Je suis une association de la loi de 1901, suis-je concerné(e) par NIS 2 ?
De manière générale et conformément à l’article 2 paragraphe 1 de la directive NIS 2, celle-ci s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II de cette même directive et qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne. Ces entités doivent également constituer des entreprises moyennes au sens de l’article 2 de l’annexe de la recommandation européenne 2003/361/CE (accessible au lien suivant : EUR-Lex - 32003H0361 - EN - EUR-Lex), ou dépasser les seuils plafonds prévus au paragraphe 1 dudit article.
Une « entité » est définie à l’article 6 point 38 de la directive NIS 2 comme « une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations ». De plus, la recommandation 2003/361/CE apporte des précisions quant à la notion d’« entreprise », définie comme « toute entité, indépendamment de sa forme juridique, exerçant une activité économique. Sont notamment considérées comme telles les entités exerçant une activité artisanale ou d’autres activités à titre individuel ou familial, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique » (cf. article 1 de l’annexe de la recommandation 2003/361/CE). En conséquence, la directive ne distingue pas s’il s’agit d’une entreprise au sens commercial du terme ou non ou encore d’un autre type d’entité. Mais s’il n’existe pas de définition unique de l’entreprise en droit français, le droit de l’Union, que les juridictions françaises appliquent, est clair sur le sujet considérant que la notion d’entreprise doit être considérée de façon large.
Les associations loi 1901 peuvent donc être assujetties à la directive NIS 2 si elles remplissent les critères de définition mentionnés supra et dans l’article 2 de la directive NIS 2, à savoir :
Si elles exercent une activité ou un service dans l’Union européenne, correspondant à l’un des types d’entités mentionnés dans les annexes I ou II de la directive ;
Et si elles constituent des entreprises moyennes au sens de l’article 2 de l’annexe de la recommandation 2003/361/CE ou elles dépassent les seuils plafonds prévus au paragraphe 1 dudit article.
D’autre part, les associations ne répondant pas aux critères de définition mentionnés à l’article 2 de la directive NIS 2 sont néanmoins susceptibles d’être régulées par la directive si elles entrent dans le secteur « administration publique » prévu à l’annexe 1 de la directive à condition :
d’être chargée d’une mission de service public administratif,
d’avoir une compétence nationale,
de ne pas avoir été exclue par arrêté du Premier Ministre compte tenu du faible impact économique et social de leur activité
Par ailleurs, la directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.
Enfin, dans certains cas précis, l’Etat membre peut désigner des entités comme régulées par la réglementation NIS 2, quelle que soit leur taille sur des critères de criticité, conformément à l’article 2, paragraphe 2, points b) à e) de la directive.
L’ANSSI met à disposition au sein de « MonEspaceNIS2 » un simulateur permettant aux futures entités essentielles et importantes de déterminer si elles relèvent de la règlementation. Néanmoins, si l’ANSSI peut fournir une aide aux entités dans la compréhension de la directive, il est bien de la responsabilité de l’entité de réaliser sa propre analyse à l’aide de ressources juridiques afin de déterminer si la directive s’applique à l’entité ou non.
Toutefois, si une entité n’est pas assujettie à la directive NIS 2, elle ne reste pas moins exposée aux risques de cybersécurité. Il est donc indispensable pour l’entité de se prémunir de mesures de cybersécurité. A cette fin, elle pourra s’inspirer des obligations prévues pour les entités dites « importantes » de la directive NIS 2.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Une « entité » est définie à l’article 6 point 38 de la directive NIS 2 comme « une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations ». De plus, la recommandation 2003/361/CE apporte des précisions quant à la notion d’« entreprise », définie comme « toute entité, indépendamment de sa forme juridique, exerçant une activité économique. Sont notamment considérées comme telles les entités exerçant une activité artisanale ou d’autres activités à titre individuel ou familial, les sociétés de personnes ou les associations qui exercent régulièrement une activité économique » (cf. article 1 de l’annexe de la recommandation 2003/361/CE). En conséquence, la directive ne distingue pas s’il s’agit d’une entreprise au sens commercial du terme ou non ou encore d’un autre type d’entité. Mais s’il n’existe pas de définition unique de l’entreprise en droit français, le droit de l’Union, que les juridictions françaises appliquent, est clair sur le sujet considérant que la notion d’entreprise doit être considérée de façon large.
Les associations loi 1901 peuvent donc être assujetties à la directive NIS 2 si elles remplissent les critères de définition mentionnés supra et dans l’article 2 de la directive NIS 2, à savoir :
Si elles exercent une activité ou un service dans l’Union européenne, correspondant à l’un des types d’entités mentionnés dans les annexes I ou II de la directive ;
Et si elles constituent des entreprises moyennes au sens de l’article 2 de l’annexe de la recommandation 2003/361/CE ou elles dépassent les seuils plafonds prévus au paragraphe 1 dudit article.
D’autre part, les associations ne répondant pas aux critères de définition mentionnés à l’article 2 de la directive NIS 2 sont néanmoins susceptibles d’être régulées par la directive si elles entrent dans le secteur « administration publique » prévu à l’annexe 1 de la directive à condition :
d’être chargée d’une mission de service public administratif,
d’avoir une compétence nationale,
de ne pas avoir été exclue par arrêté du Premier Ministre compte tenu du faible impact économique et social de leur activité
Par ailleurs, la directive ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.
Enfin, dans certains cas précis, l’Etat membre peut désigner des entités comme régulées par la réglementation NIS 2, quelle que soit leur taille sur des critères de criticité, conformément à l’article 2, paragraphe 2, points b) à e) de la directive.
L’ANSSI met à disposition au sein de « MonEspaceNIS2 » un simulateur permettant aux futures entités essentielles et importantes de déterminer si elles relèvent de la règlementation. Néanmoins, si l’ANSSI peut fournir une aide aux entités dans la compréhension de la directive, il est bien de la responsabilité de l’entité de réaliser sa propre analyse à l’aide de ressources juridiques afin de déterminer si la directive s’applique à l’entité ou non.
Toutefois, si une entité n’est pas assujettie à la directive NIS 2, elle ne reste pas moins exposée aux risques de cybersécurité. Il est donc indispensable pour l’entité de se prémunir de mesures de cybersécurité. A cette fin, elle pourra s’inspirer des obligations prévues pour les entités dites « importantes » de la directive NIS 2.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 13/03/2025
Merci !