Si una organización no sigue las normas nacionales definidas bajo la Directiva NIS2, los Estados miembros aplicarán sanciones específicas que sean efectivas y adecuadas; estas sanciones pueden incluir multas u otras medidas disciplinarias destinadas a prevenir futuros incumplimientos y proteger mejor la ciberseguridad en Europa, garantizando la responsabilidad y el respeto a las normativas establecidas.
Los países miembros deben informar claramente a la Comisión Europea sobre el tipo de sanciones que han elegido y aplicado según la directiva NIS2 antes del 17 de enero de 2025, asegurando así que la Comisión esté al tanto de cómo se aplican las normas y pueda dar seguimiento a cualquier modificación futura en ese régimen sancionador.
Las sanciones deben tener un nivel adecuado y ser suficientemente fuertes para que entidades y organizaciones tomen en serio las normas establecidas en materia de ciberseguridad; al ser proporcionadas, son justas y equilibradas, mientras que al ser disuasorias, buscan prevenir incumplimientos futuros al demostrar que no obedecer las reglas traerá consecuencias reales.
Cuando un país realice alguna modificación posterior del régimen sancionador inicialmente comunicado a la Comisión Europea, deberá notificar inmediatamente estos cambios a dicha instancia, asegurando así que siempre esté actualizado el conocimiento sobre las medidas tomadas y se mantenga la transparencia y claridad en cuanto a las consecuencias y responsabilidades existentes.
