Entité essentielle (cybersécurité)

Une entité essentielle est une grande entreprise des secteurs listés en Annexe I de la directive NIS2 (directive UE 2022/2555), dont l'interruption pourrait provoquer un impact majeur sur l'économie, la société ou la sécurité. Elle emploie au moins 250 personnes ou affiche un chiffre d'affaires annuel supérieur à 50 M€ et un bilan annuel supérieur à 43 M€. Certaines entités (fournisseurs DNS, registres TLD, prestataires de confiance, opérateurs télécoms) obtiennent ce statut quelle que soit leur taille.

Secteurs et périmètre d'application

Les secteurs « hautement critiques » de l'Annexe I comprennent : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, administrations publiques, espace, infrastructure numérique et gestion des services TIC (interentreprise). Ces secteurs couvrent les activités dont l'arrêt perturberait gravement le fonctionnement de l'État et des services publics. La classification d'entité essentielle découle d'un double critère : appartenance à l'Annexe I et dépassement des seuils de taille. Les États membres établissent, depuis avril 2025, une liste nationale des entités essentielles, mise à jour tous les deux ans.

Régime de supervision proactive

Les entités essentielles sont soumises à un régime de supervision ex ante (proactive), ce qui signifie que les autorités compétentes peuvent conduire des audits réguliers et ciblés, y compris des inspections sur site et une surveillance à distance. En France, l'ANSSI assure ce rôle. Cette supervision se distingue du régime « ex post » (réactif) appliqué aux entités importantes, lesquelles ne font l'objet d'investigations qu'en cas de signalement. En cas de manquement, le plafond de sanction atteint au minimum 10 M€ ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé s'appliquant. Les dirigeants engagent leur responsabilité personnelle en cas de négligence grave.

Lien avec NIS2

La directive NIS2 structure ses obligations de sécurité autour de deux catégories d'entités : essentielles et importantes. Les mesures, issues des articles 20 et 21 de la directive NIS2, sont déclinées au niveau réglementaire en vingt objectifs de sécurité, avec des niveaux d'exigence distincts et proportionnés entre entités essentielles et entités importantes. L'ensemble des entités régulées partagent les mêmes obligations techniques (gestion des risques cyber, notification d'incidents significatifs dans les 24 heures, hygiène informatique), mais la supervision ex ante et les sanctions renforcées réservent aux entités essentielles un niveau de contrôle accru. Les entités essentielles doivent s'enregistrer sur MonEspaceNIS2 et notifier tout changement à l'ANSSI.

Pour aller plus loin

• Aide MonEspaceNIS2 – Comment savoir si la directive NIS2 s'applique à mon entité
• Texte consolidé de la directive (UE) 2022/2555 (NIS2) – EUR-Lex