Член 32

Надзорни и правоприлагащи мерки по отношение на съществените субекти

1.Държавите членки гарантират, че надзорните и правоприлагащи мерки, наложени на съществените субекти по отношение на определените в настоящата директива задължения, са ефективни, пропорционални и възпиращи, като се вземат предвид обстоятелствата по всеки отделен случай.

2.Държавите членки гарантират, че при упражняването на своите надзорни задачи във връзка със съществените субекти компетентните органи имат правомощия да подлагат тези субекти най-малко на:

а) проверки на място или дистанционни проверки, включително случайни, извършвани от обучени специалисти;

б) редовни и целеви одити на сигурността, извършвани от независим орган или компетентен орган;

в) извънпланови одити, включително когато са обосновани поради значителен инцидент или нарушение на настоящата директива от страна на съществения субект;

г) проверки за сигурност, основани на обективни, недискриминационни, справедливи и прозрачни критерии за оценка на риска, при необходимост със съдействието на съответния субект;

д) искания за информация, необходима за оценка на мерките за управление на риска в областта на киберсигурноста, приети от съответния субект, включително документирани политики в областта на киберсигурност, както и съответствие със задълженията за изпращане на информация на компетентните органи съгласно член 27;

е) искания за достъп до данни, документи и всякаква информация, необходими за осъществяването на техните надзорни задачи;

ж) искания за доказателства за изпълнение на политиките в областта на киберсигурността, като например резултатите от одитите на сигурността, извършени от квалифициран одитор, и съответните подкрепящи доказателства.

Целевите одити на сигурността, посочени в първа алинея, буква б), се основават на оценки на риска, извършени от компетентния орган или одитирания субект, или на друга налична информация, свързана с риска.

Резултатите от всеки целеви одит на сигурността се предоставят на компетентния орган. Разходите за такъв целеви одит на сигурността, извършен от независим орган, се заплащат от одитирания субект, освен в надлежно обосновани случаи, когато компетентният орган реши друго.

3.При упражняване на своите правомощия по параграф 2, буква д), е) или ж) компетентните органи заявяват целта на своето искане и уточняват исканата информация.

4.Държавите членки гарантират, че в рамките на своите правомощия по правоприлагане във връзка със съществените субекти техните компетентни органи са упълномощени най-малкото:

а) да издават предупреждения при нарушаване на настоящата директива от засегнатите субекти;

б) да приемат обвързващи указания, включително относно мерките, необходими за предотвратяване на възникването на инцидент или за справяне с него, както и срокове за изпълнение на такива мерки и задължения за докладване на изпълнението, или разпореждане от засегнатите субекти да поправят установените пропуски или нарушения на настоящата директива;

в) да разпореждат на засегнатите субекти да преустановяват поведение, което нарушава настоящата директива, и да се въздържат от повтарянето на такова поведение;

г) да разпореждат на засегнатите субекти да гарантират, че техните мерки за управление на риска в областта на киберсигурността са в съответствие с член 21, или да изпълнят задълженията за докладване по член 23 по конкретизиран начин и в рамките на посочен срок;

д) да разпореждат на засегнатите субекти да уведомяват физическите или юридическите лица, на които предоставят услуги или с оглед на които извършват дейности, потенциално засегнати от значителна киберзаплаха, за естеството на заплахата, както и за възможните защитни или коригиращи мерки, които могат да бъдат предприети от тези физически или юридически лица в отговор на тази заплаха;

е) да разпореждат на засегнатите субекти да изпълняват препоръките, предвидени в резултат на одит на сигурността, в рамките на разумен срок;

ж) да определят длъжностно лице по надзор с ясно определени задачи за определен срок, което да следи за спазването на членове 21 и 23 от засегнатите субекти;

з) да разпореждат на засегнатите субекти да обявяват публично аспектите на нарушенията на настоящата директива, по конкретен начин;

и) да налагат или изискват налагането от съответните органи, съдилища или трибунали съгласно националното право на административна глоба по член 34 в допълнение към която и да е от мерките по букви a) — з) от настоящия параграф.

5.Когато правоприлагащите мерки, приети съгласно параграф 4, букви a) — г) и е), са неефективни, държавите членки гарантират, че компетентните им органи разполагат с правомощие да определят срок, до който от съществения субект се изисква да предприеме необходимото действие за отстраняване на недостатъците или за привеждане в съответствие с изискванията на тези органи. Ако изисканото действие не се предприеме в определения срок, държавите членки гарантират, че компетентните им органи разполагат с правомощия:

а) да спрат временно или да изискат от сертифициращ или разрешаващ орган, от съдилище или от трибунал, в съответствие с националното право, да спре временно сертификат или разрешение относно всички или част от съответните предоставени услуги или дейностите, извършвани от съществения субект;

б) да изискат от съответните органи, съдилища или трибунали налагането съгласно националното право на временна забрана спрямо всяко физическо лице, изпълняващо управленски функции на равнището на главно изпълнително длъжностно лице или законен представител в този съществен субект, да упражнява управленски функции в този субект.

