Classification des entités selon NIS2

Entités essentielles vs importantes selon NIS2 : quelle est la différence et qu'est-ce que cela signifie pour votre organisation ?

La directive NIS2 s'applique à plus de 160'000 organisations dans toute l'UE, mais les obligations ne sont pas les mêmes pour tout le monde. Que vous soyez classé comme entité essentielle ou comme entité importante, cela détermine votre régime de surveillance, vos délais de notification et les sanctions encourues en cas de non-conformité. Si vous opérez à travers plusieurs filiales et juridictions, la complexité se multiplie rapidement.

La plupart des organisations avec lesquelles nous échangeons ne savent pas vraiment dans quelle catégorie elles se situent, ou supposent que la classification est identique pour chaque filiale. Ce n'est pas le cas. Ce guide explique précisément comment NIS2 classe les entités, ce que chaque catégorie exige, et comment gérer la conformité sur l'ensemble de votre groupe sans vous noyer dans les tableaux Excel.

La confiance des équipes de conformité de plus de 50 organisations multi-entités à travers l'Europe

Infrastructure hébergée en Suisse · Conforme au RGPD · Données traitées exclusivement en Suisse

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

NIS2 ne traite pas toutes les organisations de la même manière, et les différences ont de réelles conséquences

Le niveau de classification dont relève votre organisation détermine tout, de la manière dont les autorités vous surveillent à l'ampleur des amendes encourues. Pour les groupes disposant de filiales dans plusieurs États membres de l'UE, le tableau se complique rapidement.

Deux niveaux, des contrôles différents

Les entités essentielles font l'objet d'une surveillance proactive, ex ante : les autorités peuvent vous auditer à tout moment, sans incident déclencheur. Les entités importantes font l'objet d'une surveillance réactive, ex post : les enquêtes interviennent après qu'un problème survient. La différence n'est pas seulement procédurale. Elle change fondamentalement le niveau de préparation que vous devez maintenir n'importe quel jour de la semaine.

160'000+

Organisations estimées dans le champ d'application de NIS2 à travers l'UE, analyse d'impact de la Commission européenne, directive 2022/2555

La classification varie selon l'entité

Votre société mère peut être classée comme essentielle en Allemagne, tandis qu'une filiale est qualifiée d'importante aux Pays-Bas, et qu'une autre sort entièrement du champ d'application dans une troisième juridiction. La classification est déterminée par le secteur, le sous-secteur, la taille de l'entité et parfois par une désignation directe de l'État membre. Ce n'est pas une simple case à cocher au niveau du groupe. Chaque entité juridique doit être évaluée indépendamment.

18 secteurs, 11 sous-secteurs

Couverts par les annexes I et II de NIS2, directive 2022/2555, articles 2 à 3

La responsabilité personnelle est en jeu

Les entités essentielles comme importantes partagent les mêmes exigences de responsabilité de la direction au titre de l'article 20. La direction générale doit approuver les mesures de gestion des risques cyber, suivre des formations et peut être tenue personnellement responsable en cas de manquement. Les sanctions diffèrent selon le niveau, mais l'exposition personnelle est bien réelle pour les deux : jusqu'à 2 % du chiffre d'affaires mondial pour les entités essentielles et 1,4 % pour les entités importantes.

Jusqu'à 2 % du chiffre d'affaires annuel mondial

Plafond de sanction maximal pour les entités essentielles, directive NIS2, article 34, paragraphe 4. Les entités importantes encourent jusqu'à 1,4 %.

Le problème multi-entités que la plupart des équipes de conformité ignorent :

La plupart des organisations avec lesquelles nous travaillons supposaient au départ que leur classification NIS2 était uniforme dans tout le groupe. Elle l'est rarement. Une entreprise de 12 filiales peut facilement compter des entités essentielles dans trois juridictions, des entités importantes dans quatre, et des entités hors champ pour le reste, chacune avec ses propres nuances de transposition nationale. Gérer cela dans des tableaux Excel signifie que quelqu'un, quelque part, se trompe.

200+

Heures économisées sur la gestion du registre des traitements

Medtec a récupéré plus de 200 heures auparavant consacrées aux mises à jour manuelles du registre des traitements lors de leur préparation à l'ISO 27001, du temps réorienté vers un travail stratégique sur la protection des données.

60%

Réduction du temps administratif lié à la conformité

Un constructeur aéronautique a réduit de 60 % le temps administratif lié à la conformité au cours de ses six premiers mois : son DPD se concentre désormais sur le travail stratégique plutôt que sur la course aux tableaux Excel entre les filiales.

3 mois

D'avance sur le calendrier de certification ISO 27001

Medtec a accéléré sa préparation à l'ISO 27001 de trois mois grâce aux dossiers de preuves prêts pour l'audit et aux flux de documentation automatisés de Priverion.

Entités essentielles vs importantes : le comparatif complet point par point

Chaque différence qui compte, des critères de classification aux plafonds de sanction, dans un seul tableau. À conserver pour votre prochaine présentation au conseil d'administration.

Critère Entités essentielles Entités importantes
Secteurs couverts Annexe I, 11 secteurs « hautement critiques » : énergie, transport, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administration publique, espace Annexe II, 7 « autres secteurs critiques » : services postaux et de messagerie, gestion des déchets, produits chimiques, production/distribution alimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules à moteur), fournisseurs numériques, recherche
Seuil de taille Grandes entités : 250 employés ou plus OU chiffre d'affaires annuel supérieur à 50 millions d'EUR OU total du bilan supérieur à 43 millions d'EUR. Certaines entités sont désignées indépendamment de leur taille (p. ex. registres de noms de domaine de premier niveau, fournisseurs DNS, prestataires de services de confiance qualifiés). Entités moyennes : 50 à 249 employés ET chiffre d'affaires annuel de 10 à 50 millions d'EUR OU total du bilan de 10 à 43 millions d'EUR. Certaines entités plus petites peuvent être désignées par les États membres sur la base d'une évaluation de la criticité.
Modèle de surveillance Ex ante (proactive) : les autorités compétentes peuvent mener des audits, des inspections, des contrôles sur place et demander des preuves à tout moment, sans incident déclencheur. Des évaluations de conformité régulières sont attendues. Ex post (réactive) : l'action de surveillance est déclenchée après la mise en évidence d'une non-conformité, un incident signalé ou une plainte. Pas d'audit proactif de routine.
Délais de notification des incidents Alerte précoce : dans les 24 heures. Notification de l'incident : dans les 72 heures. Rapport final : dans un délai d'un mois. Mêmes échéances que les entités importantes : l'article 23 s'applique de manière identique. Alerte précoce : dans les 24 heures. Notification de l'incident : dans les 72 heures. Rapport final : dans un délai d'un mois. Obligations de notification identiques au titre de l'article 23.
Mesures de gestion des risques Obligations complètes de l'article 21 : analyse des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, développement sécurisé, divulgation des vulnérabilités, hygiène cyber, cryptographie, sécurité des RH, contrôle d'accès, gestion des actifs. Obligations identiques de l'article 21. Les exigences de gestion des risques sont les mêmes pour les deux niveaux : la différence réside dans la manière dont elles sont contrôlées, et non dans ce qu'elles exigent.
Responsabilité de la direction Article 20 : les organes de direction doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre, suivre des formations en cybersécurité et peuvent être tenus personnellement responsables. Une suspension temporaire des fonctions de direction est possible. Mêmes exigences de l'article 20 : approbation, supervision, formation, responsabilité personnelle. Toutefois, la suspension temporaire des fonctions de direction n'est prévue comme sanction que pour les entités essentielles.
Amendes administratives maximales Jusqu'à 10'000'000 d'EUR ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Article 34, paragraphe 4. Jusqu'à 7'000'000 d'EUR ou 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Article 34, paragraphe 5.
Pouvoirs d'exécution supplémentaires Instructions contraignantes, injonctions de mise en conformité, suspension temporaire des certifications, interdiction temporaire des fonctions de direction (pour les personnes physiques ayant des responsabilités de direction). Article 32. Instructions contraignantes et injonctions de mise en conformité. Aucun pouvoir d'interdire temporairement les fonctions de direction ni de suspendre les certifications. Article 33.
Obligation d'enregistrement Doivent s'enregistrer auprès de l'autorité compétente de chaque État membre où elles fournissent des services. Auto-identification requise avant le délai de transposition de la directive. Même obligation d'enregistrement. Doivent s'auto-identifier et s'enregistrer auprès des autorités compétentes. Aucune exemption d'enregistrement pour les entités importantes.
Désignation prioritaire par l'État membre Les États membres peuvent désigner toute entité comme essentielle, quelle que soit sa taille, si une perturbation aurait un impact significatif. Cela inclut les fournisseurs uniques de services critiques. Les États membres peuvent également désigner des entités plus petites comme importantes sur la base d'évaluations nationales de la criticité. Article 2, paragraphe 2, points b) à e).

Source : directive (UE) 2022/2555, articles 2, 3, 20, 21, 23, 32, 33, 34, annexes I et II. La transposition nationale peut introduire des variations.

Quels secteurs relèvent de quel niveau ?

