Suis-je un fournisseur de télécommunications au sens de NIS 2 ?
NIS 2 inscrit les télécommunications à l'annexe I secteur 8 (Infrastructure numérique). L'article 2, paragraphe 2, point a), supprime ensuite le seuil de taille, de sorte que les obligations s'appliquent à chaque fournisseur destiné au public, grand ou petit. Les définitions proviennent du Code des communications électroniques européen, et non de l'usage courant.
La version courte
Si vous exploitez un réseau public de communications électroniques, ou si vous fournissez un service de communications électroniques accessible au public, vous relevez du périmètre de NIS 2. L'annexe I secteur 8 vous nomme directement sous l'Infrastructure numérique.
L'article 2, paragraphe 2, point a), de la directive supprime ensuite le seuil de taille habituel pour les télécommunications. Peu importe que vous ayez 5 salariés ou 500. Le déclencheur est le rôle de service public, pas l'effectif. Un petit FAI régional, un petit revendeur de VoIP et un opérateur mobile national relèvent tous du périmètre sur la même base.
L'Allemagne inscrit cela en droit national par le §28 du BSIG combiné à la Telekommunikationsgesetz (TKG). Certaines obligations opérationnelles passent par la Bundesnetzagentur (BNetzA), et non directement par le BSI. Cette page parcourt la directive, les définitions sectorielles de l'UE et la transposition allemande dans cet ordre.
Directive NIS 2 (2022/2555), annexe I secteur 8 et art. 2, paragraphe 2, point a)
Secteur 8 Infrastructure numérique : fournisseurs de réseaux publics de communications électroniques ; fournisseurs de services de communications électroniques accessibles au public. La présente directive s'applique également aux entités, quelle que soit leur taille, qui relèvent de l'un des critères suivants : a) les fournisseurs de réseaux publics de communications électroniques ou les fournisseurs de services de communications électroniques accessibles au public.
Deux éléments doivent être lus ensemble. L'annexe I secteur 8 nomme les télécommunications comme infrastructure essentielle. L'article 2, paragraphe 2, point a), crée ensuite une inclusion indépendante de la taille pour ces mêmes fournisseurs de télécommunications. Le seuil habituel de moyenne entreprise (50 salariés ou 10 M EUR de chiffre d'affaires) ne s'applique pas ici.
Directive (UE) 2018/1972 (Code des communications électroniques européen), art. 2
On entend par « réseau public de communications électroniques » un réseau de communications électroniques utilisé entièrement ou principalement pour la fourniture de services de communications électroniques accessibles au public. On entend par « service de communications électroniques accessible au public » un service normalement fourni contre rémunération au moyen de réseaux de communications électroniques, qui comprend le service d'accès à l'internet, le service de communications interpersonnelles et les services consistant entièrement ou principalement à transmettre des signaux.
NIS 2 ne redéfinit pas ces termes. Elle les emprunte au Code des communications électroniques européen (CCEE). « Accessible au public » est le mot clé : un service que vous vendez au grand public compte, une VoIP d'entreprise interne que vous exploitez uniquement pour votre propre personnel ne compte pas.
§28 du BSIG et la Telekommunikationsgesetz (TKG), Allemagne
Anbieter öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
L'Allemagne transpose les obligations télécoms par le §28 du BSIG combiné à la TKG. Le BSI est l'autorité centrale NIS 2, mais la Bundesnetzagentur (BNetzA) gère la régulation sectorielle opérationnelle des fournisseurs de télécommunications (mesures de sécurité au titre de l'ancien §109 de la TKG, notifications d'incident, enregistrement des services). Attendez-vous à traiter avec les deux.
Exploitez-vous un réseau public ?
Un réseau public de communications électroniques est un réseau utilisé entièrement ou principalement pour fournir des services au public : fibre, câble, mobile, satellite, accès sans fil fixe. Si vous exploitez le transport sous-jacent pour les clients de quelqu'un d'autre, vous relevez du périmètre sur le volet opérateur de réseau.
