Beta

Source: OJ L 333, 27.12.2022, p. 80–152

Current language: FR

Article 33 Mesures de supervision et d’exécution en ce qui concerne les entités importantes

    1. Au vu d’éléments de preuve, d’indications ou d’informations selon lesquels une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; importante ne respecterait pas la présente directive, et notamment ses articles 21 et 23, les États membres veillent à ce que les autorités compétentes prennent des mesures, le cas échéant, dans le cadre de mesures de contrôle ex post. Les États membres veillent à ce que ces mesures soient effectives, proportionnées et dissuasives, compte tenu des circonstances propres à chaque cas d’espèce.

    1. Les États membres veillent à ce que les autorités compétentes, lorsqu’elles accomplissent leurs tâches de supervision à l’égard d’entités importantes, aient le pouvoir de soumettre ces entités, au minimum, à:

      1. des inspections sur place et des contrôles à distance ex post, effectués par des professionnels formés;

      2. des audits de sécurité ciblés réalisés par un organisme indépendant ou une autorité compétente;

      3. des scans de sécurité fondés sur des critères d’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée;

      4. des demandes d’informations nécessaires à l’évaluation ex post des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adoptées par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, notamment les politiques de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; consignées par écrit, ainsi que du respect de l’obligation de soumettre des informations aux autorités compétentes conformément à l’article 27;

      5. des demandes d’accès à des données, à des documents et à des informations nécessaires à l’accomplissement de leurs tâches de supervision;

      6. des demandes de preuves de la mise en œuvre de politiques de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.

    2. Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuées par l’autorité compétente ou l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; contrôlée, ou sur d’autres informations disponibles relatives aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;.

    3. Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l’autorité compétente. Les coûts de cet audit de sécurité ciblé effectué par un organisme indépendant sont à la charge de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; contrôlée, sauf lorsque l’autorité compétente en décide autrement dans des cas dûment motivés.

    1. Lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, point d), e) ou f), les autorités compétentes mentionnent la finalité de la demande et précisent quelles sont les informations exigées.

    1. Les États membres veillent à ce que les autorités compétentes, lorsqu’elles exercent leurs pouvoirs d’exécution à l’égard d’entités importantes, aient au minimum le pouvoir:

      1. d’émettre des avertissements concernant des violations de la présente directive par les entités concernées;

      2. d’adopter des instructions contraignantes ou une injonction exigeant des entités concernées qu’elles pallient les insuffisances constatées ou les violations de la présente directive;

      3. d’ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente directive et de ne pas le réitérer;

      4. d’ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; avec l’article 21 ou de respecter les obligations d’information prévues à l’article 23, de manière spécifique et dans un délai déterminé;

      5. d’ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace;

      6. d’ordonner aux entités concernées de mettre en œuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable;

      7. d’ordonner aux entités concernées de rendre publics des aspects de violations de la présente directive de manière spécifique;

      8. d’imposer ou de demander aux organes compétents ou aux juridictions compétentes d’imposer, conformément au droit national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures visées aux points a) à g) du présent paragraphe.

    1. L’article 32, paragraphes 6, 7 et 8, s’applique mutatis mutandis aux mesures de supervision et d’exécution prévues au présent article pour les entités importantes.

    1. Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive coopèrent avec les autorités compétentes pertinentes de l’État membre concerné au titre du règlement (UE) 2022/2554. Les États membres veillent, en particulier, à ce que leurs autorités compétentes au titre de la présente directive informent le forum de supervision établi en vertu de l’article 32, paragraphe 1, du règlement (UE) 2022/2554 lorsqu’elles exercent leurs pouvoirs de supervision et d’exécution dans le but de garantir qu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; importante qui a été désignée comme étant un prestataire tiers critique de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; en vertu de l’article 31 du règlement (UE) 2022/2554 respecte la présente directive.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod