Les sociétés informatiques de groupe comme fournisseurs de services gérés au sens de NIS 2
Lorsque l'informatique centrale de votre groupe sert les filiales, cette société informatique peut entrer dans le champ d'application de NIS 2 de son propre chef. L'annexe I secteur 9 (gestion des services TIC, business-to-business) nomme MSP et MSSP. L'article 6, points 40 et 41, les définit. Les praticiens allemands ont commencé à appliquer cela aux structures de groupe.
La version courte
De nombreux groupes allemands et européens regroupent leur informatique dans un seul service central ou une seule société de services qui exploite l'infrastructure, les applications et la sécurité pour le reste du groupe. La question NIS 2 est de savoir si cette société informatique elle-même compte comme fournisseur de services gérés (MSP), distincte de ce que font la société mère ou les filiales.
Cela importe parce que MSP et MSSP se situent à l'annexe I secteur 9 de la directive (gestion des services TIC, business-to-business). Si vous vous situez là en tant que MSP ou MSSP et que vous atteignez le seuil de taille de moyenne entreprise, vous êtes une entité importante. De votre propre chef. Avec votre propre enregistrement, votre propre gestion des risques et votre propre obligation de notification des incidents. Faire partie d'un groupe n'absorbe rien de cela.
La page traite trois couches. Premièrement, ce que la directive dit réellement à l'annexe I secteur 9 et à l'article 6, points 40 et 41. Deuxièmement, un test en trois parties qui vous indique si une société informatique de groupe entre dans le champ d'application. Troisièmement, la lecture des praticiens allemands et les contresens que nous entendons le plus souvent.
Annexe I secteur 9 de la directive NIS 2 (2022/2555)
Gestion des services TIC (business-to-business) : fournisseurs de services gérés ; fournisseurs de services de sécurité gérés.
L'annexe I secteur 9 (« Verwaltung von IKT-Diensten, Business-to-Business » dans le texte allemand) nomme MSP et MSSP comme types d'entités relevant du champ d'application. Ils se situent dans leur propre secteur, distinct de l'annexe I secteur 8 (infrastructure numérique : cloud, centres de données, DNS, CDN, services de confiance).
Article 6, points 40 et 41, de la directive NIS 2
On entend par fournisseur de services gérés une entité qui fournit des services liés à l'installation, à la gestion, à l'exploitation ou à la maintenance de produits TIC, de réseaux, d'infrastructures, d'applications ou de tout autre réseau ou système d'information, par assistance ou administration active effectuée soit dans les locaux des clients, soit à distance. On entend par fournisseur de services de sécurité gérés un fournisseur de services gérés qui réalise des activités liées à la gestion des risques en matière de cybersécurité ou fournit une assistance pour celles-ci.
L'article 6, point 40, définit le MSP. L'article 6, point 41, définit le MSSP. Le test porte sur ce que fait l'entité (installation, gestion, exploitation, maintenance, administration active), et non sur le fait qu'elle facture des clients externes.
Lecture des praticiens allemands (Piltz Legal)
Les sociétés qui exploitent exclusivement les opérations informatiques centrales d'un groupe d'entreprises relèvent généralement de la définition du MSP.
Piltz Legal a lu la transposition allemande et est parvenu à cette conclusion : les sociétés de services informatiques centraux qui servent les filiales du groupe relèvent de la définition du MSP. Les travaux préparatoires de la législation allemande qu'ils citent vont dans le même sens : les services rendus à des entités de groupe juridiquement distinctes sont des services gérés.
Entité juridique propre
L'informatique centrale est-elle constituée en tant qu'entité juridique propre (une GmbH, une AG, ou l'équivalent dans d'autres États membres) ? Si oui, NIS 2 l'évalue de son propre chef. Si l'informatique n'est qu'un centre de coûts interne sans personnalité juridique, le champ d'application passe par la société mère qui l'exploite.
Services gérés à des tiers
L'entité installe-t-elle, gère-t-elle, exploite-t-elle, maintient-elle ou administre-t-elle activement des produits TIC, des réseaux, des infrastructures, des applications ou des systèmes pour des tiers ? Les filiales sont juridiquement distinctes de la société de services informatiques, même au sein du même groupe. Les services qui leur sont rendus comptent comme des services rendus à des tiers au sens de l'article 6, point 40.
Seuil de taille atteint
L'entité informatique atteint-elle le seuil de moyenne entreprise (50 employés ou plus, ou un chiffre d'affaires supérieur à 10 millions d'EUR avec un bilan supérieur à 10 millions d'EUR) ? Attention à la règle des entreprises liées au titre de la recommandation 2003/361/CE de la Commission : elle comptabilise les effectifs et les données financières à l'échelle de l'ensemble du groupe. Une société informatique de 30 personnes au sein d'un groupe de 400 personnes est comptabilisée au niveau du groupe.
Chaque entité juridique est évaluée de son propre chef
Le champ d'application de NIS 2 est décidé par entité juridique. Le fait que la société mère soit dans le champ d'application (par exemple, en tant que fabricant) n'attire pas automatiquement la filiale informatique. Le fait que la filiale informatique soit dans le champ d'application n'attire pas la société mère. Chaque entité s'enregistre, mène sa gestion des risques et notifie les incidents au titre de sa propre obligation.
C'est la fonction qui décide du champ d'application, pas la finalité
L'article 6, point 40, décrit ce que fait l'entité, pas pourquoi. Les services n'ont pas besoin d'être commerciaux, facturés au prix du marché ou vendus à des clients externes. Une société informatique qui n'existe que pour servir son propre groupe fournit tout de même des services gérés au sens de la définition. Ce que vous faites décide du champ d'application. Pourquoi vous le faites n'a pas d'incidence.
Analyse des praticiens de Piltz Legal
La lecture publiée de Piltz Legal : les sociétés informatiques de groupe allemandes relèvent généralement de la définition du MSP lorsqu'elles exploitent l'informatique centrale pour le reste du groupe. Les travaux préparatoires de la législation allemande relatifs à la loi de mise en œuvre de NIS2 vont dans le même sens : les services rendus à des filiales de groupe juridiquement distinctes sont des services gérés au sens de l'article 6, point 40.
L'article 6 est le même dans toute l'UE
L'article 6 de la directive est un ensemble de définitions qui lie chaque État membre. Les lois nationales reprennent le libellé presque mot pour mot. Les transpositions allemande, néerlandaise, autrichienne et belge reflètent toutes l'article 6, points 40 et 41, de sorte que le test en trois parties vous donne la même réponse partout.
Transpositions miroirs
Les Pays-Bas (Cyberbeveiligingswet), l'Autriche (NISG) et la Belgique (NIS2-Wet) inscrivent les définitions de MSP et MSSP dans le droit national. Une société informatique de groupe qui opère au-delà des frontières peut entrer dans le champ d'application de plusieurs États membres à la fois, avec un enregistrement distinct auprès de chaque autorité nationale compétente.
L'informatique interne ne compte pas comme MSP.
Cela dépend de la façon dont elle est constituée. Si l'informatique centrale est sa propre entité juridique et sert d'autres sociétés du groupe juridiquement distinctes, il s'agit de services gérés rendus à des tiers au sens de l'article 6, point 40. Un pur centre de coûts interne sans personnalité juridique n'est pas dans le champ d'application de son propre chef. Une GmbH de services au sein du groupe l'est généralement.
Seuls les MSP commerciaux ayant des clients externes comptent.
L'article 6, point 40, décrit une fonction (installation, gestion, exploitation, maintenance, administration active de produits TIC, de réseaux, d'infrastructures, d'applications ou de systèmes), et non une finalité commerciale. Les sociétés informatiques captives qui ne servent que leurs propres filiales remplissent tout de même la définition si elles exercent cette fonction. La lecture de Piltz Legal et les travaux préparatoires de la législation allemande disent la même chose.
Le champ d'application de la société mère couvre automatiquement la filiale informatique.
NIS 2 examine chaque entité juridique de son propre chef. La société mère peut être dans le champ d'application en tant que fabricant au titre de l'annexe II tandis que la filiale informatique est dans le champ d'application au titre de l'annexe I secteur 9 en tant que MSP. L'enregistrement, la gestion des risques et la notification des incidents s'attachent séparément à chaque entité. Le seul endroit où le groupe est traité comme un tout est le test de taille.
Pendant deux décennies, les groupes allemands ont fusionné leur informatique dans une seule société de services. Opérations plus propres, meilleur traitement de la TVA, moins de doublons. NIS 2 inverse en partie cette incitation. Une GmbH informatique de groupe consolidée qui passait jusque-là sous le radar réglementaire peut désormais être une entité importante au sens de NIS 2 de son propre chef, avec son propre enregistrement, son propre cadre de gestion des risques et sa propre ligne de notification d'incidents au BSI.
Ce que cela signifie en pratique : les décisions structurelles que vous avez prises pour des raisons fiscales ou opérationnelles méritent un second examen avec NIS 2 sous les yeux. Si l'entité informatique est dans le champ d'application en tant que MSP, elle hérite aussi des obligations relatives à la chaîne d'approvisionnement au titre de l'article 21, paragraphe 2, point d), envers ses clients du groupe. Ces clients peuvent eux-mêmes être dans le champ d'application au titre de l'annexe I ou II. Le même contrat interne relève alors de NIS 2 des deux côtés.
La vérification d'applicabilité déroule le test en trois parties à voix haute : entité juridique oui ou non, services rendus à d'autres entités juridiques (à l'intérieur ou à l'extérieur du groupe), taille y compris la règle des entreprises liées. La réponse se répercute sur le module d'enregistrement, de sorte que l'entité informatique s'enregistre séparément là où elle le doit.
Le portail fournisseurs couvre l'autre côté du contrat. Les filiales qui achètent des services gérés à une société informatique sœur peuvent leur soumettre le questionnaire fournisseurs comme à tout autre fournisseur. Les deux côtés de l'accord se retrouvent documentés avec les mêmes preuves au titre de l'article 21, paragraphe 2, point d).
- Directive (UE) 2022/2555 (NIS 2), article 6, points 40 et 41, et annexe I secteur 9 (gestion des services TIC B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Piltz Legal, « Konzern-IT-Gesellschaften unter der NIS 2-Richtlinie » — piltz.legal/news/konzern-it-gesellschaften-unter-der-nis-2-richtlinie
- BSIG (transposition allemande de NIS2), §2 n° 26 (définition du MSP) et §28 (champ d'application) — gesetze-im-internet.de
- Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises (règle des entreprises liées) — eur-lex.europa.eu/eli/reco/2003/361/oj
- FAQ sectorielle du BSI sur les types d'entités NIS 2 — bsi.bund.de