Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 36 Sanctions
Summary What does Article 36 of the NIS 2 directive say?
This is a brief but important enforcement article that places an obligation on Member States to establish penalty frameworks for breaches of national measures implementing this Directive.
It sits alongside the more detailed Articles 32, 33, and 34, which deal with supervisory powers and administrative fines for specific entity types.
Article 36 acts as the overarching penalty mandate, ensuring that Member States have rules in place and that those rules meet a baseline standard.
Important points:
- Member States must establish rules on penalties for infringements of national implementing measures, ensuring those penalties are effective, proportionate and dissuasive.
- Member States are required to notify the Commission of their penalty rules and implementing measures by 17 January 2025.
- Member States must also notify the Commission without delay of any subsequent amendments to those rules or measures.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres informent la Commission, au plus tard le 17 janvier 2025, des règles et mesures adoptées à cet égard, ainsi que, sans retard, de toute modification qui y serait apportée ultérieurement.
Relevant recitals
Considérant 127 Consistent framework for enforcement powers
Afin de rendre l’exécution effective, il convient d’établir une liste minimale des pouvoirs d’exécution pouvant être exercés pour violation des mesures de gestion des risques en matière de cybersécurité et des obligations d’information prévues par la présente directive, en établissant un cadre clair et cohérent pour l’exécution dans toute l’Union. Il convient de tenir dûment compte de la nature, de la gravité et de la durée de la violation de la présente directive, du dommage matériel, corporel ou moral causé, du fait que la violation ait été commise intentionnellement ou par négligence, des mesures prises pour prévenir ou atténuer le dommage matériel, corporel ou moral subi, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l’autorité compétente et de toute autre circonstance aggravante ou atténuante. Les mesures d’exécution, y compris les amendes administratives, devraient être proportionnées et leur imposition soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»), y compris le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense.
Considérant 128 No requirement for criminal or civil liabilities
La présente directive n’impose pas aux États membres de prévoir une responsabilité pénale ou civile à l’égard des personnes physiques chargées de veiller à ce qu’une entité se conforme à la présente directive pour les dommages subis par des tiers du fait d’une violation de la présente directive.
Considérant 129 Administrative fines
Afin de garantir une exécution efficace des obligations prévues par la présente directive, chaque autorité compétente devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives.
Considérant 130 Administrative fines for undertakings, persons and public authorities
Lorsqu’une amende administrative est imposée à une entité essentielle ou importante qui est une entreprise, le terme «entreprise» devrait, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsqu’une amende administrative est imposée à une personne qui n’est pas une entreprise, l’autorité compétente devrait tenir compte, lorsqu’elle examine quel serait le montant approprié de l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives. L’imposition d’une amende administrative n’affecte pas l’exercice d’autres pouvoirs des autorités compétentes ou l’imposition d’autres sanctions prévues dans les dispositions nationales transposant la présente directive.
Considérant 131 Criminal penalties
Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violations des dispositions nationales transposant la présente directive. Toutefois, l’imposition de sanctions pénales en cas de violation de ces dispositions nationales et l’imposition de sanctions administratives connexes ne devraient pas entraîner la violation du principe non bis in idem tel qu’il a été interprété par la Cour de justice de l’Union européenne.
Considérant 132 National systems for administrative and criminal penalties
Lorsque la présente directive n’harmonise pas les sanctions administratives ou, si nécessaire dans d’autres circonstances, par exemple en cas de violation grave de la présente directive, les États membres devraient mettre en œuvre un système qui prévoit des sanctions effectives, proportionnées et dissuasives. La nature de ces sanctions et le fait qu’elles soient pénales ou administratives devraient être déterminés par le droit national.
Considérant 133 Temporary suspensions and prohibitions
Afin de renforcer encore l’efficacité et le caractère dissuasif des mesures d’exécution applicables aux violations de la présente directive, les autorités compétentes devraient être habilitées à suspendre temporairement ou à demander la suspension temporaire d’une certification ou d’une autorisation concernant tout ou partie des services concernés fournis ou des activités menées par une entité essentielle et à demander l’imposition d’une interdiction temporaire de l’exercice de fonctions de direction par une personne physique à un niveau de directeur général ou de représentant légal. Compte tenu de leur gravité et de leur effet sur les activités des entités et, en définitive, sur les utilisateurs, ces suspensions ou interdictions temporaires ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances de chaque cas, y compris le fait que la violation ait été commise intentionnellement ou par négligence, et toute action entreprise pour prévenir ou atténuer le dommage matériel, corporel ou moral. Ces suspensions ou interdictions temporaires ne devraient être appliquées qu’en dernier recours, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle l’entité concernée prend les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces suspensions ou interdictions temporaires ont été appliquées. L’imposition de ces suspensions ou interdictions temporaires devrait être soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la Charte, y compris le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
entité fournissant des services d’enregistrement de noms de domaine
(En. entity providing domain name registration services)
Definition
risque
(En. risk)
Definition
fournisseur de services gérés
(En. managed service provider)
Definition
moteur de recherche en ligne
(En. online search engine)
Definition
fournisseur de services de sécurité gérés
(En. managed security service provider)
Definition
plateforme de services de réseaux sociaux
(En. social networking services platform)
Definition
cybersécurité
(En. cybersecurity)
Definition
service numérique
(En. digital service)
Definition
fournisseur de services DNS
(En. DNS service provider)
- des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; ou
- des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;
Definition
service de centre de données
(En. data centre service)
Definition
incident
Definition
réseau de diffusion de contenu
(En. content delivery network)
Definition
entité
(En. entity)
Definition
représentant
(En. representative)
Definition
place de marché en ligne
(En. online marketplace)
Definition
registre de noms de domaine de premier niveau
(En. top-level domain name registry)