ISGroup Conseil en Cybersécurité

Les entités de l’administration publique sont-elles couvertes par la directive NIS2 ?

Oui, les entités de l’administration publique sont couvertes par la directive NIS2, mais avec certaines spécificités. Pour comprendre l’objectif principal de la directive NIS2 et son champ d’application, il est utile de partir de l’analyse des dispositions qui concernent directement le secteur public.

[Callforaction-NIS2]

Voici une analyse détaillée :

  • Inclusion générale : L’article 2 de la directive NIS2 établit explicitement que la directive s’applique aux entités publiques et privées opérant dans divers secteurs. Cela signifie qu’en règle générale, les entités de l’administration publique entrent dans le champ d’application de la NIS2.
  • Dispositions spécifiques pour l’administration publique : Les sources mettent en évidence certaines dispositions au sein de la NIS2 qui concernent directement les entités de l’administration publique :
    • Définition : L’article 25, point 35, définit une « entité de l’administration publique » comme une entité reconnue comme telle dans un État membre en vertu du droit national, à l’exclusion du pouvoir judiciaire, des parlements et des banques centrales. Pour se qualifier comme telle, l’entité doit respecter des critères spécifiques, tels qu’être établie à des fins non commerciales, posséder la personnalité juridique, recevoir des financements principalement de sources publiques et avoir le pouvoir d’adopter des décisions administratives qui affectent certains droits liés au marché intérieur.
    • Entités essentielles : L’article 2, paragraphe 2(f), précise que les entités de l’administration publique peuvent être désignées comme « entités essentielles » au sens de la NIS2. Deux catégories sont spécifiées :
      • (i) Entités appartenant à l’administration centrale, telles que définies par la législation nationale de chaque État membre.
      • (ii) Entités au niveau régional, telles que définies par la législation nationale de chaque État membre, à condition qu’une évaluation des risques détermine que des interruptions de leurs services pourraient avoir un impact significatif sur les activités critiques de la société ou de l’économie.
    • Niveau local et établissements d’enseignement : L’article 2, paragraphe 5, accorde aux États membres la discrétion d’étendre l’application de la NIS2 à :
      • (a) Les entités de l’administration publique au niveau local.
      • (b) Les établissements d’enseignement, en particulier ceux engagés dans des activités de recherche critiques.
    • Exemptions : Bien qu’elles soient généralement incluses, certaines exceptions s’appliquent aux entités de l’administration publique :
      • L’article 2, paragraphe 7, établit que la directive ne s’applique pas aux entités de l’administration publique opérant dans des domaines tels que :
        • La sécurité nationale ;
        • La sécurité publique ;
        • La défense ;
        • L’application de la loi (y compris la prévention, l’enquête, la détection et la poursuite des infractions pénales).
      • L’article 2, paragraphe 8, permet aux États membres d’exempter des entités spécifiques engagées dans la sécurité nationale, la sécurité publique, la défense ou l’application de la loi, ou qui fournissent des services à ces entités, de certaines obligations prévues par les articles 21 (mesures de gestion des risques de cybersécurité) et 23 (obligations de notification des incidents). Les exemptions peuvent également s’appliquer aux articles 3 (stratégies nationales de cybersécurité et désignation des autorités compétentes) et 27 (registre des entités) dans les cas où les activités ou les services d’une entité relèvent exclusivement des catégories exemptées spécifiées.
      • Cependant, l’article 2, paragraphe 9, précise que les paragraphes 7 et 8, relatifs aux exemptions, ne s’appliquent pas lorsqu’une entité agit en tant que prestataire de services de confiance. Cela implique que les entités de l’administration publique qui jouent le rôle de prestataires de services de confiance doivent se conformer à la NIS2, même si leurs activités concernent la sécurité nationale ou d’autres domaines exemptés.
  • Supervision et application : Les sources traitent des aspects relatifs à la supervision et à l’application de la NIS2 à l’égard des entités de l’administration publique :
  • L’article 31, paragraphe 5, précise que les mesures d’application prévues à l’article 32, paragraphe 5 (relatives aux violations de l’article 21 par des entités fournissant des services d’enregistrement de noms de domaine) ne sont pas applicables aux entités de l’administration publique. Cela suggère que, bien que des exemptions à des obligations spécifiques soient possibles, d’autres dispositions de la NIS2, y compris celles relatives à la supervision et à l’application, s’appliquent généralement.
  • L’article 34, paragraphe 7, accorde aux États membres la flexibilité d’établir des règles déterminant le montant des sanctions administratives à imposer aux entités de l’administration publique pour violation de la NIS2. Cela indique la reconnaissance de la nature spécifique de l’administration publique et la nécessité de mécanismes d’application sur mesure.

Points clés :

  • La directive NIS2 couvre un large spectre d’entités de l’administration publique à différents niveaux de gouvernance.
  • La directive reconnaît le rôle unique de l’administration publique en prévoyant des dispositions spécifiques relatives aux définitions, aux exemptions et à l’application.
  • Bien qu’il existe des exemptions pour les entités engagées dans des secteurs sensibles tels que la sécurité nationale et la défense, l’intention générale est d’inclure les entités de l’administration publique dans le champ d’application de la NIS2 afin de renforcer la cybersécurité dans toute l’UE. Pour les entités qui entrent dans le périmètre, entamer un parcours structuré de conformité à la directive NIS2 est l’étape concrète pour respecter les obligations prévues. Pour vérifier si votre organisation est déjà incluse dans la liste des sujets NIS2 gérée par l’ACN et les échéances relatives, il est utile de consulter les indications opérationnelles publiées par l’autorité nationale compétente. Le texte intégral de la réglementation est disponible dans le document officiel de la directive NIS2.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *