Suis-je un fournisseur de services de centre de données au sens de NIS2 ?
NIS2 énumère les services de centre de données à l'annexe I secteur 8 (Infrastructure numérique). L'article 6(31) définit le service comme incluant l'énergie et le refroidissement. Le test de la taille standard de l'article 2(1) et de la recommandation 2003/361/CE décide ensuite si les obligations s'appliquent. L'Allemagne transpose via le §28 BSIG. La KRITIS-V (charge informatique de 3,5 MW) est une surcouche nationale distincte, et non le point d'entrée de NIS2.
En bref
Si vous vendez un service de centre de données à des tiers, vous relevez du champ d'application dès que vous atteignez le seuil de taille standard de NIS2. L'annexe I secteur 8 nomme directement les fournisseurs de services de centre de données sous Infrastructure numérique. L'article 6(31) vous indique ce qui constitue le service : le parc informatique et réseau plus la distribution d'énergie et le contrôle environnemental qui le soutiennent. Le toit, l'onduleur, les groupes froids et le générateur diesel font partie du service, et non à côté de celui-ci.
Le test de la taille est le test standard de NIS2. L'article 2(1) de la directive rattache le champ d'application à la recommandation 2003/361/CE : les entités moyennes (50 salariés ou plus, ou un chiffre d'affaires annuel et un total du bilan supérieurs à 10 millions d'EUR) relèvent du régime, les grandes entités sont « essentielles » plutôt qu'« importantes ». Il n'existe pas d'inclusion indépendante de la taille pour les centres de données, contrairement aux télécommunications ou au DNS.
L'Allemagne transpose via le §28 BSIG. Le seuil de la KRITIS-Verordnung (charge informatique de 3,5 MW) est une surcouche allemande distincte qui décide si le même centre de données est en outre KRITIS, avec des obligations supplémentaires. Il ne décide pas si NIS2 s'applique. La CIR (UE) 2024/2690 énumère les fournisseurs de services de centre de données dans son annexe, de sorte que des parties du règlement d'exécution lient directement les centres de données sans transposition nationale supplémentaire.
Directive NIS2 (2022/2555), annexe I secteur 8 et article 6(31)
on entend par « service de centre de données » un service qui englobe des structures, ou des groupes de structures, dédiées à l'hébergement, à l'interconnexion et à l'exploitation centralisés des technologies de l'information et des équipements de réseau fournissant des services de stockage, de traitement et de transport de données, ainsi que l'ensemble des installations et des infrastructures de distribution d'énergie et de contrôle environnemental.
Deux éléments à lire ensemble. L'annexe I secteur 8 nomme les fournisseurs de services de centre de données comme Infrastructure numérique. L'article 6(31) vous indique que le service n'est pas seulement les baies informatiques. La distribution d'énergie et le contrôle environnemental font partie de la définition juridique. C'est ce qui verrouille les services techniques du bâtiment (onduleurs, générateurs, refroidissement, extinction d'incendie) dans le cadre de gestion des risques de NIS2.
Règlement d'exécution (UE) 2024/2690 de la Commission, annexe
Le présent règlement établit les exigences techniques et méthodologiques des mesures visées à l'article 21(2) de la directive (UE) 2022/2555 en ce qui concerne les fournisseurs de services DNS, les registres de noms de domaine de premier niveau (TLD), les fournisseurs de services d'informatique en nuage, les fournisseurs de services de centre de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, ainsi que les prestataires de services de confiance.
Les fournisseurs de services de centre de données sont nommément énumérés dans l'annexe de la CIR. Cela signifie que les exigences techniques de gestion des risques figurant dans la CIR (gestion des actifs, contrôle d'accès, cryptographie, chaîne d'approvisionnement, gestion des incidents) lient directement les centres de données. Aucune transposition nationale n'est requise pour la couche CIR. La couche de la directive nécessite toujours le §28 BSIG pour prendre effet en Allemagne.
§28 BSIG (Allemagne) et la KRITIS-Verordnung
Anbieter von Rechenzentrumsdiensten gelten ab dem Schwellenwert für mittlere Unternehmen als wichtige Einrichtungen, ab dem Schwellenwert für große Unternehmen als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
Le §28 BSIG transpose les obligations NIS2 relatives aux centres de données. Le test de la taille de l'article 2(1) (50 salariés / 10 M EUR de chiffre d'affaires) décide si l'entité est « wichtig » ou « besonders wichtig ». La KRITIS-Verordnung est une couche allemande distincte dotée de son propre seuil de 3,5 MW de charge informatique pour les centres de données. KRITIS ajoute des obligations par-dessus, ce n'est pas la condition d'entrée pour NIS2. Un opérateur de colocation de 25 MW relève des deux régimes. Un site de colocation de 200 salariés à 1 MW de charge informatique relève du champ d'application de NIS2 mais pas de KRITIS.
Vendez-vous un service de centre de données ?
L'article 6(31) est le test. Vous fournissez des structures dédiées à l'hébergement, à l'interconnexion et à l'exploitation centralisés des équipements informatiques et de réseau, ainsi que l'infrastructure de distribution d'énergie et de contrôle environnemental. La colocation, l'hébergement et les salles dédiées relèvent tous du périmètre. La charge informatique et les services techniques du bâtiment constituent un seul et même service en droit.
Êtes-vous au-dessus du seuil de taille ?
L'article 2(1) de NIS2 renvoie à la recommandation 2003/361/CE. Les entités moyennes (50 salariés ou plus, ou un chiffre d'affaires annuel et un total du bilan supérieurs à 10 millions d'EUR) relèvent du régime en tant qu'entités « importantes ». Les grandes entités (plus de 250 salariés ou un chiffre d'affaires supérieur à 50 millions d'EUR) en relèvent en tant qu'entités « essentielles ». Il n'existe pas d'inclusion indépendante de la taille pour les centres de données.
La surcouche allemande KRITIS s'applique-t-elle ?
La KRITIS-V fixe un seuil de charge informatique de 3,5 MW pour les centres de données en Allemagne. Le franchir rend le site KRITIS en plus de NIS2, avec des obligations supplémentaires (cycle d'audit, normes minimales sectorielles). KRITIS n'est pas la condition d'entrée de NIS2. Un opérateur de colocation de 1 MW avec 200 salariés relève de NIS2 mais pas de KRITIS.
La colocation, l'hébergement et le dédié relèvent tous du périmètre
La définition de l'article 6(31) ne distingue pas entre les modèles de prestation. Que vous louiez des baies (colocation), des serveurs (hébergement géré) ou que vous exploitiez une installation mono-locataire pour un client payant, le service est le même en droit : hébergement centralisé d'équipements informatiques et de réseau, plus la distribution d'énergie et le contrôle environnemental qui le soutiennent. Les obligations s'attachent au service, et non à l'emballage commercial.
Les centres de données internes ne sont pas un service de centre de données
Si vous exploitez un centre de données uniquement pour votre propre groupe, vous ne fournissez pas un service de centre de données au sens de NIS2. Il n'y a pas de service rendu à un tiers. L'installation peut tout de même alimenter une autre voie de qualification (votre groupe peut relever du champ d'application au titre d'un secteur différent avec ses propres actifs), mais elle ne vous capte pas au titre de l'annexe I secteur 8 en tant que fournisseur de centre de données. Le test repose sur la question de savoir si le service est vendu.
BSI / §28 BSIG
Le BSI est l'autorité NIS2 centrale. L'enregistrement, le cadre de gestion des risques et la notification d'incident au titre de NIS2 passent tous par le BSI. Le §28 BSIG nomme les fournisseurs de services de centre de données au-dessus du seuil de l'entreprise moyenne comme « wichtige Einrichtungen » et au-dessus du seuil de la grande entreprise comme « besonders wichtige Einrichtungen ».
BSI C5 et IT-Grundschutz
Le BSI détient également les référentiels pertinents pour le secteur. Le catalogue C5 (Cloud Computing Compliance Criteria) couvre le volet cloud et hébergement. Les blocs IT-Grundschutz INF.1 (bâtiment général) et INF.2 (centre de calcul / salle serveur) constituent la référence d'implémentation allemande pour les contrôles physiques et environnementaux que l'article 6(31) intègre au service. Les auditeurs s'attendent à les voir mis en correspondance avec votre cadre CIR.
ENISA
L'ENISA, l'agence de cybersécurité de l'UE, coordonne entre les États membres et publie la Technical Implementation Guidance au titre de la CIR (UE) 2024/2690. Les fournisseurs de services de centre de données sont nommément énumérés dans l'annexe de la CIR, ce qui signifie que des parties du règlement d'exécution lient directement les centres de données sans nécessiter de transposition nationale supplémentaire.
Autorités nationales de cybersécurité
Chaque État membre dispose de sa propre autorité NIS2 : le NCSC-NL aux Pays-Bas, l'ANSSI en France, le NCSC.AT en Autriche, l'ACN en Italie. La ligne de l'annexe I secteur 8 et la définition de l'article 6(31) sont identiques à l'échelle de l'UE parce que la directive fixe un socle unique. Ce qui diffère : l'autorité auprès de laquelle vous vous enregistrez, le formulaire d'incident que vous utilisez, et la question de savoir si le pays superpose un régime national d'infrastructure critique (l'Allemagne a la KRITIS-V, d'autres utilisent des seuils différents).
Nous exploitons une salle serveur pour notre propre entreprise, nous sommes donc un fournisseur de centre de données.
