Anhang I Sektor 11

Secteur spatial au titre de NIS 2

Annexe I, secteur 11. Infrastructures au sol soutenant les services spatiaux. Périmètre étroit, souvent mal lu.

Simon OrzelSimon Orzel·

Ce que couvre cette page

NIS 2 inscrit l'espace comme secteur 11 à l'annexe I (secteurs hautement critiques). La formulation est plus étroite que ne le suggère le nom. La directive ne couvre pas tout ce qui touche à l'espace. Elle couvre les opérateurs d'infrastructures au sol qui soutiennent la fourniture de services spatiaux.

Cette distinction importe. Un fabricant de satellites construisant du matériel en salle blanche n'est pas dans le périmètre du fait du secteur spatial. Une entreprise exploitant une station au sol, un centre de contrôle de mission ou une installation de télémesure, de poursuite et de télécommande l'est probablement, si elle satisfait au test de taille de l'article 2 et n'est pas exclue.

Cette page lit textuellement l'entrée de l'annexe I, expose le test de taille de l'article 2, renvoie au règlement sur le programme spatial de l'UE comme régime connexe, et énumère les erreurs de cadrage du périmètre les plus courantes que nous voyons en pratique.

D'où cela provient
Directive NIS 2, transposition allemande (BSIG) et régime spatial connexe de l'UE.

Directive (UE) 2022/2555, annexe I, secteur 11 (espace)

Operators of ground-based infrastructure, owned, managed and operated by Member States or by private parties, that support the provision of space-based services, excluding providers of public electronic communications networks.

C'est la définition sectorielle complète. Trois filtres s'appliquent en même temps. Premièrement, la classe d'actifs est l'infrastructure au sol. Deuxièmement, la fonction est de soutenir les services spatiaux. Troisièmement, les fournisseurs de réseaux de communications électroniques publics sont exclus parce qu'ils sont traités au titre du secteur 8 (infrastructure numérique) et du régime EECC.

Règlement (UE) 2021/696 (programme spatial de l'UE)

Establishing the Union Space Programme and the European Union Agency for the Space Programme (EUSPA).

Le règlement sur le programme spatial régit les composantes de l'UE Galileo, EGNOS, Copernicus, GOVSATCOM et SST. L'EUSPA exploite certaines de ces services. NIS 2 coexiste avec ce régime. Les opérateurs d'infrastructures au sol qui soutiennent de tels programmes peuvent relever des deux. Ils ne sont pas automatiquement exemptés de NIS 2 parce qu'ils font partie d'un programme de l'UE.

BSIG, Anlage 1, Nummer 11 (transposition allemande de NIS 2)

Weltraum: Betreiber von Bodeninfrastrukturen, die sich im Eigentum von Mitgliedstaaten oder privaten Parteien befinden und von diesen verwaltet und betrieben werden, die die Erbringung weltraumgestützter Dienste unterstützen, mit Ausnahme von Anbietern öffentlicher elektronischer Kommunikationsnetze.

L'Allemagne transpose la formulation de l'annexe I à l'identique. Il n'existe aucun élargissement allemand distinct du secteur. Le BSI est l'autorité compétente pour la supervision de la cybersécurité au titre du §61 BSIG. La politique sectorielle relève du ministère fédéral des Affaires économiques et de la Protection du climat (BMWK) et de l'Agence spatiale allemande au DLR.

Les trois filtres du secteur 11 de l'annexe I
Les trois doivent être présents pour que la directive s'applique par l'intermédiaire de ce secteur.
Filtre 1

Infrastructure au sol

La classe d'actifs est l'infrastructure physique au sol. Les exemples types sont les stations terriennes de satellites, les antennes, les sites de passerelle, les centres de contrôle de mission, les centres d'exploitation de satellites, les installations de télémesure, de poursuite et de télécommande (TT&C) et les centres de traitement des données dédiés aux données de charge utile des satellites. Les actifs spatiaux (les satellites eux-mêmes) ne sont pas l'objet dans le périmètre ici.

