Article 27 Registre des entités

Summary What does Article 27 of the NIS 2 directive say?

This article establishes a registration and information-sharing mechanism for a specific subset of digital infrastructure and service providers — including DNS providers, cloud computing services, data centres, managed service providers, and online platforms.

It works in close conjunction with Article 26, which determines which Member State has jurisdiction over these entities, as entities not established in the Union must provide details of their representative designated under that article.

The core flow is straightforward: entities submit their details to national competent authorities, those authorities pass the information (excluding IP ranges) to ENISA via the single point of contact, and ENISA maintains a central registry that competent authorities can access on request.

Important points:

DNS service providers, TLD name registries, cloud computing service providers, data centre service providers, content delivery network providers, managed service providers, managed security service providers, and providers of online marketplaces, online search engines, and social networking platforms are required to submit registration information to their competent authority by 17 January 2025.
Notify your competent authority of any changes to submitted information within three months of the change occurring.
ENISA is required to create and maintain a central registry of these entities based on information forwarded by Member States' single points of contact, and must give competent authorities access to it upon request while protecting confidentiality where applicable.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. L’ENISA crée et tient, sur la base des informations reçues des points de contact uniques conformément au paragraphe 4, un registre des fournisseurs de services DNS, des registres des noms de domaine de premier niveau, des entités qui fournissent des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux. Sur demande, l’ENISA permet aux autorités compétentes d’accéder à ce registre, tout en veillant à ce que la confidentialité des informations soit protégée, s’il y a lieu.
1. Les États membres demandent aux entités visées au paragraphe 1 de soumettre les informations suivantes aux autorités compétentes au plus tard le 17 janvier 2025:
  1. le nom de l’entité;
  2. les secteur, sous-secteur et type d’entité concernés, visés à l’annexe I ou II, le cas échéant;
  3. l’adresse de l’établissement principal de l’entité et de ses autres établissements légaux dans l’Union ou, si elle n’est pas établie dans l’Union, de son représentant désigné conformément à l’article 26, paragraphe 3;
  4. les coordonnées actualisées, y compris les adresses de courrier électronique et les numéros de téléphone de l’entité et, le cas échéant, de son représentant désigné conformément à l’article 26, paragraphe 3;
  5. les États membres dans lesquels l’entité fournit des services; et
  6. les plages d’IP de l’entité.
1. Les États membres veillent à ce que les entités visées au paragraphe 1 notifient à l’autorité compétente toute modification des informations qu’elles ont communiquées en vertu du paragraphe 2 sans tarder et, en tout état de cause, dans un délai de trois mois à compter de la date de la modification.
1. À la réception des informations visées aux paragraphes 2 et 3, à l’exception des informations visées au paragraphe 2, point f), le point de contact unique de l’État membre concerné les transmet sans retard injustifié à l’ENISA.
1. S’il y a lieu, les informations visées aux paragraphes 2 et 3 du présent article sont communiquées via le mécanisme national visé à l’article 3, paragraphe 4, quatrième alinéa.

Relevant recitals

Considérant 18 Member states' lists of entities

Afin de permettre une vue d’ensemble claire des entités relevant du champ d’application de la présente directive, les États membres devraient établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. À cette fin, les États membres devraient exiger des entités qu’elles communiquent aux autorités compétentes au moins les informations suivantes, à savoir le nom, l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP et les numéros de téléphone de l’entité, et, le cas échéant, le secteur et le sous-secteur concernés visés dans les annexes, ainsi que, le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d’application de la présente directive. À cette fin, la Commission, avec l’aide de l’Agence de l’Union européenne pour la cybersécurité (ENISA), devrait fournir, sans retard injustifié, des lignes directrices et des modèles concernant les obligations de communiquer des informations. Afin de faciliter l’établissement et la mise à jour de la liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine, les États membres devraient pouvoir mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes. Lorsque des registres existent au niveau national, les États membres peuvent décider des mécanismes appropriés permettant d’identifier les entités relevant du champ d’application de la présente directive.

Considérant 117 ENISA registry of certain entities

Afin d’assurer une bonne vue d’ensemble des fournisseurs de services DNS, des registres des noms de domaine de premier niveau, des entités fournissant des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, qui fournissent dans toute l’Union des services relevant du champ d’application de la présente directive, l’ENISA devrait créer et tenir à jour un registre de ces entités, sur la base des informations reçues par les États membres, le cas échéant par l’intermédiaire de mécanismes nationaux mis en place pour que les entités s’inscrivent elles-mêmes. Les points de contact uniques devraient transmettre à l’ENISA les informations et toute modification qui y serait apportée. Afin de garantir l’exactitude et l’exhaustivité des informations qui doivent figurer dans ce registre, les États membres peuvent soumettre à l’ENISA les informations disponibles dans tout registre national sur ces entités. L’ENISA et les États membres devraient prendre des mesures pour faciliter l’interopérabilité de ces registres, tout en assurant la protection des informations confidentielles ou classifiées. L’ENISA devrait établir des protocoles appropriés de classification et de gestion des informations pour assurer la sécurité et la confidentialité des informations divulguées, et réserver l’accès, le stockage et la transmission de ces informations aux utilisateurs à qui elles sont destinées.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.