'est pas notre argument marketing : c'est notre architecture.
Une plateforme tout-en-un, un prix unique
Registre des traitements, AIPD/TIA, évaluations des risques fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, conformité assistée par l'IA et tableaux de bord prêts pour le conseil d'administration : inclus dès le premier jour.
Conçu pour les programmes de protection des données à l'échelle du groupe
La gestion multi-entités est le cœur de notre architecture, pas un module additionnel. Cartographie des données inter-entités, visibilité du registre des traitements à l'échelle du groupe et supervision centralisée sur plus de 50 filiales et juridictions.
Un mot sur l'honnêteté : nous ne couvrons pas l'ESG, les lignes d'alerte éthique ni le consentement aux cookies. Nous ne prétendons pas tout faire. Nous gérons les programmes de protection des données à l'échelle du groupe mieux que quiconque.
Télécharger le guide de classification des entités NIS2
Une référence pratique pour les équipes de conformité qui gèrent NIS2 à travers plusieurs entités. Inclut la comparaison complète essentielles vs importantes, les tableaux de classification sectorielle, le détail des sanctions et une fiche de classification étape par étape pour chaque filiale.
Format PDF. Pas de remplissage. Élaboré par des praticiens de la protection des données qui l'ont fait pour plus de 50 groupes d'entités.
Arrêtez de gérer la protection des données dans des tableaux Excel
Découvrez à quoi ressemble la gestion de la protection des données à l'échelle du groupe quand elle fonctionne vraiment
En 30 minutes, nous vous montrerons comment des organisations comme un constructeur aéronautique ont éliminé 60 % du temps administratif lié à la conformité, et comment leur DPD a pu se reconcentrer sur un travail stratégique au lieu de courir après les tableaux Excel entre les filiales.
Aucun argumentaire de vente. Aucune avalanche de fonctionnalités. Juste une démonstration ciblée, adaptée à la structure de vos entités, à vos juridictions et à vos lacunes de conformité.
Réserver une démonstration de 30 minutesHébergé en Suisse
Localisation des données en Europe garantie
Opérationnel en quelques semaines
Pas des mois de mise en œuvre
Tarification prévisible
Aucun piège d'expansion par utilisateur ou par module


