Tableau comparatif EE vs EI

Articles 21, 23, 32 et 33 de la directive (UE) 2022/2555

Introduction

La directive NIS2 — directive (UE) 2022/2555 du 14 décembre 2022 — établit un niveau commun élevé de cybersécurité dans l’Union européenne. Elle remplace l’ancienne directive NIS 1 et élargit considérablement le champ des entités concernées, tout en renforçant les obligations de gestion du risque cyber, de notification des incidents, de gouvernance et de contrôle. Son architecture repose sur une distinction centrale entre entités essentielles (EE) et entités importantes (EI). Cette distinction ne signifie pas que les obligations techniques de fond seraient radicalement différentes ; elle joue surtout sur le niveau de supervision, l’intensité du contrôle et l’ampleur des sanctions. (Eur-Lex)

D’un point de vue juridique, NIS2 repose sur une idée simple mais décisive : la cybersécurité n’est plus traitée comme une simple question technique interne à l’entreprise ; elle devient une obligation de gouvernance et de continuité de service. Le texte exige des entités qu’elles organisent la prévention, la détection, la réaction, la résilience et la notification. D’un point de vue philosophique, cela marque le passage d’une logique de sécurité “défensive” à une logique de responsabilité systémique : l’entité n’est pas seulement tenue de se protéger elle-même, mais de limiter les effets de propagation, de préserver ses usagers, et de contribuer à la stabilité de l’écosystème numérique. (Eur-Lex)

Point de méthode important : la fiche ci-dessous est fondée sur le texte de la directive elle-même, donc sur le niveau européen. Les modalités exactes de mise en œuvre peuvent varier selon la transposition nationale, mais les articles 21, 23, 32 et 33 donnent déjà l’ossature normative essentielle. (Eur-Lex)

---

1. Qui est EE ? Qui est EI ?

L’article 3 de la directive prévoit que sont notamment des entités essentielles : les entités relevant de l’annexe I qui dépassent les seuils des entreprises moyennes, certains acteurs numériques quelle que soit leur taille comme les prestataires de services de confiance qualifiés, les registres de noms de domaine de premier niveau et les fournisseurs de services DNS, certaines entités de communications électroniques, certaines entités d’administration publique, ainsi que les entités qualifiées de critical entities au sens de la directive sur la résilience des entités critiques. À l’inverse, les entités relevant des annexes I ou II qui ne remplissent pas les critères pour être essentielles sont, en principe, des entités importantes. (Eur-Lex)

En pratique, l’annexe I vise les secteurs hautement critiques, tandis que l’annexe II vise d’autres secteurs critiques. Parmi les secteurs visibles dans les annexes figurent notamment l’énergie, les transports, la banque, les infrastructures des marchés financiers, la santé, l’eau, les infrastructures numériques, l’administration publique, l’espace, mais aussi, pour l’annexe II, les services postaux et de courrier, la gestion des déchets, la chimie, l’alimentaire et d’autres activités critiques. (Eur-Lex)

Il faut donc bien comprendre ceci : EE et EI sont soumises au même noyau d’obligations de cybersécurité et de notification, mais l’EE fait l’objet d’une surveillance plus intense, plus proactive et potentiellement plus intrusive. L’EI, elle, est soumise à une surveillance plutôt ex post, déclenchée lorsqu’il existe des indices, preuves ou informations de non-conformité. (Eur-Lex)

---

2. Article 21 — Obligations de cybersécurité : le socle commun EE / EI

L’article 21 impose aux entités essentielles et importantes de prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et systèmes d’information qu’elles utilisent dans leurs opérations ou pour la fourniture de leurs services. Le texte adopte une approche dite “all-hazards”, c’est-à-dire une approche globale couvrant l’ensemble des menaces pertinentes, qu’elles soient techniques, humaines, organisationnelles ou physiques. (Eur-Lex)

Le paragraphe 2 de l’article 21 énumère un minimum obligatoire de mesures. On y trouve notamment :

• des politiques d’analyse de risque et de sécurité des systèmes d’information ;
• la gestion des incidents ;
• la continuité d’activité, y compris sauvegardes, reprise après sinistre et gestion de crise ;
• la sécurité de la chaîne d’approvisionnement et des relations avec les fournisseurs directs ;
• la sécurité dans l’acquisition, le développement et la maintenance des systèmes, y compris la gestion et la divulgation des vulnérabilités ;
• des politiques et procédures d’évaluation de l’efficacité des mesures ;
• l’hygiène cyber de base et la formation ;
• les politiques relatives à la cryptographie et, lorsque pertinent, au chiffrement ;
• la sécurité des ressources humaines, les contrôles d’accès et la gestion des actifs ;
• l’usage, lorsque approprié, de l’authentification multifacteur ou continue, ainsi que de communications sécurisées. (Eur-Lex)

Il faut ajouter l’article 20 sur la gouvernance, qui complète directement l’article 21 : les organes de direction des EE et EI doivent approuver les mesures de gestion du risque cyber, surveiller leur mise en œuvre, et peuvent être tenus responsables des manquements de l’entité à l’article 21. Les membres de la direction doivent en outre suivre une formation appropriée. Cela montre que NIS2 n’est pas seulement une norme pour les équipes techniques ; c’est une norme de responsabilité managériale. (Eur-Lex)

Sens profond de l’article 21

Juridiquement, l’article 21 ne prescrit pas une simple “checklist IT”. Il impose une démarche de maîtrise du risque, donc une logique dynamique : identifier, prioriser, protéger, tester, corriger et documenter. Philosophiquement, on peut dire que NIS2 ne demande pas seulement à l’entité d’être “sécurisée”, mais d’être capable de justifier rationnellement sa résilience. L’obligation n’est pas celle de l’infaillibilité ; c’est celle d’une préparation sérieuse, cohérente et démontrable. (Eur-Lex)

---

3. Article 23 — Notification des incidents : mêmes délais pour EE et EI

L’article 23 impose aux EE et EI de notifier sans retard injustifié à leur CSIRT ou, selon le cas, à l’autorité compétente, tout incident significatif. Un incident est significatif s’il a causé ou est capable de causer une grave perturbation opérationnelle ou une perte financière pour l’entité, ou s’il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant un dommage matériel ou immatériel considérable. (Eur-Lex)

Le calendrier de notification prévu par l’article 23, paragraphe 4, est particulièrement important :

• alerte précoce dans les 24 heures après la prise de connaissance de l’incident significatif ;
• notification d’incident dans les 72 heures après la prise de connaissance, avec première évaluation de la gravité, de l’impact et, si disponibles, les indicateurs de compromission ;
• rapport intermédiaire si le CSIRT ou l’autorité compétente le demande ;
• rapport final dans le mois suivant la notification d’incident de 72 heures. (Eur-Lex)

Lorsque cela est pertinent, l’entité doit également informer sans retard injustifié les destinataires de ses services susceptibles d’être affectés par un incident significatif ou par une menace cyber significative, en leur indiquant les mesures ou remèdes qu’ils peuvent prendre. Le texte précise aussi que le simple fait de notifier ne doit pas accroître la responsabilité de l’entité notifiante. (Eur-Lex)

Ce qu’il faut retenir sur l’article 23

Le point essentiel est le suivant : EE et EI sont soumises aux mêmes délais de notification dans la directive. La différence ne réside donc pas dans le calendrier, mais dans la surveillance et dans les suites données par l’autorité. Cela évite un contresens fréquent : NIS2 ne prévoit pas une notification “plus souple” pour les EI sur le fond de l’article 23. (Eur-Lex)

---

4. Articles 32 et 33 — Supervision : ex ante pour EE, ex post pour EI

C’est ici que la distinction EE / EI devient juridiquement la plus visible.

