Avec l'entrée en vigueur de la directive NIS 2, des milliers d'organisations en France découvrent leurs nouvelles obligations. Cependant, une question revient en boucle : "Suis-je une Entité Essentielle ou une Entité Importante ?".
Bien que les mesures de sécurité soient quasi identiques, la distinction entre EE et EI change radicalement la manière dont l'ANSSI vous supervisera. Voici le comparatif complet pour y voir clair en 2026.
Le premier critère de différenciation est la nature même de votre activité. La directive classe les secteurs selon leur importance vitale pour la société et l'économie.
Ces secteurs sont le cœur battant du pays. Une cyberattaque y aurait des conséquences immédiates sur la sécurité nationale ou la santé publique :
Énergie et Transports.
Sante et Secteur bancaire.
Infrastructures numériques (Cloud, Data centers, DNS).
Administrations publiques.
Ces secteurs sont jugés essentiels mais leur interruption, bien que grave, est considérée comme moins systémique à court terme :
Services postaux et gestion des déchets.
Fabrication (produits chimiques, dispositifs médicaux, électronique).
Production et distribution alimentaire.
Fournisseurs de services numériques (places de marché, réseaux sociaux).
En 2026, la taille de votre entreprise est le juge de paix. La règle générale en France est la suivante :
Entité Essentielle (EE) : Toutes les grandes entreprises des secteurs "hautement critiques" (plus de 250 salariés ou plus de 50 M€ de CA).
Entité Importante (EI) : Toutes les moyennes entreprises des secteurs critiques ou hautement critiques (entre 50 et 250 salariés et entre 10 et 50 M€ de CA).
Attention : Certaines entités sont essentielles par nature, peu importe leur taille. C'est le cas des fournisseurs de réseaux de communication publics ou des entités désignées comme critiques par l'État pour la sécurité nationale.
C’est ici que la différence devient concrète pour un DSI ou un dirigeant.
Pour une Entité Essentielle, l'ANSSI n'attend pas qu'un incident survienne. Elle exerce un contrôle ex ante (a priori). Cela signifie que vous pouvez être soumis à des audits de sécurité réguliers et obligatoires, mandatés par l'agence, pour vérifier votre conformité.
Pour une Entité Importante, la supervision est dite ex post (a posteriori). L'ANSSI n'intervient généralement que si elle a des preuves ou des indices qu'une obligation n'est pas respectée, ou suite à un incident majeur déclaré.
Le cadre des sanctions financières diffère également :
Pour les EE : Jusqu'à 10 millions d’euros ou 2 % du CA mondial.
Pour les EI : Jusqu'à 7 millions d’euros ou 1,4 % du CA mondial.
| Caractéristique | Entité Essentielle (EE) | Entité Importante (EI) |
| Secteurs concernés | Hautement critiques (Énergie, Santé, Banque, etc.) | Critiques (Déchets, Agroalimentaire, Poste, etc.) |
| Taille de l'entreprise | Grandes entreprises (+250 sal. ou +50M€ CA) | Moyennes entreprises (50-250 sal. ou 10-50M€ CA) |
| Type de supervision | Proactive (ex-ante) : contrôles réguliers même sans incident. | Réactive (ex-post) : contrôles uniquement en cas de soupçon ou d'incident. |
| Notification d'incident | Obligatoire (24h / 72h / 1 mois) | Obligatoire (24h / 72h / 1 mois) |
| Amende maximale | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
| Responsabilité direction | Très élevée (possibilité de suspension de fonctions) | Élevée (sanctions administratives) |
Malgré ces différences de statut, le "socle de sécurité" reste le même. Que vous soyez EE ou EI, vous devez :
Mettre en place une gestion des risques rigoureuse.
Sécuriser votre chaîne d'approvisionnement informatique
Former vos dirigeants aux cybermenaces.
Notifier tout incident majeur sous 24h à l'ANSSI via le portail cert.ssi.gouv.fr [Source 1].
Que vous soyez classé EE ou EI, l'objectif final est la cyber-résilience. Pour les entreprises françaises, le portail officiel de l'ANSSI reste la ressource de référence pour confirmer son statut : Consulter le guide NIS 2 de l'ANSSI [Source 2].