NIS 2 lorsque votre siège est hors de l'UE
NIS 2 suit le service, non l'en-tête de courrier. Si vous vendez dans l'UE dans l'un des secteurs couverts, l'article 26 de la directive détermine quel État membre vous surveille et si vous devez disposer d'un représentant désigné à l'intérieur de l'Union.
En bref
De nombreux fondateurs supposent qu'une société mère américaine, britannique ou suisse les place hors du champ de NIS 2. Ce n'est pas ainsi que fonctionne la directive. L'article 26 de NIS 2 rattache la compétence au lieu où le service est offert et où les décisions de cybersécurité sont prises, et non au lieu où la société est constituée.
Si vous êtes une entité sectorielle normale (énergie, eau, transport, fabrication, denrées alimentaires, santé, déchets, administration publique, etc.), la surveillance suit les établissements que vous exploitez effectivement dans l'Union. Si vous avez une filiale allemande, le BSI surveille cette filiale. Si vous avez des bureaux dans trois États membres, chacun est surveillé localement.
Si vous relevez de l'un des secteurs numériques énumérés à l'article 26, paragraphe 3 (DNS, registres de TLD, fournisseurs d'informatique en nuage, fournisseurs de centres de données, réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, places de marché en ligne, moteurs de recherche en ligne, services de réseaux sociaux), les règles sont plus strictes. Un seul établissement principal vous surveille pour l'ensemble de l'Union, et si votre siège est hors de l'UE, vous devez désigner un représentant à l'intérieur de l'Union au titre de l'article 26, paragraphe 4.
Article 26, paragraphe 2, directive NIS 2 (2022/2555)
For the purposes of this Directive, an essential or important entity shall be deemed to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity risk-management measures are predominantly taken. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where cybersecurity operations are carried out. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where the entity concerned has the establishment with the highest number of employees in the Union.
C'est la cascade qui détermine qui vous surveille lorsque plus d'un État membre pourrait plausiblement revendiquer la compétence. Elle s'applique aux entités des secteurs numériques nommés à l'article 26, paragraphe 3. Les décisions de cybersécurité viennent en premier, les opérations de cybersécurité en deuxième, l'effectif salarié en troisième.
Article 26, paragraphe 4, directive NIS 2 (2022/2555)
Where an entity referred to in paragraph 1, point (b), is not established in the Union but offers services within the Union, it shall designate a representative in the Union. The representative shall be established in one of those Member States where the services are offered. Such an entity shall be deemed to be under the jurisdiction of the Member State where the representative is established. In the absence of a representative within the Union designated under this Article, any Member State in which the entity provides services may take legal actions against the entity for the infringement of this Directive.
Se lit comme une obligation pour les entités non-UE des secteurs numériques de l'article 26, paragraphe 3. Le représentant devient le point de contact et ancre la compétence. L'article 27 ajoute ensuite l'obligation d'enregistrement : le représentant soumet l'entité au registre exploité par l'ENISA pour le compte de l'entité.
§28 BSIG (Allemagne)
Wesentliche und wichtige Einrichtungen unterliegen der Aufsicht des Bundesamtes, soweit sich aus Artikel 26 der Richtlinie (EU) 2022/2555 die Zuständigkeit der Bundesrepublik Deutschland ergibt.
Le BSIG reflète la directive : le BSI vous surveille en Allemagne si l'article 26 de NIS 2 y place la compétence. Il n'y a pas de test de compétence national distinct. La cascade de la directive est le test.
Règle générale : la compétence suit l'établissement
En dehors des secteurs numériques, vous êtes surveillé dans chaque État membre où vous avez un établissement juridique. Un groupe américain avec une GmbH allemande et une GmbH autrichienne est surveillé par le BSI pour l'entité allemande et par l'autorité autrichienne pour l'entité autrichienne. L'article 26, paragraphe 2, ne résout le départage entre États membres que pour les secteurs numériques couverts par l'article 26, paragraphe 3.
Règle spéciale pour les secteurs numériques
Les fournisseurs de services DNS, les registres de TLD, les services d'informatique en nuage, les services de centres de données, les réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de réseaux sociaux ont un seul établissement principal dans l'Union. Ce seul État membre vous surveille pour l'ensemble de l'UE. La cascade de l'article 26, paragraphe 2, décide lequel.
Obligation de représentant pour les fournisseurs non-UE
Si vous relevez de l'un des secteurs numériques de l'article 26, paragraphe 3, et que vous n'êtes pas établi dans l'Union, vous devez désigner un représentant à l'intérieur de l'Union. Le représentant doit se trouver dans un État membre où vous offrez effectivement le service. La compétence suit alors le représentant. À défaut, tout État membre où vous servez des clients peut engager une action en justice au titre de la directive.
Un seul superviseur, pas cinq
Pour les secteurs numériques de l'article 26, paragraphe 3, la règle de l'établissement principal signifie un seul superviseur pour l'ensemble de l'Union. Cela évite la situation où un fournisseur d'informatique en nuage ayant des clients dans chaque État membre est audité vingt-sept fois pour les mêmes mesures. La cascade de l'article 26, paragraphe 2, choisit le superviseur dans un ordre prévisible : les décisions de cybersécurité en premier, les opérations de cybersécurité en deuxième, l'effectif salarié dans l'UE en troisième.
Pas d'échappatoire par un siège étranger
L'article 26, paragraphe 4, boucle la boucle. Un fournisseur non-UE relevant des secteurs numériques couverts ne peut pas offrir de services dans l'Union sans un représentant désigné à l'intérieur de celle-ci. À défaut, tout État membre où le service est vendu peut engager une action en justice. Se constituer aux États-Unis, au Royaume-Uni ou en Suisse ne vous fait pas sortir du champ d'application si le service touche l'Union.
BSI / §28 et §33 BSIG
Le BSI est l'autorité de surveillance pour les entités dont l'établissement principal ou la filiale allemande les place sous la compétence allemande. L'enregistrement passe par le portail national du BSI, qui alimente le registre de l'ENISA au titre de l'article 27. Pour les entités du secteur numérique dont l'établissement principal est en Allemagne, le BSI est le point de contact unique pour l'ensemble de l'Union.
Registre de l'ENISA au titre de l'article 27
L'ENISA exploite le registre central pour les secteurs numériques nommés à l'article 27, paragraphe 2 : fournisseurs DNS, registres de TLD, informatique en nuage, centres de données, réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, places de marché en ligne, moteurs de recherche en ligne, services de réseaux sociaux. Les États membres y alimentent les données des entités. Le registre est ce qui rend la surveillance transfrontalière praticable.
Lois de transposition nationales
Chaque État membre dispose d'une loi de transposition (Pays-Bas : Cyberbeveiligingswet, Autriche : NISG, Belgique : NIS2-Wet) et d'une autorité nationale compétente. La cascade de l'article 26 est identique dans toute l'Union car elle figure dans la directive. Ce qui diffère, c'est le portail, la langue et le superviseur local auquel vous vous adressez réellement.
Nous sommes une entreprise américaine, donc NIS 2 ne s'applique pas à nous.
NIS 2 suit le service dans l'Union, non l'en-tête de courrier. Si vous relevez de l'un des secteurs numériques nommés à l'article 26, paragraphe 3, et que vous offrez le service à des clients dans l'UE, l'article 26, paragraphe 4, vous impose de désigner un représentant dans l'Union. Si vous opérez par l'intermédiaire d'une filiale UE dans tout autre secteur couvert, la filiale elle-même est incluse dans le champ d'application. La constitution de la société mère n'est pas le test.
Nous avons des bureaux dans six États membres, donc nous nous enregistrons six fois.
Pour les secteurs numériques de l'article 26, paragraphe 3, vous avez un seul établissement principal et un seul superviseur pour l'ensemble de l'Union. La cascade de l'article 26, paragraphe 2, le choisit : là où les décisions de cybersécurité sont prises en premier, là où se trouvent les opérations de cybersécurité en deuxième, l'établissement UE comptant le plus de salariés en troisième. En dehors de ces secteurs numériques, vous vous enregistrez bien par État membre où vous êtes établi, mais à l'intérieur de ceux-ci, non.
Nous sommes basés en Suisse, donc nous sommes hors de NIS 2 parce que la Suisse n'est pas dans l'UE.
La Suisse n'est pas un État membre de l'UE, mais la directive atteint tout de même les entreprises suisses qui vendent dans l'Union dans un secteur couvert. Un MSP suisse servant des clients allemands soit opère par l'intermédiaire d'une filiale UE qui devient l'entité réglementée, soit, pour les secteurs numériques de l'article 26, paragraphe 3, doit désigner un représentant dans l'UE au titre de l'article 26, paragraphe 4. La même logique s'applique aux fournisseurs du Royaume-Uni, des États-Unis et d'autres pays tiers.
Le schéma propre : déterminer si votre secteur figure sur la liste de l'article 26, paragraphe 3, avant toute autre chose. Si tel est le cas, votre rôle est de choisir un seul établissement principal, de documenter par écrit la cascade de l'article 26, paragraphe 2 (décisions, opérations, effectif), et soit de vous enregistrer par le portail de cet État membre, soit de désigner un représentant si vous êtes non-UE. Si tel n'est pas le cas, vous recensez vos établissements UE et enregistrez chacun auprès de son autorité nationale.
Le schéma désordonné que nous voyons le plus souvent : des sociétés mères qui tentent de maintenir toute la prise de décision en cybersécurité au siège hors de l'Union tout en prétendant que la filiale UE est autonome. La cascade de l'article 26, paragraphe 2, ne se soucie pas des organigrammes. Elle regarde où les décisions sont réellement prises. Si la réponse est « au siège à Boston », la filiale UE reste incluse dans le champ d'application par son propre établissement, et les entités du secteur numérique ont toujours besoin du représentant de l'article 26, paragraphe 4. La voie la plus propre est de décider où dans l'Union les décisions se situent, de le documenter, et de cesser d'entretenir des structures de contrôle parallèles.
Nous saisissons la cascade de l'article 26 dans le cadre du flux de travail d'applicabilité et d'enregistrement. La plateforme pose les questions dans l'ordre propre de la directive : quel secteur, quels États membres comportant des établissements, où les décisions de cybersécurité sont prises, où se trouvent les opérations de cybersécurité, l'effectif UE. Le résultat est un établissement principal documenté avec le raisonnement consigné une fois pour toutes, et non redéduit à chaque audit.
Pour les groupes non-UE des secteurs de l'article 26, paragraphe 3, la plateforme suit le représentant désigné comme une entité distincte avec ses propres coordonnées et son pays d'établissement. Les données d'enregistrement de l'article 27 découlent du même enregistrement, de sorte que la soumission au portail national et le registre de l'ENISA s'alimentent à la même source plutôt qu'à un tableur parallèle.
- Directive (UE) 2022/2555 (NIS 2), articles 26 et 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Loi sur le BSI (BSIG), §28 et §33 tels que modifiés par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- Règlement d'exécution (UE) 2024/2690 de la Commission (CIR) sur les exigences techniques et méthodologiques propres au secteur — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Registre de l'ENISA au titre de l'article 27, paragraphe 2, NIS 2 — enisa.europa.eu
- Infopakete du BSI sur le champ d'application et l'enregistrement NIS 2 — bsi.bund.de/dok/nis-2-infopakete