Source: OJ L 333, 27.12.2022, p. 80–152Current language: SV
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Artikel 34 Allmänna villkor för påförande av administrativa sanktionsavgifter för väsentliga och viktiga entiteter
Summary What does Article 34 of the NIS 2 directive say?
This article sets out the administrative fines regime for both essential and important entities that breach their obligations under the Directive.
It directly builds on Articles 32 and 33, which govern supervisory and enforcement powers, by establishing that fines are an additional tool on top of those existing measures.
The article draws a clear distinction between the two categories of entity, setting higher fine thresholds for essential entities than for important ones.
It also includes flexibility for Member States whose legal systems do not natively provide for administrative fines, allowing courts or tribunals to impose them instead, and leaves it to each Member State to determine whether and how fines apply to public administration entities.
Important points:
- Essential entities face fines of up to at least EUR 10,000,000 or at least 2% of total worldwide annual turnover, whichever is higher, for breaching the cybersecurity risk-management or incident reporting obligations.
- Important entities face a lower threshold of up to at least EUR 7,000,000 or at least 1.4% of total worldwide annual turnover, whichever is higher, for the same categories of breach.
- Administrative fines are imposed in addition to, not instead of, the other enforcement measures available under Articles 32 and 33.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Medlemsstaterna ska säkerställa att de administrativa sanktionsavgifter som påförs väsentliga och viktiga entiteter enligt denna artikel för överträdelser av detta direktiv är effektiva, proportionella och avskräckande, med beaktande av omständigheterna i varje enskilt fall.
Administrativa sanktionsavgifter ska påföras utöver någon av de åtgärder som avses i artikel 32.4 a–h, artikel 32.5 och artikel 33.4 a–g.
När beslut fattas om huruvida administrativa sanktionsavgifter ska påföras och om avgiftsbeloppet i varje enskilt fall, ska vederbörlig hänsyn tas till åtminstone de faktorer som anges i artikel 32.7.
Medlemsstaterna ska säkerställa att väsentliga entiteter som överträder artikel 21 eller 23, i enlighet med punkterna 2 och 3 i den här artikeln påförs administrativa sanktionsavgifter på högst 10 000 000 EUR eller högst 2 % av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den väsentliga entiteten tillhör, beroende på vilken siffra som är högst.
Medlemsstaterna ska säkerställa att viktiga entiteter som överträder artikel 21 eller 23, i enlighet med punkterna 2 och 3 i den här artikeln påförs administrativa sanktionsavgifter på högst 7 000 000 EUR eller högst 1,4 % av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den viktiga entiteten tillhör, beroende på vilken siffra som är högst.
Medlemsstaterna får föreskriva befogenhet att förelägga viten för att tvinga en väsentlig eller viktig entitet att upphöra med en överträdelse av detta direktiv i enlighet med ett föregående beslut av den behöriga myndigheten.
Utan att det påverkar behöriga myndigheters befogenheter enligt artiklarna 32 och 33 får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga förvaltningsentiteter som omfattas av de skyldigheter som fastställs i detta direktiv.
Om administrativa sanktionsavgifter inte föreskrivs i en medlemsstats rättssystem ska den medlemsstaten säkerställa att denna artikel tillämpas på ett sådant sätt att förfarandet inleds av den behöriga myndigheten och sanktionsavgifterna sedan påförs av behöriga nationella domstolar, varvid det säkerställs att dessa rättsmedel är effektiva och har samma verkan som de administrativa sanktionsavgifter som påförs av de behöriga myndigheterna. De påförda sanktionsavgifterna ska i alla händelser vara effektiva, proportionella och avskräckande. Medlemsstaten ska underrätta kommissionen om bestämmelserna i de lagar som den antar i enlighet med denna punkt senast den 17 oktober 2024 och, utan dröjsmål, om eventuella senare ändringslagstiftning eller ändringar som berör dem.
Relevant recitals
Skäl 126 Immediate enforcement decisions
I vederbörligen motiverade fall bör den behöriga myndigheten, när den fått kännedom om ett betydande cyberhot eller en överhängande risk, kunna fatta omedelbara beslut om efterlevnadskontroll i syfte att förhindra eller reagera på en incident.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
risk
Definition
cyberhot
(En. cyber threat)
Definition
entitet
(En. entity)
Definition
betydande cyberhot
(En. significant cyber threat)
Definition
incident
Definition
nätverks- och informationssystem
(En. network and information system)
- Ett elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.
- En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.
- Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.