ISGroup Conseil en Cybersécurité

Quels sont les seuils dimensionnels pour relever du champ d’application de la NIS2 ?

La directive NIS2 introduit un changement significatif par rapport à sa version précédente, en intégrant les seuils dimensionnels comme critère clé pour déterminer si une entité relève de son champ d’application. Les sources indiquent une approche à deux niveaux : un seuil dimensionnel général basé sur la taille de l’entreprise et une approche plus flexible qui prend en compte des facteurs autres que la taille.

[Callforaction-NIS2]

  • Seuil dimensionnel général : L’article 2 de la directive NIS2 établit la règle générale d’inclusion basée sur la taille. Les entités relèvent généralement du champ d’application de la directive si elles remplissent l’un des critères suivants :
    • Entreprise de taille moyenne : Classée comme entreprise de taille moyenne au sens de l’article 2, paragraphe 1, de l’annexe à la recommandation 2003/361/CE.
    • Dépassement des seuils pour les entreprises de taille moyenne : Dépassement des seuils maximaux pour les entreprises de taille moyenne, tels qu’établis à l’article 2, paragraphe 1, de l’annexe à la recommandation 2003/361/CE.
  • Au-delà de la taille : Flexibilité pour les États membres : Bien que la taille soit un facteur primaire, la directive NIS2 reconnaît que même les plus petites entités pourraient représenter un risque significatif pour la cybersécurité. Elle accorde aux États membres la discrétion d’inclure des entités qui ne répondent pas au seuil dimensionnel général sur la base de critères spécifiques :
    • Profil de risque élevé : Les États membres peuvent identifier des entités de petite taille présentant un profil de risque élevé et les soumettre aux obligations de la directive NIS2. Les critères pour déterminer un profil de risque élevé ne sont pas explicitement définis dans les textes fournis, ce qui suggère que les États membres peuvent disposer d’une certaine marge d’autonomie dans la définition de ces critères.
    • Entités essentielles : L’article 2, paragraphe 2, points b) à e), permet aux États membres de désigner certaines entités comme « entités essentielles », même si elles ne satisfont pas aux seuils dimensionnels généraux. Cette désignation dépend de la possibilité que des interruptions des services offerts par l’entité puissent avoir un impact significatif sur le maintien des activités critiques de la société ou de l’économie. Les facteurs permettant de faire cette détermination incluent :
      • L’entité est le seul fournisseur dans un État membre d’un service considéré comme essentiel au maintien de fonctions vitales de la société ou de l’économie.
      • La possibilité que des interruptions des services offerts par l’entité puissent avoir un impact substantiel sur la sécurité publique, la santé publique ou la sécurité nationale.
      • La possibilité que des interruptions des services offerts par l’entité puissent entraîner un risque systémique significatif, en particulier dans les secteurs où de telles interruptions pourraient avoir des implications transfrontalières.
  • Cas spécifiques indépendamment de la taille : Certaines entités, indépendamment de leur taille, relèvent automatiquement du champ d’application de la NIS2 :
    • Entités critiques : L’article 2, paragraphe 3, établit que la directive s’applique à toutes les entités désignées comme « entités critiques » au sens de la directive (UE) 2022/2557. Cela implique que les infrastructures critiques et les entités essentielles à la sécurité nationale ou aux services essentiels sont couvertes par la NIS2, quelle que soit leur taille.
    • Services d’enregistrement de noms de domaine : L’article 2, paragraphe 4, impose que la directive s’applique à toutes les entités fournissant des services d’enregistrement de noms de domaine, indépendamment de leur taille. Cela souligne le rôle critique de l’enregistrement des noms de domaine dans la cybersécurité et l’importance de garantir que ces entités respectent des normes de sécurité solides.

En résumé, bien que la NIS2 introduise un seuil dimensionnel général basé sur la définition d’entreprise de taille moyenne, elle permet aux États membres une certaine flexibilité pour inclure des entités plus petites en fonction des profils de risque ou si elles sont considérées comme des fournisseurs de services essentiels. De plus, certaines entités critiques et fournisseurs de services d’enregistrement de noms de domaine sont couverts indépendamment de leur taille. Si votre organisation entre dans l’un de ces périmètres, un parcours structuré de mise en conformité avec la directive NIS2 aide à identifier les obligations applicables et à planifier les mesures nécessaires — y compris les échéances d’enregistrement sur la liste ACN que les sujets NIS2 doivent respecter.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *