NIS 2 Chapitre 1 Article 2

Article 2 – Champ d’application

  1. La présente directive s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union.

    L’article 3, paragraphe 4, de l’annexe de ladite recommandation ne s’applique pas aux fins de la présente directive.

  2. La présente directive s’applique également aux entités d’un type visé à l’annexe I ou II, quelle que soit leur taille, dans les cas suivants:
    1. les services sont fournis par:
      1. des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public;
      2. des prestataires de services de confiance;
      3. des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine;
    2. l’entité est, dans un État membre, le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques;
    3. une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique;
    4. une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière;
    5. l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants dans l’État membre;
    6. l’entité est une entité de l’administration publique:
      1. des pouvoirs publics centraux tels qu’ils sont définis par un État membre conformément au droit national; ou
      2. au niveau régional, tel qu’il est défini par un État membre conformément au droit national, qui, à la suite d’une évaluation basée sur les risques, fournit des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.
  3. La présente directive s’applique aux entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, quelle que soit leur taille.
  4. La présente directive s’applique aux entités fournissant des services d’enregistrement de noms de domaine, quelle que soit leur taille.
  5. Les États membres peuvent prévoir que la présente directive s’applique:
    1. aux entités de l’administration publique au niveau local;
    2. aux établissements d’enseignement, en particulier lorsqu’ils mènent des activités de recherche critiques.
  6. La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de leur pouvoir de garantir d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer l’intégrité territoriale de l’État et de maintenir l’ordre public.
  7. La présente directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.
  8. Les États membres peuvent exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ou qui fournissent des services exclusivement aux entités de l’administration publique visées au paragraphe 7 du présent article, des obligations prévues à l’article 21 ou 23 en ce qui concerne ces activités ou services. Dans de tels cas, les mesures de supervision et d’exécution visées au chapitre VII ne s’appliquent pas à ces activités ou services spécifiques. Lorsque les entités exercent des activités ou fournissent des services exclusivement du type visé au présent paragraphe, les États membres peuvent également décider d’exempter ces entités des obligations prévues aux articles 3 et 27.
  9. Les paragraphes 7 et 8 ne s’appliquent pas lorsqu’une entité agit en tant que prestataire de services de confiance.
  10. La présente directive ne s’applique pas aux entités que les États membres ont exclues du champ d’application du règlement (UE) 2022/2554 conformément à l’article 2, paragraphe 4, dudit règlement.
  11. Les obligations énoncées dans la présente directive n’impliquent pas la fourniture d’informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.
  12. La présente directive est sans préjudice du règlement (UE) 2016/679, de la directive 2002/58/CE, des directives 2011/93/UE (27) et 2013/40/UE (28) du Parlement européen et du Conseil et de la directive (UE) 2022/2557.
  13. Sans préjudice de l’article 346 du traité sur le fonctionnement de l’Union européenne, les informations considérées comme confidentielles en application de la réglementation de l’Union ou nationale, telle que les règles applicables au secret des affaires, ne peuvent faire l’objet d’un échange avec la Commission et d’autres autorités concernées conformément à la présente directive que si cet échange est nécessaire à l’application de la présente directive. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif de cet échange. Cet échange d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.
  14. Les entités, les autorités compétentes, les points de contact uniques et les CSIRT traitent les données à caractère personnel dans la mesure nécessaire aux fins de la présente directive et conformément au règlement (UE) 2016/679; ce traitement est fondé en particulier sur l’article 6 dudit règlement.

    Le traitement des données à caractère personnel en vertu de la présente directive par les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public est effectué conformément au droit de l’Union en matière de protection des données et au droit de l’Union en matière de protection de la vie privée, en particulier la directive 2002/58/CE.

(27) Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).
(28) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).