Anhang I Sektor 10 NIS 2

Sommes-nous une entité de l'administration publique au titre de NIS2 ?

L'administration publique relève du secteur 10 de l'annexe I de NIS2 et de l'article 2, paragraphe 2, point f). L'administration centrale est incluse indépendamment de la taille. L'administration régionale est incluse si votre État membre a mené l'évaluation fondée sur les risques. Les exclusions de l'article 2, paragraphes 5 à 7, sont étroites et fonctionnelles, et non institutionnelles.

Simon OrzelSimon Orzel·

La version courte

L'administration publique relève du secteur 10 de l'annexe I de NIS2. Le test de taille qui exclut les petites sociétés privées ne s'applique pas ici. L'article 2, paragraphe 2, point f), dispose que les entités de l'administration publique de l'administration centrale sont incluses indépendamment de la taille, et que les entités de l'administration publique au niveau régional sont incluses si l'État membre les a identifiées à la suite d'une évaluation fondée sur les risques.

La directive exclut ensuite des activités spécifiques, et non des institutions spécifiques. L'article 2, paragraphe 5, exclut la sécurité nationale, la défense, la sécurité publique, les services répressifs et les activités juridictionnelles. L'article 2, paragraphe 7, exclut les parlements et les banques centrales. Une autorité de police qui exploite des systèmes informatiques internes de RH et de finance est incluse pour cet informatique. La même autorité est exclue pour ses systèmes répressifs opérationnels. C'est la fonction qui décide, et non l'enseigne sur la porte.

En Allemagne, le §28 BSIG opérationnalise la règle pour la Bundesverwaltung. Le §29 BSIG donne aux Länder la base juridique pour faire entrer leur Landes- et Kommunalverwaltung dans le périmètre. Tant qu'un Land n'a pas mis en œuvre le §29 BSIG, les communes de ce Land sont formellement hors du périmètre, même si tout programme de conférence NIS2 les traite comme incluses. Lisez votre Landes-Cybersicherheitsgesetz avant de vous cadrer.

La source juridique
Trois strates. La directive fixe la règle et les exclusions. La transposition allemande répartit la règle entre l'échelon fédéral et l'échelon régional. Citations verbatim ci-dessous, puis la lecture opérationnelle.

Article 2, paragraphe 2, point f), de la directive NIS2 (2022/2555)

La présente directive s'applique aux entités d'un type visé à l'annexe I ou II, indépendamment de leur taille, lorsque l'entité est une entité de l'administration publique (i) de l'administration centrale telle que définie par un État membre conformément au droit national ; ou (ii) au niveau régional telle que définie par un État membre conformément au droit national qui, à la suite d'une évaluation fondée sur les risques, fournit des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.

Verbatim de JO L 333/110. Deux moitiés. L'administration centrale est incluse automatiquement. L'administration régionale n'est incluse qu'après que l'État membre a mené l'évaluation fondée sur les risques et identifié les entités. Le test de taille de l'article 2, paragraphe 1, ne s'applique ni à l'une ni à l'autre.

Article 2, paragraphe 5, de la directive NIS2 (exclusions)

La présente directive ne s'applique pas aux entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou des services répressifs, y compris la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière.

L'exclusion est fonctionnelle. Elle suit l'activité, et non l'institution. Une autorité de police fédérale est exclue pour ses systèmes répressifs et incluse pour son informatique d'entreprise. L'article 2, paragraphe 7, ajoute les parlements et les banques centrales. L'article 2, paragraphe 6, permet aux États membres d'exempter les entités qui exercent les activités visées à l'article 2, paragraphe 5, uniquement dans ces domaines.

§28 et §29 BSIG (Allemagne)

Le §28 BSIG transpose la règle de l'administration centrale et lie les Einrichtungen der Bundesverwaltung. Le §29 BSIG habilite les Länder à faire entrer les Einrichtungen der Landes- und Kommunalverwaltung dans le périmètre par leurs propres Landes-Cybersicherheitsgesetze, à la suite de l'évaluation fondée sur les risques exigée par l'article 2, paragraphe 2, point f), ii), de NIS2.

Deux ancrages allemands, et non un seul. La Bundesverwaltung est incluse par la loi fédérale. La Landesverwaltung et la Kommunalverwaltung attendent la législation des Länder. Certains Länder ont déjà publié des projets de Landes-Cybersicherheitsgesetze ; d'autres non. Le statut juridique d'une Kommune dépend du Land dans lequel elle se situe.

Trois éléments qui déterminent votre réponse
Parcourez-les dans l'ordre. L'administration centrale est automatique. L'administration régionale dépend de l'identification nationale. Vérifiez ensuite si l'activité que vous cadrez relève d'une exclusion fonctionnelle.
Élément 1

Administration centrale

Les entités de l'administration publique de l'administration centrale, telles que définies par le droit national, sont incluses indépendamment de la taille. Ministères fédéraux, agences fédérales, autorités fédérales. Aucun seuil de taille. En Allemagne, il s'agit de la Bundesverwaltung au titre du §28 BSIG. Le qualificatif « central » est fixé par le droit national, de sorte que la liste diffère d'un État membre à l'autre, mais la règle structurelle est la même.

Élément 2

Administration régionale

Les entités de l'administration publique au niveau régional ne sont incluses que si l'État membre les a identifiées à la suite d'une évaluation fondée sur les risques. La directive ne les désigne pas automatiquement. En Allemagne, les Länder utilisent le §29 BSIG et leurs Landes-Cybersicherheitsgesetze pour mener cette identification et lier la Landesverwaltung et la Kommunalverwaltung. Tant que le Land concerné n'a pas agi, les entités régionales restent formellement en dehors de la directive.

Élément 3

Exclusions fonctionnelles

L'article 2, paragraphe 5, exclut les activités relevant de la sécurité nationale, de la sécurité publique, de la défense et des services répressifs. L'article 2, paragraphe 7, exclut les parlements et les banques centrales. L'exclusion se rattache à l'activité, et non à l'institution. L'informatique administrative générale d'un ministère reste incluse. Le système de gestion des dossiers d'une force de police est exclu. Documentez quels systèmes se situent de quel côté de la ligne.

Deux règles qui prennent les gens en défaut
Deux points structurels que les directeurs généraux et les chefs d'autorité manquent à la première lecture. Tous deux apparaissent dans presque chaque échange d'applicabilité du secteur public.

La taille ne s'applique pas

Le test de taille de l'article 2, paragraphe 1 (50 employés, 10 millions d'euros), ne s'applique pas à l'administration publique. L'article 2, paragraphe 2, point f), est une exception indépendante de la taille. Une autorité fédérale de 12 personnes est incluse. Une Bundesoberbehörde de 4 personnes est incluse. Les seuls filtres sont « s'agit-il de l'administration centrale », « s'agit-il d'une administration régionale que l'État membre a identifiée » et « cette activité est-elle exclue par l'article 2, paragraphe 5 ou 7 ».

Les exclusions suivent la fonction, et non l'institution

Le considérant 8 le rend explicite. Les exclusions de l'article 2, paragraphe 5, ne sont pas un blanc-seing pour la police, la défense et les services de renseignement. Elles couvrent les activités dans ces domaines. La même autorité peut être exclue pour ses systèmes opérationnels et incluse pour son informatique d'entreprise, ses systèmes de RH, ses systèmes financiers et ses systèmes tournés vers les fournisseurs. Cartographiez vos activités, puis cartographiez vos systèmes au regard de celles-ci.

Comment les régulateurs nationaux appliquent réellement cela
L'UE fixe une seule règle et un seul ensemble d'exclusions. Chaque État membre l'élève en droit national et décide quelles entités régionales comptent. La substance est la même dans toute l'Union ; les modalités diffèrent.
Allemagne (Bund)

BSI / §28 BSIG

Le BSI est l'autorité compétente pour la Bundesverwaltung au titre du §28 BSIG. Les ministères et agences fédéraux sont inclus par la loi fédérale, sans test de taille, sans adhésion volontaire. Le BSI publie des Verwaltungsvorschriften spécifiques et des profils IT-Grundschutz pour les autorités fédérales (Mindeststandards nach §8 BSIG).

Allemagne (Länder)

Landes-Cybersicherheitsgesetze

Le §29 BSIG habilite chaque Land à légiférer sur quelles entités de la Landes- et de la Kommunalverwaltung relèvent du périmètre. Le Land mène l'évaluation fondée sur les risques qu'exige l'article 2, paragraphe 2, point f), ii). Tant que cette législation n'existe pas, le BSIG fédéral ne lie pas les entités régionales. Vérifiez si votre Land a publié un projet de Cybersicherheitsgesetz avant de cadrer une Kommune.

À l'échelle de l'UE

Suivi de transposition NIS2 de l'ENISA

L'ENISA publie une page de transposition NIS2 qui énumère les lois nationales, les autorités compétentes par État membre et les décisions nationales de cadrage pour l'administration publique. C'est la source unique la plus nette pour les autorités transfrontalières ou les organisations de services partagés cherchant à déterminer auprès de quel régulateur elles déposent dans chaque pays.

Autres États membres

Lois nationales de transposition

L'article 2, paragraphe 2, point f), lie l'administration publique dans toute l'UE. Les Pays-Bas le couvrent par la Cyberbeveiligingswet, la France par l'ordonnance n° 2024-1093, l'Autriche par le NISG. La règle indépendante de la taille de la directive est la même partout. Chaque État membre décide de ce qui compte comme central et quelles entités régionales franchissent l'évaluation fondée sur les risques.

Trois lectures qui mènent à un mauvais cadrage
Trois pièges qui apparaissent dans presque chaque échange d'applicabilité du secteur public. Les trois mènent à un oui erroné ou à un non erroné.

  • Nous sommes une Kommune, donc nous relevons automatiquement de NIS2.

    Pas par la seule loi fédérale. Le §28 BSIG lie la Bundesverwaltung. La Landes- et la Kommunalverwaltung entrent dans le périmètre par le §29 BSIG et le Landes-Cybersicherheitsgesetz concerné, après que le Land a mené l'évaluation fondée sur les risques qu'exige l'article 2, paragraphe 2, point f), ii). Vérifiez le statut de votre Land avant de présumer.

  • Nous effectuons un travail répressif, donc nous sommes hors de NIS2.

    L'exclusion de l'article 2, paragraphe 5, est fonctionnelle. Elle couvre les activités répressives, et non l'institution dans son ensemble. Une autorité de police est exclue pour ses systèmes de gestion des dossiers et de surveillance, et incluse pour son informatique de RH, de finance, d'achats et d'administration générale. Même autorité, deux périmètres. Documentez la ligne système par système.

  • Notre Stadtwerk est de propriété municipale, il relève donc de l'administration publique au secteur 10.

    La propriété ne déplace pas un Stadtwerk dans le secteur 10. Une régie de propriété municipale relève de NIS2 par les secteurs 1 (énergie), 6 (eau potable), 7 (eaux usées) ou 8 (infrastructure numérique) de l'annexe I, avec le test de taille ordinaire de l'article 2, paragraphe 1. Le secteur 10 est destiné aux entités de l'administration publique telles que définies par l'État membre, et non aux opérateurs commerciaux à capitaux publics.

Comment les opérateurs réels du secteur public procèdent

Cas type : une agence fédérale de 90 employés. L'article 2, paragraphe 2, point f), i), s'applique (Bundesverwaltung), de sorte que le test de taille ne s'exécute jamais. L'agence exploite un informatique administratif général et une plateforme spécialisée qui appuie la coordination répressive fédérale. L'article 2, paragraphe 5, exclut la plateforme répressive. L'informatique administratif reste inclus. Résultat : une seule Anwendbarkeitsprüfung qui énumère quels systèmes relèvent du §30 BSIG et lesquels se situent derrière l'exclusion, avec la signature de l'organe de direction.

Cas type au niveau régional : une Kommune de 220 employés dans un Land qui n'a pas encore adopté son Landes-Cybersicherheitsgesetz. Formellement hors de NIS2 aujourd'hui. Les praticiens construisent néanmoins la base (registre des risques, liste des fournisseurs, processus de gestion des incidents) parce que le projet de loi est en consultation et que les obligations s'imposeront en 2026 ou 2027. Traitez l'année d'écart comme une préparation, et non comme des vacances.

Comment nous traitons cela sur la plateforme

Le contrôle d'applicabilité parcourt les trois éléments dans l'ordre : êtes-vous l'administration centrale, êtes-vous une entité régionale que votre État membre a identifiée, et lesquelles de vos activités se situent derrière une exclusion de l'article 2, paragraphe 5 ou 7. Vous répondez aux questions une fois et obtenez une Anwendbarkeitsprüfung écrite qui nomme le fondement juridique (§28 BSIG, §29 BSIG plus votre Landesgesetz, ou hors périmètre) et les systèmes exclus.

La sortie n'est pas un oui/non. C'est une justification : quelle disposition s'applique, ce que l'État membre a décidé au sujet des entités régionales, et quels systèmes se situent de quel côté de l'exclusion fonctionnelle. Signée par l'organe de direction, conservée avec traçabilité, ancrée par version au texte de l'UE et du BSIG que nous citons.

Sources
  • Directive (UE) 2022/2555 (NIS2), article 2, paragraphe 2, point f), article 2, paragraphes 5 à 7, considérants 7 et 8, annexe I secteur 10 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Loi BSI (BSIG), §28 (Bundesverwaltung) et §29 (Länder) telle que modifiée par le NIS2-Umsetzungsgesetz
  • Suivi de transposition NIS2 de l'ENISA — enisa.europa.eu/topics/nis-directive
  • Landes-Cybersicherheitsgesetze (par Land, projets et lois adoptées)
Lancez le contrôle d'applicabilité pour votre autorité
Tests de l'administration centrale, régionale et de l'exclusion fonctionnelle en un seul parcours. La sortie est une Anwendbarkeitsprüfung signée que vous pouvez classer. Gratuit, open source, sans lock-in.
Lancer le contrôle d'applicabilité