Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 40 Réexamen
Summary What does Article 40 of the NIS 2 directive say?
This is a review clause that places an obligation on the Commission to periodically assess how the Directive is functioning in practice.
The focus of the review is notably specific: rather than a general health-check, it targets whether the scoping criteria — entity size, sectors, subsectors, and types of entity — remain appropriate for the economy and society from a cybersecurity perspective.
To inform this assessment, the Commission must draw on the outputs of the Cooperation Group and the CSIRTs network, connecting this article directly to those cooperative bodies established elsewhere in the Directive.
Important points:
- The Commission is required to conduct a review by 17 October 2027 and every 36 months after that, reporting to the European Parliament and the Council.
- The review must specifically assess whether the size thresholds and sectoral scope set out in Annexes I and II remain fit for purpose in relation to cybersecurity.
- The report may be accompanied by a legislative proposal, meaning the Directive's scope could be revised as a result of the review.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Au plus tard le 17 octobre 2027 et tous les 36 mois par la suite, la Commission réexamine le fonctionnement de la présente directive et en fait rapport au Parlement européen et au Conseil. Le rapport évalue notamment la pertinence de la taille des entités concernées et des secteurs, sous-secteurs et types d’entité visés aux annexes I et II pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité. À cette fin et en vue de faire progresser la coopération stratégique et opérationnelle, la Commission tient compte des rapports du groupe de coopération et du réseau des CSIRT sur l’expérience acquise au niveau stratégique et opérationnel. Le rapport est accompagné, si nécessaire, d’une proposition législative.
Relevant recitals
Considérant 140 Periodic review of this Directive
La Commission devrait réexaminer périodiquement la présente directive, après consultation avec les parties intéressées, notamment en vue de déterminer s’il y a lieu de proposer des modifications pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés. Dans le cadre de ces réexamens, la Commission devrait évaluer la pertinence de la taille des entités concernées, et des secteurs, sous-secteurs et types d’entité visés dans les annexes de la présente directive pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité. La Commission devrait évaluer, entre autres, si les fournisseurs relevant de la présente directive qui sont désignés en tant que très grandes plateformes en ligne au sens de l’article 33 du règlement (UE) 2022/2065 du Parlement européen et du Conseil(24) pourraient être identifiés comme des entités essentielles en vertu de la présente directive.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybersécurité
(En. cybersecurity)
Definition
entité
(En. entity)
Footnote 24