La portée de NIS2 démystifiée : comment déterminer si votre organisation est concernée
Qui devrait lire ceci : les responsables de la conformité, les équipes juridiques, les responsables sectoriels et toute personne chargée de déterminer les obligations réglementaires de leur organisation.
L'une des questions les plus fréquemment posées est simple : « Mon organisation est-elle concernée par le NIS2 ? » La réponse dépend de deux facteurs qui créent souvent de la confusion : le type d'organisation que vous êtes et votre taille. Pourtant, la directive contient également des issues de secours, des exceptions et le pouvoir discrétionnaire des États membres qui peuvent transformer une organisation hors champ d'application en une organisation essentielle du jour au lendemain.
Ce guide décrit les règles de champ d'application étape par étape. À la fin, vous serez en mesure de déterminer définitivement si le NIS2 s'applique à votre organisation, à quelle catégorie vous appartenez et quelles obligations en découlent. Vous comprendrez également les zones grises dans lesquelles les États membres disposent d'un pouvoir discrétionnaire, car la question du champ d'application n'est pas toujours une question de oui ou de non.
Le test en deux parties : secteur et taille
Le champ d'application du NIS2 repose sur un simple test en deux parties prévu à l'article 2. Tout d'abord, votre organisation apparaît-elle à l'annexe I ou à l'annexe II ? Deuxièmement, atteint-il le seuil de taille ?
Si les deux réponses sont « oui », votre organisation est concernée, en tant qu'entité essentielle ou importante, selon des critères supplémentaires.
Si vous échouez au test sectoriel (votre type d'entité ne figure pas dans l'annexe I ou II), le test de taille n'est pas pertinent. Vous êtes hors de portée, du moins pour l'instant.
Si vous réussissez le test sectoriel mais que vous échouez au test de taille, vous faites toujours partie du champ d'application en tant qu'entité importante, à moins que votre État membre ne vous désigne comme essentielle pour d'autres raisons.
La compréhension de cette logique constitue la base. Passons en revue chaque partie.
Première partie : Le test sectoriel -- Annexes I et II
L'article 2, paragraphe 1, précise que le NIS2 s'applique aux « entités publiques ou privées du type visé à l'annexe I ou II ». L'annexe I répertorie onze secteurs ; l'annexe II concerne les fournisseurs de services numériques.
Les onze secteurs de l'annexe I sont : l'énergie, les transports, l'eau, la santé, les infrastructures numériques, l'administration publique, l'espace, la production chimique et la gestion des déchets, l'alimentation, l'industrie manufacturière et les services postaux. Il s'agit de grandes catégories, mais chacune comprend des types d'entités spécifiques.
Par exemple, dans le domaine de l'énergie, l'annexe I couvre les entreprises d'électricité, les gestionnaires de réseaux de distribution, les gestionnaires de réseaux de transport, les producteurs, les opérateurs de chauffage urbain, les opérateurs pétroliers et gaziers et les opérateurs d'hydrogène. Un petit installateur de panneaux solaires qui n'exploite pas d'infrastructure n'est pas répertorié. Un opérateur régional de distribution d'électricité est.
Le texte de l'annexe est prescriptif. Si le type de votre organisation n'est pas explicitement répertorié ou n'entre pas dans le champ d'une description répertoriée, vous ne figurez pas dans l'annexe I. Elle est interprétée de manière stricte.
L'annexe II couvre les fournisseurs de services numériques : fournisseurs de services de cloud computing, fournisseurs de services de centres de données, fournisseurs de services DNS, registres de noms de domaine de premier niveau (TLD), fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, moteurs de recherche en ligne, plateformes de services de réseaux sociaux et prestataires de services de confiance (tels que les autorités de certification).
Une entreprise technologique fournissant des logiciels personnalisés aux entreprises ne relève pas de l'annexe II à moins qu'elle ne fournisse également l'un de ces services spécifiques. Une entreprise fournissant une infrastructure cloud le fait certainement.
La première tâche est simple : situez votre organisation dans les annexes I et II. Si vous ne le trouvez pas, ou si votre type d'entité n'est pas répertorié, vous êtes probablement hors du champ d'application du test sectoriel. Passez à la section sur les exceptions.
Comprendre les définitions des annexes I et II
Les annexes utilisent des références à d'autres lois de l'UE pour définir les types d'entités. Par exemple, le secteur 1 de l'annexe I (énergie) fait référence aux « entreprises d'électricité telles que définies à l'article 2, point (57), de la directive (UE) 2019/944 ». Cela signifie que vous devez consulter cette directive pour savoir qui est éligible.
Cette superposition de définitions peut créer de l'ambiguïté. Une approche pratique : si votre organisation exploite des infrastructures critiques dans les domaines de l'énergie, des transports, de l'eau, de la santé ou des services numériques, consultez à la fois l'annexe de la directive NIS2 et la législation sectorielle sous-jacente. Un avocat qui connaît bien ce secteur peut généralement déterminer le champ d'application avec certitude.
Remarque importante : les annexes décrivent les types de services, et non la propriété. Un opérateur de chauffage urbain du secteur privé est concerné s'il est répertorié. Une société énergétique publique est visée. La portée est basée sur les fonctions et non sur la structure organisationnelle.
Deuxième partie : Le test de taille
Si votre organisation passe le test sectoriel, la règle de taille détermine si vous participez ou non, et si vous êtes essentielle ou importante.
L'article 2, paragraphe 1, stipule que la directive s'applique aux entités du type figurant à l'annexe I ou II « qui sont considérées comme des entreprises de taille moyenne au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds pour les entreprises de taille moyenne prévus au paragraphe 1 de cet article ».
Cela signifie que vous êtes concerné si vous êtes une entreprise de taille moyenne ou plus grande. La définition de l'UE des entreprises de taille moyenne figure dans la Recommandation 2003/361/CE. Selon cette définition :
Une entreprise de taille moyenne compte moins de 250 employés et son chiffre d'affaires annuel ne dépasse pas 50 millions d'euros, soit un total de bilan ne dépassant pas 25 millions d'euros.
En d'autres termes, si vous avez plus de 250 employés, si vous avez un chiffre d'affaires de 50 millions d'euros ou plus, ou si vous avez un bilan de 25 millions d'euros ou plus, vous êtes au moins de taille moyenne et d'envergure. Si vous tombez en dessous des trois seuils, vous êtes une petite entreprise ou une microentreprise et vous êtes hors du champ d'application, sauf si les exceptions prévues à l'article 2, paragraphe 2, s'appliquent.
Un détail essentiel : l'article 2, paragraphe 1, du NIS2 intègre la définition des PME de l'UE « telle quelle ». Il stipule : « L'article 3, paragraphe 4, de l'annexe de cette recommandation ne s'applique pas aux fins de la présente directive. » Cette exception est importante : elle signifie que les organisations ne peuvent pas prétendre être exemptées en raison de circonstances spéciales reconnues dans la définition des PME. Les seuils de taille sont strictement appliqués.
Calcul de votre taille
Pour déterminer votre taille, examinez les trois derniers exercices financiers. Si votre organisation fonctionne depuis moins de trois ans, examinez les années pendant lesquelles vous êtes en activité. Vous devez atteindre les seuils pendant deux années consécutives pour être considéré comme la plus petite catégorie.
Pour le chiffre d'affaires et le bilan, utilisez des chiffres consolidés si vous faites partie d'un groupe. Cela empêche les grands groupes multinationaux d'échapper à leur périmètre en créant de petites filiales.
Si vous n'êtes pas certain de votre taille, consultez votre responsable financier et votre auditeur. Le calcul est simple mais doit être correct.
La distinction entre l'essentiel et l'important
Une fois que vous avez confirmé que vous êtes concerné, l'article 3 détermine si vous êtes essentiel ou important.
Une entité est essentielle au sens de l'article 3, paragraphe 1, si : a) elle est visée à l'annexe I, si elle est de taille moyenne ou plus grande ; ou b) si elle figure dans l'annexe I et a été désignée comme essentielle par son État membre ; ou c) si elle est inscrite à l'annexe II et désignée comme essentielle par son État membre.
Toutes les autres entités visées sont des entités importantes.
La distinction pratique réside dans l'intensité de la gouvernance et de la supervision (abordée plus en détail dans un billet ultérieur). Les obligations de gouvernance prévues à l'article 20 s'appliquent de la même manière aux entités essentielles et importantes. L'intensité de la supervision, notamment en ce qui concerne les audits proactifs, pèse davantage sur les entités essentielles.
Le rôle des États membres est essentiel à cet égard. Un petit établissement de santé n'est peut-être pas essentiel selon la règle de la taille brute, mais si votre État membre le désigne comme essentiel en raison de son rôle dans les soins de santé régionaux, il devient essentiel. Cette mesure est discrétionnaire et varie selon les États membres.
Exceptions critiques : lorsque le champ d'application ne s'applique pas
Il existe d'importantes exceptions où les organisations des secteurs de l'annexe I ou II peuvent être hors du champ d'application.
Tout d'abord, les organisations dont la taille est inférieure au seuil sont exclues du champ d'application, sauf si elles sont désignées comme essentielles par leur État membre. Cela ressort clairement de l'article 2, paragraphe 1, lu conjointement avec l'article 2, paragraphe 2, points b) à e).
Deuxièmement, l'article 2, paragraphe 2, confère un pouvoir discrétionnaire à l'État membre. Les États membres peuvent identifier les entités d'un type figurant à l'annexe I ou II qui n'atteignent pas le seuil de taille mais sont essentielles au fonctionnement de la société et les désigner comme essentielles. Cela signifie qu'un petit service d'eau, une coopérative d'électricité régionale ou un fournisseur de cloud spécialisé pourraient devenir essentiels malgré l'échec du test de taille.
Troisièmement, l'annexe I distingue explicitement certains sous-secteurs dans certains États membres. Par exemple, certaines entreprises gazières sont exclues si elles ne répondent pas à des critères spécifiques. Le secteur 1 de l'annexe I (énergie) exclut spécifiquement certains opérateurs d'hydrogène en dessous de certains seuils de production dans certains États membres. Ces exceptions sont étroites, mais elles sont importantes si vous opérez dans cet espace.
Quatrièmement, la directive ne s'applique pas aux entités qui fournissent leurs services ou exercent des activités en dehors de l'Union. L'article 2, paragraphe 1, spécifie « les entités... qui fournissent leurs services ou exercent leurs activités au sein de l'Union ». Un fournisseur de cloud basé aux États-Unis qui n'a ni clients ni infrastructure dans l'UE est hors de portée. Une entité enregistrée en Europe est concernée quel que soit l'endroit où se trouve son siège social.
Désignation de l'État membre : The Wildcard
La principale source d'incertitude est la désignation des États membres conformément à l'article 2, paragraphe 2. Chaque État membre est libre d'identifier des entités supplémentaires, au-delà des seuils de taille, comme essentielles si ces entités sont essentielles au fonctionnement de la société ou à la fourniture de services essentiels.
Ce n'est pas gratuit pour tous. Les États membres doivent agir de manière proportionnée et sont soumis au contrôle de l'UE. Cela signifie toutefois que le champ d'application n'est pas entièrement déterminé par la directive elle-même ; cela dépend également des décisions réglementaires de votre État membre.
Une implication pratique : même si vous êtes en dessous du seuil de taille et que vous pensez que vous êtes hors de portée, surveillez les annonces de désignation de votre État membre. De nombreux États membres sont encore en train d'identifier les entités essentielles. Si votre organisation exploite une infrastructure critique, le risque de désignation n'est pas nul.
À l'inverse, si vous êtes concerné, vous devriez vous adresser à l'autorité réglementaire de votre État membre. Les classifications des champs d'application peuvent parfois être contestées ou clarifiées par le dialogue.
Comment déterminer l'état de votre scope : un flux de travail pratique
Voici une approche étape par étape :
Consultez les annexes I et II : Le type d'entité de votre organisation est-il explicitement répertorié ou décrit ? Si ce n'est pas le cas, vous êtes probablement hors de portée. Si oui, passez à la deuxième étape.
Vérifiez votre taille : calculez le nombre d'employés, le chiffre d'affaires et le bilan sur la base du dernier exercice financier terminé (ou en moyenne sur trois ans si disponible). Atteignez-vous ou dépassez-vous le seuil des entreprises de taille moyenne ? Si ce n'est pas le cas, passez à l'étape 3. Dans l'affirmative, vous êtes concerné en tant qu'entité au moins importante.
Vérifiez la désignation de l'État membre : votre État membre vous a-t-il considéré comme essentiel malgré votre échec au test de taille ? Contactez votre autorité compétente pour confirmer. Si vous êtes désigné, vous êtes essentiel. Si ce n'est pas le cas, vous êtes hors du champ d'application, sauf si la quatrième étape s'applique.
Vérifiez les risques futurs : même si vous êtes hors de portée aujourd'hui, votre État membre pourrait-il vous désigner comme essentiel à l'avenir ? Si vous exploitez une infrastructure critique, surveillez les annonces réglementaires. S'il existe un risque important, commencez à planifier la conformité dès maintenant plutôt que d'attendre la désignation.
Pour les organisations concernées, vérifiez le statut essentiel par rapport au statut important. Consultez l'autorité réglementaire de votre État membre ou votre autorité nationale compétente.
Nuances de portée spécifiques au secteur
Certains secteurs méritent une mention spéciale car le champ d'application peut être contre-intuitif.
Énergie : le NIS2 couvre l'électricité, le pétrole, le gaz, le chauffage/refroidissement urbains et l'hydrogène. Mais les sous-secteurs varient. Un opérateur de microréseau qui ne répond pas à la définition de l'approvisionnement ou de la distribution peut être hors du champ d'application. Un agrégateur fournissant des services de réponse à la demande est prévu. La clé consiste à faire correspondre votre fonction exacte aux descriptions de l'annexe I.
Transport : les compagnies aériennes, les aéroports et les autorités portuaires sont couverts. Mais une entreprise de logistique fournissant du transport terrestre sans posséder d'infrastructures portuaires ou aéroportuaires peut être hors de portée. Les opérateurs de transport routier sont notamment totalement exclus (bien que cela puisse changer).
Services numériques : l'annexe II est large, mais délibérément. Si vous fournissez l'un des services listés (cloud, DNS, CDN, etc.) à n'importe quelle échelle au sein de l'UE, vous êtes probablement concerné, sauf si vous êtes en dessous du seuil de taille ou si vous n'avez aucun client européen.
Santé : les hôpitaux et les prestataires de soins de santé sont concernés s'ils atteignent le seuil de taille. Toutefois, les praticiens privés, les pharmacies et les petites cliniques peuvent être exclus du champ d'application à moins que leur État membre ne les considère comme essentiels.
Administration publique : les organismes publics aux niveaux national, régional et local sont concernés s'ils atteignent le seuil de taille. Cependant, de nombreuses entités de l'administration publique relèvent également de la directive sur les entités critiques (2022/2557), qui a ses propres règles de champ d'application qui peuvent légèrement différer.
Principaux points à retenir
- Le champ d'application du NIS2 dépend de deux tests : secteur (le type de votre organisation est-il répertorié à l'annexe I ou à l'annexe II ?) et taille (êtes-vous de taille moyenne ou plus grande ?) ; vous devez réussir les deux tests pour être concerné, à moins que votre État membre ne vous désigne comme essentiel.
- L'annexe I couvre onze secteurs (énergie, transports, eau, santé, infrastructure numérique, administration publique, espace, produits chimiques, alimentation, fabrication, poste) ; l'annexe II couvre les fournisseurs de services numériques ; un examen attentif du texte de l'annexe et de la législation référencée est nécessaire pour déterminer avec précision le champ d'application.
- Le seuil de taille correspond à la définition des PME de l'UE : plus de 250 employés, soit un chiffre d'affaires de plus de 50 millions d'euros, soit un bilan de plus de 25 millions d'euros ; les organisations dont le chiffre d'affaires est inférieur à ces trois seuils sont généralement exclues du champ d'application, sauf si elles sont désignées comme essentielles par leur État membre.
- Les États membres ont le pouvoir discrétionnaire, en vertu de l'article 2, paragraphe 2, d'identifier d'autres entités comme étant essentielles malgré l'échec au test de taille ; le champ d'application n'est donc pas entièrement déterminé par la directive mais dépend également des décisions réglementaires de chaque État membre.
- Même les organisations hors champ d'application devraient surveiller les annonces de désignation des États membres, en particulier si elles exploitent des infrastructures critiques ; la date limite de mise en conformité du 12 mai 2025 est fixée, de sorte qu'un engagement précoce avec les régulateurs réduit les risques de conformité.
