ISGroup Conseil en Cybersécurité

Quelles sont les conséquences pour les entités qui ne respectent pas la directive NIS2 ?

La directive NIS2 établit une série de conséquences pour les entités « essentielles » et « importantes » qui ne respectent pas ses dispositions. Ces conséquences sont conçues pour garantir une application efficace et servir de moyen de dissuasion contre le non-respect de la réglementation. La gravité des conséquences peut varier en fonction de plusieurs facteurs, notamment la nature et la gravité de l’infraction, la taille de l’entité et les obligations spécifiques violées. Pour comprendre comment structurer un parcours de conformité à la NIS2 avant que les autorités n’interviennent, il est utile de connaître en détail le cadre des sanctions.

[Callforaction-NIS2]

Voici un aperçu :

Principes généraux d’application

  • Efficacité, proportionnalité et caractère dissuasif : Le principe général pour toutes les mesures d’application prévues par la directive NIS2 est qu’elles doivent être « efficaces, proportionnées et dissuasives », en tenant compte des circonstances spécifiques de chaque cas. Ce principe souligne une approche fondée sur le risque, où la sévérité des conséquences est proportionnelle à l’impact potentiel de l’infraction.
  • Régimes de supervision différenciés : La directive établit des régimes de supervision distincts pour les entités essentielles et importantes, reconnaissant les différents rôles et profils de risque. Les entités essentielles, en raison de leur importance systémique, sont généralement soumises à une supervision plus rigoureuse et à des sanctions potentiellement plus sévères que les entités importantes.

Mesures d’application spécifiques

La directive NIS2 confère aux autorités compétentes le pouvoir d’imposer une série de mesures à l’encontre des entités non conformes. Ces mesures peuvent être appliquées de manière cumulative ou indépendante, selon le contexte.

1. Sanctions administratives :

  • Instructions contraignantes : Les autorités peuvent émettre des instructions contraignantes pour rectifier les lacunes identifiées ou pour remédier aux violations de la directive. Ces instructions fournissent des indications spécifiques à l’entité non conforme, en décrivant les étapes nécessaires pour atteindre la conformité.
  • Recommandations d’audit de sécurité : Les autorités peuvent obliger les entités à mettre en œuvre les recommandations fournies à la suite d’un audit de sécurité dans un délai raisonnable. Cela garantit que les vulnérabilités et les lacunes de sécurité identifiées sont correctement traitées.
  • Alignement sur les exigences NIS : Les autorités compétentes peuvent contraindre les entités à mettre leurs mesures de sécurité en conformité avec les exigences de la directive NIS2 selon des modalités et dans un délai spécifiés. Cette disposition souligne le caractère obligatoire des normes de sécurité prévues par la directive.
  • Divulgation publique des violations : Dans certains cas, les autorités peuvent exiger des entités qu’elles divulguent publiquement certains aspects de leurs violations de manière spécifique. La divulgation publique vise à accroître la transparence et la responsabilité des pratiques de cybersécurité.

2. Sanctions pécuniaires :

  • Sanctions financières : La directive NIS2 introduit un système de sanctions administratives pour les violations des obligations de gestion des risques et de signalement des incidents. La directive fixe un seuil minimal pour ces sanctions, différencié pour les entités essentielles et importantes.
    • Entités essentielles : Elles peuvent être soumises à une amende maximale d’au moins 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
    • Entités importantes : Elles peuvent être soumises à une amende maximale d’au moins 7 000 000 € ou 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
  • Astreintes : Les États membres peuvent mettre en œuvre un système d’astreintes pour contraindre les entités essentielles ou importantes à mettre fin à des violations en cours suite à une décision préalable de l’autorité compétente. Cette disposition encourage une action rapide pour traiter et rectifier les non-conformités.

3. Mesures d’application supplémentaires pour les entités essentielles :

Reconnaissant le rôle critique des entités essentielles, la directive NIS2 confère aux autorités compétentes des outils d’application supplémentaires spécifiquement applicables à ces entités lorsque les autres mesures s’avèrent insuffisantes.

  • Suspension temporaire de certificat/autorisation : Les autorités peuvent suspendre temporairement ou exiger la suspension d’un certificat ou d’une autorisation relative aux services ou aux activités de l’entité essentielle. Cette mesure affecte directement la capacité de l’entité à fonctionner et à fournir des services.
  • Interdiction temporaire pour la haute direction : Les autorités peuvent exiger une interdiction temporaire, empêchant les personnes occupant des postes de direction de haut niveau d’exercer leurs fonctions au sein de l’entité essentielle. Cette mesure vise à garantir la responsabilité individuelle en cas de non-respect de la réglementation aux plus hauts niveaux organisationnels.

4. Facteurs pris en compte pour l’application des sanctions :

Pour déterminer les mesures d’application appropriées, en particulier les sanctions administratives, les autorités compétentes doivent tenir compte des circonstances spécifiques de chaque cas. Les facteurs pris en considération incluent :

  • Gravité, durée et intentionnalité de la violation : Les violations plus graves ou délibérées entraîneront des conséquences plus sévères.
  • Dommages causés/pertes subies : L’impact financier, économique ou opérationnel résultant de la non-conformité est pris en compte.
  • Nombre d’utilisateurs concernés : Les violations affectant un nombre important d’utilisateurs peuvent entraîner des sanctions plus élevées.
  • Violations précédentes : Un antécédent de non-conformité peut conduire à des mesures de sanction plus sévères.
  • Niveau de coopération : Les entités qui font preuve d’une approche collaborative et proactive dans la résolution des violations peuvent bénéficier d’un traitement plus clément.

Aspects juridictionnels de l’application

La détermination de la juridiction responsable de l’application de la directive NIS2 dépend du type spécifique d’entité concernée. Pour approfondir la manière dont l’Italie a transposé ces obligations et quels sujets entrent dans le périmètre, il est utile de consulter les indications de l’ACN sur la liste des sujets NIS2 et les délais de conformité.

  • Établissement comme règle générale : Pour la plupart des entités essentielles et importantes, la juridiction réside généralement dans l’État membre où elles sont établies. Si une entité opère dans plusieurs États membres, chacun d’eux détient la juridiction et doit coopérer dans les activités de supervision.
  • Exceptions basées sur la prestation de services ou l’emplacement principal : Cependant, il existe des exceptions pour certaines entités dont les opérations sont intrinsèquement transfrontalières :
    • Fournisseurs de réseaux et de services de communications électroniques publics : Ils relèvent de la juridiction de l’État membre dans lequel ils fournissent leurs services.
    • Fournisseurs de services de système de noms de domaine, registres de TLD, fournisseurs de cloud computing, fournisseurs de centres de données, fournisseurs de réseaux de diffusion de contenu (CDN), fournisseurs de services gérés, fournisseurs de services de sécurité gérés, places de marché en ligne, moteurs de recherche et plateformes de réseaux sociaux : Ils sont soumis à la juridiction de l’État membre où se trouve leur établissement principal au sein de l’UE. Cette disposition vise à prévenir la fragmentation réglementaire pour les entités opérant au niveau transfrontalier.

Sanctions pour violation des mesures de mise en œuvre nationales

La directive NIS2 exige que les États membres établissent leurs propres règles nationales concernant les sanctions pour les violations des mesures nationales adoptées pour mettre en œuvre la directive. Ces sanctions doivent adhérer aux mêmes principes d’efficacité, de proportionnalité et de caractère dissuasif qui régissent les mécanismes d’application de la directive.

Collaboration avec d’autres cadres réglementaires

La directive NIS2 souligne la collaboration et le partage d’informations entre les autorités compétentes responsables de son application et d’autres organismes de réglementation pertinents, tant au niveau national qu’au niveau de l’UE. Pour une compréhension plus large du contexte réglementaire, il est utile de partir de l’objectif principal de la directive NIS2 et de la manière dont elle s’inscrit dans le cadre européen de cybersécurité.

Questions fréquentes sur les conséquences du non-respect de la NIS2

  • Quelle est la différence concrète entre les sanctions pour les entités essentielles et celles pour les entités importantes ?
  • Les entités essentielles peuvent être sanctionnées jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, tandis que pour les entités importantes, le maximum descend à 7 millions d’euros ou 1,4 % du chiffre d’affaires. Outre le montant, les entités essentielles sont exposées à des mesures supplémentaires telles que la suspension temporaire de certificats ou d’autorisations et l’interdiction temporaire pour la haute direction, des outils non prévus pour les entités importantes.
  • Que se passe-t-il si une entité ne résout pas une violation après la première sanction ?
  • La directive prévoit la possibilité d’appliquer des astreintes pour contraindre l’entité à mettre fin aux violations en cours. En pratique, le non-respect répété peut se traduire par des sanctions cumulatives croissantes, ainsi que par des mesures plus invasives comme la suspension des autorisations d’exploitation.
  • Qui est responsable de l’application des sanctions NIS2 en Italie ?
  • En Italie, l’Agence pour la cybersécurité nationale (ACN) est l’autorité compétente désignée pour la supervision et l’application de la directive NIS2. L’ACN gère également la liste des sujets NIS2 et coordonne les activités de vérification de la conformité auprès des entités essentielles et importantes opérant sur le territoire national.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *