Statut NIS2
Entité importante (cybersécurité)
Une entité importante est une organisation régulée par NIS2 dont l'activité relève d'un secteur listé en Annexe II de la directive, ou qui appartient à l'Annexe I sans dépasser les seuils de taille des entités essentielles. Ces entités doivent employer au moins 50 personnes ou afficher un chiffre d'affaires et un bilan annuel supérieur à 10 millions d'euros. Elles sont soumises aux mêmes mesures de cybersécurité que les entités essentielles, mais bénéficient d'un régime de supervision allégé.
Secteurs et périmètre
L'Annexe II de NIS2 couvre les secteurs critiques pour lesquels seules les grandes et moyennes entreprises sont considérées comme entités importantes : services postaux, gestion des déchets, production/distribution de produits chimiques et alimentaires, fabrication (dispositifs médicaux, véhicules, électronique), fournisseurs numériques, recherche.
Certaines entités de l'Annexe I – transports, santé, énergie – peuvent également être classées « importantes » si elles ne remplissent pas les critères d'essentialité retenus par l'État membre (taille critique, impact national). Les mesures de sécurité seront déclinées en vingt objectifs de sécurité, avec des niveaux d'exigence distincts et proportionnés entre entités essentielles et entités importantes.
Lien avec NIS2
Supervision ex post
La supervision des entités importantes est dite ex post (a posteriori) : l'ANSSI n'intervient généralement que si elle a des preuves ou des indices qu'une obligation n'est pas respectée, ou suite à un incident majeur déclaré. Aucun audit proactif obligatoire n'est imposé, contrairement aux entités essentielles qui subissent un contrôle ex ante.
Sanctions et responsabilité
Les sanctions financières peuvent atteindre 1,4 % du chiffre d'affaires mondial ou 7 millions d'euros, le montant le plus élevé étant retenu. L'Article 21 §2 de NIS2 s'applique intégralement : gestion des risques, notification d'incidents sous 24 h (alerte initiale) puis 72 h (rapport détaillé), responsabilité des dirigeants. Les entités importantes doivent s'enregistrer sur MonEspaceNIS2 et respecter le même socle technique que les entités essentielles – seule la fréquence des contrôles diffère.
Voir aussi : Entité essentielle, Mesures Article 21.