NIS2 répartit les secteurs en deux annexes. Les secteurs de l'annexe I produisent des entités essentielles (grandes organisations) ou des entités importantes (organisations moyennes). Les secteurs de l'annexe II produisent par défaut des entités importantes. Voici comment cela se décompose.

Annexe I, secteurs hautement critiques

Les grandes organisations de ces secteurs = entités essentielles

  • Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Secteur bancaire et infrastructures des marchés financiers
  • Santé (prestataires de soins, laboratoires de référence de l'UE, produits pharmaceutiques, dispositifs médicaux)
  • Approvisionnement et distribution d'eau potable
  • Collecte et traitement des eaux usées
  • Infrastructure numérique (IXP, DNS, registres de TLD, cloud, centres de données, CDN, services de confiance, communications électroniques publiques)
  • Gestion des services TIC (B2B : fournisseurs de services gérés, fournisseurs de services de sécurité gérés)
  • Administration publique (niveau du gouvernement central)
  • Espace

Annexe II, autres secteurs critiques

Les organisations de ces secteurs = entités importantes

  • Services postaux et de messagerie
  • Gestion des déchets
  • Fabrication, production et distribution de produits chimiques
  • Production, transformation et distribution alimentaires
  • Fabrication (dispositifs médicaux, ordinateurs, électronique, produits optiques, équipements électriques, machines, véhicules à moteur, remorques, autres matériels de transport)
  • Fournisseurs numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux)
  • Organismes de recherche

Remarque : les entités de taille moyenne des secteurs de l'annexe I sont classées comme entités importantes, et non essentielles. La taille compte.

Désignations particulières

Entités classées indépendamment de leur taille

Certaines entités sont automatiquement classées comme essentielles, quelle que soit leur taille, notamment :

  • Prestataires de services de confiance qualifiés
  • Registres de noms de domaine de premier niveau (TLD)
  • Fournisseurs de services DNS
  • Fournisseurs de réseaux ou de services de communications électroniques publics (taille moyenne et plus)
  • Entités d'administration publique au niveau du gouvernement central
  • Toute entité désignée comme essentielle par un État membre sur la base d'une évaluation nationale de la criticité

Directive 2022/2555, article 3, paragraphe 1, points a) à g)

Pourquoi la conformité NIS2 à l'échelle du groupe est plus difficile qu'il n'y paraît

Si vous gérez NIS2 pour une seule entité dans une seule juridiction, la directive est simple. Pour les organisations multi-entités, chaque hypothèse s'effondre.

Des classifications différentes selon la filiale

Une société mère opérant dans l'énergie (annexe I) avec plus de 500 employés est essentielle. Sa filiale fournissant du conseil informatique avec 80 employés peut être importante, ou entièrement hors champ. Chaque entité juridique nécessite une évaluation indépendante au regard des critères NIS2, en tenant compte du secteur, de la taille et de la transposition propre à chaque État membre.

La transposition nationale crée des divergences

NIS2 est une directive, pas un règlement : les États membres la transposent en droit national avec une marge de variation. La mise en œuvre de l'Allemagne peut différer de celle de la France ou des Pays-Bas. Votre programme de conformité doit tenir compte de ces divergences dans chaque juridiction où vous avez des entités, et non se contenter de suivre le texte de la directive.

Infrastructure partagée, responsabilité éclatée

Une infrastructure informatique à l'échelle du groupe signifie qu'un incident de sécurité dans une filiale peut déclencher des obligations de notification pour plusieurs entités dans différentes juridictions, chacune disposant de sa propre autorité compétente. Sans gestion centralisée des incidents, vous risquez de manquer la fenêtre d'alerte précoce de 24 heures dans une entité tout en gérant la réponse dans une autre.

C'est exactement ce pour quoi Priverion a été conçu.

Gérer la conformité NIS2 à travers un groupe aux classifications mixtes, aux multiples juridictions et à l'infrastructure partagée exige plus que des tableaux Excel et des fils de courriels. Priverion vous offre une supervision centralisée avec une granularité au niveau de l'entité : votre équipe de conformité groupe voit l'ensemble du tableau pendant que chaque filiale gère ses propres obligations. La cartographie des données inter-entités, la recertification automatisée et les tableaux de bord prêts pour le conseil d'administration remplacent la course manuelle.

La gestion de la protection des données de niveau entreprise, sans les tracas de l'entreprise

Les entreprises de taille moyenne n'ont pas besoin d'une plateforme conçue pour des budgets du Fortune 50. Elles ont besoin d'une plateforme conçue pour la manière dont les programmes de protection des données multi-entités fonctionnent réellement.

L'expérience OneTrust typique

Une tarification qui augmente à chaque clic

Une tarification par utilisateur et par module signifie que les coûts explosent à mesure que votre programme se développe. Ajouter une filiale ou un membre d'équipe déclenche une nouvelle ligne de facture.

Une complexité pensée pour le Fortune 50

La surcharge de fonctionnalités implique des mois de mise en œuvre, des équipes d'administration dédiées et des services professionnels continus juste pour que tout fonctionne.

Siège aux États-Unis, hébergement aux États-Unis

Dans un contexte post-Schrems II, la localisation des données n'est pas une préférence : c'est une préoccupation juridique. L'exposition au Cloud Act américain crée un risque de transfert pour les données de conformité européennes.

Des modules vendus séparément

Registre des traitements, AIPD, gestion des fournisseurs, demandes des personnes concernées, réponse aux incidents : chacun vendu comme un module distinct avec son propre palier tarifaire.

Multi-tenance générique

La prise en charge multi-entités est une réflexion après coup, et non l'architecture. La visibilité à l'échelle du groupe nécessite des solutions de contournement et des rapports personnalisés.

La différence Priverion

Une tarification prévisible, sans pièges d'expansion

Une tarification fondée sur le nombre d'entités et la taille de l'organisation, et non par utilisateur ou par module. Ajoutez des membres d'équipe sans voir les coûts s'envoler.

Opérationnel en quelques semaines, pas en quelques mois

Une expérience utilisateur épurée que les DPD et les unités opérationnelles adoptent réellement. Aucune équipe d'administration dédiée requise. Un constructeur aéronautique a constaté une réduction de 60 % du temps administratif lié à la conformité au cours de ses six premiers mois.

Résultats client d'un constructeur aéronautique, six premiers mois après le déploiement

Conçu en Suisse, hébergé en Suisse, données localisées en Europe

Tout le traitement des données au sein de l'infrastructure suisse. Aucune exposition au Cloud Act américain. La souveraineté des données suisse n'est pas notre argument marketing : c'est notre architecture.

Une plateforme tout-en-un, un prix unique

Registre des traitements, AIPD/TIA, évaluations des risques fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, conformité assistée par l'IA et tableaux de bord prêts pour le conseil d'administration : inclus dès le premier jour.

Conçu pour les programmes de protection des données à l'échelle du groupe

La gestion multi-entités est le cœur de notre architecture, pas un module additionnel. Cartographie des données inter-entités, visibilité du registre des traitements à l'échelle du groupe et supervision centralisée sur plus de 50 filiales et juridictions.

Un mot sur l'honnêteté : nous ne couvrons pas l'ESG, les lignes d'alerte éthique ni le consentement aux cookies. Nous ne prétendons pas tout faire. Nous gérons les programmes de protection des données à l'échelle du groupe mieux que quiconque.

Télécharger le guide de classification des entités NIS2

Une référence pratique pour les équipes de conformité qui gèrent NIS2 à travers plusieurs entités. Inclut la comparaison complète essentielles vs importantes, les tableaux de classification sectorielle, le détail des sanctions et une fiche de classification étape par étape pour chaque filiale.

Format PDF. Pas de remplissage. Élaboré par des praticiens de la protection des données qui l'ont fait pour plus de 50 groupes d'entités.

Vos données sont traitées en Suisse. Nous vous enverrons le guide et rien d'autre, sauf si vous y consentez. Consultez notre politique de confidentialité.

Arrêtez de gérer la protection des données dans des tableaux Excel

Découvrez à quoi ressemble la gestion de la protection des données à l'échelle du groupe quand elle fonctionne vraiment

En 30 minutes, nous vous montrerons comment des organisations comme un constructeur aéronautique ont éliminé 60 % du temps administratif lié à la conformité, et comment leur DPD a pu se reconcentrer sur un travail stratégique au lieu de courir après les tableaux Excel entre les filiales.

Aucun argumentaire de vente. Aucune avalanche de fonctionnalités. Juste une démonstration ciblée, adaptée à la structure de vos entités, à vos juridictions et à vos lacunes de conformité.

Réserver une démonstration de 30 minutes

Hébergé en Suisse

Localisation des données en Europe garantie

Opérationnel en quelques semaines

Pas des mois de mise en œuvre

Tarification prévisible

Aucun piège d'expansion par utilisateur ou par module

The Privacy Compliance Briefing

Des analyses mensuelles sur l'application du RGPD, les mises à jour de la nLPD, le suivi de la transposition de NIS2 et les stratégies d'automatisation pour les DPD et les équipes de conformité.

Pas de spam. Désabonnement à tout moment.