1. Os Estados-Membros devem assegurar que as medidas de supervisão ou de execução impostas às entidades essenciais no que respeita às obrigações previstas na presente diretiva são efetivas, proporcionadas e dissuasivas, tendo em conta as circunstâncias de cada caso concreto.
2. Os Estados-Membros devem assegurar que, no exercício das suas funções de supervisão em relação a entidades essenciais, as autoridades competentes dispõem de poderes para submeter essas entidades a, pelo menos:
|
a) |
Inspeções no local e supervisão remota, incluindo controlos aleatórios efetuados por profissionais qualificados; |
|
b) |
Auditorias de segurança regulares e específicas realizadas por um organismo independente ou por uma autoridade competente; |
|
c) |
Auditorias ad hoc, incluindo em casos justificados por um incidente significativo ou por infração à presente diretiva por parte da entidade essencial; |
|
d) |
Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios, equitativos e transparentes, se necessário em cooperação com a entidade em causa; |
|
e) |
Pedidos de informações necessárias para avaliar as medidas de gestão dos riscos de cibersegurança adotadas pela entidade em causa, incluindo políticas de cibersegurança documentadas, bem como o cumprimento da obrigação de apresentar informações às autoridades competentes nos termos do artigo 27.o; |
|
f) |
Pedidos de acesso a dados, documentos e informações necessárias para o desempenho das funções de supervisão; |
|
g) |
Pedidos de provas da aplicação das políticas de cibersegurança, como os resultados de auditorias de segurança efetuadas por um auditor qualificado e os respetivos elementos de prova subjacentes. |
As auditorias de segurança específicas a que se refere o primeiro parágrafo, alínea b), devem basear-se em avaliações de risco realizadas pela autoridade competente ou pela entidade auditada, ou noutras informações disponíveis relacionadas com os riscos.
Os resultados das auditorias de segurança específicas devem ser facultados à autoridade competente. Os custos das auditorias de segurança específicas realizadas por um organismo independente são pagos pela entidade auditada, exceto em casos devidamente fundamentados em que a autoridade competente decida em contrário.
3. Ao exercerem os poderes previstos no n.o 2, alíneas e), f) ou g), as autoridades competentes devem indicar a finalidade do pedido e especificar as informações solicitadas.
4. Os Estados-Membros devem assegurar que, no exercício dos seus poderes de execução em relação a entidades essenciais, as suas autoridades competentes dispõem de poderes para, pelo menos:
|
a) |
Emitir advertências sobre infrações à presente diretiva por parte das entidades em causa; |
|
b) |
Adotar instruções vinculativas, inclusivamente em relação às medidas necessárias para impedir ou corrigir um incidente, bem como aos prazos para executar essas medidas e para informar sobre a sua execução, ou uma ordem que exija que as entidades em causa corrijam as deficiências detetadas ou as infrações à presente diretiva; |
|
c) |
Ordenar que as entidades em causa cessem condutas que infrinjam a presente diretiva e se abstenham de as repetir; |
|
d) |
Ordenar que as entidades em causa garantam que as suas medidas de gestão dos riscos de cibersegurança cumpram o disposto no artigo 21.o ou cumpram as obrigações de notificação estabelecidas no artigo 23.o de uma forma e num período especificados; |
|
e) |
Ordenar que as entidades em causa informem as pessoas singulares ou coletivas a quem prestam serviços ou levam a cabo atividades que sejam potencialmente afetadas por uma ciberameaça significativa da natureza da ameaça, bem como de quaisquer possíveis medidas de proteção ou corretivas que possam ser tomadas por essas pessoas em resposta a essa ameaça; |
|
f) |
Ordenar que as entidades em causa apliquem, num prazo razoável, as recomendações formuladas em resultado de uma auditoria de segurança; |
|
g) |
Designar um supervisor com funções bem definidas durante um determinado período para supervisionar o cumprimento pelas entidades em causa dos artigos 21.o e 23.o; |
|
h) |
Ordenar que as entidades em causa tornem públicos os aspetos das infrações à presente diretiva de uma determinada forma; |
|
i) |
Impor ou solicitar a imposição, por parte dos organismos ou tribunais competentes, em conformidade com o direito nacional, de uma coima nos termos do artigo 34.o, em complemento de qualquer uma das medidas referidas nas alíneas a) a h) do presente número. |
5. Sempre que as medidas de execução adotadas nos termos do n.o 4, alíneas a) a d) e f), se revelarem ineficazes, os Estados-Membros devem assegurar que as suas autoridades competentes dispõem de poderes para estabelecer um prazo dentro do qual se solicita à entidade essencial que tome as medidas necessárias para corrigir as deficiências ou cumprir os requisitos dessas autoridades. Se a medida solicitada não for tomada dentro do prazo estabelecido, os Estados-Membros devem assegurar que as suas autoridades competentes dispõem de poderes para:
|
a) |
Suspender temporariamente ou solicitar a um organismo de certificação ou autorização, ou a um tribunal, em conformidade com o direito nacional, a suspensão temporária de uma certificação ou autorização relativa a uma parte ou à totalidade dos serviços relevantes prestados ou das atividades levadas a cabo pela entidade essencial; |
|
b) |
Solicitar que os organismos ou tribunais competentes, em conformidade com o direito nacional, proíbam temporariamente qualquer pessoa singular com responsabilidades de gestão a nível de diretor executivo ou de representante legal de exercer funções de gestão nessa entidade essencial. |
As suspensões ou proibições temporárias impostas nos termos do presente número só são aplicadas até a entidade em causa tomar as medidas necessárias para corrigir as deficiências ou cumprir os requisitos da autoridade competente responsável pela aplicação dessas medidas de execução. A imposição dessas suspensões ou proibições temporárias deve ser sujeita a garantias processuais adequadas, em conformidade com os princípios gerais do direito da União e da Carta, como o direito a um recurso efetivo e a um processo equitativo, a presunção de inocência e os direitos de defesa.
