Secteurs essentiels et importants : êtes-vous dans le périmètre NIS2 ?

Comprendre la logique des secteurs dans la directive NIS2

L’un des changements majeurs de NIS2 est l’organisation des entreprises en deux catégories réglementaires : les entités essentielles et les entités importantes. Cette distinction est centrale : elle détermine la sévérité des obligations, les modalités d’audit, le niveau de supervision et les sanctions applicables.

L’objectif de l’Union européenne est simple : renforcer la cybersécurité dans tous les secteurs dont une interruption pourrait perturber la société, l’économie ou les services publics.

Les entités essentielles : les secteurs stratégiques du pays

Les entités essentielles sont les organisations dont le rôle est jugé indispensable au fonctionnement du pays. Elles sont soumises aux obligations les plus strictes et à une supervision renforcée.

Secteurs classés “essentiels” dans NIS2

Selon la directive, sont considérés comme essentiels :

• énergie (production, transport, distribution)

• transport (aérien, ferroviaire, maritime, routier)

• santé (établissements, laboratoires, fournisseurs critiques)

• eau potable et eaux usées

• infrastructures numériques (cloud, data centers, DNS, TLD)

• banques et infrastructures financières

• administrations publiques

• spatial (services liés aux infrastructures essentielles)

Ces secteurs représentent l’infrastructure vitale de l’Europe.

Quels types d’entreprises sont concernées en France ?

Cela inclut :

• hôpitaux, cliniques, laboratoires

• opérateurs énergétiques nationaux et régionaux

• opérateurs de transport et logistique critiques

• hébergeurs cloud, opérateurs réseaux, data centers

• banques, assurances, chambres de compensation

• collectivités et services publics stratégiques

Pour ces acteurs, la conformité sera vérifiée avec un niveau d’exigence élevé, incluant des audits réguliers.

Les entités importantes : un périmètre élargi aux activités industrielles et économiques

La catégorie “entités importantes” couvre des secteurs qui ne sont pas vitaux minute par minute, mais dont une interruption prolongée aurait un fort impact sur la société ou l’économie.

Secteurs classés “importants” dans NIS2

Le périmètre inclut notamment :

• industrie manufacturière (chimie, équipements, électronique…)

• gestion des déchets

• alimentation

• recherche

• services numériques avancés

• fabrication et distribution d’équipements essentiels

• prestataires techniques et technologiques

Cette catégorie constitue la majorité des entreprises qui entreront dans NIS2 en France, notamment des PME et ETI.

Exemples d’entreprises importantes

• industriels dépassant 50 salariés

• entreprises agroalimentaires structurées

• laboratoires de recherche publique et privée

• sous-traitants technologiques possédant un rôle dans la continuité

• éditeurs de logiciels métier utilisés dans des secteurs sensibles

• prestataires d’ingénierie ou de maintenance industrielle

Beaucoup d’entreprises n’avaient jamais été soumises à un cadre réglementaire de cybersécurité auparavant ; NIS2 représente leur première obligation formelle.

Les prestataires au cœur du dispositif

Un point essentiel : un prestataire peut être classé comme entité essentielle ou importante même s’il n’appartient pas directement au secteur concerné.

Prestataires concernés

Cela inclut :

• fournisseurs cloud et hébergeurs

• infogérants

• éditeurs SaaS critiques

• SOC, MSSP et services de cybersécurité

• intégrateurs techniques

• data centers

• services télécom et connectivité

La logique est simple : une entreprise peut être compromise par un fournisseur, donc la chaîne doit être sécurisée dans son ensemble.

➤ Vérifier votre exposition et celle de vos prestataires : Normi.fr/wizard

Essentiel ou Important : quelle différence dans la pratique ?

La distinction entre les deux catégories n’est pas seulement théorique.

Obligations identiques, supervision différente

Les deux catégories doivent appliquer les mêmes mesures de cybersécurité : gestion des risques, MFA, supervision, journalisation, sécurité des accès, sauvegardes, etc.

La différence principale concerne la manière dont l’État contrôle la conformité.

Entités essentielles

• supervision proactive

• audits plus stricts

• reporting renforcé

• contrôle plus récurrent

Entités importantes

• supervision réactive ou basée sur incident

• contrôles moins fréquents

• obligations identiques mais pression réglementaire moindre
  

Comment vérifier à quelle catégorie vous appartenez ?

La directive propose une méthode relativement simple :

Étape 1 : Identifier votre secteur principal

Comparer votre activité à la liste officielle des secteurs essentiels et importants.

Étape 2 : Vérifier votre taille

Vous êtes automatiquement dans le périmètre NIS2 si vous dépassez :

• 50 employésou

• 10 M€ de chiffre d’affairesou

• 10 M€ de total de bilan

Étape 3 : Analyser votre rôle dans la chaîne de valeur

Même une PME peut devenir “essentielle” si :

• elle fournit un service critique

• elle dispose d’un accès privilégié

• son interruption aurait un impact majeur

➤ Vérifier votre catégorie en quelques questions : Normi.fr/wizard

Pourquoi cette structuration en secteurs est essentielle pour NIS2

Cette classification permet :

• une meilleure supervision par les autorités

• des obligations adaptées à la criticité

• la sécurisation des chaînes d’approvisionnement

• une homogénéisation des règles en Europe

Elle clarifie également les attentes pour les entreprises, un point souvent manquant dans la directive de 2016.

Conclusion : une nouvelle cartographie des acteurs critiques en France

NIS2 redessine la carte des secteurs considérés comme critiques en Europe. Les entités essentielles bénéficient d’un encadrement strict, tandis que les entités importantes représentent l’essentiel du tissu économique concerné par la directive. Pour les entreprises françaises, identifier correctement leur catégorie est la première étape indispensable pour engager la mise en conformité.

➤ Obtenir un plan d’action adapté : Normi.fr ➤ Explorer l’ensemble des obligations NIS2 : Normi.fr/directive