Article 2 Champ d’application

1. La présente directive s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union.
2. L’article 3, paragraphe 4, de l’annexe de ladite recommandation ne s’applique pas aux fins de la présente directive.
1. La présente directive s’applique également aux entités d’un type visé à l’annexe I ou II, quelle que soit leur taille, dans les cas suivants:
  1. les services sont fournis par:
    des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public;
    des prestataires de services de confiance;
    des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine;
  2. l’entité est, dans un État membre, le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques;
  3. une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique;
  4. une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière;
  5. l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants dans l’État membre;
  6. l’entité est une entité de l’administration publique:
    des pouvoirs publics centraux tels qu’ils sont définis par un État membre conformément au droit national; ou
    au niveau régional, tel qu’il est défini par un État membre conformément au droit national, qui, à la suite d’une évaluation basée sur les risques, fournit des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.
1. La présente directive s’applique aux entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, quelle que soit leur taille.
1. La présente directive s’applique aux entités fournissant des services d’enregistrement de noms de domaine, quelle que soit leur taille.
1. Les États membres peuvent prévoir que la présente directive s’applique:
  1. aux entités de l’administration publique au niveau local;
  2. aux établissements d’enseignement, en particulier lorsqu’ils mènent des activités de recherche critiques.
1. La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer l’intégrité territoriale de l’État et de maintenir l’ordre public.
1. La présente directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.
1. Les États membres peuvent exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ou qui fournissent des services exclusivement aux entités de l’administration publique visées au paragraphe 7 du présent article, des obligations prévues à l’article 21 ou 23 en ce qui concerne ces activités ou services. Dans de tels cas, les mesures de supervision et d’exécution visées au chapitre VII ne s’appliquent pas à ces activités ou services spécifiques. Lorsque les entités exercent des activités ou fournissent des services exclusivement du type visé au présent paragraphe, les États membres peuvent également décider d’exempter ces entités des obligations prévues aux articles 3 et 27.
1. Les paragraphes 7 et 8 ne s’appliquent pas lorsqu’une entité agit en tant que prestataire de services de confiance.
1. La présente directive ne s’applique pas aux entités que les États membres ont exclues du champ d’application du règlement (UE) 2022/2554 conformément à l’article 2, paragraphe 4, dudit règlement.
1. Les obligations énoncées dans la présente directive n’impliquent pas la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.
1. La présente directive est sans préjudice du règlement (UE) 2016/679, de la directive 2002/58/CE, des directives 2011/93/UE(²⁷)Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1). et 2013/40/UE(²⁸)Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8). du Parlement européen et du Conseil et de la directive (UE) 2022/2557.
1. Sans préjudice de l’article 346 du traité sur le fonctionnement de l’Union européenne, les informations considérées comme confidentielles en application de la réglementation de l’Union ou nationale, telle que les règles applicables au secret des affaires, ne peuvent faire l’objet d’un échange avec la Commission et d’autres autorités concernées conformément à la présente directive que si cet échange est nécessaire à l’application de la présente directive. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif de cet échange. Cet échange d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.
1. Les entités, les autorités compétentes, les points de contact uniques et les CSIRT traitent les données à caractère personnel dans la mesure nécessaire aux fins de la présente directive et conformément au règlement (UE) 2016/679; ce traitement est fondé en particulier sur l’article 6 dudit règlement.
2. Le traitement des données à caractère personnel en vertu de la présente directive par les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public est effectué conformément au droit de l’Union en matière de protection des données et au droit de l’Union en matière de protection de la vie privée, en particulier la directive 2002/58/CE.

Relevant recitals

Considérant 6 NIS 2 extends the scope

Avec l’abrogation de la directive (UE) 2016/1148, le champ d’application par secteur devrait être étendu à une plus grande partie de l’économie pour assurer une couverture complète des secteurs et des services revêtant une importance cruciale pour les activités économiques et sociétales essentielles dans le marché intérieur. La présente directive a pour objectif, en particulier, de surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques, qui s’est avérée obsolète puisqu’elle ne reflète pas l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.

Considérant 7 Uniform size-cap as criterion for scope

En vertu de la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels. Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les mesures de gestion des risques en matière de cybersécurité et les obligations d’information pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant quelles entités relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application d’une règle de plafond, selon laquelle toutes les entités constituant des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission(⁵)Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36)., ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui sont actives dans les secteurs, fournissent les types de services et exercent les activités couverts par la présente directive, relèvent de son champ d’application. Les États membres devraient également faire en sorte que certaines petites entreprises et microentreprises au sens de l’article 2, paragraphes 2 et 3, de ladite annexe, qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour la société, les économies ou pour des secteurs ou des types de services particuliers, relèvent également du champ d’application de la présente directive.

Considérant 8 Exemption of public administration entities

L’exclusion des entités de l’administration publique du champ d’application de la présente directive devrait s’appliquer aux entités dont les activités sont principalement exercées dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière. Toutefois, les entités de l’administration publique dont les activités ne sont que marginalement liées à ces domaines ne devraient pas être exclues du champ d’application de la présente directive. Aux fins de la présente directive, les entités disposant de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l’application de la loi et elles ne sont donc pas exclues, pour ce motif, du champ d’application de la présente directive. Les entités de l’administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d’application de la présente directive. La présente directive ne s’applique pas aux missions diplomatiques et consulaires des États membres dans des pays tiers ni à leurs réseaux et systèmes d’information, si ces systèmes sont situés dans les locaux de la mission ou sont exploités pour des utilisateurs dans un pays tiers.

Considérant 9 Exemptions of national security and law enforcement

Les États membres devraient pouvoir adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sécurité nationale, assurer l’action publique et la sécurité publique et permettre la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière. À cette fin, les États membres devraient pouvoir exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, de certaines obligations prévues par la présente directive en ce qui concerne ces activités. Lorsqu’une entité fournit des services exclusivement à une entité de l’administration publique qui est exclue du champ d’application de la présente directive, les États membres devraient pouvoir exempter cette entité de certaines obligations prévues par la présente directive en ce qui concerne lesdits services. En outre, aucun État membre ne devrait être tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité nationale, sa sécurité publique ou sa défense. Les règles nationales ou de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole «Traffic Light Protocol», devraient être pris en compte dans ce contexte. Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer les limitations applicables à la diffusion plus large de ces informations. Il est utilisé par la quasi-totalité des centres de réponse aux incidents de sécurité informatique (CSIRT) et par certains centres d’échange et d’analyse d’informations.

Considérant 10 Nuclear power plants

Bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités.

Considérant 11 Trust service providers

Certaines entités exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière, tout en fournissant également des services de confiance. Les prestataires de services de confiance qui relèvent du champ d’application du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil(⁶)Règlement (UE) n^o 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73). devraient relever du champ d’application de la présente directive afin d’assurer le même niveau d’exigences de sécurité et de contrôle que celui qui était précédemment prévu dans ledit règlement à l’égard des prestataires de services de confiance. Dans le droit fil de l’exclusion de certains services spécifiques du règlement (UE) n^o 910/2014, la présente directive ne devrait pas s’appliquer à la fourniture de services de confiance utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants.

Considérant 12 Postal service providers

Les prestataires de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil(⁷)Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14)., y compris les prestataires de services d’expédition, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri, le transport ou la distribution des envois postaux, y compris les services d’enlèvement, tout en tenant compte de leur degré de dépendance aux réseaux et aux systèmes d’information. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient être exclus de la catégorie des services postaux.

Considérant 13 Cybersecurity for excluded entities

Compte tenu de l’intensification et de la sophistication accrue des cybermenaces, les États membres devraient s’efforcer de faire en sorte que les entités exclues du champ d’application de la présente directive atteignent un niveau élevé de cybersécurité et de soutenir la mise en œuvre de mesures équivalentes de gestion des risques en matière de cybersécurité qui tiennent compte du caractère sensible de ces entités.

Considérant 14 Without prejudice to existing legislation

Le droit de l’Union en matière de protection des données et le droit de l’Union en matière de protection de la vie privée s’appliquent à tout traitement de données à caractère personnel au titre de la présente directive. En particulier, la présente directive est sans préjudice du règlement (UE) 2016/679 du Parlement européen et du Conseil(⁸)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1). et de la directive 2002/58/CE du Parlement européen et du Conseil(⁹)Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).. La présente directive ne devrait donc pas porter atteinte, entre autres, aux tâches et aux compétences des autorités compétentes pour contrôler le respect du droit de l’Union applicable en matière de protection des données et de protection de la vie privée.

