NIS 2 Chapitre 7 Article 33

Article 33 – Mesures de supervision et d’exécution en ce qui concerne les entités importantes

  1. Au vu d’éléments de preuve, d’indications ou d’informations selon lesquels une entité importante ne respecterait pas la présente directive, et notamment ses articles 21 et 23, les États membres veillent à ce que les autorités compétentes prennent des mesures, le cas échéant, dans le cadre de mesures de contrôle ex post. Les États membres veillent à ce que ces mesures soient effectives, proportionnées et dissuasives, compte tenu des circonstances propres à chaque cas d’espèce.
  2. Les États membres veillent à ce que les autorités compétentes, lorsqu’elles accomplissent leurs tâches de supervision à l’égard d’entités importantes, aient le pouvoir de soumettre ces entités, au minimum, à:
    1. des inspections sur place et des contrôles à distance ex post, effectués par des professionnels formés;
    2. des audits de sécurité ciblés réalisés par un organisme indépendant ou une autorité compétente;
    3. des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité concernée;
    4. des demandes d’informations nécessaires à l’évaluation ex post des mesures de gestion des risques en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de cybersécurité consignées par écrit, ainsi que du respect de l’obligation de soumettre des informations aux autorités compétentes conformément à l’article 27;
    5. des demandes d’accès à des données, à des documents et à des informations nécessaires à l’accomplissement de leurs tâches de supervision;
    6. des demandes de preuves de la mise en œuvre de politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.

    Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques effectuées par l’autorité compétente ou l’entité contrôlée, ou sur d’autres informations disponibles relatives aux risques.

    Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l’autorité compétente. Les coûts de cet audit de sécurité ciblé effectué par un organisme indépendant sont à la charge de l’entité contrôlée, sauf lorsque l’autorité compétente en décide autrement dans des cas dûment motivés.

  3. Lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, point d), e) ou f), les autorités compétentes mentionnent la finalité de la demande et précisent quelles sont les informations exigées.
  4. Les États membres veillent à ce que les autorités compétentes, lorsqu’elles exercent leurs pouvoirs d’exécution à l’égard d’entités importantes, aient au minimum le pouvoir:
    1. d’émettre des avertissements concernant des violations de la présente directive par les entités concernées;
    2. d’adopter des instructions contraignantes ou une injonction exigeant des entités concernées qu’elles pallient les insuffisances constatées ou les violations de la présente directive;
    3. d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et de ne pas le réitérer;
    4. d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information prévues à l’article 23, de manière spécifique et dans un délai déterminé;
    5. d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace;
    6. d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable;
    7. d’ordonner aux entités concernées de rendre publics des aspects de violations de la présente directive de manière spécifique;
    8. d’imposer ou de demander aux organes compétents ou aux juridictions compétentes d’imposer, conformément au droit national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux points a) à g) du présent paragraphe.
  5. L’article 32, paragraphes 6, 7 et 8, s’applique mutatis mutandis aux mesures de supervision et d’exécution prévues au présent article pour les entités importantes.
  6. Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive coopèrent avec les autorités compétentes pertinentes de l’État membre concerné au titre du règlement (UE) 2022/2554. Les États membres veillent, en particulier, à ce que leurs autorités compétentes au titre de la présente directive informent le forum de supervision établi en vertu de l’article 32, paragraphe 1, du règlement (UE) 2022/2554 lorsqu’elles exercent leurs pouvoirs de supervision et d’exécution dans le but de garantir qu’une entité importante qui a été désignée comme étant un prestataire tiers critique de services TIC en vertu de l’article 31 du règlement (UE) 2022/2554 respecte la présente directive.