Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Article 9
Définition des entités « importantes » du point de vue de la sécurité des systèmes d'information

I. La situation actuelle - la directive NIS 2 propose une définition en creux des entités « importantes », en faisant référence aux critères applicables aux entités « essentielles »

Comme rappelé dans le commentaire de l'article 8, la multiplication des cyberattaques contre de très nombreux acteurs de la vie économique et sociale a conduit l'Union européenne, avec un rôle moteur de la France, à adopter la directive NIS 2 visant à renforcer les obligations en matière de cybersécurité de très nombreux acteurs.

À cet égard, l'article 3 de la directive NIS 2 définit les entités « essentielles » qui se verront assigner des obligations renforcées et les entités « importantes » pour lesquelles ces obligations seront moins exigeantes, dans un souci de proportionnalité.

Le paragraphe 1 de l'article 3 de la directive précise les entités qui sont considérés comme « essentielles » et son paragraphe 2 définit, en creux, les entités considérées comme « importantes » : il s'agit des entités appartenant à un secteur « hautement critique » (annexe I de la directive) ou à un secteur « critique » (annexe II de la directive) qui ne constituent pas des entités « essentielles » en vertu du paragraphe 1.

Sont aussi considérées comme « importantes » les entités identifiées en tant que telles par un État membre en vertu de l'article 2, paragraphe 2, points b) à e), une disposition dont la transposition est assurée par l'article 10 du présent projet de loi.

II. Le dispositif envisagé - une transposition fidèle des dispositions de la directive, qui, là aussi, définit principalement en creux la notion d'entité « importante », et fait le choix d'inclure les communautés de commune et les établissements d'enseignement supérieur

Le présent article 9, qui assure la transposition du paragraphe 3 de l'article 2 de la directive NIS 2, établit la liste des entités considérées comme « importantes » du point de vue de la sécurité des systèmes d'information, ces entités ayant vocation à se voir imposer des obligations sous le contrôle de l'Anssi, ces obligations étant toutefois moins exigeantes que celles pesant sur les entités considérées comme « essentielles » énumérées à l'article 8.

1) Des seuils d'application aux entreprises plus bas que ceux prévus à l'article 8 pour les entités « essentielles »

En premier lieu, le 1° de l'article 9 prévoit que sont des entités « importantes » les entreprises appartenant à un des secteurs d'activité « hautement critiques » ou « critiques » qui ne sont pas des entités « essentielles » et qui emploient au moins 50 personnes ou dont le chiffre d'affaires et le total du bilan annuel excèdent chacun 10 millions d'euros.

À titre de comparaison, et pour mémoire, le 1° de l'article 8 prévoit pour sa part que sont considérées comme des entités « essentielles » les entreprises appartenant à un des secteurs d'activité « hautement critiques » qui emploient 250 personnes ou dont le chiffre d'affaires annuel excède 50 millions d'euros et dont le total du bilan annuel excède 43 millions d'euros.

Les différences entre les deux catégories portent donc sur les critères suivants :

- alors qu'une entreprise ne sera une entité « essentielle » que si elle appartient à un secteur « hautement critique », elle peut être considérée comme une entité « importante » qu'elle appartienne à un secteur « hautement critique » ou seulement « critique » ;

- les seuils sont plus bas pour être considéré comme une entité « importante ». Il faut employer au moins 50 personnes contre 250 personnes pour une entité « essentielle ». Alternativement, il faut disposer d'un chiffre d'affaires et d'un bilan annuel excédant chacun 10 millions d'euros, contre respectivement 50 millions d'euros et 43 millions d'euros pour être reconnus comme une entité « essentielle ».

Cette classification est résumée dans le tableau ci-dessous qui précise les critères applicables aux entreprises en vertu des articles 8 et 9.

Là encore, le projet de loi formule une proposition contraposée de la définition de l'article 2 de l'annexe de la recommandation 2003/361/CE afin de viser toutes les entreprises qui excèdent les critères des PME donc qui dépassent les seuils fixés :

- « moins de 50 personnes » devient « au moins 50 personnes » ;

- pour le chiffre d'affaires annuel, « n'excède pas » devient « excède 10 millions d'euros » ;

- pour le bilan annuel, « n'excède pas » devient « excède 10 millions d'euros » ;

- le « et » du nombre d'employés devient un « ou » et le « ou » du chiffre d'affaires et du bilan annuel devient un « et » afin d'intégrer, comme prévues par la directive et la recommandation de 2003, des entreprises pouvant avoir un nombre d'employés inférieur à 50 personnes mais dont le chiffre d'affaires et le bilan annuel justifient leur régulation par la directive NIS 2.

Si les rapporteurs comprennent le choix de proposer une définition positive des critères de taille permettant d'établir si une entreprise est ou non une entité « importante », ils ne peuvent que constater que le choix initial de faire référence dans l'article 3 de la directive à la définition de l'article 2 de l'annexe de la recommandation 2003/361/CE créée énormément de confusion, car celui-ci définit négativement ce que sont les micro, petites et moyennes entreprises^28(*) d'une part, et les petites entreprises d'autre part^29(*).

Il aurait été nettement préférable de proposer directement une définition positive comme le fait le projet de loi de transposition.

Le 8° prévoit également que, s'ils ne sont pas considérés comme des entités « essentielles », sont alors considérés comme des entités « importantes » les établissements publics à caractère industriel et commercial (EPIC) et les régies dotées de la seule autonomie financière chargées d'un service public industriel et commercial appartenant à des secteurs d'activité « hautement critiques » ou « critiques », qui emploient au moins 50 personnes ou dont le produit d'exploitation et le total du bilan annuel excèdent chacun 10 millions d'euros. Comme pour les entreprises, les seuils sont plus bas et les secteurs d'activité ne se limitent pas aux secteurs « hautement critiques », mais également aux secteurs « critiques ». 

2) Les autres entités « importantes » s'inscrivent largement en complément des entités qualifiées d'« essentielles » à l'article 8

L'article 8 définit d'autres entités comme « importantes » au titre des obligations prévues par le titre II du présent projet de loi, principalement par des critères qui s'appliquent en creux de ceux prévus à l'article 9 pour les entités dites « essentielles ».

Le 2° prévoit ainsi que les opérateurs de communications électroniques qui ne sont pas des entités « essentielles » sont par défaut des entités « importantes ». L'article 9 prévoyant que les opérateurs de communications électroniques qui emploient au moins 50 personnes ou dont le chiffre d'affaires annuel et le total du bilan annuel excèdent chacun 10 millions d'euros sont des entités « essentielles », cela signifie que sont des entités « importantes » les opérateurs de communications électroniques qui emploient moins de 50 personnes ou dont le chiffre d'affaires annuel et le total du bilan annuel sont inférieurs, au moins pour l'un des deux, à 10 millions d'euros.

Le 3° prévoit que les prestataires de services de confiances qui ne sont pas des entités « essentielles » sont des entités « importantes ». L'article 8 prévoyant que sont des entités « essentielles » les prestataires de service de confiance « qualifiés », cela signifie que les prestataires de service de confiance qui ne sont pas « qualifiés » rentrent dans la catégorie des entités « importantes », dont les obligations au titre de la cybersécurité sont plus légères que celles qui s'appliquent aux entités « essentielles ».

Le 4° dispose que les communautés de communes et leurs établissements publics administratifs dont les activités s'inscrivent dans un des secteurs d'activité « hautement critiques » ou « critiques » sont des entités « importantes ».

Alors que sont considérés comme des entités « essentielles » les communautés urbaines, les communautés d'agglomération, les métropoles et les communes de plus de 30 000 habitants, toutes les communautés de communes entrent ainsi dans le champ des entités « importantes ».

Quant aux communes de moins de 30 000 habitants, c'est-à-dire l'immense majorité des communes françaises, elles ne seront concernées pas concernées en elles-mêmes par les mesures de transposition de la directive NIS 2 mais le seront malgré tout à travers leur intercommunalité de rattachement.

En vertu du 5°, sont des entités « importantes » les établissements d'enseignement menant des activités de recherche qui ne sont pas des entités « essentielles ». Pour mémoire, l'article 8 prévoit que pour être classé comme « essentiel », un établissement menant des activités de recherche doit être concerné par l'un des quatre critères prévus à l'article 10.

S'il n'est concerné par aucun des quatre critères, il est considéré comme une entité « importante », sauf à faire partie des établissements désignés par arrêté du Premier ministre comme n'étant pas soumis à la présente loi compte tenu du faible impact économique et social de leur activité. Les conditions dans lesquelles le Premier ministre procède à cette désignation par arrêté sont précisées par décret en Conseil d'État.

Le 6° de l'article 9 prévoit que des établissements publics administratifs de l'État peuvent être expressément désignés en tant qu'entités « importantes » par arrêté du Premier ministre, dans des conditions fixées en Conseil d'État.

Le Premier ministre, toujours dans des conditions fixées par décret en Conseil d'État, peut expressément désigner par arrêté en tant qu'entités « importantes » les autres organismes et personnes de droit public ou de droit privé chargés d'une mission de service public administratif à compétence nationale.

III. La position de la commission - la nécessité d'imposer des obligations bien proportionnées aux entités « importantes » et clairement plus légères que celles qui seront exigées des entités « essentielles »

Lors de son audition, la ministre chargée du numérique a indiqué que 80 % des entités visées par la transposition de la directive NIS 2 assurée par le titre II du présent projet de loi seront des entités « importantes » au sens du présent article 8, ce qui devrait représenter environ 12 000 entités.

Dans un souci de proportionnalité qui doit conduire à tenir compte de leur taille, de leurs moyens financiers et humains, mais également de leur caractère moins critique que les entités « essentielles », ces entités « importantes » se verront imposer, selon le directeur général de l'Anssi entendu par la commission spéciale, des mesures de sécurité d'« hygiène numérique » afin de les aider à prendre pleinement conscience des enjeux de cybersécurité et de l'impact particulièrement dommageable que les cyberattaques pourraient avoir sur leurs activités.

De fait, si elles n'ont pas vocation à être protégées contre la menace stratégique ciblée d'un service de renseignements étranger, ces entités sont les victimes récurrentes, pour ne pas dire quotidiennes, d'une menace systémique.

Selon l'Anssi, le niveau d'exigence requis vis-à-vis de ces entités, et qui sera détaillé dans le référentiel mentionné à l'article 14, sera conçu pour diminuer la probabilité qu'elles soient atteintes par un rançongiciel courant, sans nécessiter des investissements disproportionnés.

Le directeur général de l'Anssi a ainsi expliqué à la commission spéciale que son objectif serait d'accompagner au mieux ces entités en leur recommandant des mesures de sécurité adaptées aux obligations prévues par la directive ainsi qu'à leur niveau de maturité cyber.

Cette approche devra permettre de munir les plus fragiles de ces entités d'un filet de sécurité cyber minimal. De fait, la question n'est plus tant aujourd'hui de savoir si une entité sera attaquée un jour, mais plutôt quand elle le sera si elle n'a pas fait le nécessaire pour se protéger. Or, en matière de cybersécurité, il est souvent estimé que le coût de la sécurité est cent fois inférieur au coût d'une attaque réussie.

Selon le directeur général de l'Anssi, pour de petites structures partant de zéro - ce n'est pas le cas de toutes -, l'investissement initial demandé serait de l'ordre de 100 000 à 200 000 euros, les frais récurrents représentant 10 % de la somme mobilisée au départ.

Sur la question des contrôles, les entités « importantes » se verront appliquer un régime de supervision uniquement ex post, qui pourra être déclenché par tout élément de preuve ou toute information portée à l'attention de l'Anssi, alors que le régime de supervision des entités essentielles sera à la fois ex ante et ex post.

En ce qui concerne les sanctions, l'amende applicable aux entreprises entités « importantes » ne pourra excéder 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent de l'entreprise, le montant le plus élevé étant retenu, contre respectivement 10 millions d'euros et 2% du chiffres d'affaires annuel mondial pour les entités « essentielles ».

Il faudra toutefois que ce dispositif de sanction ne soit pas mis en oeuvre pendant les trois ans qui suivront la promulgation de la présente loi, afin que les entités régulées aient le temps de mettre en place les mesures requises.

Ainsi, la différence de traitement entre entités « essentielles », souvent déjà très matures en termes de cybersécurité, et entités « importantes », qui le sont parfois beaucoup moins, devrait être nette et bien respecter le principe de proportionnalité qui doit guider l'action du législateur, du pouvoir réglementaire puis de l'Anssi dans sa pratique opérationnelle.

Dans le cas des quelque 992 communautés de communes que compte notre pays et de leurs établissements publics administratifs, qualifiés d'entités « importantes » par le présent article 8, la cybersécurité constitue une préoccupation majeure, entretenue par la récurrence des cyberattaques.

Pour autant, leurs responsables craignent de se voir imposer des obligations trop exigeantes alors qu'elles manquent souvent de moyens et auront besoin d'un accompagnement très soutenu de la part de l'État, sachant par ailleurs qu'elles rencontrent déjà et continueront à rencontrer des difficultés en termes de ressources humaines ou de recours aux prestataires privés en matière cyber. Il sera par exemple nécessaire de clarifier si les communautés de communes devront disposer d'un responsable de la sécurité des systèmes d'information (RSSI) ou si un simple référent en cybersécurité pourra suffire.

Il sera donc essentiel que l'Anssi prenne toute la mesure des réalités de terrain, parfois très diverses, des communautés de commune.

La commission a adopté cet article sans modification.

Article 10
Autres entités susceptibles d'être désignées comme entités « essentielles » ou « importantes » du point de vue de la sécurité des systèmes d'information par arrêté du Premier ministre

I. La situation actuelle - la directive NIS 2 définit les cas dans lesquels des entités peuvent être qualifiées d'« essentielles » ou « importantes » quelle que soit leur taille

L'article 2 de la directive NIS 2 relatif à son « Champ d'application » prévoit aux points b à e de son paragraphe 2 que la directive s'applique aux entités d'un type visé à l'annexe I (secteur d'activité « hautement critique ») ou à l'annexe II (secteur d'activité « critique »), quelle que soit leur taille, lorsque :

- l'entité est, dans un État membre, le seul prestataire d'un service qui est essentiel au maintien d'activités sociétales ou économiques critiques ;

- une perturbation du service fourni par l'entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;

- une perturbation du service fourni par l'entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ;

- l'entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d'autres secteurs interdépendants dans l'État membre.

II. Le dispositif envisagé - le Premier ministre pourra désigner par arrêté une entité comme « essentielle » ou « importante », dès lors qu'elle remplir certains critères, même si elle n'est pas couverte par les dispositions des articles 8 et 9 du présent projet de loi

En complément des dispositions de l'article 8, qui prévoit la liste des entités « essentielles » du point de vue de la cybersécurité, et de celles de l'article 9, qui prévoit la liste des entités « importantes », l'article 10 introduit la possibilité pour le Premier ministre de désigner par arrêté comme entité « essentielle » ou comme entité « importante » une entité exerçant une activité relevant d'un secteur d'activité « hautement critique » ou « critique », quelle que soit sa taille, sous réserve de justifier cette désignation au regard de l'un des quatre critères suivants.

Le 1° prévoit que le Premier ministre peut ainsi désigner comme entité « essentielle » ou « importante » une entité qui serait le seul prestataire sur le territoire national d'un service qui est essentiel au fonctionnement de la société et d'activités économiques.

Le 2° dispose qu'une telle désignation peut intervenir si une perturbation du service fourni par l'entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique.

Le 3° introduit le critère selon lequel une perturbation du service fourni par l'entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontalier.

Le 4°, enfin, prévoit que le Premier ministre peut désigner comme une entité « essentielle » ou « importante » une entité critique en raison de son importance spécifique au niveau national ou local pour le secteur ou le type de service concerné, ou pour d'autres secteurs interdépendants du territoire national.

Ces 1° à 4° reprennent très précisément les points b à e du paragraphe 2 de l'article 2 de la directive NIS 2, assurant ainsi la transposition de ces dispositions.

III. La position de la commission - une transposition fidèle de dispositions de l'article 2 de la directive NIS 2

L'article 10 constitue une transposition fidèle d'une partie des dispositions de l'article 2 de la directive NIS 2, qui prévoit d'assujettir sans condition de taille des entités appartenant aux secteurs « hautement critiques » ou « critiques », dès lors que la perturbation de leur service par une attaque cyber pourrait avoir un impact important pour le fonctionnement de la société, de secteurs économiques critiques, pour la sécurité publique, la sûreté publique, la santé publique ou bien encore pourrait représenter un risque systémique.