Pas sur le volet centre de données. L'article 6(31) décrit un service. Si le parc informatique n'est exploité que pour votre propre groupe et n'est pas vendu à des tiers, vous ne fournissez pas un service de centre de données au sens de NIS2. Votre groupe peut tout de même relever du champ d'application de NIS2 par son propre secteur (fabrication, énergie, déchets, santé, etc.), mais la ligne centre de données de l'annexe I secteur 8 ne capte pas la salle interne.
Nous sommes bien en dessous du seuil KRITIS de 3,5 MW, NIS2 ne s'applique donc pas.
La KRITIS-V et NIS2 sont deux régimes dotés de deux seuils. Le seuil de charge informatique de 3,5 MW est la surcouche allemande KRITIS. NIS2 dispose de son propre test de la taille tiré de l'article 2(1) : entreprise moyenne dès que vous dépassez 50 salariés ou 10 M EUR de chiffre d'affaires et de total du bilan. Un opérateur de colocation de 200 salariés à 1 MW de charge informatique relève du champ d'application de NIS2 mais pas de KRITIS. Le constat « hors KRITIS » n'est pas un constat « hors NIS2 ».
Nous ne faisons que de la colocation, le client possède les serveurs, nous ne fournissons donc pas un service de centre de données.
La colocation est l'un des modèles de prestation typiques du service de l'article 6(31). La définition couvre des structures dédiées à l'hébergement centralisé d'équipements informatiques et de réseau, plus la distribution d'énergie et le contrôle environnemental. Elle n'exige pas que les baies vous appartiennent. Vendre de l'espace en baie, de l'énergie et du refroidissement est le service. L'argument du serveur appartenant au client ne change pas la qualification juridique.
Un opérateur de colocation régional de 60 salariés avec deux salles et environ 2 MW de charge informatique combinée relève clairement du champ d'application de NIS2 en tant que « wichtige Einrichtung ». L'annexe I secteur 8 nomme le secteur. L'article 6(31) capte le service de bout en bout, y compris les services techniques du bâtiment. Le test de la taille de l'article 2(1) place l'entreprise au-dessus du seuil de l'entreprise moyenne. Le seuil KRITIS-V de 3,5 MW de charge informatique n'est pas franchi, de sorte que la surcouche KRITIS ne s'applique pas. L'opérateur exécute l'intégralité du cadre de gestion des risques de NIS2 mais n'hérite pas du cycle d'audit KRITIS.
Ce que nous voyons en pratique : le registre des risques commence par les services techniques du bâtiment (alimentation du réseau public, chaînes d'onduleurs, autonomie et carburant du générateur, redondance du refroidissement, extinction d'incendie, accès physique) puis superpose le parc informatique et réseau (commutation principale, cages clients, gestion hors bande, supervision). Le cadre de gestion des risques du §2 CIR s'applique à cet inventaire combiné. La proportionnalité de l'article 21(1) s'applique, de sorte qu'un opérateur régional de 60 salariés ne met pas en œuvre à la profondeur d'une région hyperscale. Le phasage est consigné par écrit, justifié par le tableau des risques, et validé par la direction.
Notre contrôle d'applicabilité parcourt la voie du centre de données étape par étape. Il demande si vous vendez le service à des tiers, comment le modèle de prestation est structuré (colocation, hébergement, dédié), quels sont votre effectif et votre chiffre d'affaires, et où vous vous situez par rapport au seuil allemand de la KRITIS-V. Le résultat nomme la ligne de l'annexe I, la classification BSIG (« wichtig » ou « besonders wichtig »), et indique si la surcouche KRITIS s'applique par-dessus.
L'inventaire des actifs vous permet de modéliser les services techniques du bâtiment (alimentation du réseau public, onduleur, générateur, refroidissement, extinction d'incendie, accès physique) et le parc informatique et réseau sur une seule liste. Le cadre de gestion des risques du §2 CIR s'applique à cet inventaire, de sorte que la même liste d'actifs alimente à la fois la voie NIS2 et, si vous franchissez 3,5 MW de charge informatique, l'audit KRITIS sans double maintenance.
- Directive (UE) 2022/2555 (NIS2), annexe I secteur 8 et définition du service de centre de données de l'article 6(31) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2022/2555 (NIS2), test de la taille de l'article 2(1) renvoyant à la recommandation 2003/361/CE de la Commission — eur-lex.europa.eu/eli/reco/2003/361/oj
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe (fournisseurs de services de centre de données nommément énumérés) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Loi BSI (BSIG), §28 telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- KRITIS-Verordnung (BSI-KritisV), secteur Informationstechnik und Telekommunikation, seuil de 3,5 MW de charge informatique pour les centres de données
- BSI IT-Grundschutz, blocs INF.1 (Allgemeines Gebäude) et INF.2 (Rechenzentrum sowie Serverraum) ; catalogue cloud BSI C5 — bsi.bund.de