Articles sur : Périmètre des entités

Quels sont les seuils financiers et d'effectifs à prendre en compte pour déterminer si mon entité est régulée ?

Cas général


Dans le cas général, l’article 2 de la directive NIS 2 indique que cette dernière s’applique aux entités publiques ou privées de 18 secteurs d’activité qui constituent des entreprises moyennes conformément à l’article 2 de l’annexe de la recommandation 2003/361/CE, ou qui dépassent les seuils plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union.

Ces seuils plafonds sont constitués de critères d’effectifs, de chiffre d’affaires et de bilan annuel qui peuvent être consultés au sein de la recommandation européenne 2003/361/CE, accessible au lien suivant : Recommandation de la Commission Européenne du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises

La Commission européenne a également rédigé un « Guide de l’utilisateur pour la définition des Petites et Moyennes Entreprises (PME) » pour expliquer la recommandation susmentionnée. Ce guide est disponible au lien suivant : Guide de l’utilisateur pour la définition des PME - Publications Office of the EU (europa.eu)

Cas particuliers


Pour rappel, la directive s’applique quelle que soit leur taille pour certaines entités qui fournissent des services particuliers telles que :

les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public ;
les prestataires de services de confiance ;
les fournisseurs de registre des noms de domaine de premier niveau et fournisseurs de services de système de noms de domaine ;
les entités fournissant des services d’enregistrement de noms de domaine.

Le périmètre précis de l’administration publique et des collectivités territoriales régulées par NIS 2, quant à lui, sera défini à la promulgation des textes législatifs de transposition. La directive NIS 2 stipule toutefois qu’elle ne s’applique pas aux entités de l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.

Par ailleurs, dans certains cas précis, un Etat membre de l’Union européenne peut désigner des entités comme étant régulées par la réglementation NIS 2, quelle que soit leur taille sur des critères de criticité, conformément à l’article 2, paragraphe 2, points b) à e) de la directive.

Illustration simplifiée


Les tableaux ci-dessous récapitulent à titre strictement indicatif les différents cas de figure usuels, hors administration publique et collectivités territoriales (voir ci-dessus).

Points d’attention

Ces tableaux ont pour objectif d’apporter une vue simplifiée et une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Les libellés des secteurs, sous-secteurs et des types d’entité ont notamment été simplifiés au sein de cette illustration. Le champ d’application exact de la directive ne sera connu qu’à la promulgation de l’ensemble des textes législatifs et réglementaires dédiés dans le cadre de la transposition de la directive NIS 2 en droit national. Aussi, ces tableaux sont dépourvus de force juridique et n’engagent en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 ainsi que la recommandation européenne 2003/361/CE, telles que publiées au Journal officiel de l’Union européenne, restent l’unique référence permettant de déterminer l’intégralité des conditions relatives à leur application, et ce, jusqu’à la promulgation de l’ensemble des textes législatifs et réglementaires de transposition.

Par ailleurs, il est rappelé qu’un Etat membre de l’Union européenne peut désigner au cas par cas des entités quelle que soit leur taille sur des critères de criticité, conformément à l’article 2, paragraphe 2, points b) à e) de la directive NIS 2.

Les définitions des moyennes, petites et micro entreprises sont celles de la recommandation européenne 2003/361/CE dont le lien est donné ci-dessus.

La catégorie « administration publique » – dont les collectivités territoriales – sera incluse à ce tableau après promulgation des textes législatifs, où la répartition de cette catégorie entre « entités essentielles » et « entités importantes » sera précisée.

Les entités fournissant des services d’enregistrement de noms de domaine ne sont pas indiquées dans ce tableau car elles n’entrent pas dans la catégorie des entités essentielles ou importantes. Conformément à la directive NIS 2, elles devront néanmoins s’enregistrer auprès de l’autorité nationale compétente.





Pour aller plus loin :
Si mon entité relève à la fois de l'annexe I et de l'annexe II de la directive, comment la directive s'applique-t-elle à mon entité ?
Application de la directive pour les entités multinationales et disposant de Systèmes d'Information dans plusieurs Etats membres


La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.

Mis à jour le : 04/12/2024

Cet article a-t-il répondu à vos questions ?

Partagez vos commentaires

Annuler

Merci !