Le pouvoir de désignation de ces entités par arrêté est attribué au Premier ministre, tutelle de l'Anssi, ce qui permettra à celle-ci de recenser puis de lui proposer la liste de tous les opérateurs concernés.

Lors des auditions menées par la commission spéciale, plusieurs intervenants ont demandé la mise en place d'une voie de recours spécifique en cas de contestation par une entité de son classement comme « essentielle » ou « critique » par arrêté du Premier ministre.

La mise en place d'une telle voie de recours n'est nullement nécessaire, les entités en question ayant la possibilité, en cas de contestation, de former un recours gracieux puis, le cas échéant, un recours contentieux devant la justice administrative.

En outre, il convient de rappeler que la désignation d'une entité comme « essentielle » ou « importante » du point de vue de la cybersécurité sur le fondement du présent article 10 par le Premier ministre ne constitue nullement une sanction, et qu'il ne s'agit pas non plus de mettre à sa charge des obligations pour la pénaliser, mais bien de tenir compte de son importance particulière pour le fonctionnement de secteurs prioritaires de la vie de la Nation, ce qui rend nécessaire la mise en place d'un niveau de cybersécurité suffisant.

La commission a adopté cet article sans modification.

Article 11
Compétence et territorialité des dispositions du titre II sur la sécurité des systèmes d'information

I. La situation actuelle - la directive NIS 2 définit les compétences des États membres pour son application avant tout par des critères territoriaux

L'article 26 de la directive NIS 2 définit les règles de compétences des États membres pour l'application des dispositions de la directive, avant tout par des critères territoriaux.

Son paragraphe 1 prévoit ainsi que les entités relevant du champ d'application de la directive sont considérées comme relevant de la compétence de l'État membre dans lequel elles sont établies.

Font toutefois exception les cas suivants :

- au point a du paragraphe 1, il est prévu que les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public sont considérés comme relevant de la compétence de l'État membre dans lequel ils fournissent leurs services ;

- au point b du paragraphe 1, il est prévu que les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d'enregistrement de noms de domaine, les fournisseurs de services d'informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux sont considérés comme relevant de la compétence de l'État membre dans lequel ils ont leur établissement principal dans l'Union ;

- au point c du paragraphe 1, il est prévu que les entités de l'administration publique sont considérées comme relevant de la compétence de l'État membre qui les a établies.

Le paragraphe 2 de l'article 2 de la directive prévoit qu'une entité visée au point b du paragraphe 1 (les fournisseurs de service DNS, etc.) est considérée avoir son établissement principal dans l'Union et dans l'État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques de cybersécurité.

Si un tel État membre ne peut être déterminé ou si ces décisions ne sont pas prises dans l'Union, l'établissement principal est considéré comme se trouvant dans l'État membre où les opérations de cybersécurité sont effectuées.

Si un tel État membre ne peut être déterminé, l'établissement principal est considéré comme se trouvant dans l'État membre où l'entité concernée possède l'établissement comptant le plus grand nombre de salariés dans l'Union.

Le paragraphe 3 de l'article 26 de la directive prévoit que si une entité visée au point b) du paragraphe 1 n'est pas établie dans l'Union mais offre des services dans l'Union, elle désigne un représentant dans l'Union.

Le représentant est établi dans l'un des États membres dans lesquels les services sont fournis. Une telle entité est considérée comme relevant de la compétence de l'État membre dans lequel le représentant est établi.

En l'absence de désignation d'un représentant dans l'Union, tout État membre dans lequel l'entité fournit des services peut intenter une action en justice contre l'entité pour violation de la directive.

II. Le dispositif envisagé - une transposition fidèle des dispositions relatives aux modalités d'application territoriale des obligations prévues par la directive NIS 2

L'article 11 porte sur les modalités d'application territoriale des dispositions du titre II sur la sécurité des systèmes d'information et assure une transposition fidèle des dispositions de l'article 26 de la directive NIS 2.

Son I pose les règles relatives aux entités « essentielles » et aux entités « importantes » définies sur le fondement des articles 8, 9 et 10 du projet de loi.

Pour que le titre II s'applique à ces entités, le 1° du I prévoit qu'il faut que celles-ci soient établies sur le territoire national, reprenant en cela la règle de principe posée par le paragraphe 1 de l'article 26 de la directive.

