1. Sempre que lhes sejam apresentadas provas, indícios ou informações de que uma entidade importante não está alegadamente a cumprir a presente diretiva, em especial os seus artigos 21.o e 23.o, os Estados-Membros devem assegurar que as autoridades competentes atuam em conformidade, se necessário, tomando medidas de supervisão ex post. Os Estados-Membros devem velar por que estas medidas sejam eficazes, proporcionadas e dissuasivas, tendo em conta as circunstâncias de cada caso concreto.
2. Os Estados-Membros devem assegurar que, no exercício das suas funções de supervisão em relação a entidades importantes, as autoridades competentes dispõem de poderes para submeter essas entidades a, pelo menos:
|
a) |
Inspeções no local e supervisão ex post remota efetuadas por profissionais qualificados; |
|
b) |
Auditorias de segurança específicas realizadas por um organismo independente ou por uma autoridade competente; |
|
c) |
Verificações de segurança com base em critérios de avaliação dos riscos objetivos, não discriminatórios, equitativos e transparentes, se necessário em cooperação com a entidade em causa; |
|
d) |
Pedidos de informações necessárias para avaliar ex post as medidas de gestão dos riscos de cibersegurança adotadas pela entidade em causa, incluindo políticas de cibersegurança documentadas, bem como o cumprimento da obrigação de apresentar informações às autoridades competentes nos termos do artigo 27.o; |
|
e) |
Pedidos de acesso a dados, documentos e quaisquer informações necessárias para o desempenho das suas funções de supervisão; |
|
f) |
Pedidos de provas da aplicação das políticas de cibersegurança, como os resultados de auditorias de segurança efetuadas por um auditor qualificado e os respetivos elementos de prova subjacentes. |
As auditorias de segurança específicas a que se refere o primeiro parágrafo, alínea b), devem basear-se em avaliações de risco realizadas pela autoridade competente ou pela entidade auditada, ou noutras informações disponíveis relacionadas com os riscos.
Os resultados das auditorias de segurança específicas devem ser facultados à autoridade competente. Os custos das auditorias de segurança específicas realizadas por um organismo independente são pagos pela entidade auditada, exceto em casos devidamente fundamentados em que a autoridade competente decida em contrário.
3. Ao exercerem os poderes nos termos do n.o 2, alíneas d), e) ou f), as autoridades competentes devem indicar a finalidade do pedido e especificar as informações solicitadas.
4. Os Estados-Membros devem assegurar que, no exercício dos seus poderes de execução em relação a entidades importantes, as autoridades competentes dispõem de poderes para pelo menos:
|
a) |
Emitir advertências sobre infrações à presente diretiva por parte das entidades em causa; |
|
b) |
Adotar instruções vinculativas ou uma ordem que exija que as entidades em causa corrijam as deficiências detetadas ou as infrações à presente diretiva; |
|
c) |
Ordenar que essas entidades cessem condutas que infrinjam apresente diretiva e se abstenham de as repetir; |
|
d) |
Ordenar que as entidades em causa garantam que as suas medidas de gestão dos riscos de cibersegurança cumpram o disposto no artigo 21.o ou cumpram as obrigações de notificação estabelecidas no artigo 23.o de uma forma e num período especificados; |
|
e) |
Ordenar que as entidades em causa informem as pessoas singulares ou coletivas a quem prestam serviços ou levam a cabo atividades que sejam potencialmente afetadas por uma ciberameaça significativa da natureza da ameaça, bem como de quaisquer possíveis medidas de proteção ou corretivas que possam ser tomadas por essas pessoas singulares ou coletivas em resposta a essa ameaça; |
|
f) |
Ordenar que as entidades em causa apliquem, num prazo razoável, as recomendações formuladas em resultado de uma auditoria de segurança; |
|
g) |
Ordenar que essas entidades tornem públicos os aspetos das infrações à presente diretiva de uma determinada forma; |
|
h) |
Impor ou solicitar a imposição, por parte dos organismos ou tribunais competentes, em conformidade com o direito nacional, de uma coima nos termos do artigo 34.o, em complemento de qualquer uma das medidas referidas nas alíneas a) a g) do presente número. |
5. O artigo 32.o, n.os 6, 7 e 8, aplica-se mutatis mutandis às medidas de supervisão e de execução previstas no presente artigo relativas às entidades importantes.
6. Os Estados-Membros devem velar por que as suas autoridades competentes nos termos da presente diretiva cooperem com as autoridades competentes relevantes do Estado-Membro em causa nos termos do Regulamento (UE) 2022/2554. Em particular, os Estados-Membros asseguram que as suas autoridades competentes nos termos da presente diretiva informam o Fórum de Fiscalização criado nos termos do artigo 32.o, n.o 1, do Regulamento (UE) 2022/2554 no exercício dos seus poderes de supervisão e execução destinados a assegurar o cumprimento da presente diretiva por parte de uma entidade importante que seja identificada como um terceiro prestador de serviços no domínio das TIC crítico nos termos do artigo 31.o do Regulamento (UE) 2022/2554.
