CHAPITRE 1 - DISPOSITIONS GÉNÉRALES

Article 1 - Objet

La directive vise à établir un niveau commun élevé de cybersécurité dans l'UE pour améliorer le marché intérieur. Elle impose des obligations aux États membres, aux entités publiques et privées dans les secteurs critiques listés dans les annexes I et II.

Article 2 - Champ d’application

Elle s'applique aux entités publiques et privées définies dans les annexes I et II qui remplissent les critères de taille des entreprises moyennes ou supérieures, ainsi qu'à des entités critiques définies par les États membres.

Article 3 - Entités essentielles et importantes

La directive distingue deux types d'entités :

• Essentielles : entités d'envergure majeure (ex. secteurs critiques de l'annexe I, fournisseurs de réseaux de communication, autorités publiques, etc.).

• Importantes : autres entités significatives.
  Les États membres doivent établir et maintenir à jour une liste des entités essentielles et importantes.

Article 4 - Actes juridiques sectoriels de l’Union

Les exigences sectorielles préexistantes au niveau de l'UE (ex. directives sectorielles) peuvent prévaloir sur la directive si elles garantissent un niveau de cybersécurité équivalent.

Article 5 - Harmonisation minimale

Les États membres peuvent adopter des mesures nationales plus strictes en matière de cybersécurité, à condition qu'elles soient compatibles avec le droit de l'UE.

Article 6 - Définitions

Il définit les principaux termes utilisés dans la directive, notamment :

• Réseau et système d’information

• Cybersécurité

• Stratégie nationale de cybersécurité