4.1. Article 32 — Entités essentielles (EE)

L’article 32 prévoit que les mesures de supervision et d’exécution à l’égard des EE doivent être effectives, proportionnées et dissuasives. Surtout, les autorités compétentes disposent de pouvoirs proactifs. Elles peuvent notamment soumettre les EE à :

• des inspections sur site ou hors site, y compris des contrôles aléatoires ;
• des audits réguliers et ciblés de sécurité ;
• des audits ad hoc, notamment après incident significatif ou en cas de soupçon d’infraction ;
• des scans de sécurité ;
• des demandes d’informations ;
• l’accès aux données, documents et informations nécessaires ;
• des demandes de preuve de mise en œuvre des politiques cyber. (Eur-Lex)

En matière d’exécution, les autorités peuvent notamment :

• adresser des avertissements ;
• imposer des instructions contraignantes ;
• ordonner la mise en conformité avec l’article 21 ou l’exécution des obligations de notification de l’article 23 ;
• imposer l’information des personnes potentiellement affectées ;
• exiger la mise en œuvre des recommandations d’audit ;
• désigner un monitoring officer chargé de surveiller la conformité ;
• imposer la publication de certains aspects de l’infraction ;
• et demander ou infliger une amende administrative. Dans certains cas d’ineffectivité persistante, elles peuvent aller jusqu’à la suspension temporaire d’une certification ou demander l’interdiction temporaire d’exercer des fonctions dirigeantes pour certaines personnes responsables au plus haut niveau. (Eur-Lex)

Autrement dit, l’EE est dans un régime de surveillance ex ante, c’est-à-dire que l’autorité peut intervenir avant même la matérialisation complète d’un dommage, dans une logique de contrôle structurel. (Eur-Lex)

4.2. Article 33 — Entités importantes (EI)

L’article 33 prévoit un régime différent pour les EI. L’autorité compétente intervient lorsqu’elle dispose d’éléments, d’indices ou d’informations laissant penser qu’une EI ne respecte pas la directive, en particulier les articles 21 et 23. On parle alors de supervision ex post. (Eur-Lex)

Les autorités peuvent néanmoins, là aussi, recourir à :

• des inspections sur site et un contrôle hors site ex post ;
• des audits ciblés ;
• des scans de sécurité ;
• des demandes d’informations ;
• l’accès à des documents et données ;
• des demandes de preuve de mise en œuvre des politiques cyber. (Eur-Lex)

Les mesures d’exécution sont comparables dans leur nature : avertissements, injonctions, ordre de faire cesser le comportement illicite, mise en conformité avec l’article 21 ou l’article 23, obligation d’information des personnes potentiellement affectées, exécution des recommandations d’audit, et amende administrative. En revanche, le régime des EE demeure plus lourd dans sa logique globale, car il autorise un contrôle plus structurel, plus régulier et plus anticipatif. (Eur-Lex)

Sens juridique de cette différence

La différence entre EE et EI ne doit donc pas être mal comprise. Ce n’est pas une opposition entre “entités très obligées” et “entités peu obligées”. C’est une opposition entre :

• des entités soumises à un même socle substantiel de conformité ;
• mais à un régime différencié de supervision et d’exécution. (Eur-Lex)

---

5. Sanctions financières : différence de plafond entre EE et EI

Dans la directive NIS2, les montants d’amendes administratives applicables en cas de violation des articles 21 ou 23 figurent en réalité à l’article 34, mais ils sont directement liés à la logique de supervision des articles 32 et 33. Les résultats officiels EUR-Lex montrent que :

• pour les EE, l’amende administrative maximale doit être d’au moins 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;
• pour les EI, l’amende administrative maximale doit être d’au moins 7 000 000 € ou 1,4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. (Eur-Lex)

Le choix de la sanction et de son montant doit tenir compte de plusieurs critères, notamment la gravité de la violation, sa durée, les antécédents, les dommages causés, l’intention ou la négligence, les mesures correctrices prises, l’adhésion à des codes de conduite ou mécanismes de certification, ainsi que le niveau de coopération avec l’autorité. Le texte vise explicitement comme violations graves, entre autres, les violations répétées, le défaut de notification d’incidents significatifs, l’absence de correction malgré injonction, l’obstruction aux audits ou la fourniture d’informations fausses ou gravement inexactes. (Eur-Lex)

