Beta

Source: OJ L 333, 27.12.2022, p. 80–152

Current language: FR

Article 2 Champ d’application

    1. La présente directive s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union.

    2. L’article 3, paragraphe 4, de l’annexe de ladite recommandation ne s’applique pas aux fins de la présente directive.

    1. La présente directive s’applique également aux entités d’un type visé à l’annexe I ou II, quelle que soit leur taille, dans les cas suivants:

      1. les services sont fournis par:

        1. des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public;

        2. des prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;;

        3. des registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; et des fournisseurs de services de système de noms de domaineou «DNS»: un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources;;

      2. l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; est, dans un État membre, le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques;

      3. une perturbation du service fourni par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique;

      4. une perturbation du service fourni par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; pourrait induire un risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière;

      5. l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants dans l’État membre;

      6. l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; est une entité de l’administration publique: une entité reconnue comme telle dans un État membre conformément au droit national, à l’exclusion de la justice, des parlements et des banques centrales, qui satisfait aux critères suivants:elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial;elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique;elle est financée majoritairement par l’État, les autorités régionales ou d’autres organismes de droit public, sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les autorités régionales ou d’autres organismes de droit public;elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux;:

        1. des pouvoirs publics centraux tels qu’ils sont définis par un État membre conformément au droit national; ou

        2. au niveau régional, tel qu’il est défini par un État membre conformément au droit national, qui, à la suite d’une évaluation basée sur les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, fournit des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.

    1. La présente directive s’applique aux entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, quelle que soit leur taille.

    1. La présente directive s’applique aux entités fournissant des services d’enregistrement de noms de domaine, quelle que soit leur taille.

    1. Les États membres peuvent prévoir que la présente directive s’applique:

      1. aux entités de l’administration publique au niveau local;

      2. aux établissements d’enseignement, en particulier lorsqu’ils mènent des activités de recherche critiques.

    1. La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer l’intégrité territoriale de l’État et de maintenir l’ordre public.

    1. La présente directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.

    1. Les États membres peuvent exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ou qui fournissent des services exclusivement aux entités de l’administration publique visées au paragraphe 7 du présent article, des obligations prévues à l’article 21 ou 23 en ce qui concerne ces activités ou services. Dans de tels cas, les mesures de supervision et d’exécution visées au chapitre VII ne s’appliquent pas à ces activités ou services spécifiques. Lorsque les entités exercent des activités ou fournissent des services exclusivement du type visé au présent paragraphe, les États membres peuvent également décider d’exempter ces entités des obligations prévues aux articles 3 et 27.

    1. Les paragraphes 7 et 8 ne s’appliquent pas lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; agit en tant que prestataire de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;.

    1. La présente directive ne s’applique pas aux entités que les États membres ont exclues du champ d’application du règlement (UE) 2022/2554 conformément à l’article 2, paragraphe 4, dudit règlement.

    1. Les obligations énoncées dans la présente directive n’impliquent pas la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.

    1. La présente directive est sans préjudice du règlement (UE) 2016/679, de la directive 2002/58/CE, des directives 2011/93/UE(27)Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1). et 2013/40/UE(28)Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8). du Parlement européen et du Conseil et de la directive (UE) 2022/2557.

    1. Sans préjudice de l’article 346 du traité sur le fonctionnement de l’Union européenne, les informations considérées comme confidentielles en application de la réglementation de l’Union ou nationale, telle que les règles applicables au secret des affaires, ne peuvent faire l’objet d’un échange avec la Commission et d’autres autorités concernées conformément à la présente directive que si cet échange est nécessaire à l’application de la présente directive. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif de cet échange. Cet échange d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.

    1. Les entités, les autorités compétentes, les points de contact uniques et les CSIRT traitent les données à caractère personnel dans la mesure nécessaire aux fins de la présente directive et conformément au règlement (UE) 2016/679; ce traitement est fondé en particulier sur l’article 6 dudit règlement.

    2. Le traitement des données à caractère personnel en vertu de la présente directive par les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public est effectué conformément au droit de l’Union en matière de protection des données et au droit de l’Union en matière de protection de la vie privée, en particulier la directive 2002/58/CE.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod