NIS 2 Chapitre 7 Article 32

Article 32 – Mesures de supervision et d’exécution en ce qui concerne les entités essentielles

  1. Les États membres veillent à ce que les mesures de supervision ou d’exécution imposées aux entités essentielles à l’égard des obligations prévues par la présente directive soient effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas.
  2. Les États membres veillent à ce que les autorités compétentes, lorsqu’elles accomplissent leurs tâches de supervision à l’égard d’entités essentielles, aient le pouvoir de soumettre ces entités à, au minimum:
    1. des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires effectués par des professionnels formés;
    2. des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une autorité compétente;
    3. des audits ad hoc, notamment lorsqu’ils sont justifiés en raison d’un incident important ou d’une violation de la présente directive par l’entité essentielle;
    4. des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité concernée;
    5. des demandes d’informations nécessaires à l’évaluation des mesures de gestion des risques en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de cybersécurité consignées par écrit, ainsi que du respect de l’obligation de soumettre des informations aux autorités compétentes conformément à l’article 27;
    6. des demandes d’accès à des données, à des documents et à toutes informations nécessaires à l’accomplissement de leurs tâches de supervision;
    7. des demandes de preuves de la mise en œuvre de politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.

    Les audits de sécurité ciblés visés au premier alinéa, point b), sont basés sur des évaluations des risques effectuées par l’autorité compétente ou l’entité contrôlée, ou sur d’autres informations disponibles relatives aux risques.

    Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l’autorité compétente. Les coûts de cet audit de sécurité ciblé effectué par un organisme indépendant sont à la charge de l’entité contrôlée, sauf lorsque l’autorité compétente en décide autrement dans des cas dûment motivés.

  3. Lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, point e), f) ou g), les autorités compétentes mentionnent la finalité de la demande et précisent quelles sont les informations exigées.
  4. Les États membres veillent à ce que leurs autorités compétentes, lorsqu’elles exercent leurs pouvoirs d’exécution à l’égard d’entités essentielles, aient au minimum le pouvoir:
    1. d’émettre des avertissements concernant les violations de la présente directive par les entités concernées;
    2. d’adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et rendre compte de cette mise en œuvre, ou une injonction exigeant des entités concernées qu’elles remédient aux insuffisances constatées ou aux violations de la présente directive;
    3. d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et de ne pas le réitérer;
    4. d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information énoncées à l’article 23, de manière spécifique et dans un délai déterminé;
    5. d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace;
    6. d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable;
    7. de désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour superviser le respect, par les entités concernées, des articles 21 et 23;
    8. d’ordonner aux entités concernées de rendre publics les aspects de violations de la présente directive de manière spécifique;
    9. d’imposer ou de demander aux organes compétents ou aux juridictions d’imposer, conformément au droit national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux points a) à h) du présent paragraphe.
  5. Lorsque les mesures d’exécution adoptées en vertu du paragraphe 4, points a) à d) et point f), sont inefficaces, les États membres veillent à ce que leurs autorités compétentes aient le pouvoir de fixer un délai dans lequel l’entité essentielle est invitée à prendre les mesures nécessaires pour pallier les insuffisances ou satisfaire aux exigences de ces autorités. Si la mesure demandée n’est pas prise dans le délai imparti, les États membres veillent à ce que leurs autorités compétentes aient le pouvoir:
    1. de suspendre temporairement ou de demander à un organisme de certification ou d’autorisation, ou à une juridiction, conformément au droit national, de suspendre temporairement une certification ou une autorisation concernant tout ou partie des services pertinents fournis ou des activités pertinentes menées par l’entité essentielle;
    2. de demander aux organes compétents ou aux juridictions compétentes, conformément au droit national, d’interdire temporairement à toute personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans l’entité essentielle d’exercer des responsabilités dirigeantes dans cette entité.

    Les suspensions ou interdictions temporaires imposées au titre du présent paragraphe sont uniquement appliquées jusqu’à ce que l’entité concernée prenne les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l’autorité compétente à l’origine de l’application de ces mesures d’exécution. L’imposition de ces suspensions ou interdictions temporaires est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la Charte, y compris le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense.

