Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 34 Conditions générales pour imposer des amendes administratives à des entités essentielles et importantes
Summary What does Article 34 of the NIS 2 directive say?
This article sets out the administrative fines regime for both essential and important entities that breach their obligations under the Directive.
It directly builds on Articles 32 and 33, which govern supervisory and enforcement powers, by establishing that fines are an additional tool on top of those existing measures.
The article draws a clear distinction between the two categories of entity, setting higher fine thresholds for essential entities than for important ones.
It also includes flexibility for Member States whose legal systems do not natively provide for administrative fines, allowing courts or tribunals to impose them instead, and leaves it to each Member State to determine whether and how fines apply to public administration entities.
Important points:
- Essential entities face fines of up to at least EUR 10,000,000 or at least 2% of total worldwide annual turnover, whichever is higher, for breaching the cybersecurity risk-management or incident reporting obligations.
- Important entities face a lower threshold of up to at least EUR 7,000,000 or at least 1.4% of total worldwide annual turnover, whichever is higher, for the same categories of breach.
- Administrative fines are imposed in addition to, not instead of, the other enforcement measures available under Articles 32 and 33.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les États membres veillent à ce que les amendes administratives imposées aux entités essentielles et importantes en vertu du présent article pour des violations de la présente directive soient effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas.
Les amendes administratives sont imposées en complément de l’une ou l’autre des mesures visées à l’article 32, paragraphe 4, points a) à h), à l’article 32, paragraphe 5, et à l’article 33, paragraphe 4, points a) à g).
Au moment de décider s’il y a lieu d’imposer une amende administrative et de décider de son montant, dans chaque cas d’espèce, il est dûment tenu compte, au minimum, des éléments prévus à l’article 32, paragraphe 7.
Les États membres veillent à ce que, lorsqu’elles violent l’article 21 ou 23, les entités essentielles soient soumises, conformément aux paragraphes 2 et 3 du présent article, à des amendes administratives d’un montant maximal s’élevant à au moins 10 000 000 EUR ou à au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu.
Les États membres veillent à ce que, lorsqu’elles violent l’article 21 ou 23, les entités importantes soient soumises, conformément aux paragraphes 2 et 3 du présent article, à des amendes administratives d’un montant maximal s’élevant à au moins 7 000 000 EUR ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu.
Les États membres peuvent prévoir le pouvoir d’imposer des astreintes pour contraindre une entité essentielle ou importante à mettre un terme à une violation de la présente directive conformément à une décision préalable de l’autorité compétente.
Sans préjudice des pouvoirs des autorités compétentes en vertu des articles 32 et 33, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des entités de l’administration publique.
Si le système juridique d’un État membre ne prévoit pas d’amendes administratives, cet État membre veille à ce que le présent article soit appliqué de telle sorte que l’amende soit déterminée par l’autorité compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soit effectives et aient un effet équivalent aux amendes administratives imposées par les autorités compétentes. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives. L’État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du présent paragraphe au plus tard le 17 octobre 2024 et, sans tarder, toute disposition légale modificative ou modification ultérieure les concernant.
Relevant recitals
Considérant 126 Immediate enforcement decisions
Dans les cas dûment motivés où elle a connaissance d’une cybermenace importante ou d’un risque imminent, l’autorité compétente devrait être en mesure de prendre des décisions d’exécution immédiates dans le but de prévenir un incident ou d’y réagir.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
risque
(En. risk)
Definition
cybermenace importante
(En. significant cyber threat)
Definition
incident
Definition
entité
(En. entity)
Definition
cybermenace
(En. cyber threat)