Article 33 Mesures de supervision et d’exécution en ce qui concerne les entités importantes

Summary What does Article 33 of the NIS 2 directive say?

This article sets out the supervisory and enforcement regime that applies specifically to important entities — as distinct from essential entities, which are governed by the stricter ex ante framework in Article 32.

Here, oversight is triggered reactively: competent authorities must act only when there is evidence, indication, or information suggesting non-compliance.

The article then details the range of supervisory tools available to competent authorities, from on-site inspections and security audits to information requests, as well as the enforcement powers they can deploy, including binding instructions, orders to cease infringing conduct, and administrative fines.

It also explicitly cross-references Article 32 to apply certain procedural safeguards from that article to this context, and establishes a cooperation obligation with authorities acting under the financial sector's DORA regulation where an important entity is also designated as a critical ICT third-party service provider.

Important points:

Competent authorities are required to act through ex post supervisory measures only — intervention is triggered by evidence or indication of non-compliance, not proactively.
Competent authorities are required to bear the costs of targeted security audits carried out by an independent body, unless they decide otherwise in duly substantiated cases — otherwise, those costs fall on the audited entity.
Competent authorities are required to notify the DORA Oversight Forum when exercising supervisory or enforcement powers over an important entity that is also designated as a critical ICT third-party service provider under Regulation (EU) 2022/2554.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Au vu d’éléments de preuve, d’indications ou d’informations selon lesquels une entité importante ne respecterait pas la présente directive, et notamment ses articles 21 et 23, les États membres veillent à ce que les autorités compétentes prennent des mesures, le cas échéant, dans le cadre de mesures de contrôle ex post. Les États membres veillent à ce que ces mesures soient effectives, proportionnées et dissuasives, compte tenu des circonstances propres à chaque cas d’espèce.
1. Les États membres veillent à ce que les autorités compétentes, lorsqu’elles accomplissent leurs tâches de supervision à l’égard d’entités importantes, aient le pouvoir de soumettre ces entités, au minimum, à:
  1. des inspections sur place et des contrôles à distance ex post, effectués par des professionnels formés;
  2. des audits de sécurité ciblés réalisés par un organisme indépendant ou une autorité compétente;
  3. des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité concernée;
  4. des demandes d’informations nécessaires à l’évaluation ex post des mesures de gestion des risques en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de cybersécurité consignées par écrit, ainsi que du respect de l’obligation de soumettre des informations aux autorités compétentes conformément à l’article 27;
  5. des demandes d’accès à des données, à des documents et à des informations nécessaires à l’accomplissement de leurs tâches de supervision;
  6. des demandes de preuves de la mise en œuvre de politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.
2. Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques effectuées par l’autorité compétente ou l’entité contrôlée, ou sur d’autres informations disponibles relatives aux risques.
3. Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l’autorité compétente. Les coûts de cet audit de sécurité ciblé effectué par un organisme indépendant sont à la charge de l’entité contrôlée, sauf lorsque l’autorité compétente en décide autrement dans des cas dûment motivés.
1. Lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, point d), e) ou f), les autorités compétentes mentionnent la finalité de la demande et précisent quelles sont les informations exigées.
1. Les États membres veillent à ce que les autorités compétentes, lorsqu’elles exercent leurs pouvoirs d’exécution à l’égard d’entités importantes, aient au minimum le pouvoir:
  1. d’émettre des avertissements concernant des violations de la présente directive par les entités concernées;
  2. d’adopter des instructions contraignantes ou une injonction exigeant des entités concernées qu’elles pallient les insuffisances constatées ou les violations de la présente directive;
  3. d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et de ne pas le réitérer;
  4. d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information prévues à l’article 23, de manière spécifique et dans un délai déterminé;
  5. d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace;
  6. d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable;
  7. d’ordonner aux entités concernées de rendre publics des aspects de violations de la présente directive de manière spécifique;
  8. d’imposer ou de demander aux organes compétents ou aux juridictions compétentes d’imposer, conformément au droit national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux points a) à g) du présent paragraphe.
1. L’article 32, paragraphes 6, 7 et 8, s’applique mutatis mutandis aux mesures de supervision et d’exécution prévues au présent article pour les entités importantes.
1. Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive coopèrent avec les autorités compétentes pertinentes de l’État membre concerné au titre du règlement (UE) 2022/2554. Les États membres veillent, en particulier, à ce que leurs autorités compétentes au titre de la présente directive informent le forum de supervision établi en vertu de l’article 32, paragraphe 1, du règlement (UE) 2022/2554 lorsqu’elles exercent leurs pouvoirs de supervision et d’exécution dans le but de garantir qu’une entité importante qui a été désignée comme étant un prestataire tiers critique de services TIC en vertu de l’article 31 du règlement (UE) 2022/2554 respecte la présente directive.

Relevant recitals

Considérant 122 Supervisory regimes for entities

Afin de renforcer les pouvoirs et mesures de supervision qui contribuent à assurer un respect effectif des règles, la présente directive devrait prévoir une liste minimale de mesures et de moyens de supervision par lesquels les autorités compétentes peuvent superviser les entités essentielles et importantes. En outre, la présente directive devrait établir une différenciation du régime de supervision entre les entités essentielles et les entités importantes en vue de garantir un juste équilibre des obligations qui incombent à ces entités et aux autorités compétentes. Ainsi, les entités essentielles devraient être soumises à un régime de supervision à part entière, ex ante et ex post, tandis que les entités importantes devraient pour leur part être soumises à un régime de supervision léger, uniquement ex post. Les entités importantes ne devraient donc pas être tenues de documenter systématiquement le respect des exigences en matière de gestion des risques de cybersécurité, tandis que les autorités compétentes devraient mettre en œuvre une approche réactive ex post de la supervision et, par conséquent, ne pas être assujetties à une obligation générale de supervision de ces entités. La supervision ex post des entités importantes peut être déclenchée par des éléments de preuve ou toute indication ou information portés à l’attention des autorités compétentes et considérés par ces autorités comme suggérant des violations potentielles de la présente directive. Par exemple, ces éléments de preuve, indications ou informations pourraient être du type fourni aux autorités compétentes par d’autres autorités, entités, citoyens, médias ou autres sources, ou des informations publiquement disponibles, ou pourraient résulter d’autres activités menées par les autorités compétentes dans l’accomplissement de leurs tâches.

Considérant 123 Careful execution of supervisory activities

L’exécution de tâches de supervision par les autorités compétentes ne devrait pas entraver inutilement les activités économiques de l’entité concernée. Lorsque les autorités compétentes exécutent leurs tâches de supervision à l’égard d’entités essentielles, y compris la conduite d’inspections sur place et de contrôles hors site, les enquêtes sur les violations de la présente directive et la réalisation d’audits de sécurité ou d’analyses de sécurité, elles devraient réduire autant que possible l’impact sur les activités économiques de l’entité concernée.

Considérant 124 Prioritisation of the use of supervisory measures

Lorsqu’elles exercent une supervision ex ante, les autorités compétentes devraient être en mesure de fixer les priorités en ce qui concerne le recours proportionné aux mesures et moyens de supervision dont elles disposent. Cela signifie que les autorités compétentes peuvent fixer ces priorités sur la base de méthodes de supervision qui devraient suivre une approche basée sur les risques. Plus précisément, ces méthodes pourraient inclure des critères ou des valeurs de référence pour le classement des entités essentielles en catégories de risque, et les mesures et moyens de supervision correspondants recommandés par catégorie de risque, tels que l’utilisation, la fréquence ou les types d’inspections sur place, d’audits de sécurité ciblés ou de scans de sécurité, le type d’informations à demander et le niveau de détail de ces informations. Ces méthodes de supervision pourraient également être accompagnées de programmes de travail et faire l’objet d’une évaluation et d’un réexamen réguliers, y compris sur des aspects tels que l’affectation des ressources et les besoins de ressources. En ce qui concerne les entités de l’administration publique, les pouvoirs de supervision devraient être exercés conformément aux cadres législatif et institutionnel nationaux.

Considérant 125 Objective and professional execution of supervisory measures

Les autorités compétentes devraient veiller à ce que leurs tâches de supervision concernant les entités essentielles et importantes soient exercées par des professionnels formés, qui devraient avoir les compétences nécessaires à l’exécution de ces tâches, notamment en ce qui concerne la réalisation d’inspections sur place et les contrôles hors site, y compris l’identification des faiblesses dans les bases de données, le matériel, les pare-feux, le chiffrement et les réseaux. Ces inspections et contrôles devraient être effectués de manière objective.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.