Временни спирания или забрани, наложени съгласно настоящия параграф, се прилагат само докато съответният субект предприеме необходимото действие за отстраняване на недостатъците или за изпълнение на изискванията на компетентния орган, за които са приложени такива правоприлагащи мерки. Налагането на такива временни спирания или забрани подлежи на подходящи процедурни гаранции в съответствие с общите принципи на правото на Съюза и Хартата, включително правото на ефективни правни средства за защита и на справедлив съдебен процес, презумпцията за невиновност и правото на защита.

Правоприлагащите мерки, предвидени в настоящия параграф, не се прилагат за органи на публичната администрация, които са предмет на настоящата директива.

6.Държавите членки гарантират, че всяко физическо лице, отговорно за съществен субект или действащо като негов законен представител въз основа на правомощие да го представлява, да взема решения от негово име или да упражнява контрол върху него, има необходимите правомощия, за да осигури спазването на настоящата директива, от страна на този субект. Държавите членки гарантират, че е възможно тези физически лица да бъдат подвеждани под отговорност за неизпълнението на своите задължения да осигурят спазването на настоящата директива.

Що се отнася до органите на публичната администрация, настоящият параграф не засяга националното право по отношение на отговорността на държавните служители и на избраните или назначените длъжностни лица.

7.Когато предприемат правоприлагащите мерки, посочени в параграф 4 или 5, компетентните органи се съобразяват с правата на защита и отчитат обстоятелствата по всеки отделен случай и, като минимум, вземат предвид:

а) сериозността на нарушението и значимостта на нарушените разпоредби, като се има предвид, че за тежко нарушение се считат във всички случаи наред с другото:

i) повторни нарушения;

ii) неуведомяване или несправяне със значителни инциденти;

iii)

неотстраняване на недостатъци съгласно обвързващи указания от компетентните органи;

iv) възпрепятстване на одити или дейности по мониторинг от компетентния орган след констатация на нарушение;

v) предоставяне на невярна или грубо неточна информация във връзка с мерките за управление на риска в областта на киберсигурността или задълженията за докладване по членове 21 и 23;

б) продължителността на нарушението;

в) всички относими предишни нарушения от страна на съответния субект;

г) всички причинени материални или нематериални вреда, включително финансови или икономически загуби, въздействия върху други услуги и броят на засегнатите потребители;

д) умисъл или небрежност от страна на извършителя на нарушението;

е) всички предприети от субекта мерки за предотвратяване или ограничаване на материалните или нематериалните вреди;

ж) всяко придържане към одобрени кодекси на поведение или одобрени механизми за сертифициране;

з) равнището на съдействие, което отговорните физически или юридически лица оказват на компетентния орган;

8.Компетентните органи излагат подробни мотиви за своите правоприлагащи мерки. Преди да приемат такива мерки, компетентните органи уведомяват засегнатите субекти за предварителните си констатации. Те също така предоставят разумен срок на тези субекти да представят забележки, освен в надлежно обосновани случаи, когато това би възпрепятствало незабавните действия за предотвратяване или реагиране на инциденти.

9.Държавите членки гарантират, че техните компетентни органи съгласно настоящата директива информират съответните компетентни органи в същата държава членка съгласно Директива (ЕС) 2022/2557, когато упражняват своите надзорни и правоприлагащи правомощия, имащи за цел да гарантират спазването на настоящата директива от субект, установен като критичен субект съгласно Директива (ЕС) 2022/2557. Когато е целесъобразно, компетентните органи съгласно Директива (ЕС) 2022/2557 могат да поискат от компетентните органи съгласно настоящата директива да упражняват своите надзорни и правоприлагащи правомощия във връзка със субект, който е установен като критичен субект съгласно Директива (ЕС) 2022/2557.

10.Държавите членки гарантират, че техните компетентни органи съгласно настоящата директива си сътрудничат със съответните компетентни органи на засегнатата държава членка съгласно Регламент(ЕС) 2022/2554. По-специално, държавите членки гарантират, че техните компетентни органи съгласно настоящата директива информират надзорния форум, установен съгласно член 32, параграф 1 от Регламент (ЕС) 2022/2554, когато упражняват своите надзорни и правоприлагащи правомощия, целящи гарантиране на спазването на настоящата директива от страна на съществен субект, който е определен като трета страна критичен доставчик на услуги в областта на ИКТ, в съответствие с член 31 от Регламент (ЕС) 2022/2554.