As medidas de execução previstas no presente número não são aplicáveis às entidades da administração pública abrangidas pela presente diretiva.
6. Os Estados-Membros devem assegurar que qualquer pessoa singular responsável por uma entidade essencial ou que atue como representante legal da mesma, com base no poder de a representar, na autoridade para tomar decisões em seu nome, ou na autoridade para exercer o controlo da mesma, dispõe de poder para assegurar o seu cumprimento da presente diretiva. Os Estados-Membros devem assegurar que seja possível considerar essas pessoas singulares responsáveis pela violação dos seus deveres de assegurar o cumprimento da presente diretiva.
No que diz respeito às entidades da administração pública, o presente número é aplicável sem prejuízo do direito nacional em matéria de responsabilidade dos funcionários públicos e dos funcionários eleitos ou nomeados.
7. Ao tomarem qualquer uma das medidas de execução a que se refere o n.o 4 ou 5, as autoridades competentes devem respeitar os direitos de defesa e ponderar as circunstâncias de cada caso concreto e, no mínimo, ter em devida conta:
|
a) |
A gravidade da infração e a importância das disposições violadas, sendo que, em qualquer circunstância, devem ser consideradas infrações graves as seguintes infrações:
|
|
b) |
A duração da infração; |
|
c) |
Quaisquer anteriores infrações relevantes cometidas pela entidade em causa; |
|
d) |
Quaisquer danos materiais ou imateriais causado, incluindo quaisquer prejuízos financeiros ou económicos, os efeitos noutros serviços e o número de utilizadores afetados; |
|
e) |
Qualquer intenção ou negligência do autor da infração; |
|
f) |
Quaisquer medidas tomadas pela entidade para prevenir ou atenuar os danos materiais ou imateriais; |
|
g) |
Qualquer cumprimento de códigos de conduta ou procedimentos de certificação aprovados; |
|
h) |
O nível de cooperação das pessoas singulares ou coletivas consideradas responsáveis com as autoridades competentes. |
8. As autoridades competentes devem apresentar uma fundamentação pormenorizada das suas decisões de aplicação de medidas de execução. Antes de adotarem tais medidas, as autoridades competentes devem notificar as entidades em causa das suas conclusões preliminares. Devem igualmente conceder um prazo razoável para que essas entidades apresentem as suas observações, exceto em casos devidamente fundamentados em que, de outro modo, seja travada a adoção de medidas imediatas para prevenir ou responder a incidentes.
9. Os Estados-Membros devem assegurar que as suas autoridades competentes nos termos da presente diretiva informam as autoridades competentes no mesmo Estado-Membro nos termos da Diretiva (UE) 2022/2557 no exercício dos seus poderes de supervisão e execução destinados a assegurar o cumprimento da presente diretiva por parte de uma entidade identificada como crítica nos termos da Diretiva 2022/2557. Se for caso disso, as autoridades competentes nos termos da Diretiva (UE) 2022/2557 podem solicitar às autoridades competentes ao abrigo da presente diretiva que exerçam os seus poderes de supervisão e de execução em relação a uma entidade que seja identificada como entidade crítica nos termos da Diretiva (UE) 2022/2557.
10. Os Estados-Membros devem velar por que as suas autoridades competentes nos termos da presente diretiva cooperem com as autoridades competentes relevantes do Estado-Membro em causa nos termos do Regulamento (UE) 2022/2554. Em particular, os Estados-Membros asseguram que as suas autoridades competentes nos termos da presente diretiva informam o Fórum de Fiscalização criado nos termos do artigo 32.o, n.o 1, do Regulamento (UE) 2022/2554 no exercício dos seus poderes de supervisão e execução destinados a assegurar o cumprimento da presente diretiva por parte de uma entidade essencial que seja identificada como um terceiro prestador de serviços no domínio das TIC crítico nos termos do artigo 31.o do Regulamento (UE) 2022/2554.
