• Comment savoir si la directive NIS 2 s'applique à mon entité ?

  De manière générale, pour déterminer si l'activité d'une entité relève d'un secteur ou d'un sous-secteur identifié dans l'une des annexes de la directive, il convient de se référer aux définitions auxquelles ces annexes renvoient. L'entité titulaire de la personnalité morale serait alors susceptible d'être considérée comme entité essentielle ou comme entité importante si l'une de ses activités relève d'un secteur ou sous-secteur identifié dans les annexes de la directive. Elle doit également rPopulaire

• Directive NIS 2 et Directive REC

  Les entités régulées par la présente directive ainsi que par la directive (UE) 2022/2557 sur la résilience des entités critiques (dite directive REC) sont-elles considérées exclusivement comme des entités essentielles au titre de la présente directive ? Les entités désignées comme critiques, au titre de la directive (UE) 2022/2557 sur la résilience des entités critiques (REC) sont en effet automatiquement considérées comme entités essentielles au titre de la directive NIS 2. La présente FoirPopulaire

• Concrètement qui sera concerné par le nouveau périmètre d'application de NIS 2 ?

  A l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. Les principaux critères d’intégration ont été définis au niveau européen. Il s’agit principalement du nombre d’employés, du chiffre d’affaires et de la nature de l’activité réalisée par l’entité.Quelques lectures

• Application de la directive pour les entités multinationales et disposant de Systèmes d'Information dans plusieurs Etats membres

  Mon entité est une multinationale, présente en France mais disposant de filiales et de Systèmes d’Information (SI) dans plusieurs Etats membres et hors de l’Union européenne : la directive s’applique-t-elle à toutes mes entités ? Si oui, comment ? En propos liminaire, l’ANSSI rappelle qu’au regard de la variété des cas possibles, une analyse juridique approfondie par l’entité elle-même demeure nécessaire et ne se substitue pas aux éléments indiqués ci-dessous. Tout d’abord, la directiQuelques lectures

• Je suis une collectivité territoriale, serai-je concernée par NIS 2 ?

  L’ANSSI constate que le niveau de la menace contre les collectivités territoriales est élevé et cela a des effets délétères au niveau sociétal. La directive NIS 2 prévoit la régulation d’entités privées et des administrations publiques et offre la possibilité pour les Etats membres de réguler les collectivités territoriales. Cette régulation étant optionnelle, il est trop tôt pour détailler la manière dont les collectivités seront intégrées. Au regard de leur niveau de préparation et du niveau éQuelques lectures

• Les entités seront-elles informées individuellement, par exemple via une notification, qu’elles devront se conformer à NIS 2 ?

  Il revient aux entités importantes ou essentielles de s’enregistrer elles-mêmes auprès de l’ANSSI. La directive prévoit qu’il appartient aux entités, qu’elles soient importantes ou essentielles, de s'identifier comme telles auprès de l'autorité compétente, en lui communiquant ses coordonnées, son ou ses secteur(s) et sous-secteur(s) de rattachement et la liste d’Etats membres dans lesquels elle fournit des services. Pour ce faire, l’ANSSI prévoit plusieurs actions d’accompagnement : L’agenPeu de lectures

• Qu'en est-il de la chaîne d'approvisionnement, des administrations et des collectivités territoriales ?

  Les acteurs de la chaîne d’approvisionnement, dont les acteurs du numérique, seront soumis au dispositif. Ces acteurs sont en effet de plus en plus ciblés par des cyberattaques qui visent à atteindre, à travers eux, des clients finaux d’importance plus critiques. Ils verront donc également leur niveau de sécurité numérique renforcé. Autre nouveauté, les administrations centrales des Etats membres ainsi que certaines collectivités territoriales intègreront également le périmètre de NIS 2.Peu de lectures

• Quelle communication est prévue par l'ANSSI pour prévenir les OSE ?

  Au regard de l'article 3 de la directive NIS 2, les opérateurs de services essentiels (OSE), historiquement régulés par NIS 1, peuvent être considérés comme entités essentielles (EE) au titre de NIS 2. Dans ce cadre, quelle communication est prévue par l'ANSSI pour prévenir les OSE ? La directive NIS 2 laisse la possibilité aux Etats membres de décider que les Opérateurs de services essentiels (OSE) au titre de NIS 1 soient considérés comme Entité Essentielle (EE) au titre de NIS 2. Ce point sePeu de lectures

• Si mon entité relève à la fois de l'annexe I et de l'annexe II de la directive, comment la directive s'applique-t-elle à mon entité ?

  Si une entité relève des deux annexes et qu'elle répond au moins à une définition de l'annexe I de la directive, la directive s’appliquera à cette entité considérée comme une « entité essentielle », sous réserve de remplir les autres conditions prévues par la directive (tel que le fait d’excéder les seuils correspondants, selon les cas, aux petites ou au moyennes entreprises au sens de la définition de la PME donnée à l’article 2 de l’annexe de la recommandation européenne 2003/361). La présePeu de lectures

• Si mon entité s’interroge sur l’applicabilité de la réglementation NIS 2, qui peut-elle contacter pour être accompagnée ?

  Pour accompagner les entités dans la compréhension de la réglementation, l’ANSSI développe le service numérique « MonEspaceNIS2 ». Actuellement en version bêta, « MonEspaceNIS2 » propose les services d’aide suivants, qui seront enrichis au fil du temps : Un test en ligne, accessible au lien suivant : MonEspaceNIS2 - Suis-je concerné ? - Pour bien débuter (cyber.gouv.fr). Ce test, à valeur indicative, permet d’aider l’entité à déterminer si ePeu de lectures

• La directive NIS 2 s’applique-t-elle aux entités établies dans les DROM (Départements et Régions d’Outre-Mer) ?

  La directive NIS 2 s’applique bien aux entités établies dans les Départements et Régions d’Outre-Mer (la Guadeloupe, la Guyane, La Réunion, la Martinique et Mayotte), son application étant identique à celle prévue pour les entités établies dans les départements et régions de la France hexagonale. Pour en savoir plus : consulter notre question/réponse « Comment savoir si la directive NIS 2 s'applique à mon entité ? » (/fr/article/comment-savoir-si-la-directive-nis-2-sapplique-a-mon-entite-1o0qPeu de lectures

• Quels seront les mécanismes d'ajustement actionnables pour les exceptions et cas particuliers ?

  La directive prévoit effectivement un mécanisme d’ajustement du périmètre de base permettant d’affiner la liste des entités concernées, au regard de spécificités propres à chaque Etat membre de l’UE. Ainsi, dans le cas où le critère de taille n’est pas atteint, il pourra être envisagé d’intégrer par désignation, au sein du périmètre qui sera définit lors des travaux de transposition : les entités ayant des monopoles d’activité essentielle au maintien d’activités sociétales ou économiques criPeu de lectures

• Est-ce que la directive NIS 2 s'appliquera à tous les établissements SEVESO en France ?

  Le Secrétariat Général pour la Sécurité et la Défense Nationale (SGDSN) n'a pas proposé de surtransposer le périmètre initial de la directive NIS 2. Néanmoins, ce point reste en discussion au niveau du législateur jusqu'à la promulgation des textes. La présente Foire Aux Questions a pour but d’apporter une orientation générale aux futures entités régulées et autres parties intéressées dans le cadre de l’application de la directive NIS 2. Elle est dépourvue de force juridique et n’engage en auPeu de lectures

• Je suis une association de la loi de 1901, suis-je concerné(e) par NIS 2 ?

  De manière générale et conformément à l’article 2 paragraphe 1 de la directive NIS 2, celle-ci s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II de cette même directive et qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne. Ces entités doivent également constituer des entreprises moyennes au sens de l’article 2 de l’annexe de la recommandation européenne 2003/361/CE (accessible au lien suivant : EUR-Lex - 32003H0361 - EN - EUR-LePeu de lectures

• Quelles sont les entités concernées par le secteur « production, transformation et distribution des denrées alimentaires » de la directive ?

  De manière générale, et conformément à l’article 2, la directive NIS 2 s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II qui constituent des entreprises moyennes de l’annexe de la recommandation 2003/361/CE, ou qui dépassent les seuils plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne. La directive NIS 2 intègre dans l’annexe II le secteur « Production, transformation et distribPeu de lectures

• Quels sont les seuils financiers et d'effectifs à prendre en compte pour déterminer si mon entité est régulée ?

  Cas général Dans le cas général, l’article 2 de la directive NIS 2 indique que cette dernière s’applique aux entités publiques ou privées de 18 secteurs d’activité qui constituent des entreprises moyennes conformément à l’article 2 de l’annexe de la recommandation 2003/361/CE, ou qui dépassent les seuils plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union. Ces seuils plafonds sont constitués de critères d’effectifQuelques lectures