Article 3 Entités essentielles et importantes

Summary What does Article 3 of the NIS 2 directive say?

This article establishes the two-tier classification system at the heart of the Directive, dividing in-scope entities into "essential" and "important" categories.

Building directly on the scope established in Article 2, it defines which entities fall into the higher-priority "essential" designation — covering large operators in Annex I sectors, certain digital infrastructure providers regardless of size, central government public administration bodies, and entities carried over from the predecessor Directive (EU) 2016/1148.

All remaining in-scope entities default to the "important" category.

The article then sets up the administrative machinery to make this classification operational, requiring Member States to compile and maintain a registered list of entities in both categories, and placing reporting obligations on both the entities themselves and competent authorities toward the Commission and the Cooperation Group.

Important points:

Member States are required to establish a list of essential and important entities by 17 April 2025, and review it at least every two years.
Submit your organisation's name, contact details, relevant sector, and Member States of operation to the competent authority, and notify any changes within two weeks.
Competent authorities are required to report entity counts and related information to the Commission and the Cooperation Group by 17 April 2025 and every two years thereafter.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Aux fins de la présente directive, les entités suivantes sont considérées comme étant des entités essentielles:
  1. les entités d’un type visé à l’annexe I qui dépassent les plafonds applicables aux moyennes entreprises prévus à l’article 2, paragraphe 1, de l’annexe de la recommandation 2003/361/CE;
  2. les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau ainsi que les fournisseurs de services DNS, quelle que soit leur taille;
  3. les fournisseurs de réseaux publics de communications électroniques publics ou de services de communications électroniques accessibles au public qui constituent des moyennes entreprises en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE;
  4. les entités de l’administration publique visées à l’article 2, paragraphe 2, point f) i);
  5. toute autre entité d’un type visé à l’annexe I ou II qui est identifiée par un État membre en tant qu’entité essentielle en vertu de l’article 2, paragraphe 2, points b) à e);
  6. les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557, visées à l’article 2, paragraphe 3, de la présente directive;
  7. si l’État membre en dispose ainsi, les entités que cet État membre a identifiées avant le 16 janvier 2023 comme des opérateurs de services essentiels conformément à la directive (UE) 2016/1148 ou au droit national.
1. Aux fins de la présente directive, les entités d’un type visé à l’annexe I ou II qui ne constituent pas des entités essentielles en vertu du paragraphe 1 du présent article sont considérées comme des entités importantes. Celles-ci incluent les entités identifiées par un État membre en tant qu’entités importantes en vertu de l’article 2, paragraphe 2, points b) à e).
1. Au plus tard le 17 avril 2025, les États membres établissent une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Les États membres réexaminent cette liste et, le cas échéant, la mettent à jour régulièrement et au moins tous les deux ans par la suite.
1. Aux fins de l’établissement de la liste visée au paragraphe 3, les États membres exigent des entités visées audit paragraphe qu’elles communiquent aux autorités compétentes au moins les informations suivantes:
  1. le nom de l’entité;
  2. l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP et les numéros de téléphone;
  3. le cas échéant, le secteur et le sous-secteur concernés visés à l’annexe I ou II; et
  4. le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d’application de la présente directive.
2. Les entités visées au paragraphe 3 notifient sans tarder toute modification des informations qu’elles ont communiquées conformément au premier alinéa du présent paragraphe et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.
3. La Commission, avec l’aide de l’Agence de l’Union européenne pour la cybersécurité (ENISA), fournit sans retard injustifié des lignes directrices et des modèles concernant les obligations prévues au présent paragraphe.
4. Les États membres peuvent mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes.
1. Au plus tard le 17 avril 2025, puis tous les deux ans par la suite, les autorités compétentes notifient:
  1. à la Commission et au groupe de coopération le nombre des entités essentielles et importantes identifiées conformément au paragraphe 3 pour chaque secteur et sous-secteur visé à l’annexe I ou II; et
  2. à la Commission les informations pertinentes sur le nombre d’entités essentielles et importantes identifiées en vertu de l’article 2, paragraphe 2, points b) à e), le secteur et le sous-secteur visés à l’annexe I ou II auxquels elles appartiennent, le type de service qu’elles fournissent et la disposition, parmi celles figurant à l’article 2, paragraphe 2, points b) à e), en vertu de laquelle elles ont été identifiées.
1. Jusqu’au 17 avril 2025 et à la demande de la Commission, les États membres peuvent notifier à la Commission le nom des entités essentielles et importantes visées au paragraphe 5, point b).

