Hacker « éthique » et cybersécurité Les entités concernées devront également notifier aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services. Enfin, la directive NIS 2 prévoit un mécanisme de notification volontaire permettant à toutes les entités, y compris celles qui ne sont pas soumises à la directive, de notifier les incidents évités. L'obligation d'« accountability » fixe des pouvoirs de supervision et d'exécution dont la directive investit les autorités compétentes et qui sont plus ou moins importantes selon la catégorie d'entité concernée. La conformité des entités essentielles est ainsi soumise à un régime de supervision renforcé. Elles pourront faire l'objet de mesures de contrôles ex ante,c'est-à-dire des contrôles inopinés avant tout incident, et ex post à la suite d'une anomalie (nonconformité, incident, etc.). Les autorités compétentes pourront notamment demander des preuves concernant la mise en œuvre de politiques de cybersécurité ou réaliser des inspections sur place. Les entités importantes bénéficient quant à elles d'une supervision allégée exclusivement fondée sur une approche ex post. Les autorités ne pourront prendre des mesures de contrôle qu'au vu d'éléments de preuve, d'indications ou d'informations selon lesquels l'entité ne respecterait pas la directive. 68