Article 31 Aspects généraux concernant la supervision et l’exécution

Summary What does Article 31 of the NIS 2 directive say?

This article serves as the overarching introduction to the supervision and enforcement chapter of the Directive, setting the general framework before the more detailed rules for essential and important entities are laid out in Articles 32 and 33.

It establishes that Member States are responsible for ensuring their competent authorities actively supervise compliance, and introduces the concept of a risk-based approach to prioritising supervisory tasks.

The article also addresses two important cross-cutting relationships: the need for competent authorities to coordinate with data protection supervisory authorities when incidents involve personal data breaches, and the specific requirement that competent authorities maintain operational independence when supervising public administration entities.

Important points:

Competent authorities are required to effectively supervise compliance with the Directive, and may adopt risk-based methodologies to prioritise their supervisory tasks.
Competent authorities must work in close cooperation with data protection supervisory authorities under Regulation (EU) 2016/679 when incidents result in personal data breaches.
When supervising public administration entities, competent authorities must have operational independence from those entities, though the specific enforcement measures available remain subject to national legislative and institutional frameworks.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les États membres veillent à ce que leurs autorités compétentes procèdent à une supervision efficace et prennent les mesures nécessaires pour assurer le respect de la présente directive.
1. Les États membres peuvent autoriser leurs autorités compétentes à fixer des priorités en ce qui concerne les tâches de supervision. La définition de ces priorités suit une approche basée sur les risques. À cet effet, lorsqu’elles accomplissent leurs tâches de supervision prévues aux articles 32 et 33, les autorités compétentes peuvent mettre au point des méthodes de supervision permettant de fixer des priorités concernant ces tâches selon une approche basée sur les risques.
1. Lorsqu’elles traitent des incidents donnant lieu à des violations de données à caractère personnel, les autorités compétentes coopèrent étroitement avec les autorités de contrôle en vertu du règlement (UE) 2016/679, sans préjudice de la compétence et des missions des autorités de contrôle.
1. Sans préjudice des cadres législatifs et institutionnels nationaux, les États membres veillent à ce que, dans le cadre de la supervision du respect de la présente directive par les entités de l’administration publique et de l’imposition d’éventuelles mesures d’exécution en cas de violation de la présente directive, les autorités compétentes disposent de pouvoirs appropriés pour mener à bien ces tâches en jouissant d’une indépendance opérationnelle vis-à-vis des entités de l’administration publique supervisées. Les États membres peuvent décider d’imposer des mesures de supervision et d’exécution appropriées, proportionnées et efficaces à l’égard de ces entités, conformément aux cadres législatifs et institutionnels nationaux.

Relevant recitals

Considérant 94 Supervision of trust service providers

Les États membres peuvent confier le rôle des autorités compétentes pour les services de confiance aux organes de contrôle désignés en vertu du règlement (UE) n^o 910/2014 afin d’assurer le maintien des pratiques actuelles et de tirer parti des connaissances et de l’expérience acquises dans le cadre de l’application dudit règlement. En pareil cas, les autorités compétentes en vertu de la présente directive devraient coopérer étroitement et en temps utile avec ces organes de contrôle, en échangeant les informations pertinentes afin de garantir une supervision efficace et le respect, par les prestataires de services de confiance, des exigences énoncées dans la présente directive et dans le règlement (UE) n^o 910/2014. Le cas échéant, le CSIRT ou l’autorité compétente en vertu de la présente directive devrait informer immédiatement l’organe de contrôle désigné en vertu du règlement (UE) n^o 910/2014 de toute cybermenace ou incident important notifié dans le domaine de la cybersécurité affectant les services de confiance, ainsi que de toute violation de la présente directive par un prestataire de services de confiance. Aux fins de la notification, les États membres peuvent utiliser, le cas échéant, le point d’entrée unique mis en place pour effectuer une notification commune et automatique à la fois à l’organe de contrôle désigné en vertu du règlement (UE) n^o 910/2014 et au CSIRT ou à l’autorité compétente en vertu de la présente directive.

Considérant 108 Cooperation with supervisory authorities under GDPR

Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d’incidents. Dans de telles circonstances, les autorités compétentes devraient coopérer et échanger des informations sur tous les aspects pertinents avec les autorités visées dans le règlement (UE) 2016/679 et la directive 2002/58/CE.

Considérant 122 Supervisory regimes for entities

Afin de renforcer les pouvoirs et mesures de supervision qui contribuent à assurer un respect effectif des règles, la présente directive devrait prévoir une liste minimale de mesures et de moyens de supervision par lesquels les autorités compétentes peuvent superviser les entités essentielles et importantes. En outre, la présente directive devrait établir une différenciation du régime de supervision entre les entités essentielles et les entités importantes en vue de garantir un juste équilibre des obligations qui incombent à ces entités et aux autorités compétentes. Ainsi, les entités essentielles devraient être soumises à un régime de supervision à part entière, ex ante et ex post, tandis que les entités importantes devraient pour leur part être soumises à un régime de supervision léger, uniquement ex post. Les entités importantes ne devraient donc pas être tenues de documenter systématiquement le respect des exigences en matière de gestion des risques de cybersécurité, tandis que les autorités compétentes devraient mettre en œuvre une approche réactive ex post de la supervision et, par conséquent, ne pas être assujetties à une obligation générale de supervision de ces entités. La supervision ex post des entités importantes peut être déclenchée par des éléments de preuve ou toute indication ou information portés à l’attention des autorités compétentes et considérés par ces autorités comme suggérant des violations potentielles de la présente directive. Par exemple, ces éléments de preuve, indications ou informations pourraient être du type fourni aux autorités compétentes par d’autres autorités, entités, citoyens, médias ou autres sources, ou des informations publiquement disponibles, ou pourraient résulter d’autres activités menées par les autorités compétentes dans l’accomplissement de leurs tâches.

Considérant 123 Careful execution of supervisory activities

L’exécution de tâches de supervision par les autorités compétentes ne devrait pas entraver inutilement les activités économiques de l’entité concernée. Lorsque les autorités compétentes exécutent leurs tâches de supervision à l’égard d’entités essentielles, y compris la conduite d’inspections sur place et de contrôles hors site, les enquêtes sur les violations de la présente directive et la réalisation d’audits de sécurité ou d’analyses de sécurité, elles devraient réduire autant que possible l’impact sur les activités économiques de l’entité concernée.

Considérant 124 Prioritisation of the use of supervisory measures

Lorsqu’elles exercent une supervision ex ante, les autorités compétentes devraient être en mesure de fixer les priorités en ce qui concerne le recours proportionné aux mesures et moyens de supervision dont elles disposent. Cela signifie que les autorités compétentes peuvent fixer ces priorités sur la base de méthodes de supervision qui devraient suivre une approche basée sur les risques. Plus précisément, ces méthodes pourraient inclure des critères ou des valeurs de référence pour le classement des entités essentielles en catégories de risque, et les mesures et moyens de supervision correspondants recommandés par catégorie de risque, tels que l’utilisation, la fréquence ou les types d’inspections sur place, d’audits de sécurité ciblés ou de scans de sécurité, le type d’informations à demander et le niveau de détail de ces informations. Ces méthodes de supervision pourraient également être accompagnées de programmes de travail et faire l’objet d’une évaluation et d’un réexamen réguliers, y compris sur des aspects tels que l’affectation des ressources et les besoins de ressources. En ce qui concerne les entités de l’administration publique, les pouvoirs de supervision devraient être exercés conformément aux cadres législatif et institutionnel nationaux.

Considérant 125 Objective and professional execution of supervisory measures

Les autorités compétentes devraient veiller à ce que leurs tâches de supervision concernant les entités essentielles et importantes soient exercées par des professionnels formés, qui devraient avoir les compétences nécessaires à l’exécution de ces tâches, notamment en ce qui concerne la réalisation d’inspections sur place et les contrôles hors site, y compris l’identification des faiblesses dans les bases de données, le matériel, les pare-feux, le chiffrement et les réseaux. Ces inspections et contrôles devraient être effectués de manière objective.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.