Relevant recitals

Considérant 15 Essential and important entities

Les entités qui relèvent du champ d’application de la présente directive aux fins du respect des mesures de gestion des risques en matière de cybersécurité et des obligations d’information devraient être classées en deux catégories, entités essentielles et entités importantes, en fonction de la mesure dans laquelle elles sont critiques au regard du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille. À cet égard, il convient de tenir dûment compte, le cas échéant, de toute évaluation des risques ou orientation sectorielle pertinente réalisée par les autorités compétentes. Les régimes de supervision et d’exécution applicables à ces deux catégories d’entités devraient être différenciés afin de garantir un juste équilibre entre les exigences et les obligations basées sur les risques, d’une part, et la charge administrative qui découle du contrôle de la conformité, d’autre part.

Considérant 16 Partners and linked enterprises

Afin d’éviter que des entités ayant des entreprises partenaires ou des entreprises liées ne soient considérées comme des entités essentielles ou importantes lorsque cela serait disproportionné, les États membres sont en mesure de tenir compte du degré d’indépendance dont jouit une entité à l’égard de ses partenaires et de ses entreprises liées lorsqu’ils appliquent l’article 6, paragraphe 2, de l’annexe de la recommandation 2003/361/CE. En particulier, les États membres sont en mesure de tenir compte du fait qu’une entité est indépendante de son partenaire ou d’entreprises liées en ce qui concerne le réseau et les systèmes d’information qu’elle utilise pour fournir ses services et en ce qui concerne les services qu’elle fournit. Sur cette base, s’il y a lieu, les États membres peuvent considérer qu’une telle entité ne constitue pas une entreprise moyenne en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou ne dépasse pas les plafonds applicables à une entreprise moyenne prévus au paragraphe 1 dudit article, si, après prise en compte du degré d’indépendance de ladite entité, celle-ci n’aurait pas été considérée comme constituant une entreprise moyenne ou dépassant lesdits plafonds si seules ses propres données avaient été prises en compte. Cela ne modifie en rien les obligations prévues par la présente directive pour les entreprises partenaires et les entreprises liées qui relèvent du champ d’application de la présente directive.

Considérant 17 Operators of essential services as essential entities

Les États membres devraient pouvoir décider que les entités identifiées, avant l’entrée en vigueur de la présente directive, comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.

Considérant 30 The CER directive

Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) 2022/2557 du Parlement européen et du Conseil(¹³) et la présente directive. À cet effet, les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557 devraient être considérées comme des entités essentielles en vertu de la présente directive. De plus, chaque État membre devrait veiller à ce que sa stratégie nationale en matière de cybersécurité prévoie un cadre d’action pour une coordination renforcée en son sein entre ses autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557, dans le contexte du partage d’informations relatives aux risques et aux menaces et incidents en matière de cybersécurité, ainsi qu’aux risques et aux menaces et incidents non liés à la cybersécurité, et de l’exercice des tâches de supervision. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient coopérer et échanger des informations sans retard injustifié, notamment en ce qui concerne le recensement des entités critiques, les risques, les menaces et incidents en matière de cybersécurité, ainsi que les risques, menaces et incidents non liés à la cybersécurité affectant les entités critiques, y compris les mesures physiques et de cybersécurité adoptées par les entités critiques ainsi que les résultats des activités de supervision réalisées à l’égard de ces entités.

En outre, afin de rationaliser les activités de supervision entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 et de réduire au minimum la charge administrative pour les entités concernées, lesdites autorités compétentes devraient s’efforcer d’harmoniser les modèles de notification des incidents et les processus de supervision. Lorsqu’il y a lieu, les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient pouvoir demander aux autorités compétentes en vertu de la présente directive d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité qui est recensée en tant qu’entité critique en vertu de la directive (UE) 2022/2557. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient, si possible en temps réel, coopérer et échanger des informations à cette fin.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.