    Les mesures d’exécution prévues au présent paragraphe ne peuvent pas être appliquées aux entités de l’administration publiques qui relèvent de la présente directive.

  6. Les États membres veillent à ce que toute personne physique responsable d’une entité essentielle ou agissant en qualité de représentant légal d’une entité essentielle sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou d’exercer son contrôle ait le pouvoir de veiller au respect, par l’entité, de la présente directive. Les États membres veillent à ce que ces personnes physiques puissent être tenues responsables des manquements à leur devoir de veiller au respect de la présente directive.

    En ce qui concerne les entités de l’administration publique, le présent paragraphe est sans préjudice du droit national en ce qui concerne la responsabilité des agents de la fonction publique et des responsables élus ou nommés.

  7. Lorsqu’elles prennent toute mesure d’exécution visée au paragraphe 4 ou 5, les autorités compétentes respectent les droits de la défense et tiennent compte des circonstances propres à chaque cas et, au minimum, tiennent dûment compte:
    1. de la gravité de la violation et de l’importance des dispositions enfreintes, les faits suivants, entre autres, devant être considérés en tout état de cause comme graves:
      1. les violations répétées;
      2. le fait de ne pas notifier des incidents importants ou de ne pas y remédier;
      3. le fait de ne pas pallier les insuffisances à la suite d’instructions contraignantes des autorités compétentes;
      4. le fait d’entraver des audits ou des activités de contrôle ordonnées par l’autorité compétente à la suite de la constatation d’une violation;
      5. la fourniture d’informations fausses ou manifestement inexactes relatives aux mesures de gestion des risques en matière de cybersécurité ou aux obligations d’information prévues aux articles 21 et 23;
    2. de la durée de la violation;
    3. de toute violation antérieure pertinente commise par l’entité concernée;
    4. des dommages matériels, corporels ou moraux causés, y compris des pertes financières ou économiques, des effets sur d’autres services et du nombre d’utilisateurs touchés;
    5. du fait que l’auteur de la violation a agi délibérément ou par négligence;
    6. des mesures prises par l’entité pour prévenir ou atténuer les dommages matériels, corporels ou moraux;
    7. de l’application de codes de conduite approuvés ou de mécanismes de certification approuvés;
    8. du degré de coopération avec les autorités compétentes des personnes physiques ou morales tenues pour responsables.
  8. Les autorités compétentes exposent en détail les motifs de leurs mesures d’exécution. Avant de prendre de telles mesures, les autorités compétentes informent les entités concernées de leurs conclusions préliminaires. Elles laissent en outre à ces entités un délai raisonnable pour communiquer leurs observations, sauf dans des cas exceptionnels dûment motivés où cela empêcherait une intervention immédiate pour prévenir un incident ou y répondre.
  9. Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive informent les autorités compétentes concernées au sein du même État membre en vertu de la directive (UE) 2022/2557 lorsqu’elles exercent leurs pouvoirs de supervision et d’exécution dans le but de garantir qu’une entité définie comme critique en vertu de la directive (UE) 2022/2557 respecte la présente directive. S’il y a lieu, les autorités compétentes en vertu de la directive (UE) 2022/2557 peuvent demander aux autorités compétentes en vertu de la présente directive d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité qui est définie comme entité critique en vertu de la directive (UE) 2022/2557.
  10. Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive coopèrent avec les autorités compétentes pertinentes de l’État membre concerné au titre du règlement (UE) 2022/2554. Les États membres veillent, en particulier, à ce que leurs autorités compétentes en vertu de la présente directive informent le forum de supervision institué en vertu de l’article 32, paragraphe 1, du règlement (UE) 2022/2554 lorsqu’elles exercent leurs pouvoirs de supervision et d’exécution dans le but de garantir qu’une entité essentielle qui a été désignée comme étant un prestataire tiers critique de services TIC au titre de l’article 31 du règlement (UE) 2022/2554 respecte la présente directive.