Член 33

Надзорни и правоприлагащи мерки по отношение на важните субекти

1.Когато разполагат с доказателства, индикации или информация, че важен субект вероятно не изпълнява настоящата директива, и по-специално членове 21 и 23 от нея, държавите членки гарантират, че компетентните органи предприемат действия, при необходимост, посредством последващи надзорни мерки. Държавите членки гарантират, че тези мерки са ефективни, пропорционални и възпиращи, като вземат предвид обстоятелствата във всеки отделен случай.

2.Държавите членки гарантират, че при упражняването на своите надзорни задачи във връзка със важните субекти компетентните органи имат правомощия да подлагат тези субекти най-малко на:

а) проверки на място и последващ дистанционен надзор, извършвани от обучени специалисти;

б) целеви одити на сигурността, извършвани от независим орган или компетентен орган;

в) проверки за сигурност, основани на обективни, недискриминационни, справедливи и прозрачни критерии за оценка на риска, при необходимост със съдействието на съответния субект;

г) искания за информация, необходима за последваща оценка на мерките за управление на риска в областта на киберсигурноста, приети от съответния субект, включително документирани политики за киберсигурност, както и съответствие със задълженията за изпращане на информация до компетентните органи съгласно член 27;

д) искания за достъп до данни, документи и информация, необходими за изпълнението на надзорните им задачи;

е) искания за доказателства за изпълнението на политиките в областта на киберсигурността, като например резултатите от одитите на сигурността, извършени от квалифициран одитор, и съответните подкрепящи доказателства.

Целевите одити на сигурността, посочени в първа алинея, буква б), се основават на оценки на риска, извършени от компетентния орган или одитирания субект, или на друга налична информация, свързана с риска.

Резултатите от всеки целеви одит на сигурността се предоставят на компетентния орган. Разходите за такъв целеви одит на сигурността, извършен от независим орган, се заплащат от одитирания субект, освен в надлежно обосновани случаи, когато компетентният орган реши друго.

3.При упражняване на своите правомощия по параграф 2, буква г), д) или е) компетентните органи заявяват целта на своето искане и поясняват исканата информация.

4.Държавите членки гарантират, че при упражняване на своите правомощия по правоприлагане във връзка със важните субекти компетентните органи са оправомощени най-малкото:

а) да издават предупреждения при нарушение на настоящата директива от засегнатите субекти;

б) да приемат обвързващи указания или разпореждане, с които се изисква от засегнатите субекти да поправят установените пропуски или нарушението на настоящата директива;

в) да разпореждат на засегнатите субекти да преустановяват поведение, което нарушава настоящата директива, и да се въздържат от повтарянето на такова поведение;

г) да разпореждат на засегнатите субекти да гарантират, че техните мерки за управление на риска в областта на киберсигурността са в съответствие с член 21, или да изпълнят задълженията за докладване по член 23 по конкретизиран начин и в рамките на определен срок;

д) да разпореждат на засегнатите субекти да уведомяват физическите или юридическите лица, на които предоставят услуги или с оглед на които извършват дейности, потенциално засегнати от значителна киберзаплаха, за естеството на заплахата, както и за възможните защитни или коригиращи мерки, които могат да бъдат предприети от тези физически или юридически лица в отговор на тази заплаха;

е) да разпореждат на засегнатите субекти да изпълняват препоръките, предвидени в резултат на одит на сигурността, в рамките на разумен срок;

ж) да разпореждат на засегнатите субекти да обявяват публично аспектите на нарушението на настоящата директива, по конкретен начин;

з) да налагат или изискват налагането от засегнатите органи, съдилища или трибунали в съответствие с националното право на административна глоба по член 34 в допълнение към която и да е от мерките по букви a) — ж) от настоящия параграф.

5.Член 32, параграфи 6, 7 и 8 се прилагат mutatis mutandis за надзорните и правоприлагащи мерки, предвидени в настоящия член за важните субекти.

6.Държавите членки гарантират, че техните компетентни органи съгласно настоящата директива си сътрудничат със съответните компетентни органи на засегнатата държава членка съгласно Регламент (ЕС) 2022/2554. По-специално, държавите членки гарантират, че техните компетентни органи съгласно настоящата директива информират надзорния форум, установен съгласно член 32, параграф 1 от Регламент (ЕС) 2022/2554, когато упражняват своите надзорни и правоприлагащи правомощия, целящи гарантиране на спазването на настоящата директива от страна на важен субект, който е определен като трета страна критичен доставчик на услуги в областта на ИКТ, в съответствие с член 31 от Регламент (ЕС) 2022/2554.