Considérant 16 Partners and linked enterprises

Afin d’éviter que des entités ayant des entreprises partenaires ou des entreprises liées ne soient considérées comme des entités essentielles ou importantes lorsque cela serait disproportionné, les États membres sont en mesure de tenir compte du degré d’indépendance dont jouit une entité à l’égard de ses partenaires et de ses entreprises liées lorsqu’ils appliquent l’article 6, paragraphe 2, de l’annexe de la recommandation 2003/361/CE. En particulier, les États membres sont en mesure de tenir compte du fait qu’une entité est indépendante de son partenaire ou d’entreprises liées en ce qui concerne le réseau et les systèmes d’information qu’elle utilise pour fournir ses services et en ce qui concerne les services qu’elle fournit. Sur cette base, s’il y a lieu, les États membres peuvent considérer qu’une telle entité ne constitue pas une entreprise moyenne en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou ne dépasse pas les plafonds applicables à une entreprise moyenne prévus au paragraphe 1 dudit article, si, après prise en compte du degré d’indépendance de ladite entité, celle-ci n’aurait pas été considérée comme constituant une entreprise moyenne ou dépassant lesdits plafonds si seules ses propres données avaient été prises en compte. Cela ne modifie en rien les obligations prévues par la présente directive pour les entreprises partenaires et les entreprises liées qui relèvent du champ d’application de la présente directive.

Considérant 29 Entities in the aviation sector

Afin d’éviter les écarts et les doubles emplois en ce qui concerne les obligations en matière de cybersécurité imposées aux entités du secteur de l’aviation, les autorités nationales en vertu des règlements (CE) n^o 300/2008(¹¹)Règlement (CE) n^o 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n^o 2320/2002 (JO L 97 du 9.4.2008, p. 72). et (UE) 2018/1139(¹²)Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) n^o 2111/2005, (CE) n^o 1008/2008, (UE) n^o 996/2010, (UE) n^o 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) n^o 552/2004 et (CE) n^o 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) n^o 3922/91 du Conseil (JO L 212 du 22.8.2018, p. 1). du Parlement européen et du Conseil et les autorités compétentes en vertu de la présente directive devraient coopérer pour la mise en œuvre des mesures de gestion des risques en matière de cybersécurité et la surveillance du respect de ces mesures au niveau national. Le respect par une entité des exigences de sécurité prévues dans les règlements (CE) n^o 300/2008 et (UE) 2018/1139 et dans les actes délégués et d’exécution pertinents adoptés en vertu de ces règlements pourrait être considéré par les autorités compétentes en vertu de la présente directive comme constituant le respect des exigences correspondantes prévues dans la présente directive.

Considérant 92 Streamlining for public electronic communications and trust services

Afin de rationaliser les obligations imposées aux fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public et aux prestataires de services de confiance en lien avec la sécurité de leurs réseaux et systèmes d’information, ainsi que de permettre à ces entités et à leurs autorités compétentes en vertu de la directive (UE) 2018/1972 du Parlement européen et du Conseil(²⁰)Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36). et du règlement (UE) n^o 910/2014, respectivement, de bénéficier du cadre juridique établi par la présente directive, y compris la désignation d’un CSIRT chargé de la gestion des incidents, la participation des autorités compétentes concernées aux activités du groupe de coopération et le réseau des CSIRT, ces entités devraient entrer dans le champ d’application de la présente directive. Il convient donc de supprimer les dispositions correspondantes prévues par le règlement (UE) n^o 910/2014 et par la directive (UE) 2018/1972 portant sur l’imposition d’exigences en matière de sécurité et de notification à ce type d’entité. Les règles relatives aux obligations d’information prévues par la présente directive devraient être sans préjudice du règlement (UE) 2016/679 et de la directive 2002/58/CE.

Considérant 93 The eIDAS regulation still apply for trust service providers

Les obligations en matière de cybersécurité énoncées dans la présente directive devraient être considérées comme complémentaires des exigences imposées aux prestataires de services de confiance en vertu du règlement (UE) n^o 910/2014. Les prestataires de services de confiance devraient être tenus de prendre toutes les mesures appropriées et proportionnées pour gérer les risques qui pèsent sur leurs services, y compris en ce qui concerne les clients et les tiers utilisateurs, et de notifier les incidents relevant de la présente directive. Ces obligations en matière de cybersécurité et d’information devraient également concerner la protection physique des services fournis. Les exigences applicables aux prestataires de services de confiance qualifiés énoncées à l’article 24 du règlement (UE) n^o 910/2014 continuent de s’appliquer.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.