---

6. Tableau comparatif EE vs EI

Tableau comparatif synthétique

Point de comparaison	EE — Entité essentielle	EI — Entité importante
Base juridique de la qualification	Article 3 + annexes I/II + cas spéciaux	Article 3, §2 : entités annexes I/II ne relevant pas des EE
Niveau d’importance systémique	Plus élevé	Important, mais en principe moins critique que EE
Obligations de cybersécurité	Oui, article 21	Oui, article 21
Gouvernance par l’organe dirigeant	Oui, article 20	Oui, article 20
Notification d’incident significatif	Oui, article 23	Oui, article 23
Alerte précoce	24 h	24 h
Notification complète initiale	72 h	72 h
Rapport final	1 mois	1 mois
Supervision	Ex ante / proactive	Ex post / réactive
Contrôles possibles	Inspections, audits réguliers, audits ad hoc, scans, demandes d’info, preuves de conformité	Inspections, audits ciblés, scans, demandes d’info, preuves de conformité, mais sur déclenchement ex post
Mesures d’exécution	Avertissements, injonctions, mise en conformité, monitoring officer, publication, suspension, action sur dirigeants, amendes	Avertissements, injonctions, cessation du manquement, mise en conformité, information des tiers, amendes
Amende administrative max minimale (violation art. 21 ou 23)	10 M€ ou 2 % CA mondial	7 M€ ou 1,4 % CA mondial

Ce tableau reflète la structure combinée des articles 3, 20, 21, 23, 32, 33 et 34 de la directive. (Eur-Lex)

---

7. Lecture pratique : ce que doit faire une entité concernée

Sur le plan opérationnel, une entité relevant de NIS2 devrait raisonner en six blocs :

1. Qualifier son statut : EE ou EI, à partir du secteur, de la taille et des cas spéciaux. (Eur-Lex)
2. Mettre en place une gouvernance formelle : validation par la direction, traçabilité des décisions, formation des dirigeants. (Eur-Lex)
3. Déployer les mesures de l’article 21 : analyse de risque, incident response, continuité, sécurité fournisseurs, gestion des vulnérabilités, chiffrement, MFA, etc. (Eur-Lex)
4. Organiser une chaîne de notification : détection, qualification d’incident significatif, alerte 24 h, notification 72 h, rapport final 1 mois. (Eur-Lex)
5. Préparer la preuve de conformité : politiques documentées, résultats d’audit, éléments de mise en œuvre, registres, preuves de formation, gouvernance fournisseurs. (Eur-Lex)
6. Anticiper le contrôle : l’EE doit se préparer à un contrôle proactif ; l’EI doit pouvoir répondre rapidement à un contrôle déclenché sur indice de non-conformité. (Eur-Lex)

---

Conclusion

La distinction EE / EI dans NIS2 n’est pas une différence de nature des obligations de cybersécurité, mais une différence de degré de supervision et de sévérité répressive. Les deux catégories sont soumises au même noyau d’exigences en matière de gouvernance, de gestion du risque et de notification. La véritable différence est institutionnelle : l’EE est placée dans une logique de vigilance structurelle, tandis que l’EI relève davantage d’une logique de contrôle déclenché. (Eur-Lex)

En ce sens, NIS2 exprime une philosophie juridique très nette : la cybersécurité n’est plus seulement un coût technique ou une question d’expertise ; elle devient un devoir de prévoyance, de résilience démontrable et de responsabilité de direction dans les secteurs qui soutiennent la continuité du tissu social et économique. (Eur-Lex)

Sources principales

• Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, texte officiel EUR-Lex. (Eur-Lex)
• Article 3 : qualification des entités essentielles et importantes. (Eur-Lex)
• Article 21 : mesures de gestion des risques de cybersécurité. (Eur-Lex)
• Article 23 : obligations de notification et délais. (Eur-Lex)
• Article 32 : supervision et exécution pour les entités essentielles. (Eur-Lex)
• Article 33 : supervision et exécution pour les entités importantes. (Eur-Lex)
• Critères de gravité et plafonds d’amendes administratives. (Eur-Lex)