Quels sont les seuils financiers et d'effectifs à prendre en compte pour déterminer si mon entité est régulée ?
Les seuils d’effectifs, de chiffre d’affaires et de bilan annuel à prendre en compte pour déterminer si la directive s’applique à mon entité publique ou privée sont ceux visés à l’article 2 de la directive, qui renvoient à ceux de l’article 2 de l’annexe de la recommandation européenne 2003/361/CE.
La recommandation européenne 2003/361/CE est accessible au lien suivant :
Recommandation de la Commission du 6 mai 2003
La Commission européenne a également rédigé un « Guide de l’utilisateur pour la définition des Petites et Moyennes Entreprises (PME) » pour expliquer la recommandation susmentionnée. Ce guide est disponible au lien suivant :
Guide de l’utilisateur pour la définition des PME - Publications Office of the EU (europa.eu)
En revanche, pour rappel, la directive s’applique quelle que soit leur taille pour certaines entités qui fournissent des services particuliers telles que :
- les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public ;
- les prestataires de services de confiance ;
- les fournisseurs de registre des noms de domaine de premier niveau et fournisseurs de services de système de noms de domaine ;
- les entités fournissant des services d’enregistrement de noms de domaine.
Par ailleurs, dans certains cas précis, un Etat membre de l’Union européenne peut désigner des entités quelle que soit leur taille sur des critères de criticité, conformément à l’article 2, paragraphe 2, points b) à e) de la directive.
S’agissant des seuils d’assujettissement des collectivités territoriales, l’hypothèse de travail actuellement retenue serait celui du nombre d’habitants. Cette hypothèse devra néanmoins être confirmée lors de la promulgation des textes législatifs et réglementaires.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
La recommandation européenne 2003/361/CE est accessible au lien suivant :
Recommandation de la Commission du 6 mai 2003
La Commission européenne a également rédigé un « Guide de l’utilisateur pour la définition des Petites et Moyennes Entreprises (PME) » pour expliquer la recommandation susmentionnée. Ce guide est disponible au lien suivant :
Guide de l’utilisateur pour la définition des PME - Publications Office of the EU (europa.eu)
En revanche, pour rappel, la directive s’applique quelle que soit leur taille pour certaines entités qui fournissent des services particuliers telles que :
- les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public ;
- les prestataires de services de confiance ;
- les fournisseurs de registre des noms de domaine de premier niveau et fournisseurs de services de système de noms de domaine ;
- les entités fournissant des services d’enregistrement de noms de domaine.
Par ailleurs, dans certains cas précis, un Etat membre de l’Union européenne peut désigner des entités quelle que soit leur taille sur des critères de criticité, conformément à l’article 2, paragraphe 2, points b) à e) de la directive.
S’agissant des seuils d’assujettissement des collectivités territoriales, l’hypothèse de travail actuellement retenue serait celui du nombre d’habitants. Cette hypothèse devra néanmoins être confirmée lors de la promulgation des textes législatifs et réglementaires.
La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en aucune façon l’ANSSI. La directive 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 telle que publiée au Journal officiel de l’Union européenne est l’unique référence permettant de déterminer l’intégralité des conditions relatives à l’application de cette même directive.
Mis à jour le : 18/07/2024
Merci !