La loi NIS2
Champ d'application
Pour être couverte par la loi NIS2, une organisation doit, en principe :
- Fournir dans l’Union européenne un service figurant dans les annexes I et II de la loi NIS2 ; et
- Dépasser les seuils de taille prévus par la recommandation de la Commission européenne 2003/361/CE, à savoir au moins un effectif de 50 unités de travail par année (UTA), ou avoir un chiffre d'affaires annuel ou un bilan annuel total supérieur à 10 millions d'euros (voir le guide de la Commission européenne).
Ces critères sont expliqués dans les sections suivantes.
1. Le service fourni
L’organisation doit fournir un service repris dans les annexes I ou II de la loi (même si ce service ne constitue qu’une partie accessoire de ses activités) parmi les secteurs suivants :
Les secteurs hautement critiques (annexe I) |
Les autres secteurs critiques (annexe II) |
|
|
Chaque service visé par la loi NIS2 est défini dans ses annexes I ou II, ou à l’article 8. Les annexes peuvent notamment être consultés sur Justel (en bas de la page, avant la section des travaux parlementaires).
2. Les seuils de taille
La taille d’une entité est calculée sur base de l’annexe I de la recommandation 2003/361/CE de la Commission du 6 mai 2003 (la « Recommandation »).
Sauf exception, une organisation doit être considérée au moins comme une moyenne entreprise au sens de la Recommandation pour se voir appliquer la loi NIS2:
- Une moyenne entreprise dispose d’un effectif d'au moins 50 unités de travail par année (UTA*) et/ou a un chiffre d’affaires annuel (ou un total du bilan annuel) qui excède 10 millions d’euros.
- Une grande entreprise dispose d’un effectif d’au moins 250 UTA* ou a un chiffre d’affaires annuel qui excède 50 millions d’euros ou un total du bilan annuel qui excède 43 millions d’euros (plus grand qu’une PME).
* Les UTA correspondent au nombre de personnes ayant travaillé dans l'entreprise considérée ou pour le compte de cette entreprise à temps plein pendant toute l'année considérée. Le travail des personnes n'ayant pas travaillé toute l'année, ou ayant travaillé à temps partiel, quelle que soit sa durée, ou le travail saisonnier, est compté comme fractions d'UTA.
La Recommandation prévoit notamment que le calcul de la taille d’une organisation qui fait partie d’un groupe (entreprises partenaires ou liées) implique une consolidation des données des différentes composantes de ce groupe.
Le fonctionnement de cette Recommandation est expliqué de manière détaillée dans le « Guide de l’utilisateur pour la définition des PME » de la Commission européenne.
Mais attention, il y a deux spécificités importantes quant à l’application de la Recommandation dans le cadre de la loi:
- La consolidation des données des différentes composantes au sein d’un groupe peut être écartée, dans certaines circonstances, lorsqu’il existe une indépendance en particulier au niveau des réseaux et systèmes d’information de l’organisation concernée par rapport à ceux des entreprises liées ou partenaires.
- L’effectif et les montants financiers d’un organisme public qui contrôle une organisation concernée ne doivent pas être pris en compte pour déterminer la taille de cette dernière.
- Les catégories d’entités
La loi NIS2 établit une distinction entre entités « essentielles » et « importantes ». Cette distinction se fait, en principe, sur la base de la taille de l’entité et du service fourni :
- Sauf exceptions, une organisation constituant une grande entreprise au sens de la Recommandation et fournissant au moins un service repris à l’annexe I est une entité essentielle ;
- Sauf exceptions, une organisation constituant une moyenne entreprise au sens de la Recommandation et fournissant au moins un service repris à l’annexe I est une entité importante ;
- Une organisation constituant une grande ou une moyenne entreprise au sens de la Recommandation et fournissant au moins un service repris à l’annexe II est une entité importante.
La différence entre entités essentielles et importantes réside principalement dans les mécanismes de contrôle et de sanctions. Les entités essentielles seront contrôlées de manière plus régulière et stricte que les entités importantes.
Il existe toutefois quelques exceptions. Dans certains secteurs, les entités sont catégorisées, quelle que soit leur taille, comme « essentielles » :
- les prestataires de services de confiance qualifiés ;
- les registres de noms de domaines de premier niveau ;
- les fournisseurs de services DNS ;
- les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public qui constituent au moins des moyennes entreprises ;
- les entités de l’administration publique qui dépendent de l’État fédéral ;
- les entités identifiées comme critiques au niveau national en vertu de la directive CER.
Indépendamment de ces règles, les autorités nationales pourront également identifier spécifiquement des entités comme « essentielles » ou « importantes », par exemple, lorsqu’il s'agit du seul prestataire d’un service ou que la perturbation du service fourni pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique.
Pour une meilleure vue d’ensemble du champ d’application de la loi, nous vous invitons à consulter notre visuel récapitulatif du champ d’application.
3. Le lien avec la Belgique
La loi belge s’applique, en principe, aux entités établies en Belgique. Cette règle de compétence territoriale connaît toutefois des exceptions :
- les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public relèvent de la compétence de l’État membre dans lequel ils fournissent leurs services ;
- les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux, relève de la compétence de l’État membre dans lequel ils ont leur établissement principaldans l’Union européenne ;
- les entités de l’administration publique sont considérées comme relevant de la compétence de l’État membre qui les a établies.