13 mars 2023
Abordons dans cet article l’un des aspects des plus importants de la Directive pour les États membres. Quels sont les mécanismes d’application qui visent à garantir le respect effectif des règles, ainsi que les sanctions en cas de violation de celles-ci.
Quels sont les contrôles et pouvoirs des autorités ?
Les États membres doivent veiller à exercer un contrôle efficace pour garantir le respect des exigences de la directive NIS2. En ce qui concerne les entités essentielles, cela implique un contrôle proactif. En revanche, les entités importantes sont soumises à un contrôle à postériori, qui peut être déclenchée par des preuves ou des informations selon lesquelles l’entité ne se conformerait pas à la directive. Les mesures prises par les autorités compétentes doivent être efficaces, proportionnées et dissuasives. Pour les deux types d’entités, les organismes compétents auront le pouvoir de les soumettre à :
- Des inspections sur site,
- Des audits menés par des professionnels qualifiés,
- Des demandes d’accès aux données, documents et informations,
- Des justificatifs de la mise en œuvre des politiques de cybersécurité
Des contrôles aléatoires viennent compléter la liste, ainsi que des audits ad hoc dans le cas d’entités essentielles. Sauf dans des cas dûment justifiés, les entités auditées devront supporter les coûts des audits de sécurité. Si une infraction est découverte, les autorités compétentes peuvent exercer d’autres pouvoirs de mise en conformité :
- L’émission d’avertissements
- L’injonction aux entités de cesser de mener des activités contraires à la directive
- L’injonction aux entités d’informer les personnes physiques ou morales susceptibles d’être affectées par le comportement fautif,
- De rendre l’information publique.
Si ces mesures ne permettent pas de remédier à la situation, les autorités compétentes peuvent suspendre temporairement les activités de l’entité et le dirigeant de l’organisme qui exerce des responsabilités à un niveau de directeur général ou de représentant légal.
L’éventail des sanctions disponibles
La directive NIS2 établit un cadre cohérent pour les sanctions dans l’ensemble de l’Union, en dressant une liste minimale de sanctions administratives en cas de manquement aux obligations de gestion et de déclaration des risques de cybersécurité. Ces sanctions comprennent des injonctions contraignantes à la mise en œuvre des recommandations, de réalisation d’audit de sécurité, et de mise en conformité avec les exigences de la directive NIS2, dans les cas les plus graves, des amendes administratives.
Concernant les sanctions administratives, la nouvelle directive NIS2 établit une distinction entre les entités essentielles et les entités importantes.
Les États membres vont donner aux autorités compétentes la possibilité d’imposer des amendes considérables. Pour les entités essentielles, la directive NIS2 exige que les États membres établi des paliers d’amendes administratives, notamment d’un maximum d’au moins 10 000 000 € ou de 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, comme étant le montant le plus élevé retenu. Pour les entités importantes, la directive NIS2 exige que les États membres prévoient des amendes maximales d’au moins 7 000 000 € ou d’au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, ceci étant le montant le plus élevé retenu.
Les organes de direction des entités essentielles et importantes peuvent également être tenus pour responsables du non-respect des dispositions de la directive NIS2. Si votre organisation est une entité couverte, et qu’elle ne parvient pas à créer et maintenir un niveau de sécurité suffisant, des amendes et des sanctions seront infligées pour non-respect des mesures de gestion des risques ou des obligations de signalement. Ainsi et pour assurer la responsabilité des mesures de cybersécurité au niveau organisationnel, la nouvelle directive NIS2 introduit des dispositions sur la responsabilité des personnes physiques occupant des postes de direction dans les entités relevant de son champ d’application.
Dans l’exercice de leurs pouvoirs de mise en application, les autorités compétentes doivent tenir compte des circonstances particulières de chaque cas, telles que la nature, la gravité et la durée de l’infraction, les dommages causés ou les pertes subies, et le caractère intentionnel ou négligent de l’infraction.