Suis-je un prestataire de services de confiance au sens de NIS2 ?
Les prestataires de services de confiance se situent dans l'annexe I secteur 8 de NIS2. Les prestataires de services de confiance qualifiés sont liés indépendamment de la taille au titre de l'article 2(2)(b). Les prestataires de services de confiance non qualifiés suivent le test de la taille standard de l'article 2(1). eIDAS se place en parallèle et régit le service de confiance lui-même.
En bref
Un prestataire de services de confiance est quiconque fournit un ou plusieurs services de confiance au sens de l'article 3(16) du règlement eIDAS (UE) 910/2014 : signatures électroniques, cachets électroniques, horodatages électroniques, envois recommandés électroniques, certificats d'authentification de site internet, ou la conservation de l'un quelconque de ceux-ci. L'annexe I secteur 8 de NIS2 nomme explicitement les prestataires de services de confiance dans le cadre de l'Infrastructure numérique.
L'article 2(2)(b) de NIS2 actionne ensuite un levier qui ne s'applique pas à la plupart des autres secteurs. Les prestataires de services de confiance qualifiés, au sens de l'article 3(17) eIDAS, relèvent du champ d'application indépendamment de la taille. Un prestataire de services de confiance qualifié de deux personnes qui délivre des certificats qualifiés pour signatures électroniques est lié de la même manière qu'une autorité de certification de 500 personnes. Le seuil de l'entreprise moyenne de l'article 2(1) ne les conditionne pas.
Les prestataires de services de confiance non qualifiés suivent le test de la taille ordinaire : au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires annuel ou de total du bilan, les place dans le champ d'application. En deçà, ils se situent hors de NIS2, bien que l'article 19 eIDAS les lie toujours par un socle de sécurité. Deux régimes fonctionnent en parallèle dans les deux cas : eIDAS pour le service de confiance lui-même, NIS2 pour les obligations cyber transversales à l'organisation (formation de l'organe de direction de l'article 20, notification d'incident important du §32 BSIG, mesures de gestion des risques de l'article 21).
Directive NIS2 (2022/2555), annexe I secteur 8 (Infrastructure numérique)
Anbieter von Vertrauensdiensten; Anbieter von Diensten der Domänennamenauflösung (DNS), ausgenommen Betreiber von Root-Nameservern; Registrierungsstellen für Domänennamen der obersten Stufe (TLD); Anbieter von Cloud-Computing-Diensten; Anbieter von Rechenzentrumsdiensten; Anbieter von Content Delivery Networks; Anbieter öffentlicher elektronischer Kommunikationsnetze; Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Verbatim issu du JO L 333/146. Le secteur 8 est l'Infrastructure numérique. Les prestataires de services de confiance sont la première sous-catégorie énumérée. La liste sectorielle ne sépare pas le qualifié du non qualifié ; cette séparation est opérée par l'article 2(2)(b) et par eIDAS.
Article 2(2)(b) NIS2 + article 3(16) et 3(17) eIDAS
Article 2(2)(b) NIS2 : La présente directive s'applique également aux entités d'un type visé à l'annexe I ou II, indépendamment de leur taille, lorsque l'entité est un prestataire de services de confiance qualifié. Article 3(16) eIDAS : on entend par « service de confiance » un service électronique normalement fourni contre rémunération qui consiste : a) en la création, la vérification et la validation de signatures électroniques, de cachets électroniques ou d'horodatages électroniques, de services d'envoi recommandé électronique et de certificats relatifs à ces services ; ou b) en la création, la vérification et la validation de certificats pour l'authentification de site internet ; ou c) en la conservation de signatures électroniques, de cachets ou de certificats relatifs à ces services. Article 3(17) : on entend par « service de confiance qualifié » un service de confiance qui satisfait aux exigences applicables prévues par le présent règlement.
Deux définitions empilées. L'article 3(16) eIDAS vous indique ce qui constitue un service de confiance. L'article 3(17) vous indique quand l'un d'eux est qualifié (satisfait aux exigences de l'annexe eIDAS et est inscrit sur la liste de confiance nationale). L'article 2(2)(b) NIS2 dit ensuite : si vous êtes qualifié, vous relevez de NIS2 indépendamment de l'effectif ou du chiffre d'affaires.
§28 BSIG + Vertrauensdienstegesetz (Allemagne)
Le §28 BSIG transpose le champ d'application de l'annexe I en droit allemand et capte explicitement les prestataires de services de confiance qualifiés comme « besonders wichtige Einrichtungen » indépendamment de la taille. Le Vertrauensdienstegesetz (VDG) est la loi nationale d'accompagnement du règlement eIDAS ; il désigne la Bundesnetzagentur comme organe de contrôle des services de confiance et exploite la liste de confiance allemande.
