NIS 2 Chapitre 1 Article 3

Article 3 – Entités essentielles et importantes

  1. Aux fins de la présente directive, les entités suivantes sont considérées comme étant des entités essentielles:
    1. les entités d’un type visé à l’annexe I qui dépassent les plafonds applicables aux moyennes entreprises prévus à l’article 2, paragraphe 1, de l’annexe de la recommandation 2003/361/CE;
    2. les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau ainsi que les fournisseurs de services DNS, quelle que soit leur taille;
    3. les fournisseurs de réseaux publics de communications électroniques publics ou de services de communications électroniques accessibles au public qui constituent des moyennes entreprises en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE;
    4. les entités de l’administration publique visées à l’article 2, paragraphe 2, point f) i);
    5. toute autre entité d’un type visé à l’annexe I ou II qui est identifiée par un État membre en tant qu’entité essentielle en vertu de l’article 2, paragraphe 2, points b) à e);
    6. les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, visées à l’article 2, paragraphe 3, de la présente directive;
    7. si l’État membre en dispose ainsi, les entités que cet État membre a identifiées avant le 16 janvier 2023 comme des opérateurs de services essentiels conformément à la directive (UE) 2016/1148 ou au droit national.
  2. Aux fins de la présente directive, les entités d’un type visé à l’annexe I ou II qui ne constituent pas des entités essentielles en vertu du paragraphe 1 du présent article sont considérées comme des entités importantes. Celles-ci incluent les entités identifiées par un État membre en tant qu’entités importantes en vertu de l’article 2, paragraphe 2, points b) à e).
  3. Au plus tard le 17 avril 2025, les États membres établissent une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Les États membres réexaminent cette liste et, le cas échéant, la mettent à jour régulièrement et au moins tous les deux ans par la suite.
  4. Aux fins de l’établissement de la liste visée au paragraphe 3, les États membres exigent des entités visées audit paragraphe qu’elles communiquent aux autorités compétentes au moins les informations suivantes:
    1. le nom de l’entité;
    2. l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP et les numéros de téléphone;
    3. le cas échéant, le secteur et le sous-secteur concernés visés à l’annexe I ou II; et
    4. le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d’application de la présente directive.

    Les entités visées au paragraphe 3 notifient sans tarder toute modification des informations qu’elles ont communiquées conformément au premier alinéa du présent paragraphe et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

    La Commission, avec l’aide de l’Agence de l’Union européenne pour la cybersécurité (ENISA), fournit sans retard injustifié des lignes directrices et des modèles concernant les obligations prévues au présent paragraphe.

    Les États membres peuvent mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes.

  5. Au plus tard le 17 avril 2025, puis tous les deux ans par la suite, les autorités compétentes notifient:
    1. à la Commission et au groupe de coopération le nombre des entités essentielles et importantes identifiées conformément au paragraphe 3 pour chaque secteur et sous-secteur visé à l’annexe I ou II; et
    2. à la Commission les informations pertinentes sur le nombre d’entités essentielles et importantes identifiées en vertu de l’article 2, paragraphe 2, points b) à e), le secteur et le sous-secteur visés à l’annexe I ou II auxquels elles appartiennent, le type de service qu’elles fournissent et la disposition, parmi celles figurant à l’article 2, paragraphe 2, points b) à e), en vertu de laquelle elles ont été identifiées.
  6. Jusqu’au 17 avril 2025 et à la demande de la Commission, les États membres peuvent notifier à la Commission le nom des entités essentielles et importantes visées au paragraphe 5, point b).