Filtre 2

Soutient les services spatiaux

La fonction de l'infrastructure doit être de soutenir la fourniture de services délivrés depuis ou via l'espace (navigation, observation de la Terre, communications par satellite, connectivité sécurisée). Les centres de données généralistes ou l'informatique de bureau qui se trouvent appartenir à une entreprise spatiale n'entrent pas dans le périmètre simplement parce que le propriétaire est dans le secteur.

Filtre 3

Pas un réseau de communications électroniques public

Les fournisseurs de réseaux de communications électroniques publics sont explicitement exclus du secteur 11. Ils sont traités au titre du secteur 8 (infrastructure numérique) et du code des communications électroniques européen. Cela évite la double réglementation des opérateurs de télécommunications qui utilisent aussi des liaisons satellitaires.

Test de taille de l'article 2 et focalisation sur l'opérateur
Deux règles supplémentaires se superposent à la définition sectorielle.

Le test de taille de l'article 2(1) s'applique toujours

Être nommé à l'annexe I est nécessaire mais non suffisant. L'article 2(1) ajoute le test de taille. Le seuil par défaut est l'entreprise de taille moyenne ou supérieure (50 salariés ou plus, ou un chiffre d'affaires annuel supérieur à 10 millions d'euros et un total de bilan supérieur à 10 millions d'euros). Certains types d'entités sont dans le périmètre quelle que soit leur taille au titre de l'article 2(2), mais ces dérogations ne visent généralement pas les opérateurs spatiaux commerciaux.

Opérateur, pas fabricant

La directive emploie systématiquement le terme opérateurs. Le déclencheur juridique est l'exploitation d'infrastructures au sol qui soutiennent les services spatiaux. Concevoir, construire ou vendre des satellites, des lanceurs ou du matériel au sol n'est pas l'objet du secteur 11. Les fabricants peuvent tout de même être couverts par d'autres secteurs (par exemple en tant que fournisseurs de services numériques, ou au titre de la fabrication de l'annexe II) si ces entrées sectorielles s'appliquent.

Autorités et points de référence
Qui supervise et qui fixe la politique sectorielle. Utilisez ceci pour trouver le bon contact, et non comme un conseil juridique.
DE

Le BSI comme superviseur de cybersécurité, le BMWK et le DLR pour la politique sectorielle

Au titre du BSIG, le Bundesamt für Sicherheit in der Informationstechnik (BSI) supervise les obligations de cybersécurité des entités dans le périmètre, y compris les entités du secteur spatial. La politique sectorielle et les questions de programme spatial relèvent du ministère fédéral des Affaires économiques et de la Protection du climat (BMWK) et de l'Agence spatiale allemande au DLR. Les opérateurs de composantes du programme spatial de l'UE en Allemagne se coordonnent également avec l'EUSPA.

UE

ENISA et l'EUSPA au niveau de l'UE

ENISA soutient la dimension cybersécurité de NIS 2 dans tous les secteurs. L'EUSPA est responsable de la gestion opérationnelle et de la fourniture de services des composantes du programme spatial de l'UE. ENISA a publié des orientations sectorielles pour l'espace ; l'EUSPA dispose de son propre cadre de sécurité pour les opérateurs du programme de l'UE. NIS 2 ne remplace ni l'un ni l'autre, mais elle constitue le socle.

À l'échelle de l'UE

Autorités nationales ailleurs

Les autres États membres désignent leurs propres autorités compétentes NIS 2. Les agences spatiales nationales (par exemple le CNES en France, l'ASI en Italie, le NSO aux Pays-Bas) agissent comme partenaires de politique et de programme, et non comme superviseurs NIS 2. La coopération avec l'ESA se poursuit au titre de la convention de l'ESA ; l'ESA elle-même est une organisation intergouvernementale et non une autorité compétente d'un État membre au titre de NIS 2.

Erreurs de cadrage du périmètre courantes
Les mauvaises lectures que nous voyons le plus souvent lorsque les entreprises s'auto-évaluent par rapport au secteur 11.

  • Nous construisons des satellites ou du matériel au sol, donc nous sommes dans le périmètre au titre de l'espace.

