La directive NIS2 étend son champ d’application aux entités opérant dans des secteurs spécifiques, même si elles ne sont pas établies dans l’UE. La directive met l’accent sur l’endroit où une entité fournit ses services ou exerce ses activités, plutôt que sur son siège physique.

L’Article 2, Paragraphe 1 établit que la directive s’applique aux entités publiques ou privées des types énumérés aux Annexes I ou II, « considérées comme des entreprises de taille moyenne… ou dépassant les plafonds prévus pour les entreprises de taille moyenne… et qui fournissent leurs services ou exercent leurs activités au sein de l’Union. »

L’Article 2, Paragraphe 2 précise en outre que la directive s’applique aux entités énumérées aux Annexes I ou II, indépendamment de leur taille, si leurs services sont fournis par :

• Des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public ;
• Des prestataires de services de confiance.

L’Article 2, Paragraphe 4 précise que la directive s’applique également aux entités fournissant des services d’enregistrement de noms de domaine, indépendamment de leur taille.

L’Article 26 établit la juridiction et la territorialité de la directive. En particulier, l’Article 26, Paragraphe 1(b) précise que certaines entités relèvent de la juridiction de la directive en fonction de la localisation de leur établissement principal dans l’UE. Cela inclut les fournisseurs de services du système de noms de domaine, les registres de noms de domaine de premier niveau, les entités offrant des services d’enregistrement de noms de domaine, les fournisseurs de services cloud, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de réseaux sociaux.

Pour garantir la conformité des entités non établies dans l’UE mais offrant des services à l’intérieur de ses frontières, l’Article 26, Paragraphe 3 impose à ces entités de désigner un représentant au sein de l’UE. Ce représentant doit être établi dans l’un des États membres où les services sont fournis. Les organisations se trouvant dans cette situation et devant entamer un parcours structuré de mise en conformité à la NIS2 peuvent trouver utile un soutien spécialisé pour cartographier les obligations applicables et définir des actions concrètes.

Points clés :

• L’applicabilité de la directive NIS2 repose sur le lieu où une entité exerce ses activités ou fournit ses services, et non exclusivement sur le lieu où elle est établie.
• Les entités opérant dans des secteurs tels que les communications électroniques, les services de confiance et l’enregistrement de noms de domaine, entre autres, sont particulièrement soumises à la NIS2 même si elles sont établies en dehors de l’UE, dès lors qu’elles fournissent des services au sein de l’Union.
• L’exigence de désigner un représentant dans l’UE garantit que les entités extérieures à l’UE puissent être tenues responsables de la conformité à la NIS2.

Considérations supplémentaires :

• Il n’est pas précisé comment l’UE entend faire respecter la directive NIS2 auprès des entités opérant dans des juridictions sans accords de coopération avec l’UE. Il pourrait être nécessaire d’approfondir cet aspect par des recherches complémentaires. Pour ceux qui souhaitent partir du texte officiel de la directive NIS2, le document intégral de référence est disponible.

[Callforaction-NIS2-Footer]