NIS2

Publié le 02 oct 2024

4. Qui est concerné ?

Le champ d’application de la directive NIS2 porte sur les règles de cybersécurité limitées à certaines entités (fournissant des services essentiels au maintien d’activités sociétales ou économiques critiques). La directive NIS2 détermine, en effet, des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’UE pour certaines entités qualifiées comme “essentielles” ou “importantes”, en raison des services qu’elles fournissent et de leur taille.

Là où la directive précédente prévoyait une procédure nationale d’identification des opérateurs de services essentiels, la directive NIS2 utilise désormais l’activité exercée au sein de l’une de ses annexes et la taille de l’entité comme critères pour déterminer si celle-ci entre ou non dans le champ d’application.

Les entités concernées sont celles fournissant des services essentiels énumérés dans les “secteurs hautement critiques” de l’annexe I ou dans les “autres secteurs critiques” de l’annexe II, qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE [8], ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union.

En effet, l’Union européenne applique à présent une règle associée à un plafond explicite à 18 secteurs, à savoir à 11 secteurs énumérés à l’annexe I et à 7 secteurs énumérés à l’annexe II (voir Tableau ci-dessous). Ainsi, toute entité visée à l’annexe I doit, pour être considérée comme importante, compter au moins 50 travailleurs ou réaliser un chiffre d’affaires annuel de plus de 10 millions d’euros. Si le nombre de ses travailleurs se monte à ou moins 250 et si son chiffre d’affaires annuel dépasse 50 millions d’euros, l’entité visée est jugée essentielle (voir schéma dans la figure ci-dessous).

Les obligations de la directive NIS2 ne s’appliquent donc qu’à un nombre limité d’entités faisant partie de secteurs critiques et fournissant des services d’intérêt général pour la population et les entreprises, ou critiques pour le potentiel économique du pays.

Le Centre pour la Cybersécurité Belgique (CCB) [9] a calculé que la Belgique compte environ 800 entités essentielles et 1.600 entités importantes. Au total, 2.400 entités devraient relever donc du champ d’application de cette législation, y compris les autorités publiques.

[8] Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises.
[9] CCB : https://ccb.belgium.be

Tableau. Secteurs critiques des entités concernées par la directive NIS2 Entreprises, gestionnaires, producteurs, opérateurs, acteurs, exploitants, entités, sociétés, fournisseurs, prestataires, laboratoires… dans les secteurs et sous-secteurs suivants

Secteurs hautement critiques (Annexe I de la directive) 1. Énergie : électricité, réseaux de chaleur et de froid, pétrole, gaz, hydrogène 2. Transports : transports aériens, transports ferroviaires, transports par eau, transports routiers 3. Secteur bancaire 4. Infrastructures des marchés financiers 5. Santé 6. Eau potable 7. Eaux usées 8. Infrastructure numérique 9. Gestion des services TIC (interentreprises) 10. Administration publique 11. Espace

Autres secteurs critiques (Annexe II de la directive) 1. Services postaux et d’expédition 2. Gestion des déchets 3. Fabrication, production et distribution de produits chimiques 4. Production, transformation et distribution des denrées alimentaires 5. Fabrication : dispositifs médicaux et dispositifs médicaux de diagnostic in vitro, produits informatiques, électroniques et optiques, équipements électriques, machines et équipements, véhicules automobiles, remorques et semi-remorques, autres matériels de transport 6. Fournisseurs numériques 7. Recherche

Note : Les annexes I et II sont plus détaillées que ce tableau, il y a donc lieu de s’y référer.

Figure. Ce logigramme vous permettra de savoir si votre entreprise est concernée par la directive NIS2.

Source : CNPP