NIS 2 Chapitre 1 Article 6

Article 6 – Définitions

Aux fins de la présente directive, on entend par:

  1. «réseau et système d’information»:
    1. un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
    2. tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
    3. les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
  2. «sécurité des réseaux et des systèmes d’information»: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;
  3. «cybersécurité»: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;
  4. «stratégie nationale en matière de cybersécurité»: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;
  5. «incident évité»: un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, mais dont la réalisation a pu être empêchée ou ne s’est pas produite;
  6. «incident»: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;
  7. «incident de cybersécurité majeur»: un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres;
  8. «traitement des incidents»: toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier;
  9. «risque»: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;
  10. «cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;
  11. «cybermenace importante»: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable;
  12. «produit TIC»: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;
  13. «service TIC»: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;
  14. «processus TIC»: un processus TIC au sens de l’article 2, point 14), du règlement (UE) 2019/881;
  15. «vulnérabilité»: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;
  16. «norme»: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil (29);
  17. «spécification technique»: une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012;
  18. «point d’échange internet»: une structure de réseau qui permet l’interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet, qui n’assure l’interconnexion que pour des systèmes autonomes et qui n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic;
  19. «système de noms de domaine» ou «DNS»: un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources;
  20. «fournisseur de services DNS»: une entité qui fournit:
    1. des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; ou
    2. des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;
  21. «registre de noms de domaine de premier niveau»: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;
  22. «entité fournissant des services d’enregistrement de noms de domaine»: un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire;
  23. «service numérique»: un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (30);
  24. «service de confiance»: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014;
  25. «prestataire de services de confiance»: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;
  26. «service de confiance qualifié»: un service de confiance qualifié au sens de l’article 3, point 17, du règlement (UE) no 910/2014;
  27. «prestataire de services de confiance qualifié»: un prestataire de services de confiance qualifié au sens de l’article 3, point 20, du règlement (UE) no 910/2014;
  28. «place de marché en ligne»: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil (31);
  29. «moteur de recherche en ligne»: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil (32);
  30. «service d’informatique en nuage»: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;
  31. «service de centre de données»: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;
  32. «réseau de diffusion de contenu»: un réseau de serveurs géographiquement répartis visant à assurer la haute disponibilité, l’accessibilité ou la fourniture rapide de contenu et de services numériques aux utilisateurs d’internet pour le compte de fournisseurs de contenu et de services;
  33. «plateforme de services de réseaux sociaux»: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations;
  34. «représentant»: une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente directive;
  35. «entité de l’administration publique»: une entité reconnue comme telle dans un État membre conformément au droit national, à l’exclusion de la justice, des parlements et des banques centrales, qui satisfait aux critères suivants:
    1. elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial;
    2. elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique;
    3. elle est financée majoritairement par l’État, les autorités régionales ou d’autres organismes de droit public, sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les autorités régionales ou d’autres organismes de droit public;
    4. elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux;
  36. «réseau de communications électroniques public»: un réseau de communications électroniques public au sens de l’article 2, point 8), de la directive (UE) 2018/1972;
  37. «service de communications électroniques»: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972;
  38. «entité»: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;
  39. «fournisseur de services gérés»: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;
  40. «fournisseur de services de sécurité gérés»: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;
  41. «organisme de recherche»: une entité dont l’objectif premier est de mener des activités de recherche appliquée ou de développement expérimental en vue d’exploiter les résultats de cette recherche à des fins commerciales, à l’exclusion des établissements d’enseignement.
(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).
(30) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO L 241 du 17.9.2015, p. 1).
(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).
(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).