La classification repose sur deux critères croisés : votre secteur d'activité (annexes I et II de la directive) et la taille de votre entreprise. L'article 3 de la directive 2022/2555 définit les deux catégories.

Les entités essentielles (EE) sont les grandes entreprises (≥250 salariés ou CA >50 M€) opérant dans les 11 secteurs hautement critiques de l'annexe I : énergie, transports, banque, infrastructure numérique, santé, eau potable, espace, etc. Les entités importantes (EI) regroupent les entreprises de taille intermédiaire (≥50 salariés ou CA >10 M€) des 18 secteurs couverts par les annexes I et II. Certaines entités sont classées EE quelle que soit leur taille : fournisseurs DNS, registres de noms de domaine, prestataires de services de confiance.

Entité essentielle (EE)

• Taille : 250 salariés ou plus, ou CA supérieur à 50 M€

• Secteurs : 11 secteurs hautement critiques (Annexe I)

Entité importante (EI)

• Taille : 50 salariés ou plus, ou CA supérieur à 10 M€

• Secteurs : 18 secteurs (Annexes I et II)

L'oeil du consultant : Utilisez le simulateur MonEspaceNIS2 de l'ANSSI pour une première estimation. Mais attention : la transposition française, attendue courant 2026, pourra ajuster certains seuils ou ajouter des entités spécifiques (collectivités, recherche). Ne reportez pas votre analyse à la promulgation de la loi, les critères de la directive sont suffisamment clairs pour lancer votre mise en conformité dès maintenant.

L'article 21 de NIS 2 impose dix catégories de mesures couvrant l'analyse de risques, la gestion des incidents, la continuité, la supply chain et la formation.

Ces mesures sont traduites en 20 objectifs opérationnels par le ReCyF de l'ANSSI (version de travail de mars 2026). Elles s'appliquent selon le principe de proportionnalité : les EE doivent atteindre un niveau supérieur. L'approche exigée est dite « tous risques » et elle couvre les menaces techniques, organisationnelles et humaines.

Les 10 mesures cyber obligatoires de l'article 21 de NIS 2

1. Politiques d'analyse des risques et de sécurité des SI,

2. Gestion des incidents (détection, réponse, signalement),

3. Continuité d'activité : PCA, PRA, gestion de crise, sauvegardes,

4. Sécurité de la chaîne d'approvisionnement (fournisseurs, prestataires),

5. Sécurité de l'acquisition, du développement et de la maintenance des SI,

6. Évaluation de l'efficacité des mesures (audits, tests),

7. Pratiques de cyber-hygiène et formation du personnel,

8. Politiques de chiffrement et, le cas échéant, de cryptographie,

9. Sécurité des ressources humaines, contrôle d'accès, gestion des actifs,

10. Authentification multifacteur et communications sécurisées d'urgence.

L'oeil du consultant : Ne traitez pas ces 10 mesures comme une check-list linéaire. Commencez par l'analyse de risques : elle conditionne le calibrage de toutes les autres. Puis priorisez la continuité et la supply chain, ce sont les points faibles les plus fréquents chez nos clients.

Les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions ou 1,4 % pour les entités importantes.

Au-delà des amendes, l'autorité compétente (ANSSI) peut imposer des injonctions de mise en conformité, suspendre temporairement une certification ou une autorisation, et requérir une interdiction temporaire d'exercice pour les dirigeants (niveau DG ou représentant légal). Les manquements peuvent être rendus publics. Ces sanctions s'appliquent uniquement aux entités essentielles pour les mesures les plus sévères.

L'oeil du consultant : La publication des manquements est souvent plus redoutée que l'amende elle-même. Un défaut de conformité rendu public peut entraîner la perte de contrats majeurs. Intégrez le risque réputationnel dans votre analyse coûts-bénéfices de la mise en conformité.

Sous NIS 2 : alerte précoce dans les 24 heures, notification détaillée sous 72 heures, rapport final sous un mois après résolution de l'incident.

Le régime de notification NIS 2 (Art. 23) est plus strict que celui du RGPD. Il prévoit un rapport intermédiaire si l'incident dure plus d'un mois. La notification se fait auprès de l'ANSSI via la plateforme MonEspaceNIS2. Attention à ne pas confondre avec le portail de la CNIL (RGPD) ni avec le reporting DORA (T+4h) pour les entités financières.

Chronologie de notification — NIS 2 (Art. 23)

• T + 24h : Alerte précoce, avertissement à l'ANSSI (nature de l'incident, soupçon d'acte malveillant, impact transfrontière potentiel).

• T + 72h : Notification d'incident, évaluation détaillée (gravité, impact, indicateurs de compromission).

• T + 1 mois : Rapport intermédiaire, si l'incident est toujours en cours, mise à jour de la situation.

• Après résolution : Rapport final, analyse des causes, mesures d'atténuation, enseignements tirés.

L'œil du consultant : Le délai de 24 heures court à partir de la « connaissance » de l'incident, pas de sa survenance. Formalisez dès maintenant votre procédure interne de remontée : qui détecte, qui qualifie, qui notifie. Un week-end sans astreinte peut suffire à dépasser le délai légal.