Article 26

Compétence et territorialité

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Compétence et territorialité

1.   Les entités relevant du champ d’application de la présente directive sont considérées comme relevant de la compétence de l’État membre dans lequel elles sont établies, à l’exception des cas suivants:

a)

les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public, qui sont considérés comme relevant de la compétence de l’État membre dans lequel ils fournissent leurs services;

b)

les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux, qui sont considérés comme relevant de la compétence de l’État membre dans lequel ils ont leur établissement principal dans l’Union en application du paragraphe 2;

c)

les entités de l’administration publique, qui sont considérées comme relevant de la compétence de l’État membre qui les a établies.

2.   Aux fins de la présente directive, un entité visée au paragraphe 1, point b), est considérée avoir son établissement principal dans l’Union dans l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si un tel État membre ne peut être déterminé ou si ces décisions ne sont pas prises dans l’Union, l’établissement principal est considéré comme se trouvant dans l’État membre où les opérations de cybersécurité sont effectuées. Si un tel État membre ne peut être déterminé, l’établissement principal est considéré comme se trouvant dans l’État membre où l’entité concernée possède l’établissement comptant le plus grand nombre de salariés dans l’Union.

3.   Si une entité visée au paragraphe 1, point b), n’est pas établie dans l’Union mais offre des services dans l’Union, elle désigne un représentant dans l’Union. Le représentant est établi dans l’un des États membres dans lesquels les services sont fournis. Une telle entité est considérée comme relevant de la compétence de l’État membre dans lequel le représentant est établi. En l’absence d’un représentant dans l’Union désigné en vertu du présent paragraphe, tout État membre dans lequel l’entité fournit des services peut intenter une action en justice contre l’entité pour violation de la présente directive.

4.   La désignation d’un représentant par une entité visée au paragraphe 1, point b), est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité elle-même.

5.   Les États membres qui ont reçu une demande d’assistance mutuelle en lien avec une entité visée au paragraphe 1, point b), peuvent, dans les limites de cette demande, prendre des mesures de supervision et d’exécution appropriées à l’égard de l’entité concernée qui fournit des services ou qui dispose d’un réseau et d’un système d’information sur leur territoire.

Spécificité Luxembourg
loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite

Au Luxembourg, c'est l'ILR (Institut Luxembourgeois de Régulation) qui exerce la competence nationale lorsque l'entité est établie au Luxembourg ou y a son établissement principal au sens de l'article 26(2). La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, désigné l'ILR comme autorité recevant les enregistrements, les notifications d'incident et menant les inspections et sanctions. Un fournisseur numérique hors UE dont l'établissement principal ou le représentant désigné se trouve au Luxembourg relevé donc de l'ILR pour l'ensemble de ses obligations NIS 2.

Pratique Luxgap : avant tout enregistrement auprès de l'ILR, documentez la chaîne décisionnelle cyber (qui decide, ou, sur quels systèmes) pour eviter une requalification de competence en cas de contrôle transfrontalier.