Article 6, Définitions - Directive NIS2 (UE) 2022/2555

Directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'Union (NIS 2)

Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'Union.

Directive sur la résilience des entités critiques (CER)

Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 concernant la résilience des entités critiques et abrogeant la directive 2008/114/CE du Conseil.

Loi sur la résilience opérationnelle numérique (DORA)

Directive (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 relative à la résilience opérationnelle numérique du secteur financier et aux règlements modificatifs

Proposition de nouvelle loi sur la cyber-résilience (CRA)

Proposition : Règlement du Parlement européen et du Conseil concernant les exigences horizontales en matière de cybersécurité applicables aux produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020

Liste des services essentiels

Règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels.

Agence européenne pour la cybersécurité

Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (l'agence de l'Union européenne pour la cybersécurité).

La loi européenne sur les données

Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 relatif à des règles harmonisées pour un accès équitable aux données et à leur utilisation.

Lois et règlements européens dans le contexte de la cybersécurité

PLUS D'INFORMATIONS

Aux fins de la présente directive, les définitions suivantes s'appliquent :

(1) 'réseau et système d'information' signifie :

(a) un réseau de communications électroniques tel que défini à l'article 2, point 1), de la directive (UE) 2018/1972 ;

(b) tout dispositif ou groupe de dispositifs interconnectés ou apparentés, dont un ou plusieurs effectuent, en application d'un programme, un traitement automatique de données numériques ; ou

(c) les données numériques stockées, traitées, extraites ou transmises par les éléments visés aux points a) et b) aux fins de leur fonctionnement, de leur utilisation, de leur protection et de leur maintenance ;

(2) 'sécurité des réseaux et des systèmes d'information' La capacité des réseaux et des systèmes d'information à résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées, ou des services offerts par ces réseaux et systèmes d'information ou accessibles par leur intermédiaire ;

(3) 'cybersécurité' désigne la cybersécurité telle que définie à l'article 2, point (1), du règlement (UE) 2019/881 ;

(4) 'stratégie nationale de cybersécurité' désigne un cadre cohérent d'un État membre définissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité, ainsi que la gouvernance permettant de les atteindre dans cet État membre ;

(5) 'manque de justesse' Un événement qui aurait pu compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire, mais qui a été empêché avec succès de se produire ou qui ne s'est pas produit ;

(6) 'incident' Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire ;

(7) 'incident de cybersécurité à grande échelle' un incident qui provoque un niveau de perturbation dépassant la capacité de réaction d'un État membre ou qui a un impact significatif sur au moins deux États membres ;

(8) 'traitement des incidents' désigne toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident, ou à y répondre et à s'en remettre ;

(9) 'risque' désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident ;

(10) 'cybermenace' désigne une cybermenace telle que définie à l'article 2, point (8), du règlement (UE) 2019/881 ;

(11) 'une cybermenace importante' une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible d'avoir une incidence grave sur le réseau et les systèmes d'information d'un État membre. entité ou les utilisateurs des services de l'entité en causant des dommages matériels ou immatériels considérables ;

(12) 'Produit TIC' désigne un produit TIC tel que défini à l'article 2, point (12), du règlement (UE) 2019/881 ;

(13) 'Service TIC' désigne un service TIC tel que défini à l'article 2, point (13), du règlement (UE) 2019/881 ;

(14) 'Processus TIC' désigne un processus TIC tel que défini à l'article 2, point (14), du règlement (UE) 2019/881 ;

(15) 'vulnérabilité' désigne une faiblesse, une susceptibilité ou une faille des produits ou services TIC qui peut être exploitée par une cybermenace ;

(16) 'standard' une norme telle que définie à l'article 2, point 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil (29) ;

(17) 'spécifications techniques' désigne une spécification technique telle que définie à l'article 2, point (4), du règlement (UE) n° 1025/2012 ;

(18) 'point d'échange internet' Une installation de réseau qui permet l'interconnexion de plus de deux réseaux indépendants (systèmes autonomes), principalement dans le but de faciliter l'échange de trafic internet, qui fournit une interconnexion uniquement pour les systèmes autonomes et qui n'exige pas que le trafic internet passant entre deux systèmes autonomes participants passe par un troisième système autonome, ni ne modifie ou n'interfère d'une autre manière avec ce trafic ;

(19) 'système de noms de domaine" ou "DNS' désigne un système de dénomination hiérarchique distribué qui permet d'identifier les services et les ressources internet, ce qui permet aux appareils des utilisateurs finaux d'utiliser les services de routage et de connectivité internet pour atteindre ces services et ces ressources ;

(20) 'Fournisseur de services DNS' désigne une entité qui fournit :

(a) les services de résolution récursive de noms de domaine accessibles au public pour les utilisateurs finaux de l'internet ; ou

(b) les services de résolution de noms de domaine faisant autorité destinés à être utilisés par des tiers, à l'exception des serveurs de noms racine ;

(21) 'registre des noms de domaine de premier niveau" ou "registre des noms de domaine de premier niveau' désigne une entité à laquelle a été délégué un TLD spécifique et qui est responsable de l'administration du TLD, y compris de l'enregistrement des noms de domaine dans le TLD et de l'exploitation technique du TLD, notamment l'exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du TLD sur les serveurs de noms, que ces opérations soient effectuées par l'entité elle-même ou externalisées, mais à l'exclusion des situations dans lesquelles les noms de TLD sont utilisés par un registre uniquement pour son propre usage ;

(22) 'entité fournissant des services d'enregistrement de noms de domaine' désigne un bureau d'enregistrement ou un agent agissant pour le compte de bureaux d'enregistrement, tel qu'un fournisseur ou un revendeur de services d'enregistrement de la vie privée ou de procuration ;

(23) 'service numérique' désigne un service tel que défini à l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (30) ;

(24) 'service fiduciaire' désigne un service de confiance tel que défini à l'article 3, point (16), du règlement (UE) n° 910/2014 ;

(25) 'prestataire de services fiduciaires' désigne un prestataire de services de confiance tel que défini à l'article 3, point (19), du règlement (UE) n° 910/2014 ;

(26) 'service fiduciaire qualifié' désigne un service de confiance qualifié tel que défini à l'article 3, point (17), du règlement (UE) n° 910/2014 ;

(27) 'prestataire de services fiduciaires qualifié' désigne un prestataire de services de confiance qualifié tel que défini à l'article 3, point (20), du règlement (UE) n° 910/2014 ;

(28) Marché en ligne un marché en ligne tel que défini à l'article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil (31) ;

(29) 'moteur de recherche en ligne' désigne un moteur de recherche en ligne tel que défini à l'article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil (32) ;

(30) 'service d'informatique en nuage' désigne un service numérique qui permet l'administration à la demande et un large accès à distance à un pool évolutif et élastique de ressources informatiques partageables, y compris lorsque ces ressources sont réparties sur plusieurs sites ;

(31) 'service de centre de données' désigne un service qui englobe des structures, ou groupes de structures, dédiées à l'hébergement centralisé, à l'interconnexion et à l'exploitation d'équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport de données, ainsi que tous les équipements et infrastructures de distribution d'énergie et de contrôle de l'environnement ;

(32) 'réseau de diffusion de contenu' désigne un réseau de serveurs répartis géographiquement dans le but d'assurer la haute disponibilité, l'accessibilité ou la fourniture rapide de contenu numérique et de services aux utilisateurs de l'internet pour le compte de fournisseurs de contenu et de services ;

(33) 'plate-forme de services de réseaux sociaux' désigne une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer les uns avec les autres sur plusieurs appareils, notamment par le biais de chats, de messages, de vidéos et de recommandations ;

(34) 'représentant' une personne physique ou morale établie dans l'Union explicitement désignée pour agir au nom d'un prestataire de services DNS, d'un registre de noms TLD, d'une entité fournissant des services d'enregistrement de noms de domaine, d'un prestataire de services d'informatique en nuage, d'un prestataire de services de centre de données, d'un prestataire de réseaux de fourniture de contenu, d'un prestataire de services de gestion de contenu ou d'un prestataire de services de gestion de contenu. fournisseur de services gérés, a fournisseur de services de sécurité gérésLa présente directive ne s'applique pas à une entité qui n'est pas établie dans l'Union, ni à un fournisseur d'une place de marché en ligne, d'un moteur de recherche en ligne ou d'une plateforme de services de réseautage social qui n'est pas établi dans l'Union, et qui peut être traité par une autorité compétente ou un CSIRT à la place de l'entité elle-même en ce qui concerne les obligations qui incombent à cette entité en vertu de la présente directive ;

(35) 'entité de l'administration publique' désigne une entité reconnue comme telle dans un État membre conformément au droit national, à l'exclusion du pouvoir judiciaire, des parlements et des banques centrales, et qui satisfait aux critères suivants :

(a) elle est établie pour satisfaire des besoins d'intérêt général et n'a pas un caractère industriel ou commercial ;

(b) elle a la personnalité juridique ou est habilitée par la loi à agir au nom d'une autre entité dotée de la personnalité juridique ;

(c) elle est financée majoritairement par l'État, les collectivités territoriales ou d'autres organismes de droit public, elle est soumise au contrôle de gestion de ces autorités ou organismes, ou elle est dotée d'un organe d'administration, de direction ou de surveillance dont plus de la moitié des membres sont désignés par l'État, les collectivités territoriales ou d'autres organismes de droit public ;

(d) elle a le pouvoir d'adresser aux personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de circulation transfrontalière des personnes, des biens, des services ou des capitaux ;

(36) 'réseau public de communications électroniques' un réseau public de communications électroniques tel que défini à l'article 2, point (8), de la directive (UE) 2018/1972 ;

(37) 'service de communications électroniques' désigne un service de communications électroniques tel que défini à l'article 2, point (4), de la directive (UE) 2018/1972 ;

(38) 'entité' une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations ;

(39) Fournisseur de services gérés désigne une entité qui fournit des services liés à l'installation, à la gestion, à l'exploitation ou à la maintenance de produits TIC, de réseaux, d'infrastructures, d'applications ou de tout autre réseau et système d'information, par le biais d'une assistance ou d'une administration active effectuée soit dans les locaux du client, soit à distance ;

(40) Fournisseur de services de sécurité gérés un prestataire de services gérés qui réalise des activités liées à la gestion des risques de cybersécurité ou qui fournit une assistance à cet égard ;

(41) 'organisme de recherche' désigne une entité dont l'objectif principal est de mener des activités de recherche appliquée ou de développement expérimental en vue d'exploiter les résultats de cette recherche à des fins commerciales, à l'exclusion des établissements d'enseignement.