Art. 3 Incidents importants | Cybersecurity measures and significant incidents for relevant entities | NIS 2

1. Un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; est considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555 eu égard aux entités concernées lorsqu’un ou plusieurs des critères suivants sont remplis:
  1. l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; a causé ou est susceptible de causer à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée une perte financière directe supérieure à500 000 EUR ou à 5 % du chiffre d’affaires annuel total de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée au cours de l’exercice complet précédent, le montant le plus faible étant retenu;
  2. l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; a causé ou est susceptible de provoquer l’exfiltration de secrets d’affaires de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, au sens de l’article 2, point 1), de la directive (UE) 2016/943;
  3. l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; a causé ou est susceptible de causer la mort d’une personne physique;
  4. l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique;
  5. il y a eu un accès non autorisé effectif au réseau et aux systèmes d’information d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, qui est suspecté d’être malveillant et est susceptible de causer une perturbation opérationnelle grave;
  6. l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; répond aux critères énoncés à l’article 4;
  7. l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; répond à un ou plusieurs des critères énoncés aux articles 5 à 14.
1. Les interruptions de service programmées et les conséquences prévues des opérations de maintenance programmées effectuées par les entités concernées ou pour leur compte ne sont pas considérées comme des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants.
1. Lorsqu’elles calculent le nombre d’utilisateurs touchés par un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; aux fins de l’article 7 et des articles 9 à 14, les entités concernées tiennent compte de l’ensemble des éléments suivants:
  1. le nombre de clients ayant conclu, avec l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, un contrat qui leur donne accès au réseau et aux systèmes d’information de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée ou aux services proposés par ce réseau et ces systèmes d’information ou accessibles par leur intermédiaire;
  2. le nombre de personnes physiques et morales associées à des clients professionnels qui utilisent le réseau et les systèmes d’information de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée ou les services proposés par ce réseau et ces systèmes d’information ou accessibles par leur intermédiaire.