Article 3, Entités essentielles et importantes

1. Aux fins de la présente directive, les entités suivantes sont considérées comme étant entités essentielles :

(a) les entités d'un type visé à l'annexe I qui dépassent les plafonds pour les moyennes entreprises prévus à l'article 2, paragraphe 1, de l'annexe de la recommandation 2003/361/CE ;

(b) service fiduciaire qualifiéService fiduciaire qualifié Un service de confiance qui satisfait aux exigences applicables énoncées dans le présent règlement - Définition conformément à l'article 3, point (17), du règlement (UE) n° 910/2014. et les registres de noms de domaine de premier niveau, ainsi que les prestataires de services DNS, quelle que soit leur taille ;

(c) les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public qui sont considérés comme des entreprises de taille moyenne au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE ;

(d) les entités de l'administration publique visées à l'article 2, paragraphe 2, point f) i) ;

(e) toute autre entité d'un type visé à l'annexe I ou II qui est identifiée par un État membre comme étant une entité essentielle conformément à l'article 2, paragraphe 2, points (b) à (e) ;

(f) les entités identifiées comme entités critiques au titre de la directive (UE) 2022/2557, visées à l'article 2, paragraphe 3, de la présente directive ;

(g) si l'État membre le prévoit, les entités que cet État membre a identifiées avant le 16 janvier 2023 comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 ou au droit national.

2. Aux fins de la présente directive, les entités d'un type visé à l'annexe I ou II qui ne sont pas considérées comme des entités essentielles en vertu du paragraphe 1 du présent article sont considérées comme étant des entités importantes. Cela inclut les entités identifiées par les États membres comme des entités importantes conformément à l'article 2, paragraphe 2, points b) à e).

3. Au plus tard le 17 avril 2025, les États membres établissent une liste des entités essentielles et importantes ainsi que des entités fournissant des services d'enregistrement de noms de domaine. Les États membres réexaminent et, le cas échéant, mettent à jour cette liste régulièrement et, par la suite, au moins tous les deux ans.

4. Aux fins de l'établissement de la liste visée au paragraphe 3, les États membres exigent des entités visées dans ce paragraphe qu'elles soumettent au moins les informations suivantes aux autorités compétentes :

(a) le nom du entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2);

(b) l'adresse et les coordonnées à jour, y compris les adresses électroniques, les plages IP et les numéros de téléphone ;

(d) le cas échéant, une liste des États membres dans lesquels ils fournissent des services relevant du champ d'application de la présente directive.

Les entités visées au paragraphe 3 notifient toute modification des données soumises conformément au premier alinéa du présent paragraphe sans délai et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

La Commission, avec l'aide de l'Agence de l'Union européenne pour l'environnement et la santé CybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; (ENISA), fournit dans les meilleurs délais des lignes directrices et des modèles concernant les obligations énoncées dans le présent paragraphe.

Les États membres peuvent mettre en place des mécanismes nationaux permettant aux entités de s'enregistrer elles-mêmes.

5. Au plus tard le 17 avril 2025, puis tous les deux ans, les autorités compétentes notifient :

(a) à la Commission et au groupe de coopération le nombre d'entités essentielles et importantes énumérées conformément au paragraphe 3 pour chaque secteur et sous-secteur visé à l'annexe I ou II ; et

(b) à la Commission des informations pertinentes sur le nombre d'entités essentielles et importantes identifiées conformément à l'article 2, paragraphe 2, points b) à e), le secteur et le sous-secteur visés à l'annexe I ou II auxquels elles appartiennent, le type de service qu'elles fournissent et la disposition, parmi celles prévues à l'article 2, paragraphe 2, points b) à e), en vertu de laquelle elles ont été identifiées.

6. Jusqu'au 17 avril 2025 et à la demande de la Commission, les États membres peuvent notifier à la Commission les noms des entités essentielles et importantes visées au paragraphe 5, point b).

Directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'Union (NIS 2)

Directive sur la résilience des entités critiques (CER)

Loi sur la résilience opérationnelle numérique (DORA)

Proposition de nouvelle loi sur la cyber-résilience (CRA)

Liste des services essentiels

Agence européenne pour la cybersécurité

La loi européenne sur les données

Lois et règlements européens dans le contexte de la cybersécurité