1. Les États membres veillent à ce que les mesures de contrôle ou d'exécution imposées aux entités essentielles en ce qui concerne les obligations prévues par la présente directive soient efficaces, proportionnées et dissuasives, compte tenu des circonstances propres à chaque cas.
2. Les États membres veillent à ce que les autorités compétentes, dans l'exercice de leur mission de surveillance à l'égard des entités essentielles, aient le pouvoir de soumettre ces entités au moins à :
(a) des inspections sur place et une supervision hors site, y compris des contrôles aléatoires effectués par des professionnels qualifiés ;
(b) des audits de sécurité réguliers et ciblés effectués par un organisme indépendant ou une autorité compétente ;
(c) des audits ad hoc, y compris lorsqu'ils sont justifiés par l'existence d'une menace importante pour la santé publique. incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) ou d'une violation de la présente directive par l'essentiel de l'activité de l'entreprise. entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2);
(d) des analyses de sécurité fondées sur des critères objectifs, non discriminatoires, équitables et transparents. risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) critères d'évaluation, le cas échéant avec la coopération de l'entité concernée ;
(e) les demandes d'informations nécessaires à l'évaluation de l'efficacité de l'action. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; les mesures de gestion des risques adoptées par l'entité concernée, y compris les politiques de cybersécurité documentées, ainsi que le respect de l'obligation de communiquer des informations aux autorités compétentes en vertu de l'article 27 ;
(f) les demandes d'accès aux données, documents et informations nécessaires à l'accomplissement de leur mission de contrôle ;
(g) les demandes de preuves de la mise en œuvre des politiques de cybersécurité, telles que les résultats des audits de sécurité réalisés par un auditeur qualifié et les preuves sous-jacentes correspondantes.
Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques réalisées par l'autorité compétente ou l'entité auditée, ou sur d'autres informations disponibles relatives aux risques.
Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l'autorité compétente. Les coûts d'un tel audit de sécurité ciblé réalisé par un organisme indépendant sont payés par l'entité auditée, sauf dans des cas dûment justifiés où l'autorité compétente en décide autrement.
3. Lorsqu'elles exercent leurs pouvoirs en vertu du paragraphe 2, points e), f) ou g), les autorités compétentes indiquent l'objet de la demande et précisent les informations demandées.
4. Les États membres veillent à ce que leurs autorités compétentes, lorsqu'elles exercent leurs pouvoirs d'exécution à l'égard d'entités essentielles, aient au moins le pouvoir de :
(a) émettre des avertissements concernant les infractions à la présente directive commises par les entités concernées ;
(b) adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour prévenir un incident ou y remédier, ainsi que des délais pour la mise en œuvre de ces mesures et pour l'établissement de rapports sur leur mise en œuvre, ou une ordonnance exigeant des entités concernées qu'elles remédient aux insuffisances constatées ou aux infractions à la présente directive ;
(c) ordonner aux entités concernées de cesser tout comportement contraire à la présente directive et de s'abstenir de répéter ce comportement ;
(d) ordonner aux entités concernées de veiller à ce que leurs mesures de gestion du risque de cybersécurité soient conformes à l'article 21 ou de s'acquitter des obligations de déclaration prévues à l'article 23, d'une manière et dans un délai déterminés ;
(e) ordonner aux entités concernées d'informer les personnes physiques ou morales à l'égard desquelles elles fournissent des services ou exercent des activités susceptibles d'être affectées par une une cybermenace importanteMenace cybernétique importante désigne une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible d'avoir une incidence grave sur le réseau et les systèmes d'information d'une entité ou sur les utilisateurs des services de l'entité en causant des dommages matériels ou immatériels considérables ; - désigne une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible de causer des dommages matériels ou immatériels considérables. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) de la nature de la menace, ainsi que des éventuelles mesures de protection ou de réparation qui peuvent être prises par ces personnes physiques ou morales en réponse à cette menace ;
(f) ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d'un audit de sécurité dans un délai raisonnable ;
(g) désigner un responsable du suivi, dont les tâches sont bien définies et qui est chargé, pendant une période déterminée, de veiller au respect des articles 21 et 23 par les entités concernées ;
(h) ordonner aux entités concernées de rendre publics les aspects des infractions à la présente directive selon des modalités déterminées ;
(i) infliger ou demander que soient infligées par les organes, cours ou tribunaux compétents, conformément au droit national, une amende administrative en vertu de l'article 34, en plus de toute mesure visée aux points a) à h) du présent paragraphe.
5. Lorsque les mesures d'exécution adoptées conformément au paragraphe 4, points a) à d) et f), sont inefficaces, les États membres veillent à ce que leurs autorités compétentes soient habilitées à fixer un délai dans lequel l'entité essentielle est invitée à prendre les mesures nécessaires pour remédier aux lacunes ou se conformer aux exigences de ces autorités. Si les mesures demandées ne sont pas prises dans le délai fixé, les États membres veillent à ce que leurs autorités compétentes soient habilitées à :
(a) suspendre temporairement, ou demander à un organisme de certification ou d'autorisation, ou à une cour ou un tribunal, conformément au droit national, de suspendre temporairement une certification ou une autorisation concernant tout ou partie des services pertinents fournis ou des activités menées par l'entité essentielle ;
(b) demander que les organes, cours ou tribunaux compétents, conformément à la législation nationale, interdisent temporairement à toute personne physique chargée d'exercer des responsabilités de gestion au niveau du directeur général ou du directeur juridique d'exercer des fonctions de direction au sein de l'entreprise. représentantReprésentant Une personne physique ou morale établie dans l'Union explicitement désignée pour agir au nom d'un prestataire de services DNS, d'un registre de noms TLD, d'une entité fournissant des services d'enregistrement de noms de domaine, d'un prestataire de services d'informatique en nuage, d'un prestataire de services de centre de données, d'un prestataire de réseaux de diffusion de contenu, d'un prestataire de services gérés, d'un prestataire de services de sécurité gérés, ou d'un fournisseur d'une place de marché en ligne, d'un moteur de recherche en ligne ou d'une plateforme de services de réseautage social qui n'est pas établi dans l'Union et qui peut être contacté par une autorité compétente ou un CSIRT à la place de l'entité elle-même en ce qui concerne les obligations qui incombent à cette entité en vertu de la présente directive. - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) de l'entité essentielle d'exercer des fonctions de direction dans cette entité.
Les suspensions ou interdictions temporaires imposées en vertu du présent paragraphe ne sont appliquées que jusqu'à ce que l'entité concernée prenne les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l'autorité compétente pour laquelle ces mesures d'exécution ont été appliquées. L'imposition de telles suspensions ou interdictions temporaires est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et de la Charte, y compris le droit à un recours effectif et à un procès équitable, la présomption d'innocence et les droits de la défense.
Les mesures d'exécution prévues au présent paragraphe ne sont pas applicables aux entités de l'administration publique qui sont soumises à la présente directive.
6. Les États membres veillent à ce que toute personne physique responsable d'une entité essentielle ou agissant en tant que représentant légal de celle-ci en vertu du pouvoir de la représenter, du pouvoir de prendre des décisions en son nom ou du pouvoir d'exercer un contrôle sur elle ait le pouvoir de veiller à ce qu'elle se conforme à la présente directive. Les États membres veillent à ce qu'il soit possible d'engager la responsabilité de ces personnes physiques en cas de manquement à leur obligation de veiller au respect de la présente directive.
En ce qui concerne les entités de l'administration publique, le présent paragraphe s'applique sans préjudice de la législation nationale relative à la responsabilité des fonctionnaires et des agents élus ou nommés.
7. Lorsqu'elles prennent l'une des mesures d'exécution visées aux paragraphes 4 ou 5, les autorités compétentes respectent les droits de la défense et tiennent compte des circonstances de chaque cas d'espèce et, au minimum, prennent dûment en considération :
(a) la gravité de l'infraction et l'importance des dispositions violées, les éléments suivants, entre autres, constituant en tout état de cause une infraction grave :
(i) violations répétées ;
(ii) l'absence de notification d'incidents importants ou de mesures correctives ;
(iii) le fait de ne pas remédier à des déficiences à la suite d'instructions contraignantes émanant des autorités compétentes ;
(iv) l'obstruction aux audits ou aux activités de surveillance ordonnés par l'autorité compétente à la suite de la constatation d'une infraction ;
(v) fournir des informations fausses ou manifestement inexactes en ce qui concerne les mesures de gestion des risques liés à la cybersécurité ou les obligations d'information prévues aux articles 21 et 23 ;
(b) la durée de l'infraction ;
(c) toute infraction antérieure pertinente commise par l'entité concernée ;
(d) tout dommage matériel ou immatériel causé, y compris toute perte financière ou économique, les effets sur d'autres services et le nombre d'utilisateurs affectés ;
(e) toute intention ou négligence de la part de l'auteur de l'infraction ;
(f) toute mesure prise par l'entité pour prévenir ou atténuer le dommage matériel ou moral ;
(g) toute adhésion à des codes de conduite ou à des mécanismes de certification approuvés ;
(h) le niveau de coopération des personnes physiques ou morales tenues pour responsables avec les autorités compétentes.
8. Les autorités compétentes motivent en détail leurs mesures d'exécution. Avant d'adopter de telles mesures, les autorités compétentes notifient leurs conclusions préliminaires aux entités concernées. Elles accordent également à ces entités un délai raisonnable pour présenter leurs observations, sauf dans les cas dûment justifiés où une action immédiate visant à prévenir les incidents ou à y répondre serait autrement entravée.
9. Les États membres veillent à ce que leurs autorités compétentes au titre de la présente directive informent les autorités compétentes concernées du même État membre au titre de la directive (UE) 2022/2557 lorsqu'elles exercent leurs pouvoirs de surveillance et d'exécution visant à assurer le respect de la présente directive par une entité identifiée comme entité critique au titre de la directive (UE) 2022/2557. Le cas échéant, les autorités compétentes en vertu de la directive (UE) 2022/2557 peuvent demander aux autorités compétentes en vertu de la présente directive d'exercer leurs pouvoirs de surveillance et d'exécution à l'égard d'une entité identifiée comme entité critique en vertu de la directive (UE) 2022/2557.
10. Les États membres veillent à ce que leurs autorités compétentes au titre de la présente directive coopèrent avec les autorités compétentes pertinentes de l'État membre concerné au titre du règlement (UE) n° 2022/2554. En particulier, les États membres veillent à ce que leurs autorités compétentes au titre de la présente directive informent le Forum de supervision établi conformément à l'article 32, paragraphe 1, du règlement (UE) n° 2022/2554 lorsqu'elles exercent leurs pouvoirs de surveillance et d'exécution visant à assurer le respect de la présente directive par une entité essentielle désignée comme fournisseur tiers de services TIC critiques conformément à l'article 31 du règlement (UE) n° 2022/2554.