Application de la directive pour les entités multinationales et disposant de Systèmes d'Information dans plusieurs Etats membres
Mon entité est une multinationale, présente en France mais disposant de filiales et de Systèmes d’Information (SI) dans plusieurs Etats membres et hors de l’Union européenne : la directive s’applique-t-elle à toutes mes entités ? Si oui, comment ?
En propos liminaire, l’ANSSI rappelle qu’au regard de la variété des cas possibles, une analyse juridique approfondie par l’entité elle-même demeure nécessaire et ne se substitue pas aux éléments indiqués ci-dessous.
Tout d’abord, la directive NIS 2 (ci-après NIS 2) définit la notion d’« entité » comme telle : « une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations. ». De manière générale, NIS 2 s’applique aux entités qui appartiennent aux secteurs et sous-secteurs visés aux annexes I ou II de la directive et qui excèdent les seuils (effectif, chiffre d’affaire ou bilan annuel de l’entreprise) correspondant, selon les cas, aux petites ou au moyennes entreprises au sens de la définition de la PME donnée à l’article 2 de l’annexe de la recommandation européenne 2003/361. Au-delà de ces critères généraux, il existe également des critères spécifiques pour désigner certaines entités supplémentaires appartenant à ces secteurs d’activité, notamment au regard du degré de criticité qui peut être indépendant de la taille de l’entité. Ces critères sont énoncés aux articles 2 et 3 de la directive NIS 2 et les entités sont amenées à les consulter pour mener une analyse juridique exhaustive.
Concernant la notion de lieu « d’établissement » il convient tout d’abord de rappeler plusieurs cas particuliers prévus par la directive à l’article 26 :
Pour les fournisseurs de réseaux de communications électroniques et les fournisseurs de services de communications électroniques accessibles au public, c’est le critère de la fourniture des services qui est déterminant. Ainsi, peut relever de la compétence distincte et concurrente de plusieurs Etats membres une entité essentielle ou importante qui fournit des services dans différents États membres.
Pour les acteurs du numérique (fournisseurs de services DNS, des registres des noms de domaine de premier niveau, des entités qui fournissent des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux), ces entités relèvent de la compétence d’un seul État membre, à savoir celui de l’établissement principal, selon les critères d’établissement détaillés à l’article 26, paragraphes 2 et 3 de la directive NIS 2. Il s’agit en premier lieu de l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si un tel État membre ne peut être déterminé ou si ces décisions ne sont pas prises dans l’Union, l’établissement principal est considéré comme se trouvant dans l’État membre où les opérations de cybersécurité sont effectuées. Si un tel Etat membre ne peut être déterminé, il s’agira alors de l’Etat membre où l’entité possède l’établissement comptant le plus grand nombre de salariés dans l’Union.
Pour les entités de l’administration publique, elles sont considérées comme relevant de la compétence de l’État membre qui les a établies, conformément à l’article 26.1 de la directive.
Pour les autres « entités » ne relevant pas de ces cas particuliers, c’est le droit de l’Etat membre où elles sont établies qui s’applique. Comme le précise le considérant 114 de la directive et conformément à une jurisprudence constante sur la notion d’établissement, le critère d’établissement suppose l’exercice effectif d’une activité au moyen d’une installation stable. C’est donc une notion assez large et la forme juridique retenue pour un tel établissement n’est pas déterminante, il peut s’agir à la fois d’une succursale, d’un bureau ou d’une filiale (dans ce dernier cas ayant la personnalité juridique).
Comme indiqué dans la directive, la notion d’entité "établie" sur le territoire d'un Etat membre (au sens juridique du terme), est indépendante de la localisation des SI, qui peuvent être hébergés dans un autre Etat membre, voire hors de l’Union européenne. Ce qui est déterminant en revanche est l’établissement de l'entité qui les opère, quelle que soit la forme de l’établissement (cf. supra). Les mesures de la directive en matière de cybersécurité s’imposent donc à tout SI ou réseau fournissant des services en France, ou dans tout autre Etat membre de l’Union européenne, indépendamment de sa localisation.
Les groupes d’entreprises ayant une structure complexe, notamment les multinationales, devraient, pour chacune des entités (au sens de la définition ci-dessus) dont elles ont le contrôle, déterminer pour chacune d’elles individuellement si elle répond aux critères fixés par la directive. Aussi, par exemple et sous réserve d’une analyse au cas par cas par les entités :
Le « groupe » n’a pas de personnalité juridique en droit français et ne sera pas en tant que tel soumis à la directive mais les sociétés qui le composent pourront l’être ;
Un « groupe », composé de filiales sœurs et d’une maison mère, pourrait éventuellement être considéré comme une seule individualité (en fonction de si les entités qui le composent sont considérées comme entreprises partenaires ou liées au sens de l’annexe de la recommandation de la Commission du 6 mai 2003 concernant la définition des micros, petites et moyennes entreprises) ;
Un « groupe » peut contenir simultanément des entités essentielles et des entités importantes.
Par conséquent, si une entité se compose de plusieurs entités considérées comme essentielles ou importantes car elles répondent aux critères fixés par la directive et que ces entités sont établies dans différents Etats membres, il appartient à chaque entité de s’enregistrer individuellement auprès de la ou les autorité(s) nationale(s) compétente(s).
Pour aller plus loin :
Quels sont les seuils financiers et d'effectifs à prendre en compte pour déterminer si mon entité est régulée ?
Si mon entité relève à la fois de l'annexe I et de l'annexe II de la directive, comment la directive s'applique-t-elle à mon entité ?
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
En propos liminaire, l’ANSSI rappelle qu’au regard de la variété des cas possibles, une analyse juridique approfondie par l’entité elle-même demeure nécessaire et ne se substitue pas aux éléments indiqués ci-dessous.
Tout d’abord, la directive NIS 2 (ci-après NIS 2) définit la notion d’« entité » comme telle : « une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations. ». De manière générale, NIS 2 s’applique aux entités qui appartiennent aux secteurs et sous-secteurs visés aux annexes I ou II de la directive et qui excèdent les seuils (effectif, chiffre d’affaire ou bilan annuel de l’entreprise) correspondant, selon les cas, aux petites ou au moyennes entreprises au sens de la définition de la PME donnée à l’article 2 de l’annexe de la recommandation européenne 2003/361. Au-delà de ces critères généraux, il existe également des critères spécifiques pour désigner certaines entités supplémentaires appartenant à ces secteurs d’activité, notamment au regard du degré de criticité qui peut être indépendant de la taille de l’entité. Ces critères sont énoncés aux articles 2 et 3 de la directive NIS 2 et les entités sont amenées à les consulter pour mener une analyse juridique exhaustive.
Concernant la notion de lieu « d’établissement » il convient tout d’abord de rappeler plusieurs cas particuliers prévus par la directive à l’article 26 :
Pour les fournisseurs de réseaux de communications électroniques et les fournisseurs de services de communications électroniques accessibles au public, c’est le critère de la fourniture des services qui est déterminant. Ainsi, peut relever de la compétence distincte et concurrente de plusieurs Etats membres une entité essentielle ou importante qui fournit des services dans différents États membres.
Pour les acteurs du numérique (fournisseurs de services DNS, des registres des noms de domaine de premier niveau, des entités qui fournissent des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux), ces entités relèvent de la compétence d’un seul État membre, à savoir celui de l’établissement principal, selon les critères d’établissement détaillés à l’article 26, paragraphes 2 et 3 de la directive NIS 2. Il s’agit en premier lieu de l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si un tel État membre ne peut être déterminé ou si ces décisions ne sont pas prises dans l’Union, l’établissement principal est considéré comme se trouvant dans l’État membre où les opérations de cybersécurité sont effectuées. Si un tel Etat membre ne peut être déterminé, il s’agira alors de l’Etat membre où l’entité possède l’établissement comptant le plus grand nombre de salariés dans l’Union.
Pour les entités de l’administration publique, elles sont considérées comme relevant de la compétence de l’État membre qui les a établies, conformément à l’article 26.1 de la directive.
Pour les autres « entités » ne relevant pas de ces cas particuliers, c’est le droit de l’Etat membre où elles sont établies qui s’applique. Comme le précise le considérant 114 de la directive et conformément à une jurisprudence constante sur la notion d’établissement, le critère d’établissement suppose l’exercice effectif d’une activité au moyen d’une installation stable. C’est donc une notion assez large et la forme juridique retenue pour un tel établissement n’est pas déterminante, il peut s’agir à la fois d’une succursale, d’un bureau ou d’une filiale (dans ce dernier cas ayant la personnalité juridique).
Comme indiqué dans la directive, la notion d’entité "établie" sur le territoire d'un Etat membre (au sens juridique du terme), est indépendante de la localisation des SI, qui peuvent être hébergés dans un autre Etat membre, voire hors de l’Union européenne. Ce qui est déterminant en revanche est l’établissement de l'entité qui les opère, quelle que soit la forme de l’établissement (cf. supra). Les mesures de la directive en matière de cybersécurité s’imposent donc à tout SI ou réseau fournissant des services en France, ou dans tout autre Etat membre de l’Union européenne, indépendamment de sa localisation.
Les groupes d’entreprises ayant une structure complexe, notamment les multinationales, devraient, pour chacune des entités (au sens de la définition ci-dessus) dont elles ont le contrôle, déterminer pour chacune d’elles individuellement si elle répond aux critères fixés par la directive. Aussi, par exemple et sous réserve d’une analyse au cas par cas par les entités :
Le « groupe » n’a pas de personnalité juridique en droit français et ne sera pas en tant que tel soumis à la directive mais les sociétés qui le composent pourront l’être ;
Un « groupe », composé de filiales sœurs et d’une maison mère, pourrait éventuellement être considéré comme une seule individualité (en fonction de si les entités qui le composent sont considérées comme entreprises partenaires ou liées au sens de l’annexe de la recommandation de la Commission du 6 mai 2003 concernant la définition des micros, petites et moyennes entreprises) ;
Un « groupe » peut contenir simultanément des entités essentielles et des entités importantes.
Par conséquent, si une entité se compose de plusieurs entités considérées comme essentielles ou importantes car elles répondent aux critères fixés par la directive et que ces entités sont établies dans différents Etats membres, il appartient à chaque entité de s’enregistrer individuellement auprès de la ou les autorité(s) nationale(s) compétente(s).
Pour aller plus loin :
Quels sont les seuils financiers et d'effectifs à prendre en compte pour déterminer si mon entité est régulée ?
Si mon entité relève à la fois de l'annexe I et de l'annexe II de la directive, comment la directive s'applique-t-elle à mon entité ?
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 28/10/2024
Merci !