1. Lorsque l'on dispose de preuves, d'indications ou d'informations indiquant qu'une entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) ne se conforme prétendument pas à la présente directive, en particulier à ses articles 21 et 23, les États membres veillent à ce que les autorités compétentes prennent des mesures, le cas échéant, par le biais de mesures de surveillance a posteriori. Les États membres veillent à ce que ces mesures soient efficaces, proportionnées et dissuasives, en tenant compte des circonstances propres à chaque cas.
2. Les États membres veillent à ce que les autorités compétentes, lorsqu'elles exercent leur mission de surveillance à l'égard d'entités importantes, aient le pouvoir de soumettre ces entités au moins à :
(a) des inspections sur place et une supervision a posteriori hors site menées par des professionnels qualifiés ;
(b) des audits de sécurité ciblés réalisés par un organisme indépendant ou une autorité compétente ;
(c) des analyses de sécurité fondées sur des critères objectifs, non discriminatoires, équitables et transparents. risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) critères d'évaluation, le cas échéant avec la coopération de l'entité concernée ;
(d) les demandes d'informations nécessaires pour évaluer, a posteriori, l'efficacité de l'action de l'Union européenne en matière de protection de l'environnement. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; les mesures de gestion des risques adoptées par l'entité concernée, y compris les politiques de cybersécurité documentées, ainsi que le respect de l'obligation de communiquer des informations aux autorités compétentes en vertu de l'article 27 ;
(e) les demandes d'accès aux données, documents et informations nécessaires à l'accomplissement de leur mission de contrôle ;
(f) les demandes de preuves de la mise en œuvre des politiques de cybersécurité, telles que les résultats des audits de sécurité réalisés par un auditeur qualifié et les preuves sous-jacentes correspondantes.
Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques réalisées par l'autorité compétente ou l'entité auditée, ou sur d'autres informations disponibles relatives aux risques.
Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l'autorité compétente. Les coûts d'un tel audit de sécurité ciblé réalisé par un organisme indépendant sont payés par l'entité auditée, sauf dans des cas dûment justifiés où l'autorité compétente en décide autrement.
3. Dans l'exercice des pouvoirs qui leur sont conférés en vertu du paragraphe 2, points d), e) ou f), les autorités compétentes indiquent l'objet de la demande et précisent les informations demandées.
4. Les États membres veillent à ce que les autorités compétentes, lorsqu'elles exercent leurs pouvoirs d'exécution à l'égard d'entités importantes, soient au moins habilitées à :
(a) émettre des avertissements concernant les infractions à la présente directive commises par les entités concernées ;
(b) adopter des instructions contraignantes ou une injonction exigeant des entités concernées qu'elles remédient aux insuffisances constatées ou à la violation de la présente directive ;
(c) ordonner aux entités concernées de cesser tout comportement contraire à la présente directive et de s'abstenir de répéter ce comportement ;
(d) ordonner aux entités concernées de veiller à ce que leurs mesures de gestion du risque de cybersécurité soient conformes à l'article 21 ou de s'acquitter des obligations de déclaration prévues à l'article 23, d'une manière et dans un délai déterminés ;
(e) ordonner aux entités concernées d'informer les personnes physiques ou morales à l'égard desquelles elles fournissent des services ou exercent des activités susceptibles d'être affectées par une une cybermenace importanteMenace cybernétique importante désigne une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible d'avoir une incidence grave sur le réseau et les systèmes d'information d'une entité ou sur les utilisateurs des services de l'entité en causant des dommages matériels ou immatériels considérables ; - désigne une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible de causer des dommages matériels ou immatériels considérables. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) de la nature de la menace, ainsi que des éventuelles mesures de protection ou de réparation qui peuvent être prises par ces personnes physiques ou morales en réponse à cette menace ;
(f) ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d'un audit de sécurité dans un délai raisonnable ;
(g) ordonner aux entités concernées de rendre publics les aspects des infractions à la présente directive selon des modalités précises ;
(h) infliger ou demander que soient infligées par les organes, cours ou tribunaux compétents, conformément au droit national, une amende administrative en vertu de l'article 34, en plus de toute mesure visée aux points a) à g) du présent paragraphe.
5. L'article 32, paragraphes 6, 7 et 8, s'applique mutatis mutandis aux mesures de surveillance et d'exécution prévues par le présent article pour les entités importantes.
6. Les États membres veillent à ce que leurs autorités compétentes au titre de la présente directive coopèrent avec les autorités compétentes pertinentes de l'État membre concerné au titre du règlement (UE) n° 2022/2554. En particulier, les États membres veillent à ce que leurs autorités compétentes au titre de la présente directive informent le Forum de supervision établi conformément à l'article 32, paragraphe 1, du règlement (UE) n° 2022/2554 lorsqu'elles exercent leurs pouvoirs de surveillance et d'exécution visant à assurer le respect de la présente directive par une entité importante désignée comme fournisseur de services TIC tiers critiques conformément à l'article 31 du règlement (UE) n° 2022/2554.