ISGroup Conseil en Cybersécurité

Directive NIS 2 : Quelles sont les sanctions en cas de non-conformité ?

La Directive NIS 2 impose aux États membres de l’UE d’établir et de mettre en œuvre un système de sanctions pour les entités qui ne respectent pas les exigences de cybersécurité prévues. Ces sanctions sont conçues pour être « efficaces, proportionnées et dissuasives » afin de garantir que les organisations prennent au sérieux leurs obligations en matière de sécurité informatique.

Directive NIS 2 : Sanctions administratives

La NIS 2 établit un ensemble minimal de sanctions administratives que les autorités nationales compétentes peuvent imposer aux entités non conformes :

  • Instructions contraignantes : Les autorités compétentes peuvent émettre des instructions contraignantes exigeant des entités qu’elles corrigent les lacunes de sécurité identifiées ou qu’elles prennent des mesures spécifiques pour améliorer leur posture de cybersécurité. Ces instructions peuvent inclure des délais de mise en œuvre et de rapport sur les progrès réalisés.
  • Ordres de mise en œuvre des recommandations d’audit : Si un audit de sécurité révèle des vulnérabilités ou des non-conformités, les autorités compétentes peuvent ordonner à l’entité de mettre en œuvre les recommandations figurant dans le rapport d’audit.
  • Ordres d’alignement des mesures de sécurité sur les exigences de la NIS 2 : Les autorités compétentes peuvent ordonner aux entités d’adapter leurs mesures de sécurité aux exigences spécifiques prévues par la directive NIS 2. Cela peut inclure la mise en œuvre de contrôles de sécurité supplémentaires, la mise à jour des politiques et procédures, ou le renforcement des capacités de réponse aux incidents.
  • Sanctions administratives pécuniaires : La NIS 2 introduit un système de sanctions administratives pouvant être appliquées aux entités qui violent les dispositions de la directive. Le montant des sanctions varie selon la classification de l’entité en tant qu’essentielle ou importante :
    • Entités essentielles : Pour les entités essentielles, les États membres doivent établir des sanctions maximales d’au moins 10 000 000 € ou de 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
    • Entités importantes : Pour les entités importantes, les États membres doivent établir des sanctions maximales d’au moins 7 000 000 € ou de 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

[Callforaction-NIS2]

Astreintes périodiques

Outre les sanctions énumérées ci-dessus, les États membres peuvent imposer des astreintes périodiques pour contraindre les entités essentielles ou importantes à mettre fin à une violation de la directive NIS 2. Ces paiements continueront de s’accumuler jusqu’à ce que l’entité démontre sa conformité avec la décision de l’autorité compétente.

Facteurs pris en compte dans la détermination des sanctions

Lors de la détermination de la sanction appropriée en cas de non-conformité, les autorités compétentes doivent prendre en compte les circonstances spécifiques de chaque cas, notamment :

  • Gravité de l’infraction : La gravité de la violation, telle que des violations répétées, le défaut de notification ou de résolution d’incidents significatifs, ou l’obstruction aux audits ou aux activités de surveillance.
  • Durée de l’infraction : La période pendant laquelle l’entité a été en violation des exigences de la NIS 2.
  • Violations précédentes : L’historique de l’entité en matière de non-conformité aux réglementations de cybersécurité.
  • Dommages ou pertes causés : L’ampleur des dommages matériels ou immatériels causés par la non-conformité, y compris les pertes financières, les interruptions de service et le nombre d’utilisateurs concernés.
  • Caractère intentionnel ou négligent de l’infraction : Si la non-conformité a été délibérée ou résulte d’une négligence de la part de l’entité.
  • Mesures prises pour prévenir ou atténuer les dommages : Toute action entreprise par l’entité pour remédier à la non-conformité et minimiser son impact.
  • Niveau de coopération avec les autorités compétentes : La volonté de l’entité de collaborer avec les autorités compétentes lors des enquêtes et des actions coercitives.

Directive NIS 2 : Mesures d’application supplémentaires

Outre les sanctions administratives spécifiques, la directive NIS 2 confère aux autorités compétentes le pouvoir d’adopter des mesures d’application supplémentaires si les sanctions initiales s’avèrent inefficaces :

  • Fixation d’un délai de remédiation : Si une entité ne respecte pas les instructions contraignantes ou d’autres mesures d’application, les autorités compétentes peuvent fixer un délai spécifique pour la résolution des lacunes identifiées.
  • Suspension ou interdiction d’activités : En cas de non-conformité grave ou persistante, les autorités compétentes ont le pouvoir de suspendre temporairement ou d’interdire à l’entité d’exercer des activités impliquant un risque de cybersécurité. Ces mesures sont soumises à des garanties procédurales appropriées et ne sont appliquées que jusqu’à ce que l’entité prenne les mesures nécessaires pour atteindre la conformité.

Responsabilité de la direction

La NIS 2 introduit des dispositions visant à tenir les cadres dirigeants des entités essentielles et importantes responsables en cas de violations de la cybersécurité. Cette responsabilité personnelle vise à encourager une plus grande attention portée à la sécurité informatique aux plus hauts niveaux de la gouvernance organisationnelle. Bien que la directive ne spécifie pas les sanctions pour les individus, les États membres sont tenus de mettre en œuvre des mesures garantissant une responsabilité effective.

Droit national et sanctions judiciaires

En plus des sanctions administratives prévues par la directive NIS 2, les États membres peuvent appliquer des sanctions supplémentaires prévues par leur propre droit national en cas de violation des réglementations de cybersécurité. Cela peut inclure des sanctions pénales pour des infractions graves ou des responsabilités civiles pour les dommages causés par des failles de sécurité.

Il est important de noter que les sanctions et les mécanismes d’application spécifiques varient d’un État membre à l’autre, car la directive NIS 2 établit des normes minimales d’harmonisation que les États membres doivent transposer dans leur législation nationale.

Comment se préparer pour éviter les sanctions NIS 2

Pour les organisations entrant dans le périmètre de la directive, le moyen le plus efficace d’éviter les sanctions est d’entamer rapidement un processus structuré de mise en conformité. Cela implique de cartographier les mesures de sécurité déjà en place, d’identifier les écarts par rapport aux exigences NIS 2 et de définir un plan de remédiation avec des délais réalistes. Un support spécialisé pour la conformité NIS 2 peut faire la différence entre un processus géré méthodiquement et une exposition prolongée au risque de sanction. Pour ceux qui doivent également vérifier leur inscription sur la liste ACN, il est utile de consulter les délais et les modalités de conformité prévus par l’ACN.

En général, la directive NIS 2 établit un cadre d’application plus robuste et cohérent pour les réglementations de cybersécurité dans toute l’UE. L’accent mis par la directive sur des sanctions dissuasives, des pouvoirs d’application clairs pour les autorités compétentes et la responsabilité de la direction vise à créer une forte incitation pour les entités à donner la priorité à la sécurité informatique et à respecter les exigences de la directive.

Questions fréquentes sur les sanctions NIS 2

  • Quelle est la différence entre les sanctions pour les entités essentielles et celles pour les entités importantes ?
  • Les entités essentielles sont soumises à des sanctions maximales d’au moins 10 000 000 € ou de 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour les entités importantes, le maximum est de 7 000 000 € ou 1,4 % du chiffre d’affaires. Cette distinction reflète le niveau de criticité du secteur et l’impact potentiel d’un incident sur la société.
  • Les dirigeants peuvent-ils être tenus personnellement responsables en cas de violation de la NIS 2 ?
  • Oui. La directive NIS 2 prévoit explicitement des dispositions pour la responsabilité des cadres dirigeants dans les entités essentielles et importantes. Les États membres sont tenus de mettre en œuvre des mesures rendant cette responsabilité effective, bien que les formes concrètes varient d’un pays à l’autre en fonction de la transposition nationale.
  • Que se passe-t-il si une entité ne se conforme pas après avoir reçu des instructions contraignantes ?
  • Si l’entité ne se conforme pas aux instructions contraignantes, les autorités compétentes peuvent imposer des astreintes périodiques, fixer des délais de remédiation plus stricts et, dans les cas les plus graves, suspendre temporairement ou interdire l’exercice des activités impliquant un risque de cybersécurité.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *