Source: OJ L, 2024/2690, 18.10.2024Current language: FR
- High common level of cybersecurity for entities
Implementing acts
- Cybersecurity measures and significant incidents for relevant entities
Article premier Objet
Summary What does Article 1 of the Cybersecurity measures and significant incidents for relevant entities say?
This is the foundational scoping article of the Regulation.
It identifies the specific categories of digital and ICT service providers that fall within its scope, collectively referred to as "relevant entities", and sets out the Regulation's two core purposes: establishing technical and methodological requirements for cybersecurity risk-management measures, and defining when an incident must be considered significant.
Both purposes directly implement obligations under NIS2 (Directive (EU) 2022/2555), meaning this Regulation acts as a technical implementing act that gives concrete shape to the broader requirements laid down in that Directive.
Important points:
- Understand whether your organisation falls within one of the listed categories of relevant entities, as this determines whether the Regulation applies to you.
- The Regulation serves two distinct functions: specifying cybersecurity risk-management requirements and defining the threshold for a significant incident.
- Both functions derive their legal basis from NIS2, specifically Articles 21(2) and 23(3) of Directive (EU) 2022/2555.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le présent règlement établit, en ce qui concerne les fournisseurs de services DNS, les registres des noms de domaines de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux et les fournisseurs de services de confiance (ci-après les «entités concernées»), les exigences techniques et méthodologiques liées aux mesures visées à l’article 21, paragraphe 2, de la directive (UE) 2022/2555 et précise plus en détail les cas dans lesquels un incident devrait être considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555.
Relevant recitals
Considérant 1 Relevant entities and purpose of regulation
En ce qui concerne les fournisseurs de services DNS, les registres des noms de domaines de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux et les fournisseurs de services de confiance relevant de l’article 3 de la directive (UE) 2022/2555 (ci-après les «entités concernées»), le présent règlement vise à établir les exigences techniques et méthodologiques liées aux mesures visées à l’article 21, paragraphe 2, de la directive (UE) 2022/2555 et à préciser plus en détail les cas dans lesquels un incident devrait être considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555.
Considérant 2 Trust service providers
Compte tenu de la nature transfrontière de leurs activités et afin de garantir un cadre cohérent pour les prestataires de services de confiance, le présent règlement devrait, en ce qui concerne ces prestataires de services, préciser plus en détail les cas dans lesquels un incident est considéré comme important, en plus d’établir les exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
prestataire de services de confiance
(En. trust service provider)
Definition
service de confiance
(En. trust service)
Definition
risque
(En. risk)
Definition
fournisseur de services gérés
(En. managed service provider)
Definition
moteur de recherche en ligne
(En. online search engine)
Definition
fournisseur de services de sécurité gérés
(En. managed security service provider)
Definition
plateforme de services de réseaux sociaux
(En. social networking services platform)
Definition
cybersécurité
(En. cybersecurity)
Definition
service numérique
(En. digital service)
Definition
fournisseur de services DNS
(En. DNS service provider)
- des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; ou
- des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;
Definition
service de centre de données
(En. data centre service)
Definition
incident
Definition
réseau de diffusion de contenu
(En. content delivery network)
Definition
entité
(En. entity)
Definition
service d’informatique en nuage
(En. cloud computing service)
Definition
place de marché en ligne
(En. online marketplace)
Definition
registre de noms de domaine de premier niveau
(En. top-level domain name registry)