Juridiction au titre de NIS2: quel État membre vous régule?

Maîtrisez les règles de juridiction de l'article 26 du NIS2. Comprenez quel État membre régule votre entité en fonction de l'établissement principal et de la fourniture de services.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 1 Jun 2026 · 10 min de lecture
NIS2
Juridiction au titre de NIS2: quel État membre vous régule?

Qui devrait lire ceci: les équipes juridiques internationales, les directeurs de la conformité, les responsables d’entreprises multinationales et les fournisseurs de services numériques.

La question «Quel régulateur supervisera ma conformité?» est l’une des questions les plus importantes en pratique qu’une organisation internationale puisse se poser à propos de NIS2. La directive s’applique dans les 27 États membres de l’UE, mais elle ne s’applique pas de manière identique à tous. L’article 26 établit des règles de juridiction qui déterminent quel État membre ou quels États membres ont autorité pour réguler votre conformité. Ces règles ont une importance considérable, car elles déterminent l’autorité compétente à laquelle vous adressez vos déclarations, le cadre juridique applicable et le régime d’amendes administratives qui vous régit en cas de difficulté.

Pour les organisations multinationales présentes dans plusieurs États membres, les règles sont plus complexes qu’il n’y paraît au premier abord. Une entreprise technologique fournissant des services à travers l’Europe peut relever de la juridiction d’un seul État membre tout en ayant des opérations dans de nombreux autres. Une entreprise manufacturière dont le siège est dans un pays, les installations de production dans trois autres et les clients dans les 27 États membres doit déterminer où se trouve réellement son siège réglementaire. Se tromper sur cette question peut signifier signaler des incidents à la mauvaise autorité, mettre en œuvre des mesures de conformité qui ne satisfont pas réellement votre régulateur compétent, ou découvrir lors d’une inspection réglementaire que vous étiez non conforme depuis le début.

La règle de base: l’établissement

Le principe fondamental de l’article 26, paragraphe 1, est simple: les entités relèvent de la juridiction de l’État membre dans lequel elles sont établies. Pour une grande proportion d’organisations, c’est là que s’arrête l’analyse. Si votre entreprise est constituée aux Pays-Bas, possède son siège social à Amsterdam et y exerce ses activités, vous relevez de la juridiction néerlandaise. Si votre installation de production se trouve en Allemagne et que c’est là que se déroulent vos principales opérations, l’Allemagne est votre siège réglementaire.

La notion d’«établissement» dans NIS2 a une signification spécifique qui s’inspire des conventions du droit de l’UE. Une entité est établie dans un État membre lorsqu’elle y dispose d’une présence économique réelle et effective. Il ne s’agit pas seulement d’une constitution formelle ou d’un bureau nominal; cela exige des opérations effectives. Une entreprise constituée en Belgique mais menant toutes ses opérations depuis un bureau en France, avec des décisions de gestion prises en France et des employés situés en France, est établie en France, et non en Belgique, indépendamment de sa juridiction de constitution.

Le bien-fondé de cette approche apparaît lorsque l’on considère son objectif. La directive vise à garantir que les entités essentielles et importantes situées sur le territoire de chaque État membre soient soumises à la gouvernance en matière de cybersécurité de cet État membre. Si une entité pouvait échapper à la régulation en se constituant dans une juridiction où elle ne fait pas d’affaires, les objectifs de la directive seraient compromis. L’établissement renvoie à une activité économique réelle.

Pour la plupart des organisations, déterminer la juridiction d’établissement est donc une question pratique: où exercez-vous réellement vos activités principales? Si vous êtes une entreprise manufacturière, où se trouvent vos principales installations de production? Si vous êtes une entreprise de logiciels, où se trouve votre équipe de développement et où sont prises vos décisions de gestion? Si vous êtes un prestataire de services, où se trouvent les personnes et les infrastructures par lesquelles vous fournissez vos services?

Les exceptions critiques

Toutefois, l’article 26, paragraphe 1, prévoit immédiatement d’importantes exceptions pour certaines catégories d’entités. Ces exceptions existent parce que certains prestataires de services fonctionnent de manière fondamentalement différente, ce qui rend la règle de l’«établissement» inadéquate.

Les fournisseurs de réseaux publics de communications électroniques et les fournisseurs de services de communications électroniques accessibles au public relèvent de la juridiction de l’État membre dans lequel ils fournissent leurs services, et non du lieu où ils sont établis. Cette exception reconnaît que les services de télécommunications sont par nature multinationaux et que l’application de la règle de base de l’établissement aux fournisseurs de télécommunications produirait des résultats pervers. Un opérateur de réseau mobile paneuropéen fournit des services simultanément dans tous les États membres; il serait impraticable d’exiger qu’il se conforme à la juridiction d’un seul État membre. L’article 26, paragraphe 1, point a), exige au contraire qu’il se conforme à la juridiction de chaque État membre où il fournit ses services. Cela signifie que les fournisseurs multinationaux de télécommunications doivent naviguer entre plusieurs relations réglementaires.

La seconde exception, à l’article 26, paragraphe 1, point b), couvre une catégorie large et économiquement importante: les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centre de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseau social. Pour ces entités, la juridiction n’est pas déterminée par leur lieu d’établissement, mais par le lieu où se trouve leur «établissement principal dans l’Union».

Cette distinction (entre simple «établissement» et «établissement principal dans l’Union») requiert un examen attentif. Pour ces fournisseurs de services numériques et d’infrastructures, l’établissement principal est déterminé par une hiérarchie de règles définies à l’article 26, paragraphe 2.

Déterminer l’établissement principal

L’article 26, paragraphe 2, prévoit trois tests séquentiels pour déterminer le lieu de l’établissement principal d’une entité.

Le premier test est celui du centre de décision: où sont prises principalement les décisions relatives aux mesures de gestion des risques en matière de cybersécurité? Si votre fournisseur d’informatique en nuage a son siège mondial à Seattle mais a mis en place une équipe européenne dédiée à la conformité et aux opérations de sécurité à Francfort qui prend toutes les décisions concernant les mesures de cybersécurité affectant les clients européens, l’établissement principal serait en Allemagne. Ce test reconnaît que la gouvernance en matière de cybersécurité est la fonction pertinente aux fins de NIS2.

Le deuxième test s’applique si la prise de décisions en matière de cybersécurité ne peut pas être localisée dans l’Union ou est répartie entre plusieurs États membres: où sont exécutées vos opérations de cybersécurité? Il peut s’agir d’un centre des opérations de sécurité (SOC) où s’effectuent votre surveillance et votre réponse aux incidents 24h/24 et 7j/7. Si le SOC de votre fournisseur cloud se trouve en Irlande, mais que sa prise de décisions en matière de cybersécurité est répartie entre plusieurs lieux, l’établissement principal serait en Irlande.

Le troisième test s’applique si les opérations de cybersécurité ne peuvent pas non plus être localisées dans l’Union ou sont réparties: quel État membre possède l’établissement comptant le plus grand nombre de salariés? Il s’agit d’un test de repli qui apporte de la clarté lorsque les deux premiers tests ne donnent pas de réponse claire. Il déplace l’analyse des fonctions spécifiques à la cybersécurité vers la présence plus large des effectifs.

Pour les fournisseurs multinationaux de services numériques, ces tests peuvent produire des résultats sensiblement différents du lieu de constitution de l’entreprise ou du lieu de son siège mondial. Un fournisseur cloud européen peut avoir son siège mondial à Londres, mais si ses principales décisions en matière de cybersécurité sont prises à Bruxelles et que son SOC se trouve à Dublin, son établissement principal au titre de NIS2 serait probablement dans l’un de ces deux États membres. Ceci importe car cela détermine quelle autorité compétente d’un État membre supervise la conformité NIS2.

La règle du fournisseur non établi

L’article 26, paragraphe 3, traite d’un scénario critique: que se passe-t-il si vous fournissez des services dans l’UE sans être établi dans aucun État membre? Une entreprise technologique basée aux États-Unis ou un fournisseur cloud chinois offrant des services à des clients européens peut ne pas avoir d’établissement permanent dans l’UE. NIS2 ne permet pas à ces fournisseurs d’échapper à la régulation.

L’article 26, paragraphe 3, exige que si vous n’êtes pas établi dans l’Union mais y fournissez des services, vous devez désigner un représentant dans l’Union. Ce représentant doit être établi dans l’un des États membres où vous fournissez des services. Une fois que vous avez désigné un représentant, vous relevez de la juridiction de l’État membre où votre représentant est établi.

Il s’agit d’une disposition importante car elle étend la juridiction NIS2 aux entreprises non basées dans l’UE, pour autant qu’elles fournissent des services à des entités essentielles ou importantes au sein de l’UE. Un fournisseur cloud américain proposant des services d’infrastructure à une banque européenne doit soit établir une présence dans l’UE, soit désigner un représentant basé dans l’UE. Sans une telle présence ou représentation, le fournisseur ne peut légalement fournir ces services à des entités régulées par NIS2.

En pratique, désigner un représentant peut prendre plusieurs formes. Cela peut signifier établir une filiale dans un État membre de l’UE et désigner cette filiale comme votre représentant. Cela peut signifier nommer un prestataire de services dans un État membre pour agir en tant que votre représentant aux fins de NIS2. L’essentiel est que vous ayez besoin d’une entité juridique identifiable et joignable, établie dans l’Union, capable de recevoir des communications réglementaires et de répondre de votre conformité.

Si vous ne désignez pas de représentant, l’article 26, paragraphe 3, prévoit un mécanisme de repli: tout État membre dans lequel vous fournissez des services peut engager des poursuites contre vous pour des infractions à NIS2. Cela crée des scénarios potentiellement problématiques où plusieurs États membres pourraient revendiquer leur juridiction sur un fournisseur non représenté, conduisant à des exigences de conformité contradictoires. Désigner un représentant unique avant d’en arriver là est de loin préférable.

Droits d’exécution des États membres

L’article 26, paragraphe 5, préserve l’autorité d’exécution des États membres au-delà des règles de base en matière de juridiction. Si un État membre reçoit une demande d’assistance mutuelle concernant une entité visée à l’article 26, paragraphe 1, point b), à savoir les fournisseurs de services numériques et d’infrastructures, cet État membre peut prendre des mesures de surveillance et d’exécution à l’encontre de l’entité en rapport avec les activités de celle-ci sur son territoire. Cela signifie que même si votre établissement principal se trouve en Allemagne, la France pourrait engager une action en exécution contre vous si vous exploitez des réseaux ou des systèmes sur le territoire français en enfreignant NIS2.

Cette disposition empêche les entités de prétendre qu’une relation juridictionnelle unique leur permet d’ignorer la conformité dans d’autres États membres. Votre régulateur principal est l’État membre où se trouve votre établissement principal, mais les autres États membres conservent l’autorité de superviser et d’exécuter en lien avec les activités menées sur leur territoire.

Implications pratiques pour la conformité

Comprendre votre juridiction au titre de l’article 26 a plusieurs conséquences pratiques. Premièrement, vous devez identifier quel État membre ou quels États membres vous régulent. Pour la plupart des organisations, c’est simple. Pour les fournisseurs de services multinationaux ou internationaux, cela demande une analyse rigoureuse, souvent assortie de conseils juridiques.

Deuxièmement, vous devez interagir avec l’autorité compétente de votre État membre de juridiction. Cette autorité constitue votre relation réglementaire principale. Vous signalez les incidents significatifs au CSIRT de cet État membre. Vous répondez aux demandes d’information de l’autorité compétente de cet État membre. Vous échangez avec le régulateur de cet État membre au sujet de votre programme de conformité.

Troisièmement, vous devez documenter votre analyse juridictionnelle. Si vous êtes un fournisseur de services numériques déterminant votre établissement principal, consignez les éléments factuels qui soutiennent votre conclusion. Si vous désignez un représentant, assurez-vous que cette désignation est formelle et clairement documentée. Cette documentation vous protège si votre régulateur conteste ultérieurement que vous releviez de sa juridiction.

Quatrièmement, pour les organisations multinationales, considérez la manière dont les questions juridictionnelles affectent votre structure de conformité. Si vous avez des opérations dans plusieurs États membres et que vous êtes régulé par l’État membre où se trouve votre établissement principal, vous devez néanmoins mettre en œuvre des mesures appropriées à l’ensemble de vos opérations. Un exploitant de centres de données peut être régulé par les Pays-Bas, mais s’il exploite des centres de données en Pologne, en Allemagne et en Espagne, ses mesures de cybersécurité doivent être adaptées à ses opérations dans ces quatre pays.

Points clés à retenir

  • La règle de base: les entités relèvent de la juridiction de l’État membre dans lequel elles sont établies et exercent leurs activités principales. L’établissement requiert une présence économique réelle, et non une simple constitution formelle.

  • Exception critique: certains fournisseurs de services numériques et d’infrastructures (fournisseurs cloud, fournisseurs CDN, opérateurs DNS, registres de domaines, plateformes en ligne) relèvent de la juridiction de l’État membre où se trouve leur «établissement principal dans l’Union», déterminé par le lieu de prise des décisions de cybersécurité, puis par celui des opérations de cybersécurité, puis par la présence des effectifs.

  • Les fournisseurs non établis doivent désigner un représentant dans l’Union. Ne pas désigner de représentant vous expose à des actions d’exécution par tout État membre dans lequel vous fournissez des services.

  • Votre État membre de juridiction détermine quelle autorité compétente supervise votre conformité et quel CSIRT reçoit vos notifications d’incidents. Identifiez cette relation très tôt et documentez-la clairement.

  • Même si vous êtes régulé par un seul État membre, vous pouvez faire l’objet d’actions d’exécution par d’autres États membres en lien avec des activités menées sur leur territoire. Votre programme de conformité doit couvrir les opérations dans tous les États membres où vous exercez vos activités.

Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.