ISGroup Conseil en Cybersécurité

Quels sont les critères pour déterminer si une entité est considérée comme « essentielle » ou « importante » au sens de la directive NIS2 ?

La directive NIS2 établit deux catégories principales d’entités : les entités essentielles et les entités importantes. La classification repose sur le secteur d’activité de l’entité, sa taille et l’impact potentiel des services essentiels fournis sur la société.

  • Entités essentielles : Elles sont soumises à un régime de supervision plus rigoureux que les entités importantes. Ces entités font face à des audits plus fréquents et stricts, à des sanctions potentiellement plus élevées en cas de non-conformité et à une exigence plus forte d’adopter des mesures de cybersécurité proactives.
  • Entités importantes : Bien qu’elles doivent également respecter les obligations prévues par la NIS2, elles sont soumises à un régime de supervision plus souple que les entités essentielles. Elles disposent d’une plus grande flexibilité quant à la manière de mettre en œuvre les mesures de cybersécurité et font face à des sanctions potentiellement moins lourdes en cas de non-conformité.

[Callforaction-NIS2]

Critères pour les Entités Essentielles :

La directive NIS2 définit les entités essentielles sur la base des critères suivants :

  • Secteur : L’entité opère dans un secteur considéré comme “hautement critique”. L’annexe I de la directive NIS2 énumère ces secteurs, notamment l’énergie, les transports, les banques, la santé, l’eau potable, les eaux usées, les infrastructures numériques, l’administration publique et l’espace. Au sein de chaque secteur, l’annexe précise des sous-secteurs et des types d’entités supplémentaires.
  • Taille : L’entité dépasse le seuil dimensionnel des moyennes entreprises, entrant ainsi dans la catégorie des grandes entreprises.
  • Désignations spécifiques : L’entité relève des désignations spécifiques suivantes :
    • Fournisseurs qualifiés de services de confiance et registres de noms de domaine de premier niveau, ainsi que les fournisseurs de services DNS, quelle que soit leur taille.
    • Entités de l’administration publique telles qu’indiquées à l’article 2, paragraphe 2(f)(i).
    • Entités identifiées comme “critiques” au sens de la directive (UE) 2022/2557, telles qu’indiquées à l’article 2, paragraphe 3.
    • Entités précédemment identifiées par les États membres comme opérateurs de services essentiels au sens de la directive (UE) 2016/1148 ou de la législation nationale, si prévu par l’État membre.
  • Identification par l’État membre : De plus, les États membres ont l’autorité de désigner d’autres entités indiquées dans les annexes I ou II comme essentielles, sur la base des critères indiqués à l’article 2, paragraphe 2(b) à (e). Ces critères concernent :
    • Le rôle de l’entité en tant que fournisseur unique d’un service essentiel pour le maintien des activités économiques ou sociales critiques dans un État membre.
    • L’impact potentiel sur la sécurité publique, la sécurité nationale ou la santé publique en cas d’interruption du service.
    • La capacité de causer un risque systémique significatif, en particulier avec des implications transfrontalières, en cas d’interruption du service.

Critères pour les Entités Importantes :

Les entités importantes sont définies comme suit :

  • Secteur et taille : L’entité appartient à un secteur énuméré dans les annexes I ou II, mais ne remplit pas les critères pour être classée comme entité essentielle. Cela inclut généralement des entités de taille moyenne ou inférieure opérant dans les secteurs spécifiés.
  • Identification par l’État membre : De même que pour les entités essentielles, les États membres peuvent désigner des entités énumérées dans les annexes I ou II comme importantes sur la base des critères spécifiés à l’article 2, paragraphe 2(b) à (e).

Points clés :

  • La classification d’une entité comme essentielle ou importante au sens de la NIS2 dépend d’une combinaison de facteurs, le secteur d’appartenance, la taille et l’impact social potentiel jouant des rôles cruciaux.
  • Les entités essentielles sont soumises à un environnement réglementaire plus strict, avec des obligations de cybersécurité plus contraignantes et des sanctions potentiellement plus élevées en cas de non-conformité. Pour entamer un parcours structuré de mise en conformité avec la directive NIS2, il est utile de commencer par une évaluation de son périmètre et des obligations applicables.
  • Les États membres conservent une certaine flexibilité pour désigner des entités spécifiques comme essentielles ou importantes en fonction du contexte national et des évaluations des risques. Pour les organisations italiennes, une référence pratique est la procédure d’inscription à la liste ACN et les échéances prévues pour les sujets NIS2.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *