NIS 2 et les organismes de recherche
L'annexe II secteur 10 couvre les organismes de recherche qui travaillent sur la recherche appliquée ou le développement expérimental à des fins commerciales. Les universités en sont exclues par défaut. Les États membres peuvent étendre le champ d'application.
Pourquoi cet article existe
L'annexe II de la directive NIS 2 ((UE) 2022/2555) liste les organismes de recherche comme secteur 10. La catégorie figure à l'annexe II, de sorte que les entités qualifiées sont classées comme entités importantes (wichtige Einrichtungen).
Le champ d'application est plus étroit que le sens courant de la recherche. NIS 2 vise un type d'activité bien précis : la recherche appliquée ou le développement expérimental destiné à produire des résultats ensuite exploités commercialement. La recherche fondamentale, le travail purement académique et les activités éducatives ne sont pas dans le champ par défaut.
La page expose d'abord la strate européenne (annexe II, article 6, point 41), considérant 39, test de taille de l'article 2, paragraphe 1), puis la mise en œuvre allemande au §28 BSIG et les pièges pratiques que nous voyons le plus souvent lorsque des organismes de recherche effectuent un test d'applicabilité.
Annexe II, secteur 10 (directive (UE) 2022/2555)
Research organisations
L'annexe II point 10 liste le secteur avec le seul type d'entité « organismes de recherche ». La définition de fond figure à l'article 6, point 41), et est renforcée par le considérant 39.
Article 6, point 41), considérant 39 (directive (UE) 2022/2555)
'Research organisation' means an entity which has as its primary goal to conduct applied research or experimental development with a view to exploiting the results of that research for commercial purposes, and which does not include educational institutions.
Le considérant 39 ajoute que la présente directive ne devrait pas s'appliquer aux établissements d'enseignement, en particulier les universités ou les centres de recherche qui mènent des activités de recherche sur une base non commerciale. Les États membres peuvent décider que les établissements d'enseignement relèvent du champ d'application de la présente directive sur la base de leurs politiques et approches nationales.
§28 BSIG (NIS2UmsuCG, Allemagne)
Forschungseinrichtungen mit Sitz in Deutschland, die die in §28 Absatz 1 BSIG genannten Schwellenwerte erreichen oder überschreiten, gelten als wichtige Einrichtungen.
L'Allemagne transpose l'annexe II secteur 10 au §28 BSIG. L'entité demeure une entité importante (wichtige Einrichtung) et relève de la fourchette de sanctions du §65 BSIG pouvant atteindre 7 millions d'euros ou 1,4 pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Recherche appliquée à finalité commerciale
L'activité principale est la recherche appliquée ou le développement expérimental, avec l'intention que les résultats soient exploités commercialement. Octroi de licences, essaimages, recherche sous contrat pour l'industrie ou vente de prototypes en sont des signaux typiques. La recherche purement guidée par la curiosité, l'enseignement et la diffusion ne le sont pas.
Taille moyenne ou supérieure
L'article 2, paragraphe 1, de NIS 2 applique le seuil de la recommandation 2003/361/CE de l'UE. L'entité l'atteint avec au moins 50 employés ou un chiffre d'affaires annuel et un total du bilan supérieurs à 10 millions d'euros. En dessous du seuil, l'entité n'est pas dans le champ d'application, sauf si un État membre applique une dérogation indépendante de la taille.
Extension nationale aux universités
Les États membres peuvent décider d'intégrer les établissements d'enseignement, y compris les universités, dans le champ d'application au moyen du droit national. Sans une telle extension, les universités en sont exclues, même si elles exploitent de grandes unités de recherche appliquée. La question de savoir si le pays a procédé à l'extension relève de l'acte de transposition national.
Les établissements d'enseignement sont exclus par défaut
Le considérant 39 est explicite : NIS 2 ne s'applique pas aux établissements d'enseignement, en particulier les universités ou les centres de recherche qui mènent des activités de recherche sur une base non commerciale. Une unité de recherche universitaire effectuant des travaux sous contrat pour l'industrie n'est pas automatiquement intégrée. L'exclusion se situe au niveau de l'établissement, non du projet.
La source de financement ne décide pas du champ d'application
La définition repose sur l'activité (recherche appliquée, exploitation commerciale), et non sur celui qui paie. Une GmbH de recherche financée par des fonds privés et un institut Fraunhofer financé par des fonds publics relèvent tous deux du champ d'application s'ils satisfont à la définition et au test de taille. Un institut de recherche fondamentale purement financé par des fonds publics n'est pas dans le champ d'application parce que l'activité ne correspond pas, et non parce que le financement est public.
Le BSI comme autorité compétente
Le Bundesamt für Sicherheit in der Informationstechnik (BSI) est l'autorité compétente pour les organismes de recherche au titre du §28 BSIG. L'enregistrement passe par le portail du BSI ; les obligations sont identiques à celles des autres entités importantes au titre des §§30 à 32 BSIG.
Orientations d'ENISA
Le guide de mise en œuvre technique d'ENISA (v1.2, août 2025) traite les organismes de recherche comme les autres entités de l'annexe II pour les mesures de gestion des risques de l'article 21. Il n'y a pas de dérogation spécifique à la recherche dans le règlement d'exécution. Les spécificités sectorielles n'apparaissent que dans les seuils de déclaration d'incidents via la pratique de supervision nationale.
Pas d'extension générale aux universités au §28 BSIG
L'Allemagne n'a pas, dans la NIS2UmsuCG, procédé à une extension générale de NIS 2 aux universités. Les Hochschulen et les centres de recherche universitaires restent donc hors du champ d'application de NIS 2 au niveau fédéral, bien que d'autres lois fédérales ou de Land (par exemple les lois sur la sécurité informatique de certains Länder) puissent néanmoins s'appliquer.
Les universités font aussi de la recherche, donc elles doivent être dans le champ d'application.
Par défaut, non. Le considérant 39 exclut les établissements d'enseignement, en particulier les universités et les centres de recherche non commerciaux. Ils ne sont dans le champ d'application que si l'État membre a expressément étendu NIS 2 à eux par le droit national. En Allemagne, cette extension n'a pas été faite.
Seuls les instituts de recherche financés par des fonds publics sont dans le champ d'application.
Sens inverse. La définition repose sur l'activité et l'intention d'exploitation commerciale, et non sur la source de financement. Une société privée de recherche sous contrat peut être pleinement dans le champ d'application. Un organisme de recherche fondamentale purement financé par des fonds publics en est exclu parce que l'activité est non commerciale, et non parce que les fonds sont publics.
Nous sommes à but non lucratif, donc NIS 2 ne s'applique pas.
La forme juridique ne décide pas du champ d'application. Une gemeinnützige GmbH ou un e.V. menant de la recherche appliquée à des fins d'exploitation commerciale peut satisfaire à la définition. Le test porte sur l'activité et le seuil de taille, et non sur le statut fiscal.
Dans les tests d'applicabilité que nous menons, le cas limite est presque toujours une branche de recherche sous contrat d'une université ou un institut financé par des fonds publics doté d'un solide pipeline de transfert de technologie. La bonne question n'est pas de savoir si l'entité fait de la recherche, mais si sa finalité principale est la recherche appliquée ou le développement expérimental avec une voie d'exploitation commerciale.
Si la réponse est oui et que l'entité atteint le seuil de taille de l'article 2, paragraphe 1, elle relève de NIS 2 en tant qu'entité importante, qu'elle se considère ou non comme faisant partie du paysage de la recherche publique. Le test d'applicabilité de la plateforme parcourt explicitement l'article 6, point 41), et l'article 2, paragraphe 1, afin que cela ne soit pas laissé à l'interprétation.
Les entités du secteur 10 exploitent le même registre des obligations NIS 2 que toute autre entité importante : enregistrement au titre de l'article 27, gouvernance au titre de l'article 20, les dix domaines de gestion des risques de l'article 21, paragraphe 2, et déclaration d'incidents au titre de l'article 23. La plateforme structure tout cela comme des obligations continues plutôt que comme un projet ponctuel.
Lorsqu'un organisme de recherche présente un schéma de preuve spécifique (par exemple, des contrats de transfert de technologie qui doivent satisfaire aux clauses de chaîne d'approvisionnement de l'article 21, paragraphe 2, point d)), cela vit dans les modules fournisseurs et contrats. Il n'y a pas de module recherche distinct car les mesures de l'article 21 sont neutres du point de vue sectoriel.
- Directive (UE) 2022/2555 (NIS 2), annexe II point 10 (Recherche)
- Directive (UE) 2022/2555 (NIS 2), article 6, point 41), définition de l'organisme de recherche
- Directive (UE) 2022/2555 (NIS 2), considérant 39, exclusion des établissements d'enseignement et extension optionnelle par les États membres
- Directive (UE) 2022/2555 (NIS 2), article 2, paragraphe 1, champ d'application et seuil de taille via la recommandation 2003/361/CE
- BSIG (Gesetz zur Umsetzung der NIS-2-Richtlinie, NIS2UmsuCG), §28, champ d'application sectoriel incluant les organismes de recherche
- BSIG §65, fourchette de sanctions pour les entités importantes (jusqu'à 7 millions d'euros ou 1,4 pour cent du chiffre d'affaires annuel mondial)
- Guide de mise en œuvre technique d'ENISA pour l'article 21 de NIS 2, v1.2 (août 2025)