1. Les \u00c9tats membres veillent \u00e0 ce que les mesures de contr\u00f4le ou d'ex\u00e9cution impos\u00e9es aux entit\u00e9s essentielles en ce qui concerne les obligations pr\u00e9vues par la pr\u00e9sente directive soient efficaces, proportionn\u00e9es et dissuasives, compte tenu des circonstances propres \u00e0 chaque cas.<\/p>\n\n\n\n
2. Les \u00c9tats membres veillent \u00e0 ce que les autorit\u00e9s comp\u00e9tentes, dans l'exercice de leur mission de surveillance \u00e0 l'\u00e9gard des entit\u00e9s essentielles, aient le pouvoir de soumettre ces entit\u00e9s au moins \u00e0 :<\/p>\n\n\n\n
(a) des inspections sur place et une supervision hors site, y compris des contr\u00f4les al\u00e9atoires effectu\u00e9s par des professionnels qualifi\u00e9s ;<\/p>\n\n\n\n
(b) des audits de s\u00e9curit\u00e9 r\u00e9guliers et cibl\u00e9s effectu\u00e9s par un organisme ind\u00e9pendant ou une autorit\u00e9 comp\u00e9tente ;<\/p>\n\n\n\n
(c) des audits ad hoc, y compris lorsqu'ils sont justifi\u00e9s par l'existence d'une menace importante pour la sant\u00e9 publique. incidentIncident<\/span> Un \u00e9v\u00e9nement compromettant la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es ou des services offerts par les r\u00e9seaux et les syst\u00e8mes d'information ou accessibles par leur interm\u00e9diaire. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> ou d'une violation de la pr\u00e9sente directive par l'essentiel de l'activit\u00e9 de l'entreprise. entit\u00e9Entit\u00e9<\/span> Une personne physique ou morale cr\u00e9\u00e9e et reconnue comme telle par le droit national de son lieu d'\u00e9tablissement, qui peut, en agissant sous son propre nom, exercer des droits et \u00eatre soumise \u00e0 des obligations. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>;<\/p>\n\n\n\n (d) des analyses de s\u00e9curit\u00e9 fond\u00e9es sur des crit\u00e8res objectifs, non discriminatoires, \u00e9quitables et transparents. risqueRisque<\/span> d\u00e9signe le potentiel de perte ou de perturbation caus\u00e9 par un incident et doit \u00eatre exprim\u00e9 comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilit\u00e9 d'occurrence de l'incident. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> crit\u00e8res d'\u00e9valuation, le cas \u00e9ch\u00e9ant avec la coop\u00e9ration de l'entit\u00e9 concern\u00e9e ;<\/p>\n\n\n\n (e) les demandes d'informations n\u00e9cessaires \u00e0 l'\u00e9valuation de l'efficacit\u00e9 de l'action. cybers\u00e9curit\u00e9Cybers\u00e9curit\u00e9<\/span> \"cybers\u00e9curit\u00e9\", la cybers\u00e9curit\u00e9 telle que d\u00e9finie \u00e0 l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ; - D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a>\r\r\"cybers\u00e9curit\u00e9\" : les activit\u00e9s n\u00e9cessaires pour prot\u00e9ger les r\u00e9seaux et les syst\u00e8mes d'information, les utilisateurs de ces syst\u00e8mes et les autres personnes concern\u00e9es par les cybermenaces ; - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ;<\/span><\/span><\/span> les mesures de gestion des risques adopt\u00e9es par l'entit\u00e9 concern\u00e9e, y compris les politiques de cybers\u00e9curit\u00e9 document\u00e9es, ainsi que le respect de l'obligation de communiquer des informations aux autorit\u00e9s comp\u00e9tentes en vertu de l'article 27 ;<\/p>\n\n\n\n (f) les demandes d'acc\u00e8s aux donn\u00e9es, documents et informations n\u00e9cessaires \u00e0 l'accomplissement de leur mission de contr\u00f4le ;<\/p>\n\n\n\n (g) les demandes de preuves de la mise en \u0153uvre des politiques de cybers\u00e9curit\u00e9, telles que les r\u00e9sultats des audits de s\u00e9curit\u00e9 r\u00e9alis\u00e9s par un auditeur qualifi\u00e9 et les preuves sous-jacentes correspondantes.<\/p>\n\n\n\n Les audits de s\u00e9curit\u00e9 cibl\u00e9s vis\u00e9s au premier alin\u00e9a, point b), sont fond\u00e9s sur des \u00e9valuations des risques r\u00e9alis\u00e9es par l'autorit\u00e9 comp\u00e9tente ou l'entit\u00e9 audit\u00e9e, ou sur d'autres informations disponibles relatives aux risques.<\/p>\n\n\n\n Les r\u00e9sultats de tout audit de s\u00e9curit\u00e9 cibl\u00e9 sont mis \u00e0 la disposition de l'autorit\u00e9 comp\u00e9tente. Les co\u00fbts d'un tel audit de s\u00e9curit\u00e9 cibl\u00e9 r\u00e9alis\u00e9 par un organisme ind\u00e9pendant sont pay\u00e9s par l'entit\u00e9 audit\u00e9e, sauf dans des cas d\u00fbment justifi\u00e9s o\u00f9 l'autorit\u00e9 comp\u00e9tente en d\u00e9cide autrement.<\/p>\n\n\n\n 3. Lorsqu'elles exercent leurs pouvoirs en vertu du paragraphe 2, points e), f) ou g), les autorit\u00e9s comp\u00e9tentes indiquent l'objet de la demande et pr\u00e9cisent les informations demand\u00e9es.<\/p>\n\n\n\n 4. Les \u00c9tats membres veillent \u00e0 ce que leurs autorit\u00e9s comp\u00e9tentes, lorsqu'elles exercent leurs pouvoirs d'ex\u00e9cution \u00e0 l'\u00e9gard d'entit\u00e9s essentielles, aient au moins le pouvoir de :<\/p>\n\n\n\n (a) \u00e9mettre des avertissements concernant les infractions \u00e0 la pr\u00e9sente directive commises par les entit\u00e9s concern\u00e9es ;<\/p>\n\n\n\n (b) adopter des instructions contraignantes, y compris en ce qui concerne les mesures n\u00e9cessaires pour pr\u00e9venir un incident ou y rem\u00e9dier, ainsi que des d\u00e9lais pour la mise en \u0153uvre de ces mesures et pour l'\u00e9tablissement de rapports sur leur mise en \u0153uvre, ou une ordonnance exigeant des entit\u00e9s concern\u00e9es qu'elles rem\u00e9dient aux insuffisances constat\u00e9es ou aux infractions \u00e0 la pr\u00e9sente directive ;<\/p>\n\n\n\n (c) ordonner aux entit\u00e9s concern\u00e9es de cesser tout comportement contraire \u00e0 la pr\u00e9sente directive et de s'abstenir de r\u00e9p\u00e9ter ce comportement ;<\/p>\n\n\n\n (d) ordonner aux entit\u00e9s concern\u00e9es de veiller \u00e0 ce que leurs mesures de gestion du risque de cybers\u00e9curit\u00e9 soient conformes \u00e0 l'article 21 ou de s'acquitter des obligations de d\u00e9claration pr\u00e9vues \u00e0 l'article 23, d'une mani\u00e8re et dans un d\u00e9lai d\u00e9termin\u00e9s ;<\/p>\n\n\n\n (e) ordonner aux entit\u00e9s concern\u00e9es d'informer les personnes physiques ou morales \u00e0 l'\u00e9gard desquelles elles fournissent des services ou exercent des activit\u00e9s susceptibles d'\u00eatre affect\u00e9es par une une cybermenace importanteMenace cybern\u00e9tique importante<\/span> d\u00e9signe une cybermenace dont on peut supposer, sur la base de ses caract\u00e9ristiques techniques, qu'elle est susceptible d'avoir une incidence grave sur le r\u00e9seau et les syst\u00e8mes d'information d'une entit\u00e9 ou sur les utilisateurs des services de l'entit\u00e9 en causant des dommages mat\u00e9riels ou immat\u00e9riels consid\u00e9rables ; - d\u00e9signe une cybermenace dont on peut supposer, sur la base de ses caract\u00e9ristiques techniques, qu'elle est susceptible de causer des dommages mat\u00e9riels ou immat\u00e9riels consid\u00e9rables. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> de la nature de la menace, ainsi que des \u00e9ventuelles mesures de protection ou de r\u00e9paration qui peuvent \u00eatre prises par ces personnes physiques ou morales en r\u00e9ponse \u00e0 cette menace ;<\/p>\n\n\n\n (f) ordonner aux entit\u00e9s concern\u00e9es de mettre en \u0153uvre les recommandations formul\u00e9es \u00e0 la suite d'un audit de s\u00e9curit\u00e9 dans un d\u00e9lai raisonnable ;<\/p>\n\n\n\n (g) d\u00e9signer un responsable du suivi, dont les t\u00e2ches sont bien d\u00e9finies et qui est charg\u00e9, pendant une p\u00e9riode d\u00e9termin\u00e9e, de veiller au respect des articles 21 et 23 par les entit\u00e9s concern\u00e9es ;<\/p>\n\n\n\n (h) ordonner aux entit\u00e9s concern\u00e9es de rendre publics les aspects des infractions \u00e0 la pr\u00e9sente directive selon des modalit\u00e9s d\u00e9termin\u00e9es ;<\/p>\n\n\n\n (i) infliger ou demander que soient inflig\u00e9es par les organes, cours ou tribunaux comp\u00e9tents, conform\u00e9ment au droit national, une amende administrative en vertu de l'article 34, en plus de toute mesure vis\u00e9e aux points a) \u00e0 h) du pr\u00e9sent paragraphe.<\/p>\n\n\n\n 5. Lorsque les mesures d'ex\u00e9cution adopt\u00e9es conform\u00e9ment au paragraphe 4, points a) \u00e0 d) et f), sont inefficaces, les \u00c9tats membres veillent \u00e0 ce que leurs autorit\u00e9s comp\u00e9tentes soient habilit\u00e9es \u00e0 fixer un d\u00e9lai dans lequel l'entit\u00e9 essentielle est invit\u00e9e \u00e0 prendre les mesures n\u00e9cessaires pour rem\u00e9dier aux lacunes ou se conformer aux exigences de ces autorit\u00e9s. Si les mesures demand\u00e9es ne sont pas prises dans le d\u00e9lai fix\u00e9, les \u00c9tats membres veillent \u00e0 ce que leurs autorit\u00e9s comp\u00e9tentes soient habilit\u00e9es \u00e0 :<\/p>\n\n\n\n (a) suspendre temporairement, ou demander \u00e0 un organisme de certification ou d'autorisation, ou \u00e0 une cour ou un tribunal, conform\u00e9ment au droit national, de suspendre temporairement une certification ou une autorisation concernant tout ou partie des services pertinents fournis ou des activit\u00e9s men\u00e9es par l'entit\u00e9 essentielle ;<\/p>\n\n\n\n