En vertu du 2°, il faut, s'agissant des opérateurs de communications électroniques, qu'ils fournissent leurs services sur le territoire national, ce qui est conforme au point a) du paragraphe 1 de l'article 26 de la directive.

Celui-ci prévoit effectivement que pour les fournisseurs de réseaux de communications électroniques et les fournisseurs de services de communications électroniques accessibles au public, c'est le critère de la fourniture des services qui est déterminant. Ainsi, pour ce type d'opérateur, peut relever de la compétence distincte et concurrente de plusieurs États membres une entité « essentielle » ou « importante » qui fournit des services dans différents États membres.

En vertu du 3°, il faut, s'agissant des fournisseurs de services de système de noms de domaine, des offices d'enregistrement, des fournisseurs de services d'informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux :

- qu'ils aient leur établissement principal sur le territoire national.

S'agissant de ces acteurs numériques, le b) du paragraphes 2 de l'article 26 de la directive NIS 2 prévoit effectivement que ces entités relèvent de la compétence d'un seul État membre, à savoir celui de l'établissement principal ;

- ou, s'ils sont établis hors de l'Union européenne mais offrent leurs services sur le territoire national, qu'ils aient désigné un représentant établi sur le territoire national.

Le paragraphe 3 de l'article 26 de la directive prévoit effectivement que si une entité visée au point b) du paragraphe 1 n'est pas établie dans l'Union mais offre des services dans l'Union, elle désigne un représentant dans l'Union. Le représentant est établi dans l'un des États membres dans lesquels les services sont fournis. Une telle entité est considérée comme relevant de la compétence de l'État membre dans lequel le représentant est établi.

Les conditions d'établissement sur le territoire national ne s'appliquent pas aux administrations et établissements publics. Ceux-ci sont effectivement considérés comme relevant de la compétence de l'État membre qui les a établies, conformément au c) de l'article 26 de la directive.

Le II de l'article 11 dispose que s'agissant des bureaux d'enregistrement et des agents agissant pour le compte de ces derniers, les obligations du titre II concernent :

- ceux qui ont leur établissement principal sur le territoire national ;

- ou ceux qui ont désigné un représentant établi sur le territoire national, s'ils sont établis hors de l'Union européenne mais offrent leurs services sur le territoire national.

Là encore, il s'agit d'un dispositif conforme aux dispositions des paragraphes 1 et 2 de l'article 26 de la directive.

Le III de l'article 11 précise enfin que pour l'application des I et II, l'établissement principal s'entend du lieu :

- où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité ;

- ou, à défaut, le lieu où les opérations de cybersécurité sont effectuées ;

- ou, à défaut, l'établissement comptant le plus grand nombre de salariés dans l'Union européenne.

Les dispositions de ce III sont conformes aux critères énoncés au paragraphe 2 de l'article 26 de la directive NIS 2 qui prévoit effectivement que les entités visées au b du paragraphe 1 (les fournisseurs de services DNS, etc.) relèvent de la compétence d'un seul État membre, à savoir celui de l'établissement principal.

Toutefois, ces critères semblent ici s'appliquer à l'ensemble des entités visées par l'article 26 de la directive et l'article 11 du présent projet de loi, alors que le texte de l'article 26 de la directive porte bien uniquement sur les entités visées au b du paragraphe 1.

III. La position de la commission - une transposition très fidèle des dispositions de l'article 26 de la directive NIS 2

L'article 11 du projet de loi constitue une transposition très fidèle et souvent littérale des dispositions de l'article 26 de la directive NIS 2, qui établit les compétences des différents États membres sur les entités auxquelles s'appliquent les dispositions de la directive. Il n'appelle donc pas de commentaires particuliers de la commission spéciale.

La commission a adopté sans modification cet article ainsi modifié.

* ²⁸ Définition de micro, petites et moyennes entreprises (PME) : les entreprises « qui occupent moins de 250 personnes et dont le chiffre d'affaires annuel n'excède pas 50 millions d'euros ou dont le total du bilan annuel n'excède pas 43 millions d'euros ».

* ²⁹ Définition de petite entreprise : une entreprise « qui occupe moins de 50 personnes et dont le chiffre d'affaires annuel ou le total du bilan annuel n'excède pas 10 millions d'euros ».