    Le secteur 11 vise les opérateurs d'infrastructures au sol qui soutiennent les services spatiaux. La fabrication pure n'est pas le déclencheur. Un fabricant de satellites ou d'antennes devrait vérifier séparément le secteur 5 de l'annexe II (fabrication) et toute obligation de fournisseur de services numériques, au lieu de présumer que l'entrée spatiale le couvre.

  • Nous sommes un laboratoire de recherche ou un institut universitaire travaillant sur des sujets spatiaux, donc NIS 2 couvre tout ce que nous faisons.

    Les entités de recherche sont traitées au titre du secteur 10 de l'annexe I (recherche) uniquement lorsqu'elles sont des organismes de recherche au sens de l'article 6(41). Travailler sur des sujets spatiaux ne fait pas en soi du laboratoire un opérateur du secteur 11. La question est de savoir si le laboratoire exploite une infrastructure au sol soutenant des services spatiaux et s'il satisfait au test de taille de l'article 2.

  • Seules les agences de l'UE comme l'ESA ou l'EUSPA sont visées ici.

    La formulation de l'annexe couvre explicitement les infrastructures au sol détenues, gérées et exploitées par des États membres ou par des parties privées. Les opérateurs privés de stations au sol et de centres de contrôle de mission font partie de la population cible. L'ESA, en tant qu'organisation intergouvernementale, dispose de son propre régime juridique, mais le paysage des opérateurs privés est résolument à l'intérieur de NIS 2.

Point de vue du praticien

Si vous exploitez une infrastructure au sol pour des services satellitaires, traitez la question du périmètre comme deux couches. La couche un est le test du secteur 11 de l'annexe I sur ce que votre installation fait réellement. La couche deux est le test de taille de l'article 2 sur l'entité juridique qui l'exploite. Les deux doivent être positifs pour que le secteur 11 vous fasse entrer.

Si votre entité est dans le périmètre, les obligations sont les mêmes que pour toute autre entité essentielle ou importante au titre des articles 20, 21, 23 et 27. Il n'existe aucun catalogue de contrôles propre à l'espace à l'intérieur de NIS 2 elle-même. Les opérateurs du programme de l'UE peuvent être soumis à des exigences de sécurité supplémentaires issues du règlement (UE) 2021/696 et des cadres de l'EUSPA, mais celles-ci se superposent, elles ne se substituent pas.

Comment la plateforme traite cela

La vérification d'applicabilité demande si vous exploitez une infrastructure au sol qui soutient des services spatiaux, puis applique le test de taille de l'article 2 et l'exclusion des réseaux de communications électroniques publics. Si le résultat est dans le périmètre, le secteur 11 est marqué sur votre registre des obligations afin que les voies de notification, d'enregistrement et de supervision soient orientées vers la bonne autorité.

Si le résultat est hors périmètre au titre du secteur 11, la plateforme vérifie tout de même les autres entrées des annexes I et II. Une entreprise spatiale peut être hors périmètre au titre du secteur 11 et dans le périmètre au titre, par exemple, de la fabrication ou de la gestion des services TIC. Le résultat est un registre des obligations unique, et non un simple oui ou non.

Sources
  • Directive (UE) 2022/2555 (NIS 2), annexe I, secteur 11 — EUR-Lex
  • Directive (UE) 2022/2555 (NIS 2), article 2 (périmètre) et article 6 (définitions) — EUR-Lex
  • Règlement (UE) 2021/696 (programme spatial de l'UE) — EUR-Lex
  • BSI-Gesetz allemand (BSIG), Anlage 1, Nummer 11 — gesetze-im-internet.de
  • Aperçus sectoriels d'ENISA sur l'espace — enisa.europa.eu
  • EUSPA (Agence de l'Union européenne pour le programme spatial) — euspa.europa.eu
  • BMWK et DLR Raumfahrtmanagement — bmwk.de, dlr.de
Vérifiez l'applicabilité pour votre entité
Exécutez le test du secteur 11 de l'annexe I et le test de taille de l'article 2 sur votre installation en quelques minutes.
Ouvrir la vérification d'applicabilité