- Les entités relevant du champ d’application de la présente directive sont considérées comme relevant de la compétence de l’État membre dans lequel elles sont établies, à l’exception des cas suivants:
- les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public, qui sont considérés comme relevant de la compétence de l’État membre dans lequel ils fournissent leurs services;
- les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux, qui sont considérés comme relevant de la compétence de l’État membre dans lequel ils ont leur établissement principal dans l’Union en application du paragraphe 2;
- les entités de l’administration publique, qui sont considérées comme relevant de la compétence de l’État membre qui les a établies.
- Aux fins de la présente directive, un entité visée au paragraphe 1, point b), est considérée avoir son établissement principal dans l’Union dans l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si un tel État membre ne peut être déterminé ou si ces décisions ne sont pas prises dans l’Union, l’établissement principal est considéré comme se trouvant dans l’État membre où les opérations de cybersécurité sont effectuées. Si un tel État membre ne peut être déterminé, l’établissement principal est considéré comme se trouvant dans l’État membre où l’entité concernée possède l’établissement comptant le plus grand nombre de salariés dans l’Union.
- Si une entité visée au paragraphe 1, point b), n’est pas établie dans l’Union mais offre des services dans l’Union, elle désigne un représentant dans l’Union. Le représentant est établi dans l’un des États membres dans lesquels les services sont fournis. Une telle entité est considérée comme relevant de la compétence de l’État membre dans lequel le représentant est établi. En l’absence d’un représentant dans l’Union désigné en vertu du présent paragraphe, tout État membre dans lequel l’entité fournit des services peut intenter une action en justice contre l’entité pour violation de la présente directive.
- La désignation d’un représentant par une entité visée au paragraphe 1, point b), est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité elle-même.
- Les États membres qui ont reçu une demande d’assistance mutuelle en lien avec une entité visée au paragraphe 1, point b), peuvent, dans les limites de cette demande, prendre des mesures de supervision et d’exécution appropriées à l’égard de l’entité concernée qui fournit des services ou qui dispose d’un réseau et d’un système d’information sur leur territoire.