1. Bei Vorliegen von Beweisen, Hinweisen oder Informationen, dass ein wichtiger UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) dieser Richtlinie, insbesondere den Artikeln 21 und 23, nicht nachkommt, stellen die Mitgliedstaaten sicher, dass die zuständigen Behörden erforderlichenfalls durch nachträgliche Aufsichtsmaßnahmen tätig werden. Die Mitgliedstaaten stellen sicher, dass diese Maßnahmen unter Berücksichtigung der Umstände des jeweiligen Einzelfalls wirksam, verhältnismäßig und abschreckend sind.
2. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden bei der Wahrnehmung ihrer Aufsichtsaufgaben in Bezug auf wichtige Unternehmen befugt sind, diese Unternehmen zumindest einer Prüfung zu unterziehen:
(a) Vor-Ort-Inspektionen und nachträgliche Kontrollen außerhalb des Betriebs durch geschulte Fachleute;
(b) gezielte Sicherheitsaudits, die von einer unabhängigen Stelle oder einer zuständigen Behörde durchgeführt werden;
(c) Sicherheitsüberprüfungen auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Bewertungskriterien, gegebenenfalls in Zusammenarbeit mit der betreffenden Einrichtung;
(d) Ersuchen um Informationen, die zur nachträglichen Bewertung der CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; die von der betreffenden Stelle getroffenen Risikomanagementmaßnahmen, einschließlich dokumentierter Cybersicherheitsstrategien, sowie die Einhaltung der Verpflichtung zur Übermittlung von Informationen an die zuständigen Behörden gemäß Artikel 27;
(e) Ersuchen um Zugang zu Daten, Dokumenten und Informationen, die sie zur Erfüllung ihrer Aufsichtsaufgaben benötigen;
(f) Ersuchen um Nachweise für die Umsetzung von Cybersicherheitsstrategien, wie etwa die Ergebnisse von Sicherheitsaudits, die von einem qualifizierten Prüfer durchgeführt wurden, und die entsprechenden Nachweise.
Die in Unterabsatz 1 Buchstabe b genannten gezielten Sicherheitsaudits stützen sich auf Risikobewertungen, die von der zuständigen Behörde oder der geprüften Stelle durchgeführt werden, oder auf andere risikobezogene verfügbare Informationen.
Die Ergebnisse eines gezielten Sicherheitsaudits sind der zuständigen Behörde zur Verfügung zu stellen. Die Kosten eines solchen von einer unabhängigen Stelle durchgeführten gezielten Sicherheitsaudits sind von der geprüften Stelle zu tragen, es sei denn, die zuständige Behörde entscheidet in hinreichend begründeten Fällen anders.
3. Bei der Ausübung ihrer Befugnisse nach Absatz 2 Buchstaben d, e oder f geben die zuständigen Behörden den Zweck des Ersuchens an und spezifizieren die gewünschten Informationen.
4. Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden bei der Ausübung ihrer Durchsetzungsbefugnisse in Bezug auf wichtige Unternehmen zumindest die Befugnis haben:
(a) Warnungen vor Verstößen gegen diese Richtlinie durch die betreffenden Einrichtungen auszusprechen;
(b) verbindliche Anweisungen oder Anordnungen erlassen, mit denen die betreffenden Stellen aufgefordert werden, die festgestellten Mängel oder den Verstoß gegen diese Richtlinie zu beheben;
(c) die betreffenden Stellen anzuweisen, das gegen diese Richtlinie verstoßende Verhalten einzustellen und von einer Wiederholung dieses Verhaltens abzusehen;
(d) sie ordnet an, dass die betreffenden Stellen sicherstellen, dass ihre Maßnahmen zum Management des Cybersicherheitsrisikos mit Artikel 21 im Einklang stehen, oder dass sie die Meldepflichten nach Artikel 23 in einer bestimmten Weise und innerhalb einer bestimmten Frist erfüllen;
(e) die betroffenen Einrichtungen anzuweisen, die natürlichen oder juristischen Personen zu informieren, für die sie Dienstleistungen erbringen oder Tätigkeiten ausüben, die potenziell von einer solchen Maßnahme betroffen sind erhebliche Cyber-BedrohungErhebliche Cyber-Bedrohung Bezeichnet eine Cyber-Bedrohung, bei der aufgrund ihrer technischen Merkmale davon ausgegangen werden kann, dass sie das Potenzial hat, schwerwiegende Auswirkungen auf das Netz und die Informationssysteme einer Einrichtung oder die Nutzer der Dienste der Einrichtung zu haben, indem sie erhebliche materielle oder immaterielle Schäden verursacht. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) über die Art der Bedrohung sowie über mögliche Schutz- oder Abhilfemaßnahmen, die von diesen natürlichen oder juristischen Personen als Reaktion auf die Bedrohung getroffen werden können;
(f) sie ordnet an, dass die betreffenden Stellen die Empfehlungen, die als Ergebnis eines Sicherheitsaudits abgegeben wurden, innerhalb einer angemessenen Frist umsetzen;
(g) die betreffenden Stellen anzuweisen, Aspekte von Verstößen gegen diese Richtlinie in einer bestimmten Weise zu veröffentlichen;
(h) zusätzlich zu den unter den Buchstaben a) bis g) genannten Maßnahmen eine Geldbuße gemäß Artikel 34 zu verhängen oder die Verhängung einer solchen Geldbuße durch die zuständigen Stellen, Gerichte oder Instanzen im Einklang mit dem nationalen Recht zu beantragen.
5. Artikel 32 Absätze 6, 7 und 8 gelten entsprechend für die in diesem Artikel vorgesehenen Aufsichts- und Durchsetzungsmaßnahmen für bedeutende Unternehmen.
6. Die Mitgliedstaaten stellen sicher, dass ihre gemäß dieser Richtlinie zuständigen Behörden mit den gemäß der Verordnung (EU) 2022/2554 jeweils zuständigen Behörden des betreffenden Mitgliedstaats zusammenarbeiten. Insbesondere stellen die Mitgliedstaaten sicher, dass ihre gemäß dieser Richtlinie zuständigen Behörden das gemäß Artikel 32 Absatz 1 der Verordnung (EU) 2022/2554 eingerichtete Aufsichtsforum informieren, wenn sie ihre Aufsichts- und Durchsetzungsbefugnisse ausüben, um die Einhaltung dieser Richtlinie durch ein wichtiges Unternehmen sicherzustellen, das gemäß Artikel 31 der Verordnung (EU) 2022/2554 als kritischer IKT-Drittdienstleister benannt wurde.