Source: OJ L 333, 27.12.2022, p. 80–152

Current language: FR

Article 6 Définitions

Summary What does Article 6 of the NIS 2 directive say?

This is the definitions article for the NIS2 Directive, and it is notably extensive, providing 41 defined terms that underpin the entire regulatory framework.

Rather than creating wholly new concepts, it largely anchors key terms to definitions already established in other EU legal acts — such as the EU Cybersecurity Act (Regulation (EU) 2019/881) and the European Electronic Communications Code (Directive (EU) 2018/1972) — ensuring consistency across the broader EU digital and cybersecurity legislative landscape.

Beyond cross-references, the article also sets out several definitions specific to this Directive's context, covering everything from core technical concepts like incidents, vulnerabilities, and cyber threats, to the various types of entities and service providers that fall within the scope of the Directive.

Important points:

  • The definitions here directly shape who is captured by the Directive — understanding terms like "entity", "managed service provider", "public administration entity", and "DNS service provider" is essential to determining whether your organisation falls within scope.
  • A distinction is drawn between an "incident" (an event that actually compromises systems or data) and a "near miss" (an event that could have done so but did not materialise), both of which are relevant to reporting obligations under Article 23.
  • Many definitions are borrowed from other EU regulations, meaning the meaning of terms such as "cybersecurity", "cyber threat", and "ICT product" is governed by those external instruments, not defined independently here.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Aux fins de la présente directive, on entend par:

  1. «réseau et système d’information»:

    1. un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;

    2. tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou

    3. les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;

  2. «sécurité des réseaux et des systèmes d’information»: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;

  3. «cybersécurité»: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;

  4. «stratégie nationale en matière de cybersécurité»: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;

  5. «incident évité»: un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, mais dont la réalisation a pu être empêchée ou ne s’est pas produite;

  6. «incident»: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;

  7. «incident de cybersécurité majeur»: un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres;

  8. «traitement des incidents»: toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier;

  9. «risque»: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;

  10. «cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;

  11. «cybermenace importante»: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable;

  12. «produit TIC»: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;

  13. «service TIC»: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;

  14. «processus TIC»: un processus TIC au sens de l’article 2, point 14), du règlement (UE) 2019/881;

  15. «vulnérabilité»: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;

  16. «norme»: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29);

  17. «spécification technique»: une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012;

  18. «point d’échange internet»: une structure de réseau qui permet l’interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet, qui n’assure l’interconnexion que pour des systèmes autonomes et qui n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic;

  19. «système de noms de domaine» ou «DNS»: un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources;

  20. «fournisseur de services DNS»: une entité qui fournit:

    1. des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; ou

    2. des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;

  21. «registre de noms de domaine de premier niveau»: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;

  22. «entité fournissant des services d’enregistrement de noms de domaine»: un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire;

  23. «service numérique»: un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil(30);

  24. «service de confiance»: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014;

  25. «prestataire de services de confiance»: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;

  26. «service de confiance qualifié»: un service de confiance qualifié au sens de l’article 3, point 17, du règlement (UE) no 910/2014;

  27. «prestataire de services de confiance qualifié»: un prestataire de services de confiance qualifié au sens de l’article 3, point 20, du règlement (UE) no 910/2014;

  28. «place de marché en ligne»: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil(31);

  29. «moteur de recherche en ligne»: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32);

  30. «service d’informatique en nuage»: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;

  31. «service de centre de données»: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;

  32. «réseau de diffusion de contenu»: un réseau de serveurs géographiquement répartis visant à assurer la haute disponibilité, l’accessibilité ou la fourniture rapide de contenu et de services numériques aux utilisateurs d’internet pour le compte de fournisseurs de contenu et de services;

  33. «plateforme de services de réseaux sociaux»: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations;

  34. «représentant»: une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente directive;

  35. «entité de l’administration publique»: une entité reconnue comme telle dans un État membre conformément au droit national, à l’exclusion de la justice, des parlements et des banques centrales, qui satisfait aux critères suivants:

    1. elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial;

    2. elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique;

    3. elle est financée majoritairement par l’État, les autorités régionales ou d’autres organismes de droit public, sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les autorités régionales ou d’autres organismes de droit public;

    4. elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux;

  36. «réseau de communications électroniques public»: un réseau de communications électroniques public au sens de l’article 2, point 8), de la directive (UE) 2018/1972;

  37. «service de communications électroniques»: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972;

  38. «entité»: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;

  39. «fournisseur de services gérés»: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;

  40. «fournisseur de services de sécurité gérés»: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;

  41. «organisme de recherche»: une entité dont l’objectif premier est de mener des activités de recherche appliquée ou de développement expérimental en vue d’exploiter les résultats de cette recherche à des fins commerciales, à l’exclusion des établissements d’enseignement.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod