EE, EI, INDIRECT : classer votre PME en 5 minutes

Les 3 critères de la classification

NIS2 utilise trois critères combinés :

1. Le secteur d'activité (Annexes 1 et 2 de la directive) 2. La taille de l'entité (nombre de salariés + chiffre d'affaires) 3. Pour certains secteurs : la fonction (gestionnaire d'infrastructure essentielle vs opérateur secondaire)

La combinaison Annexe 1 + grande taille (250+ salariés OU > 50M€ CA) = Entité Essentielle. Annexe 2 OU petite taille (50-249 salariés ET 10-50M€) = Entité Importante. Sous 50 salariés ET < 10M€ : hors scope direct, sauf cas particuliers (acteurs critiques de la confiance, prestataires uniques).

Annexe 1 vs Annexe 2 — la liste exhaustive

Annexe 1 (Hautement critique) : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques (DNS, registres TLD, IXP, cloud, DC), gestion des services TIC (MSP, MSSP), administrations publiques, espace.

Annexe 2 (Critique) : services postaux et d'expédition, gestion des déchets, chimie, agroalimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules), fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux), recherche.

La France ajoute via la loi Résilience certaines collectivités publiques et certains acteurs jugés sensibles (à confirmer dans les décrets).

Le piège des fournisseurs INDIRECTs

Si vous êtes un SaaS B2B de 30 salariés, vous n'êtes pas directement régulé. Mais vos clients EE/EI vont vous demander contractuellement de démontrer votre propre niveau de sécurité, conformément à l'Article 21.4 de NIS2 (sécurité de la chaîne d'approvisionnement).

Concrètement : vos clients vont vous envoyer un questionnaire fournisseur, parfois exiger un audit, vous demander d'inclure des clauses cyber dans votre contrat. Si vous ne pouvez pas répondre, vous perdez le client.

La stratégie : se mettre en conformité NIS2 même hors scope direct, pour rester compétitif sur les appels d'offres B2B avec les régulés.

Cas particuliers et zones grises

Filiales d'un groupe : chaque entité juridique est classée indépendamment. Une filiale de 20 salariés d'un groupe de 5000 n'est pas EE par contagion — sauf si elle exerce une fonction stratégique au sein du groupe.

Groupements d'achats / centrales d'achat : régulés s'ils dépassent les seuils, indépendamment du statut de leurs adhérents.

Sociétés en croissance : la classification doit être réévaluée annuellement. Une PME qui passe de 45 à 60 salariés bascule en EI au cours de l'année.

Franchises et concessions : le franchiseur et chaque franchisé sont classés séparément.

MSP et MSSP : explicitement listés en Annexe 1 (gestion des services TIC). Tous les MSP de plus de 50 salariés sont par défaut EE.

L'outil officiel ANSSI

Le simulateur officiel de l'ANSSI est gratuit et accessible sur monespacenis2.cyber.gouv.fr/simulateur. Il pose 4-5 questions (secteur, taille, CA, fonction) et restitue un statut indicatif.

Attention : ce simulateur donne un statut probable, pas une décision juridique. En cas de doute (zone grise, croissance, multi-activité), confirmer avec votre avocat ou conseil RSSI.

CyberSCV intègre ce wizard nativement dans son onboarding, avec en plus la classification automatique du profil EE/EI/INDIRECT/VOLUNTARY qui pilote ensuite tout le questionnaire (les questions affichées dépendent du statut).