Le règlement eIDAS s'applique directement sans transposition allemande. Le VDG n'ajoute que le dispositif de contrôle. NIS2 se place séparément par-dessus les deux : le §28 BSIG place les prestataires de services de confiance qualifiés dans le niveau le plus élevé (besonders wichtige Einrichtung), indépendamment de la taille, avec le BSI comme régulateur cyber.
Fournissez-vous un service de confiance ?
Confrontez votre offre à l'article 3(16) eIDAS. La liste fermée est : signatures électroniques, cachets électroniques, horodatages électroniques, services d'envoi recommandé électronique, certificats d'authentification de site internet, et la conservation de l'un quelconque de ceux-ci. Le service est normalement fourni contre rémunération. Si votre offre ne correspond à aucune de ces catégories, vous n'êtes pas un prestataire de services de confiance au sens d'eIDAS, peu importe la quantité de cryptographie que vous livrez.
Êtes-vous le prestataire ou seulement un utilisateur ?
Un prestataire de services de confiance délivre ou exploite le service de confiance pour autrui. Une entreprise qui signe ses propres factures au moyen d'un service de signature qualifié externe est un utilisateur de ce service, et non un prestataire. Un cabinet de conseil qui aide un client à déployer des flux de signature est également un utilisateur. Le statut de prestataire dépend de la question de savoir si vous créez, validez, transmettez ou conservez le service de confiance lui-même, pour quelqu'un d'autre, contre rémunération.
Qualifié ou non qualifié ?
Vérifiez la liste de confiance nationale (en Allemagne : la liste de confiance de la Bundesnetzagentur au titre du VDG). Si vous y êtes inscrit en tant que prestataire qualifié, l'article 2(2)(b) NIS2 vous lie indépendamment de la taille. Si vous n'y êtes pas inscrit, vous êtes non qualifié et le test de la taille standard de l'article 2(1) s'applique : entreprise moyenne ou plus grande. Les prestataires de services de confiance qualifiés de deux ou trois personnes sont courants dans ce secteur, et ils relèvent tous du champ d'application.
Qualifié signifie indépendamment de la taille
L'article 2(2)(b) NIS2 est l'une des sept dérogations indépendantes de la taille de la directive. Les services de confiance figurent sur la liste parce que le préjudice résultant d'un certificat qualifié compromis est structurel : chaque signature, cachet ou horodatage délivré sous celui-ci perd son effet juridique. La taille du prestataire n'a aucune incidence sur l'ampleur du dommage en aval. Une autorité de certification de deux personnes peut rompre toute la chaîne de signature d'un État membre. C'est pourquoi le test de la taille est désactivé.
Les prestataires de services de confiance qualifiés relèvent de deux régimes parallèles
L'article 19 eIDAS lie la sécurité du service de confiance lui-même, avec des audits tous les 24 mois au titre de l'article 24 pour les prestataires de services de confiance qualifiés. NIS2 ajoute les obligations cyber transversales à l'organisation : formation de l'organe de direction de l'article 20, mesures de gestion des risques de l'article 21, notification d'incident important de l'article 23. L'article 4 NIS2 ne désactive pas NIS2 ici. Les deux régimes s'appliquent intégralement. L'organe de contrôle eIDAS et l'autorité compétente NIS2 peuvent être différents (en Allemagne : la Bundesnetzagentur pour eIDAS, le BSI pour NIS2).
BSI / §28 BSIG (volet NIS2)
Le BSI est l'autorité compétente NIS2. Il exploite le portail d'enregistrement du §33 BSIG, reçoit les notifications d'incident important du §32 BSIG et contrôle les mesures de gestion des risques du §30 BSIG. Les prestataires de services de confiance qualifiés atterrissent dans le niveau « besonders wichtige Einrichtung » par le §28 BSIG, ce qui implique un contrôle plus strict et les mêmes délais de notification d'incident que les opérateurs KRITIS.
Bundesnetzagentur (volet eIDAS)
La Bundesnetzagentur est l'organe de contrôle des services de confiance au titre du Vertrauensdienstegesetz. Elle exploite la liste de confiance allemande, accrédite le statut qualifié, reçoit les rapports d'évaluation de la conformité au titre de l'article 20 eIDAS, et gère le cycle d'audit de 24 mois au titre de l'article 24. Lorsqu'un incident est à la fois un incident important au sens du §32 BSIG et une violation au sens de l'article 19(2) eIDAS, vous notifiez les deux, aux deux autorités.
ENISA Technical Implementation Guidance + travaux sur le portefeuille EUDI
L'ENISA publie l'orientation technique pour les services de confiance au titre de l'article 19 eIDAS et rédige le socle de cybersécurité qui alimente les attentes des contrôleurs nationaux. Le même organisme rédige désormais le lot de travail relatif aux services de confiance pour le portefeuille européen d'identité numérique (EUDI Wallet), qui étend le périmètre des prestataires de services de confiance qualifiés à partir de 2026.
Lois nationales de transposition
eIDAS est un règlement, de sorte que les règles relatives aux services de confiance sont uniformes dans toute l'UE. NIS2 est une directive, de sorte que chaque État membre la transpose : les Pays-Bas via la Cyberbeveiligingswet, l'Autriche via la NISG, la France via l'ordonnance 2024-1093. L'annexe I secteur 8 et la règle d'indépendance de la taille de l'article 2(2)(b) sont identiques dans toutes ces transpositions. L'autorité compétente pour le volet NIS2 diffère d'un pays à l'autre.
Les services de confiance non qualifiés sont hors de NIS2.
Faux. Les prestataires de services de confiance non qualifiés relèvent toujours de l'annexe I secteur 8. Ils ne bénéficient pas de la dérogation indépendante de la taille de l'article 2(2)(b), de sorte que le test standard de l'article 2(1) décide. Un prestataire d'horodatage non qualifié de 60 salariés relève pleinement de NIS2 en tant qu'entité importante. Seul le statut de qualification change la question de savoir si le test de la taille s'applique, et non la question de savoir si le secteur s'applique.
eIDAS couvre déjà la cybersécurité, NIS2 n'ajoute donc rien.
L'article 19 eIDAS fixe le socle de sécurité pour le service de confiance. Les articles 20, 21 et 23 de NIS2 ajoutent des obligations transversales à l'organisation : formation de l'organe de direction, l'intégralité du catalogue de gestion des risques, de la cryptographie à la chaîne d'approvisionnement, et la notification d'incident important au titre du §32 BSIG avec une alerte précoce de 24 heures. La règle lex specialis de l'article 4 NIS2 ne désactive pas NIS2 pour les services de confiance. Deux régimes parallèles, aucun ne remplace l'autre.
Nous sommes trop petits pour NIS2.
Si vous êtes un prestataire de services de confiance qualifié, la taille est la mauvaise question. L'article 2(2)(b) vous inclut indépendamment de l'effectif, du chiffre d'affaires ou du total du bilan. Une autorité de certification qualifiée de deux personnes relève du même niveau NIS2 qu'une autorité de certification multinationale. La raison se situe en aval : chaque signature délivrée sous un certificat qualifié compromis perd son effet juridique, quel qu'en soit l'émetteur.
Cas type : un prestataire de services de confiance qualifié de 12 personnes délivrant des certificats qualifiés pour signatures électroniques, avec un cycle d'évaluation de la conformité eIDAS de 24 mois et une inscription sur la liste de confiance nationale par la Bundesnetzagentur. Le champ d'application de NIS2 est automatique par l'article 2(2)(b). Le §28 BSIG place l'entreprise dans le niveau « besonders wichtige Einrichtung ». Deux régulateurs, deux canaux de notification, une entreprise.
Ce que font réellement les praticiens : prendre les éléments de preuve de l'audit de l'article 24 eIDAS et les réutiliser pour les mesures pertinentes de l'article 21 NIS2 (cryptographie, contrôle d'accès, gestion des incidents, continuité d'activité). Effectuer l'enregistrement du §33 BSIG auprès du BSI. Ajouter les éléments qu'eIDAS ne couvre pas : formation de l'organe de direction de l'article 20, risque fournisseur de l'article 21(2)(d), le canal d'incident important du §32 BSIG. Les deux régimes se recoupent sur la cryptographie et la réponse aux incidents ; tout le reste est additionnel.
Le contrôle d'applicabilité identifie les prestataires de services de confiance qualifiés par l'article 2(2)(b) et désactive automatiquement le test de la taille. Le résultat est une Anwendbarkeitsprüfung écrite qui cite l'annexe I secteur 8 et l'article 2(2)(b), signée par l'organe de direction, figée sur une version du texte de la directive.
Le catalogue de mesures reflète la réalité des deux régimes. Les mesures de l'article 19 eIDAS sont étiquetées de sorte que vous puissiez joindre une seule fois le rapport d'évaluation de la conformité le plus récent et le faire compter au titre des mesures pertinentes de l'article 21 NIS2. Le registre des fournisseurs signale tout sous-traitant ultérieur qui est lui-même un prestataire de services de confiance, de sorte que les obligations de chaîne d'approvisionnement de l'article 21(2)(d) restent traçables.
- Directive (UE) 2022/2555 (NIS2), annexe I secteur 8 et article 2(2)(b) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement (UE) 910/2014 (eIDAS), article 3(16), article 3(17), article 19, article 24 — eur-lex.europa.eu/eli/reg/2014/910/oj
- Loi BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) et §33 (Registrierung) telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- Vertrauensdienstegesetz (VDG) — gesetze-im-internet.de/vdg
- Liste de confiance allemande de la Bundesnetzagentur au titre de l'article 22 eIDAS
- ENISA Technical Implementation Guidance pour les services de confiance au titre de l'article 19 eIDAS — enisa.europa.eu