Article 3 Entités essentielles et importantes

1. Aux fins de la présente directive, les entités suivantes sont considérées comme étant des entités essentielles:
  1. les entités d’un type visé à l’annexe I qui dépassent les plafonds applicables aux moyennes entreprises prévus à l’article 2, paragraphe 1, de l’annexe de la recommandation 2003/361/CE;
  2. les prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; qualifiés et les registres de noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les fournisseurs de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, quelle que soit leur taille;
  3. les fournisseurs de réseaux publics de communications électroniques publics ou de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public qui constituent des moyennes entreprises en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE;
  4. les entités de l’administration publique visées à l’article 2, paragraphe 2, point f) i);
  5. toute autre entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; d’un type visé à l’annexe I ou II qui est identifiée par un État membre en tant qu’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle en vertu de l’article 2, paragraphe 2, points b) à e);
  6. les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, visées à l’article 2, paragraphe 3, de la présente directive;
  7. si l’État membre en dispose ainsi, les entités que cet État membre a identifiées avant le 16 janvier 2023 comme des opérateurs de services essentiels conformément à la directive (UE) 2016/1148 ou au droit national.
1. Aux fins de la présente directive, les entités d’un type visé à l’annexe I ou II qui ne constituent pas des entités essentielles en vertu du paragraphe 1 du présent article sont considérées comme des entités importantes. Celles-ci incluent les entités identifiées par un État membre en tant qu’entités importantes en vertu de l’article 2, paragraphe 2, points b) à e).
1. Au plus tard le 17 avril 2025, les États membres établissent une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Les États membres réexaminent cette liste et, le cas échéant, la mettent à jour régulièrement et au moins tous les deux ans par la suite.
1. Aux fins de l’établissement de la liste visée au paragraphe 3, les États membres exigent des entités visées audit paragraphe qu’elles communiquent aux autorités compétentes au moins les informations suivantes:
  1. le nom de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;;
  2. l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP et les numéros de téléphone;
  3. le cas échéant, le secteur et le sous-secteur concernés visés à l’annexe I ou II; et
  4. le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d’application de la présente directive.
2. Les entités visées au paragraphe 3 notifient sans tarder toute modification des informations qu’elles ont communiquées conformément au premier alinéa du présent paragraphe et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.
3. La Commission, avec l’aide de l’Agence de l’Union européenne pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; (ENISA), fournit sans retard injustifié des lignes directrices et des modèles concernant les obligations prévues au présent paragraphe.
4. Les États membres peuvent mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes.
1. Au plus tard le 17 avril 2025, puis tous les deux ans par la suite, les autorités compétentes notifient:
  1. à la Commission et au groupe de coopération le nombre des entités essentielles et importantes identifiées conformément au paragraphe 3 pour chaque secteur et sous-secteur visé à l’annexe I ou II; et
  2. à la Commission les informations pertinentes sur le nombre d’entités essentielles et importantes identifiées en vertu de l’article 2, paragraphe 2, points b) à e), le secteur et le sous-secteur visés à l’annexe I ou II auxquels elles appartiennent, le type de service qu’elles fournissent et la disposition, parmi celles figurant à l’article 2, paragraphe 2, points b) à e), en vertu de laquelle elles ont été identifiées.
1. Jusqu’au 17 avril 2025 et à la demande de la Commission, les États membres peuvent notifier à la Commission le nom des entités essentielles et importantes visées au paragraphe 5, point b).

Relevant recitals

Considérant 15 Essential and important entities

Les entités qui relèvent du champ d’application de la présente directive aux fins du respect des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des obligations d’information devraient être classées en deux catégories, entités essentielles et entités importantes, en fonction de la mesure dans laquelle elles sont critiques au regard du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille. À cet égard, il convient de tenir dûment compte, le cas échéant, de toute évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; ou orientation sectorielle pertinente réalisée par les autorités compétentes. Les régimes de supervision et d’exécution applicables à ces deux catégories d’entités devraient être différenciés afin de garantir un juste équilibre entre les exigences et les obligations basées sur les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, d’une part, et la charge administrative qui découle du contrôle de la conformité, d’autre part.

Considérant 16 Partners and linked enterprises

Afin d’éviter que des entités ayant des entreprises partenaires ou des entreprises liées ne soient considérées comme des entités essentielles ou importantes lorsque cela serait disproportionné, les États membres sont en mesure de tenir compte du degré d’indépendance dont jouit une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; à l’égard de ses partenaires et de ses entreprises liées lorsqu’ils appliquent l’article 6, paragraphe 2, de l’annexe de la recommandation 2003/361/CE. En particulier, les États membres sont en mesure de tenir compte du fait qu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; est indépendante de son partenaire ou d’entreprises liées en ce qui concerne le réseau et les systèmes d’information qu’elle utilise pour fournir ses services et en ce qui concerne les services qu’elle fournit. Sur cette base, s’il y a lieu, les États membres peuvent considérer qu’une telle entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; ne constitue pas une entreprise moyenne en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou ne dépasse pas les plafonds applicables à une entreprise moyenne prévus au paragraphe 1 dudit article, si, après prise en compte du degré d’indépendance de ladite entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, celle-ci n’aurait pas été considérée comme constituant une entreprise moyenne ou dépassant lesdits plafonds si seules ses propres données avaient été prises en compte. Cela ne modifie en rien les obligations prévues par la présente directive pour les entreprises partenaires et les entreprises liées qui relèvent du champ d’application de la présente directive.

Considérant 17 Operators of essential services as essential entities

Les États membres devraient pouvoir décider que les entités identifiées, avant l’entrée en vigueur de la présente directive, comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.

Considérant 30 The CER directive

Vu les liens qui existent entre la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) 2022/2557 du Parlement européen et du Conseil(¹³)Règlement (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques et abrogeant la directive 2008/114/CE du Conseil (voir page 164 du présent Journal officiel). et la présente directive. À cet effet, les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557 devraient être considérées comme des entités essentielles en vertu de la présente directive. De plus, chaque État membre devrait veiller à ce que sa stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre; prévoie un cadre d’action pour une coordination renforcée en son sein entre ses autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557, dans le contexte du partage d’informations relatives aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et aux menaces et incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi qu’aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et aux menaces et incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; non liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, et de l’exercice des tâches de supervision. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient coopérer et échanger des informations sans retard injustifié, notamment en ce qui concerne le recensement des entités critiques, les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, les menaces et incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, menaces et incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; non liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; affectant les entités critiques, y compris les mesures physiques et de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adoptées par les entités critiques ainsi que les résultats des activités de supervision réalisées à l’égard de ces entités.

En outre, afin de rationaliser les activités de supervision entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 et de réduire au minimum la charge administrative pour les entités concernées, lesdites autorités compétentes devraient s’efforcer d’harmoniser les modèles de notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et les processus de supervision. Lorsqu’il y a lieu, les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient pouvoir demander aux autorités compétentes en vertu de la présente directive d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; qui est recensée en tant qu’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; critique en vertu de la directive (UE) 2022/2557. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient, si possible en temps réel, coopérer et échanger des informations à cette fin.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.