Votre organisation entre-t-elle dans le champ d’application de NIS 2 ?
Votre organisation entre-t-elle dans le champ d’application de NIS 2 ?
En 2016, la directive NIS initiale faisait référence à 7 secteurs clés. Depuis lors, l'UE a élargi sa vision des secteurs considérés comme essentiels à une société sûre, efficace et efficiente. Dans le cadre de la directive NIS2, le champ d'application s'est donc considérablement élargi avec l'ajout de 9 secteurs supplémentaires. Seize secteurs clés au total, elles relèvent désormais du champ d’application élargi de la directive NIS2 révisée.
Questions à poser
- Notre entreprise fournit-elle un service critique ou une fonction essentielle directement aux clients finaux ou en tant que fournisseur clé qui pourrait avoir un impact sur la sécurité publique ou la stabilité économique, tels que ceux énumérés ici ?
- Notre entreprise opère-t-elle dans un secteur couvert par la directive NIS2, tels que ceux listés ici ?
- Notre entreprise est basée hors de l'UE mais propose des services essentiels au sein de l'UE ? Si tel est le cas, cette directive s'applique également à vous !
- Le principe de la lex specialization s'applique-t-il ? (Lorsqu'un acte juridique sectoriel de l'UE prévoit des exigences équivalentes en matière de cybersécurité ou des obligations de notification d'incident, ces actes sectoriels prévalent, par exemple DORA, PSD2.)
Secteurs critiques : Annexe I et Annexe II
Le champ d'application de la directive NIS2 est couvert par deux annexes. La directive s'applique aux entités publiques et privées visées à l'article 2. Annexe I ou II, comme illustré ci-dessous. Annexe I répertorie les secteurs de haute criticité, qui peuvent être soit un Essentiel ou un Important entité en fonction du chiffre d’affaires annuel total et de la taille de l’organisation.
L’annexe II énumère les autres secteurs critiques définis par l’UE, qui relèveront uniquement de la catégorie des entités importantes.
Critères qui déterminent quelles entreprises doivent se conformer à la NIS 2
Il existe trois critères généraux qui définissent les organisations qui doivent se conformer à la norme NIS 2 :
- Emplacement — s’ils fournissent des services ou exercent des activités dans n’importe quel pays de l’Union européenne (qu’ils soient basés dans l’UE ou non), et
- Taille — si elles sont classées comme organisations de taille moyenne ou grande (voir les critères dans la section ci-dessous), et
- Industrie — s’ils opèrent dans l’un des 18 secteurs énumérés dans le tableau ci-dessous.
Il existe toutefois quelques exceptions à ces règles. Consultez le tableau ci-dessous pour plus d’explications.
Entités essentielles et importantes
La norme NIS2 classe les entités relevant de son champ d'application en deux groupes : « essentielles » et « importantes ». La principale distinction est qu'une interruption des services par les entités du groupe essentiel aurait de graves conséquences pour la société du pays dans son ensemble.
Les deux groupes doivent se conformer aux mêmes mesures de sécurité. Toutefois, les entités de la catégorie essentielle font l’objet d’une surveillance proactive, tandis que les entités importantes ne sont surveillées qu’après le signalement d’un incident de non-conformité. Les organisations doivent déterminer rapidement si elles relèvent du champ d’application et si elles sont classées comme entités essentielles ou importantes.
Les « entités essentielles » et les « entités importantes » sont les termes utilisés dans la norme NIS 2 pour désigner les entreprises et autres organisations qui doivent se conformer à la norme NIS 2.
La norme NIS 2 définit les entités essentielles comme suit :
- Les entreprises classées comme grandes entreprises (voir les critères dans la section suivante) et appartenant à l'un des 11 secteurs critiques (énumérés dans le tableau ci-dessous)
- Fournisseurs de services de confiance
- Fournisseurs de services DNS
- Réseaux publics de communication électronique
- Entités de l'administration publique
- Toute entité critique conformément à la directive sur la résilience des entités critiques (CER) (UE) 2022/2557
- Autres entités spécifiées par les États membres
Les entités importantes sont toutes les autres organisations qui ne sont pas classées comme entités essentielles, mais qui répondent aux 3 critères mentionnés dans la section précédente.
Classification des secteurs : entités essentielles et importantes
Compte tenu de l’explication potentiellement déroutante de la norme NIS2 ci-dessus, le tableau ci-dessous clarifie quelles organisations doivent se conformer à la norme NIS2 et si elles sont classées comme entités essentielles ou importantes.
Pour clarifier davantage, voici comment l'UE classe les entreprises en fonction de leur taille :
- Micro et petites organisations — si elles comptent moins de 50 salariés et réalisent moins de 10 millions d’euros de chiffre d’affaires annuel.
- Les organisations de taille moyenne – si elles comptent entre 50 et 250 salariés et réalisent entre 10 et 50 millions d’euros de chiffre d’affaires annuel.
- Grandes organisations — si elles comptent plus de 250 salariés et réalisent plus de 50 millions d’euros de chiffre d’affaires annuel.
