Art. 3 Incidents importants | Cybersecurity measures and significant incidents for relevant entities | NIS 2

1. Un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555 eu égard aux entités concernées lorsqu’un ou plusieurs des critères suivants sont remplis:
  1. l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a causé ou est susceptible de causer à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée une perte financière directe supérieure à500 000 EUR ou à 5 % du chiffre d’affaires annuel total de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée au cours de l’exercice complet précédent, le montant le plus faible étant retenu;
  2. l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a causé ou est susceptible de provoquer l’exfiltration de secrets d’affaires de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, au sens de l’article 2, point 1), de la directive (UE) 2016/943;
  3. l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a causé ou est susceptible de causer la mort d’une personne physique;
  4. l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique;
  5. il y a eu un accès non autorisé effectif au réseau et aux systèmes d’information d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, qui est suspecté d’être malveillant et est susceptible de causer une perturbation opérationnelle grave;
  6. l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; répond aux critères énoncés à l’article 4;
  7. l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; répond à un ou plusieurs des critères énoncés aux articles 5 à 14.
1. Les interruptions de service programmées et les conséquences prévues des opérations de maintenance programmées effectuées par les entités concernées ou pour leur compte ne sont pas considérées comme des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants.
1. Lorsqu’elles calculent le nombre d’utilisateurs touchés par un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; aux fins de l’article 7 et des articles 9 à 14, les entités concernées tiennent compte de l’ensemble des éléments suivants:
  1. le nombre de clients ayant conclu, avec l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, un contrat qui leur donne accès au réseau et aux systèmes d’information de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée ou aux services proposés par ce réseau et ces systèmes d’information ou accessibles par leur intermédiaire;
  2. le nombre de personnes physiques et morales associées à des clients professionnels qui utilisent le réseau et les systèmes d’information de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée ou les services proposés par ce réseau et ces systèmes d’information ou accessibles par leur intermédiaire.