Art. 26 Compétence et territorialité | NIS 2 directive | NIS 2

1. Les entités relevant du champ d’application de la présente directive sont considérées comme relevant de la compétence de l’État membre dans lequel elles sont établies, à l’exception des cas suivants:
  1. les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public, qui sont considérés comme relevant de la compétence de l’État membre dans lequel ils fournissent leurs services;
  2. les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux, qui sont considérés comme relevant de la compétence de l’État membre dans lequel ils ont leur établissement principal dans l’Union en application du paragraphe 2;
  3. les entités de l’administration publique, qui sont considérées comme relevant de la compétence de l’État membre qui les a établies.
1. Aux fins de la présente directive, un entité visée au paragraphe 1, point b), est considérée avoir son établissement principal dans l’Union dans l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si un tel État membre ne peut être déterminé ou si ces décisions ne sont pas prises dans l’Union, l’établissement principal est considéré comme se trouvant dans l’État membre où les opérations de cybersécurité sont effectuées. Si un tel État membre ne peut être déterminé, l’établissement principal est considéré comme se trouvant dans l’État membre où l’entité concernée possède l’établissement comptant le plus grand nombre de salariés dans l’Union.
1. Si une entité visée au paragraphe 1, point b), n’est pas établie dans l’Union mais offre des services dans l’Union, elle désigne un représentant dans l’Union. Le représentant est établi dans l’un des États membres dans lesquels les services sont fournis. Une telle entité est considérée comme relevant de la compétence de l’État membre dans lequel le représentant est établi. En l’absence d’un représentant dans l’Union désigné en vertu du présent paragraphe, tout État membre dans lequel l’entité fournit des services peut intenter une action en justice contre l’entité pour violation de la présente directive.
1. La désignation d’un représentant par une entité visée au paragraphe 1, point b), est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité elle-même.
1. Les États membres qui ont reçu une demande d’assistance mutuelle en lien avec une entité visée au paragraphe 1, point b), peuvent, dans les limites de cette demande, prendre des mesures de supervision et d’exécution appropriées à l’égard de l’entité concernée qui fournit des services ou qui dispose d’un réseau et d’un système d’information sur leur territoire.

Afin de tenir compte de la nature transfrontière des services et des opérations des fournisseurs de services DNS, des registres des noms de domaine de premier niveau, des entités qui fournissent des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, un seul État membre devrait avoir compétence concernant ces entités. La compétence devrait être attribuée à l’État membre dans lequel l’entité concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel établissement, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. Il convient de considérer que l’établissement principal se trouve dans l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entités dans l’Union. S’il n’est pas possible de déterminer l’État membre dont il s’agit ou si de telles décisions ne sont pas prises dans l’Union, il convient de considérer que l’établissement principal se trouve dans l’État membre où sont effectuées les opérations de cybersécurité. S’il n’est pas possible de déterminer l’État membre dont il s’agit, il convient de considérer que l’établissement principal se trouve dans l’État membre où l’entité possède l’établissement comptant le plus grand nombre de salariés dans l’Union. Lorsque les services sont effectués par un groupe d’entreprises, il convient de considérer que l’établissement principal de l’entreprise qui exerce le contrôle est l’établissement principal du groupe d’entreprises.

Article 26 Compétence et territorialité

Relevant recitals