Source: OJ L 333, 27.12.2022, pp. 164–198

Article 21 Supervision et exécution

Summary What does Article 21 of the CER directive say?

This article establishes the supervisory and enforcement toolkit that competent authorities must have at their disposal to assess whether critical entities are meeting their obligations under the Directive.

It covers the full range of supervisory tools — from on-site inspections and audits to information-gathering powers and remediation orders — and sits closely alongside Article 22, which deals with penalties.

Notably, the article also has a clear cross-directive dimension, requiring competent authorities under this Directive to coordinate with their counterparts under Directive (EU) 2022/2555 (the NIS 2 Directive) whenever a compliance assessment is carried out, reflecting the broader effort to align physical and cybersecurity oversight.

All supervisory powers must be exercised subject to safeguards protecting the rights and legitimate interests of critical entities.

Important points:

Competent authorities are required to have powers to conduct on-site inspections, order audits, request evidence of resilience measure implementation, and issue remediation orders where infringements are identified.
Competent authorities must notify and cooperate with their NIS 2 counterparts whenever a compliance assessment is conducted, and can request those authorities to exercise their own supervisory powers.
Member States must ensure all supervisory powers are exercised in an objective, transparent, and proportionate manner, with critical entities retaining the right to be heard, the right of defence, and the right to an effective remedy before an independent court.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Afin d’évaluer le respect des obligations découlant de la présente directive par les entités qu’ils ont recensées en tant qu’entités critiques en vertu de l’article 6, paragraphe 1, de la présente directive, les États membres veillent à ce que les autorités compétentes disposent des pouvoirs et des moyens nécessaires pour:
  1. procéder à des inspections sur place de l’infrastructure critique et des locaux utilisés par l’entité critique pour fournir ses services essentiels et à la supervision à distance des mesures prises par les entités critiques conformément à l’article 13;
  2. effectuer ou ordonner des audits portant sur ces entités critiques.
1. Les États membres veillent à ce que les autorités compétentes disposent des pouvoirs et des moyens pour exiger que, lorsque l’exécution des tâches qui leur incombent en vertu de la présente directive le requiert, les entités en vertu de la directive (UE) 2022/2555 que les États membres ont recensées en tant qu’entités critiques en vertu de la présente directive fournissent, dans un délai raisonnable fixé par ces autorités:
  1. les informations nécessaires pour évaluer si les mesures prises par ces entités pour garantir leur résilience satisfont aux exigences énoncées à l’article 13;
  2. la preuve de la mise en œuvre effective de ces mesures, y compris les résultats d’un audit effectué par un auditeur indépendant et qualifié sélectionné par ladite entité et effectué à ses frais.
2. Lorsqu’elles requièrent ces informations, les autorités compétentes mentionnent la finalité de la demande et précisent les informations exigées.
1. Sans préjudice de la possibilité d’imposer des sanctions conformément à l’article 22, les autorités compétentes peuvent, à la suite des mesures de supervision visées au paragraphe 1 du présent article ou de l’évaluation des informations visées au paragraphe 2 du présent article, enjoindre aux entités critiques concernées de prendre les mesures nécessaires et proportionnées pour remédier à toute violation constatée de la présente directive, dans un délai raisonnable fixé par lesdites autorités, et de leur fournir des informations sur les mesures prises. Ces injonctions tiennent compte, notamment, de la gravité de la violation.
1. Les États membres veillent à ce que les pouvoirs prévus aux paragraphes 1, 2 et 3 ne puissent être exercés que sous réserve de garanties appropriées. Ces garanties font en sorte, en particulier, que les pouvoirs soient exercés de manière objective, transparente et proportionnée et que les droits et les intérêts légitimes des entités critiques concernées, tels que la protection des secrets commerciaux et d’affaires, soient dûment préservés, ce qui comprend le droit d’être entendu, les droits de la défense et le droit à un recours effectif devant une juridiction indépendante.
1. Les États membres veillent à ce que, lorsqu’une autorité compétente en vertu de la présente directive évalue le respect par une entité critique de ses obligations en vertu du présent article, ladite autorité compétente en informe les autorités compétentes des États membres concernés en vertu de la directive (UE) 2022/2555 À cette fin, les États membres veillent à ce que les autorités compétentes en vertu de la présente directive puissent demander aux autorités compétentes en vertu de la directive (UE) 2022/2555 d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité relevant de ladite directive qui a été désignée en tant qu’entité critique en vertu de la présente directive. À cette fin, les États membres veillent à ce que les autorités compétentes en vertu de la présente directive coopèrent et échangent des informations avec les autorités compétentes en vertu de la directive (UE) 2022/2555

Relevant recitals

Considérant 12 Confidentiality

Afin de ne pas compromettre la sécurité nationale ou la sécurité et les intérêts commerciaux des entités critiques, les informations sensibles devraient être consultées, échangées et traitées avec prudence et en accordant une attention particulière aux canaux de transmission et aux capacités de stockage utilisés.

Considérant 24 Relation to requirements and competent authorities under the NIS 2 directive

Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations sur les risques, menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et incidents non liés à la cybersécurité affectant les entités critiques, et sur les mesures pertinentes prises par les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2555 Il importe que les États membres veillent à ce que les exigences prévues par la présente directive et la directive (UE) 2022/2555 soient mises en œuvre de manière complémentaire et à ce que les entités critiques ne soient pas soumises à une charge administrative supérieure à ce qui est nécessaire pour atteindre les objectifs de la présente directive et de ladite directive.

Considérant 27 Relation to overlapping EU or national law in supervision

Lorsque des dispositions du droit de l’Union ou du droit national exigent que les entités critiques évaluent les risques pertinents aux fins de la présente directive et qu’elles prennent des mesures pour garantir leur propre résilience, ces exigences devraient être suffisamment prises en considération aux fins de surveiller le respect de la présente directive par les entités critiques.

Considérant 40 Powers of the competent authorities

Les États membres devraient veiller à ce que leurs autorités compétentes disposent de certains pouvoirs spécifiques pour assurer la bonne application et l’exécution de la présente directive à l’égard des entités critiques, lorsque ces entités relèvent de leur compétence comme il est précisé dans la présente directive. Ces pouvoirs devraient comprendre notamment le pouvoir d’effectuer des inspections et des audits, le pouvoir de superviser, le pouvoir d’exiger des entités critiques qu’elles fournissent des informations et des éléments de preuve concernant les mesures qu’elles ont prises pour respecter leurs obligations et, lorsque c’est nécessaire, le pouvoir d’adresser des injonctions afin qu’il soit remédié aux violations constatées. Lorsqu’ils adressent de telles injonctions, les États membres ne devraient pas exiger de mesures allant au-delà de ce qui est nécessaire et proportionné pour garantir le respect par l’entité critique concernée des obligations qui lui incombent, compte tenu, notamment, de la gravité de la violation et de la capacité économique de l’entité critique concernée. Plus généralement, ces pouvoirs devraient s’accompagner de garanties appropriées et effectives, devant être précisées dans le droit national conformément à la Charte des droits fondamentaux de l’Union européenne. Lorsqu’elles évaluent le respect par les entités critiques des obligations que leur impose la présente directive, les autorités compétentes en vertu de la présente directive devraient pouvoir demander aux autorités compétentes en vertu de la directive (UE) 2022/2555 d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité relevant de ladite directive qui a été désignée en tant qu’entité critique en vertu de la présente directive. Les autorités compétentes en vertu de la directive (UE) 2022/2555 devraient coopérer et échanger des informations à cette fin.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.