1. La présente directive s'applique aux entités publiques ou privées d'un type visé à l'annexe I ou II qui sont considérées comme des moyennes entreprises au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds fixés pour les moyennes entreprises au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités dans l'Union.
L'article 3, paragraphe 4, de l'annexe de ladite recommandation ne s'applique pas aux fins de la présente directive.
2. Quelle que soit leur taille, la présente directive s'applique également aux entités d'un type visé à l'annexe I ou II, lorsque :
(a) les services sont fournis par :
(i) les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public ;
(ii) service fiduciaireService de confiance Désigne un service électronique normalement fourni contre rémunération qui consiste en : a) la création, la vérification et la validation de signatures électroniques, de cachets électroniques ou d'horodatages électroniques, de services d'envoi recommandé électronique et de certificats liés à ces services, ou b) la création, la vérification et la validation de certificats pour l'authentification de sites web ; ou c) la conservation de signatures électroniques, de cachets ou de certificats liés à ces services. - Définition selon l'article 3, point (16), du règlement (UE) n° 910/2014. fournisseurs ;
(iii) les registres de noms de domaine de premier niveau et les prestataires de services de systèmes de noms de domaine ;
(b) le entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) est le seul fournisseur, dans un État membre, d'un service essentiel au maintien d'activités sociétales ou économiques critiques ;
(c) l'interruption du service fourni par l'entité pourrait avoir un impact significatif sur la sécurité publique, la sûreté publique ou la santé publique ;
(d) l'interruption du service fourni par l'entité pourrait induire un risque systémique important. risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)Les perturbations de l'activité économique peuvent avoir des conséquences transfrontalières, en particulier dans les secteurs où elles sont susceptibles d'avoir un impact transfrontalier ;
(e) l'entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d'autres secteurs interdépendants dans l'État membre ;
(f) l'entité est une entité de l'administration publiqueEntité de l'administration publique désigne une entité reconnue comme telle dans un État membre conformément au droit national, à l'exclusion du pouvoir judiciaire, des parlements et des banques centrales, qui satisfait aux critères suivants : (a) elle est créée pour satisfaire des besoins d'intérêt général et n'a pas de caractère industriel ou commercial ; (b) elle a la personnalité juridique ou est habilitée par la loi à agir au nom d'une autre entité dotée de la personnalité juridique ; (c) elle est financée, pour l'essentiel, par des fonds publics ; (c) elle est financée majoritairement par l'État, les collectivités territoriales ou d'autres organismes de droit public, elle est soumise au contrôle de gestion de ces autorités ou organismes, ou elle est dotée d'un organe d'administration, de direction ou de surveillance dont plus de la moitié des membres sont désignés par l'État, les collectivités territoriales ou d'autres organismes de droit public ; d) elle a le pouvoir d'adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de circulation transfrontalière des personnes, des biens, des services ou des capitaux. - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2):
(i) de l'administration centrale telle que définie par un État membre conformément au droit national ; ou
(ii) au niveau régional, tel que défini par un État membre conformément au droit national, qui, à la suite d'une évaluation fondée sur les risques, fournit des services dont l'interruption pourrait avoir un impact significatif sur des activités sociétales ou économiques critiques.
3. Quelle que soit leur taille, la présente directive s'applique aux entités identifiées comme entités critiques au titre de la directive (UE) 2022/2557.
4. Quelle que soit leur taille, la présente directive s'applique aux entités qui fournissent des services d'enregistrement de noms de domaine.
5. Les États membres peuvent prévoir que la présente directive s'applique aux :
(a) les entités de l'administration publique au niveau local ;
(b) les établissements d'enseignement, en particulier lorsqu'ils mènent des activités de recherche essentielles.
6. La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de leur pouvoir de sauvegarder d'autres fonctions essentielles de l'État, y compris la garantie de l'intégrité territoriale de l'État et le maintien de l'ordre public.
7. La présente directive ne s'applique pas aux entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention, la recherche, la détection et la poursuite des infractions pénales.
8. Les États membres peuvent exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention, la recherche, la détection et la poursuite d'infractions pénales, ou qui fournissent des services exclusivement aux entités de l'administration publique visées au paragraphe 7 du présent article, des obligations prévues à l'article 21 ou 23 en ce qui concerne ces activités ou services. Dans ces cas, les mesures de surveillance et d'exécution visées au chapitre VII ne s'appliquent pas à ces activités ou services spécifiques. Lorsque les entités exercent des activités ou fournissent des services exclusivement du type visé au présent paragraphe, les États membres peuvent décider d'exempter également ces entités des obligations prévues aux articles 3 et 27.
9. Les paragraphes 7 et 8 ne s'appliquent pas lorsqu'une entité agit en tant que prestataire de services fiduciairesPrestataire de services fiduciaires désigne une personne physique ou morale qui fournit un ou plusieurs services de confiance en tant que prestataire de services de confiance qualifié ou non qualifié - Définition selon l'article 3, point (19), du règlement (UE) n° 910/2014..
10. La présente directive ne s'applique pas aux entités que les États membres ont exclues du champ d'application du règlement (UE) n° 2022/2554 conformément à l'article 2, paragraphe 4, dudit règlement.
11. Les obligations prévues par la présente directive n'impliquent pas la fourniture d'informations dont la divulgation serait contraire aux intérêts essentiels de la sécurité nationale, de la sécurité publique ou de la défense des États membres.
12. La présente directive s'applique sans préjudice du règlement (UE) 2016/679, de la directive 2002/58/CE, des directives 2011/93/UE et 2013/40/UE du Parlement européen et du Conseil et de la directive (UE) 2022/2557.
13. Sans préjudice de l'article 346 du TFUE, les informations confidentielles en vertu des règles de l'Union ou des règles nationales, telles que les règles relatives au secret des affaires, ne sont échangées avec la Commission et les autres autorités compétentes conformément à la présente directive que lorsque cet échange est nécessaire à l'application de la présente directive. Les informations échangées sont limitées à celles qui sont pertinentes et proportionnées à l'objectif de cet échange. L'échange d'informations préserve la confidentialité de ces informations et protège la sécurité et les intérêts commerciaux des entités concernées.
14. Les entités, les autorités compétentes, les points de contact uniques et les CSIRT traitent les données à caractère personnel dans la mesure nécessaire aux fins de la présente directive et conformément au règlement (UE) 2016/679, en particulier ce traitement s'appuie sur son article 6.
Le traitement des données à caractère personnel en vertu de la présente directive par les fournisseurs de réseaux publics de communications électroniques ou les fournisseurs de services de communications électroniques accessibles au public est effectué conformément au droit de l'Union en matière de protection des données et au droit de l'Union en matière de protection de la vie privée, en particulier la directive 2002/58/CE.