Fournissez-vous un service public ?
Un service de communications électroniques accessible au public est un service que vous vendez au public : accès à l'internet (FAI), communications interpersonnelles (téléphone, SMS, courriel, VoIP, messagerie) ou pure transmission de signaux. Revendre le réseau de quelqu'un d'autre sous votre propre marque compte.
La taille ne vous fait pas sortir
L'art. 2, paragraphe 2, point a), supprime le seuil habituel de 50 salariés / 10 M EUR pour les télécommunications. Un FAI fibre régional de 5 personnes et un petit revendeur de téléphonie IP relèvent du périmètre sur la même base juridique que Deutsche Telekom. Il n'y a pas d'exemption pour les petites entreprises dans ce secteur.
Inclusion indépendante de la taille (art. 2, paragraphe 2, point a))
Pour la plupart des secteurs de NIS 2, vous ne relevez du périmètre que si vous franchissez le seuil de moyenne entreprise. Les télécommunications font partie des exceptions. La directive s'applique explicitement indépendamment de la taille parce que le rôle de service public crée lui-même une dépendance sociétale. Petit ne veut pas dire hors périmètre.
Les définitions sont celles du CCEE
Ce qui compte comme service « accessible au public » est le test juridique du Code des communications électroniques européen, pas le test courant. Un service que vous vendez au public est inclus. Un réseau ou service que vous exploitez uniquement pour votre propre organisation, ou seulement en groupe fermé d'utilisateurs, ne l'est généralement pas. En cas de doute, les définitions, considérants et orientations du régulateur national du CCEE sont la référence.
BSI / §28 du BSIG
Le BSI est l'autorité centrale NIS 2. L'enregistrement, le cadre de gestion des risques, la notification d'incident au titre de NIS 2 passent tous par le BSI. Pour les télécommunications, le §28 du BSIG nomme directement les opérateurs de réseau public et les fournisseurs de service public comme « besonders wichtige Einrichtungen », indépendamment de leur taille.
Bundesnetzagentur (BNetzA) / TKG
La BNetzA est le régulateur sectoriel des télécommunications. Elle gère les obligations opérationnelles issues de la TKG (sécurité des réseaux et des services, notification d'incident sur le volet télécoms, enregistrement des services). NIS 2 se superpose au régime TKG existant, elle ne le remplace pas. La plupart des fournisseurs de télécommunications déclarent par les deux canaux.
ENISA
L'ENISA, l'agence de cybersécurité de l'UE, coordonne entre les États membres et publie des orientations techniques de mise en œuvre au titre du CIR (UE) 2024/2690. Les opérateurs de réseau public et les fournisseurs de service public sont inscrits à l'annexe du CIR, ce qui signifie que des parties du CIR lient directement les fournisseurs de télécommunications sans nécessiter de transposition nationale supplémentaire.
Régulateurs nationaux des télécommunications
Chaque État membre a son propre régulateur des télécommunications qui gère cette couche : ACM aux Pays-Bas, ARCEP en France, RTR en Autriche, AGCOM en Italie. L'obligation NIS 2 est la même à l'échelle de l'UE parce que la directive fixe un plancher unique. Ce qui diffère : auprès de qui vous vous enregistrez, quel formulaire d'incident vous utilisez et comment l'équivalent du BSI et le régulateur des télécommunications se répartissent la tâche.
Nous n'avons que 5 salariés, donc le seuil de taille nous fait sortir.
Pas pour les télécommunications. L'art. 2, paragraphe 2, point a), de NIS 2 inscrit les opérateurs de réseau public et les fournisseurs de service public comme une catégorie indépendante de la taille. Le seuil de 50 salariés / 10 M EUR qui filtre la plupart des autres secteurs ne s'applique pas ici. Un FAI régional de 5 personnes relève du périmètre de NIS 2 sur le même pied qu'un opérateur national.
Nous ne sommes pas un MSP, donc le secteur 8 ne nous attrape pas.
Secteur différent, test différent. Les fournisseurs de services gérés relèvent de l'annexe I secteur 8 sous « gestion de services TIC (B2B) » et ils suivent bien le seuil de taille. Les opérateurs de réseau public et les fournisseurs de service public sont une ligne distincte du même secteur, avec leurs propres définitions issues du CCEE, plus la règle d'indépendance de la taille de l'art. 2, paragraphe 2, point a). Lisez les deux lignes.
Nous exploitons un réseau pour notre groupe d'entreprises, donc nous relevons du périmètre en tant que fournisseur de télécommunications.
Généralement non, sur le volet télécoms. Le test du CCEE repose sur « accessible au public ». Un réseau d'entreprise privé utilisé uniquement par votre propre organisation ou un groupe fermé d'utilisateurs est généralement hors des définitions du CCEE et donc hors de l'annexe I secteur 8 pour les télécommunications. Vous pouvez toujours relever de NIS 2 au titre d'un autre secteur ou en tant qu'entité dans le périmètre, mais pas en tant que fournisseur de télécommunications.
Un petit FAI fibre régional de 8 personnes relève sans ambiguïté du périmètre de NIS 2. L'annexe I secteur 8 nomme les opérateurs de réseau public et les fournisseurs de service public ; l'art. 2, paragraphe 2, point a), supprime le seuil de taille ; le test du CCEE pour « accessible au public » est satisfait parce que le service est vendu au grand public. La même logique attrape un petit revendeur de téléphonie IP servant des clients publics. Il n'existe aucune lecture honnête du texte qui en fasse sortir l'un ou l'autre.
Ce que nous voyons en pratique : l'opérateur rédige un cadre de gestion des risques §2.1 autour des services destinés au public et de l'infrastructure de support (réseau de transport, routage cœur, nœuds d'accès, OSS/BSS, authentification des clients). La proportionnalité de l'art. 21, paragraphe 1, s'applique, de sorte qu'un FAI de 8 personnes ne met pas en œuvre au niveau de profondeur d'un opérateur de premier rang. Le phasage doit être consigné, justifié par le tableau des risques et validé par l'organe de direction. Les obligations TKG de la BNetzA s'exécutent en parallèle et alimentent le même registre des risques.
Notre contrôle d'applicabilité parcourt les définitions du CCEE étape par étape. Il demande ce que vous exploitez, à qui vous vendez et si le service est « accessible au public » au sens du CCEE. Le résultat vous indique quelle ligne de l'annexe s'applique, si l'art. 2, paragraphe 2, point a), vous attrape indépendamment de la taille, et auprès de quel régulateur national (BSI ou BNetzA en Allemagne, équivalent du BSI ou régulateur des télécommunications ailleurs) vous vous adressez en premier.
Le module des actifs couvre le volet réseau (transport, cœur, accès, OSS/BSS) et le volet orienté service (gestion des abonnés, authentification, plateformes voix et messagerie) sur un seul inventaire. Le cadre de gestion des risques §2 du CIR s'exécute ensuite sur cet inventaire, de sorte que la même liste d'actifs alimente à la fois le volet BSIG / NIS 2 et le volet TKG sans double maintenance.
- Directive (UE) 2022/2555 (NIS 2), annexe I secteur 8 et article 2, paragraphe 2, point a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2018/1972 (Code des communications électroniques européen), définitions de l'article 2 — eur-lex.europa.eu/eli/dir/2018/1972/oj
- Loi sur le BSI (BSIG), §28 telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- Telekommunikationsgesetz (TKG), §165 et suivants (sécurité des réseaux et des services)
- Bundesnetzagentur, orientations sectorielles sur la sécurité TKG et les obligations de notification — bundesnetzagentur.de
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR), annexe (couvre le DNS, les TLD, le cloud, les centres de données, les MSP et les autres catégories du secteur 8) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj