OSE / Entité essentielle (NIS2)

Une entité essentielle ou importante au sens de la directive NIS2 est un acteur public ou privé exerçant une activité jugée critique pour le fonctionnement de la société et de l’économie. Le statut succède à celui d’opérateur de services essentiels (OSE) issu de la première directive NIS, en élargissant considérablement le périmètre des secteurs et la taille des entités concernées.

Périmètre

NIS2 couvre des secteurs hautement critiques (énergie, transports, banque, marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, administration publique, espace) et d’autres secteurs critiques (services postaux, gestion des déchets, fabrication chimique, alimentation, fabrication de dispositifs médicaux, recherche, fournisseurs numériques). Les obligations distinguent les entités essentielles, soumises au régime le plus strict, des entités importantes, soumises à un régime allégé.

Obligations

Les entités concernées doivent mettre en place une gouvernance cyber au niveau de leur organe de direction, identifier et traiter leurs risques, sécuriser leur chaîne d’approvisionnement, gérer les vulnérabilités, et notifier les incidents significatifs aux autorités compétentes selon des délais courts. Elles sont soumises à des contrôles ex ante pour les entités essentielles et ex post pour les entités importantes. Le non-respect peut entraîner des sanctions administratives.

Pour les affaires publiques

• L’identification du statut applicable est un préalable à toute mise en conformité.
• Les chaînes de sous-traitance numérique sont fortement impactées par la responsabilité fournisseurs.
• L’articulation avec le statut d’OIV doit être analysée dossier par dossier.

Sources officielles

• EUR-Lex — Directive NIS2
• ANSSI — Mise en conformité NIS2