À propos de NIS 2
Secteurs concernés
Outils de conformité
Règlement de l'UE
- Directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'Union (NIS 2)
  
  Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'Union.
  
  Directive sur la résilience des entités critiques (CER)
  
  Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 concernant la résilience des entités critiques et abrogeant la directive 2008/114/CE du Conseil.
  
  Loi sur la résilience opérationnelle numérique (DORA)
  
  Directive (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 relative à la résilience opérationnelle numérique du secteur financier et aux règlements modificatifs
  
  Proposition de nouvelle loi sur la cyber-résilience (CRA)
  
  Proposition : Règlement du Parlement européen et du Conseil concernant les exigences horizontales en matière de cybersécurité applicables aux produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020
  
  Liste des services essentiels
  
  Règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels.
  
  Agence européenne pour la cybersécurité
  
  Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (l'agence de l'Union européenne pour la cybersécurité).
  
  La loi européenne sur les données
  
  Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 relatif à des règles harmonisées pour un accès équitable aux données et à leur utilisation.
  
  Lois et règlements européens dans le contexte de la cybersécurité
  
  PLUS D'INFORMATIONS
Transposition de la loi

Français

Article 1 - Objet et champ d'application

1. La présente directive :

(a) impose aux États membres l'obligation de prendre des mesures spécifiques visant à garantir que les services essentiels au maintien des fonctions sociétales vitales ou des activités économiques relevant de l'article 114 du TFUE sont fournis sans entrave dans le marché intérieur, en particulier l'obligation d'identifier les entités critiques et de les aider à respecter les obligations qui leur sont imposées ;

(b) fixe des obligations pour les entités critiques afin d'améliorer leur résilience et leur capacité à fournir les services visés au point a) dans le marché intérieur ;

(i) sur la surveillance des entités critiques ;

(ii) sur l'exécution ;

(iii) pour l'identification des entités critiques d'importance européenne particulière et pour des missions consultatives visant à évaluer les mesures que ces entités ont mises en place pour satisfaire à leurs obligations au titre du chapitre III ;

(d) établit des procédures communes pour la coopération et l'établissement de rapports sur l'application de la présente directive ;

(e) définit des mesures visant à atteindre un niveau élevé de résilience des entités critiques afin d'assurer la fourniture des services essentiels dans l'Union et d'améliorer le fonctionnement du marché intérieur.

2. La présente directive ne s'applique pas aux questions couvertes par la directive (UE) 2022/2555, sans préjudice de l'article 8 de la présente directive. À la lumière de la relation entre la sécurité physique et la protection de l'environnement, la présente directive s'applique. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; d'entités critiques, les États membres veillent à ce que la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière coordonnée.

3. Lorsque des dispositions d'actes juridiques sectoriels de l'Union imposent aux entités critiques de prendre des mesures pour renforcer leur résilience et que ces exigences sont reconnues par les États membres comme étant au moins équivalentes aux obligations correspondantes prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris les dispositions relatives à la surveillance et à l'exécution prévues au chapitre VI, ne s'appliquent pas.

4. Sans préjudice de l'article 346 du TFUE, les informations confidentielles en vertu des règles de l'Union ou des règles nationales, telles que les règles relatives au secret des affaires, ne sont échangées avec la Commission et les autres autorités compétentes conformément à la présente directive que lorsque cet échange est nécessaire à l'application de la présente directive. Les informations échangées sont limitées à celles qui sont pertinentes et proportionnées à l'objectif de cet échange. L'échange d'informations préserve la confidentialité de ces informations ainsi que la sécurité et les intérêts commerciaux des entités critiques, tout en respectant la sécurité des États membres.

5. La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité et de la défense nationales et de leur pouvoir de sauvegarder d'autres fonctions essentielles de l'État, y compris la garantie de l'intégrité territoriale de l'État et le maintien de l'ordre public.

6. La présente directive ne s'applique pas aux entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales.

7. Les États membres peuvent décider que l'article 11 et les chapitres III, IV et VI ne s'appliquent pas, en tout ou en partie, aux entités critiques spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales, ou qui fournissent des services exclusivement aux entités de l'administration publique visées au paragraphe 6 du présent article.

8. Les obligations prévues par la présente directive n'impliquent pas la fourniture d'informations dont la divulgation serait contraire aux intérêts essentiels de la sécurité nationale, de la sécurité publique ou de la défense des États membres.

9. La présente directive est sans préjudice du droit de l'Union en matière de protection des données à caractère personnel, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil et la directive 2002/58/CE du Parlement européen et du Conseil.

Directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l'Union (NIS 2)

Directive sur la résilience des entités critiques (CER)

Loi sur la résilience opérationnelle numérique (DORA)

Proposition de nouvelle loi sur la cyber-résilience (CRA)

Liste des services essentiels

Agence européenne pour la cybersécurité

La loi européenne sur les données

Lois et règlements européens dans le contexte de la cybersécurité