1. Los Estados miembros velarán por que las medidas de supervisión o de ejecución impuestas a las entidades esenciales en relación con las obligaciones establecidas en la presente Directiva sean eficaces, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso concreto.
2. Los Estados miembros velarán por que las autoridades competentes, en el ejercicio de sus funciones de supervisión en relación con las entidades esenciales, estén facultadas para someter a dichas entidades, como mínimo, a:
(a) inspecciones in situ y supervisión fuera de las instalaciones, incluidos controles aleatorios realizados por profesionales formados;
(b) auditorías de seguridad periódicas y específicas realizadas por un organismo independiente o una autoridad competente;
(c) auditorías ad hoc, incluso cuando se justifiquen por una importante incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) o una infracción de la presente Directiva por la esencial entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2);
(d) exploraciones de seguridad basadas en criterios objetivos, no discriminatorios, justos y transparentes riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) criterios de evaluación, en su caso con la colaboración de la entidad interesada;
(e) solicitudes de información necesaria para evaluar la ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; las medidas de gestión de riesgos adoptadas por la entidad en cuestión, incluidas las políticas de ciberseguridad documentadas, así como el cumplimiento de la obligación de presentar información a las autoridades competentes con arreglo al artículo 27;
(f) solicitudes de acceso a los datos, documentos e información necesarios para llevar a cabo sus tareas de supervisión;
(g) solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como los resultados de las auditorías de seguridad realizadas por un auditor cualificado y las respectivas pruebas subyacentes.
Las auditorías de seguridad específicas a que se refiere el párrafo primero, letra b), se basarán en evaluaciones de riesgos realizadas por la autoridad competente o la entidad auditada, o en otra información disponible relacionada con el riesgo.
Los resultados de cualquier auditoría de seguridad específica se pondrán a disposición de la autoridad competente. Los costes de dicha auditoría de seguridad específica realizada por un organismo independiente correrán a cargo de la entidad auditada, salvo en casos debidamente justificados en que la autoridad competente decida otra cosa.
3. En el ejercicio de las facultades previstas en las letras e), f) o g) del apartado 2, las autoridades competentes indicarán el objeto de la solicitud y especificarán la información solicitada.
4. Los Estados miembros velarán por que sus autoridades competentes, en el ejercicio de sus competencias de ejecución en relación con las entidades esenciales, estén facultadas al menos para:
(a) emitir advertencias sobre las infracciones de la presente Directiva por parte de las entidades afectadas;
(b) adoptar instrucciones vinculantes, incluso en relación con las medidas necesarias para prevenir o remediar un incidente, así como plazos para la aplicación de dichas medidas y para informar sobre su aplicación, o una orden que exija a las entidades afectadas que subsanen las deficiencias detectadas o las infracciones de la presente Directiva;
(c) ordenar a las entidades afectadas que cesen en las conductas que infrinjan la presente Directiva y desistan de repetirlas;
(d) ordenar a las entidades afectadas que garanticen que sus medidas de gestión de los riesgos de ciberseguridad se ajustan a lo dispuesto en el artículo 21 o que cumplan las obligaciones de información establecidas en el artículo 23, de un modo y en un plazo determinados;
(e) ordenar a las entidades afectadas que informen a las personas físicas o jurídicas a las que presten servicios o realicen actividades potencialmente afectadas por un importante amenaza cibernéticaCiberamenazas significativas Se trata de una ciberamenaza que, en función de sus características técnicas, cabe suponer que puede tener un impacto grave en la red y los sistemas de información de una entidad o en los usuarios de los servicios de la entidad, causando daños materiales o inmateriales considerables. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) de la naturaleza de la amenaza, así como de las posibles medidas de protección o reparación que puedan adoptar dichas personas físicas o jurídicas en respuesta a dicha amenaza;
(f) ordenar a las entidades afectadas que apliquen las recomendaciones formuladas a raíz de una auditoría de seguridad en un plazo razonable;
(g) designar a un responsable de supervisión con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento de los artículos 21 y 23 por parte de las entidades afectadas;
(h) ordenar a las entidades afectadas que hagan públicos los aspectos de las infracciones de la presente Directiva de una manera determinada;
(i) imponer, o solicitar la imposición por los órganos, juzgados o tribunales competentes, de conformidad con la legislación nacional, de una multa administrativa con arreglo al artículo 34, además de cualquiera de las medidas contempladas en las letras a) a h) del presente apartado.
5. Cuando las medidas de ejecución adoptadas con arreglo al apartado 4, letras a) a d) y f), sean ineficaces, los Estados miembros velarán por que sus autoridades competentes estén facultadas para establecer un plazo en el que se solicite a la entidad esencial que adopte las medidas necesarias para subsanar las deficiencias o cumplir los requisitos de dichas autoridades. Si no se adoptan las medidas solicitadas en el plazo fijado, los Estados miembros velarán por que sus autoridades competentes estén facultadas para:
(a) suspender temporalmente, o solicitar a un organismo de certificación o autorización, o a un órgano jurisdiccional, de conformidad con la legislación nacional, que suspenda temporalmente una certificación o autorización relativa a una parte o a la totalidad de los servicios pertinentes prestados o de las actividades realizadas por la entidad esencial;
(b) solicitar que los órganos, juzgados o tribunales pertinentes, de conformidad con la legislación nacional, prohíban temporalmente a cualquier persona física encargada de desempeñar funciones directivas en calidad de director general o director jurídico representanteRepresentante Persona física o jurídica establecida en la Unión designada explícitamente para actuar en nombre de un proveedor de servicios DNS, un registro de nombres TLD, una entidad que preste servicios de registro de nombres de dominio, un proveedor de servicios de computación en nube, un proveedor de servicios de centros de datos, un proveedor de redes de suministro de contenidos, un proveedor de servicios gestionados, un proveedor de servicios de seguridad gestionados o un proveedor de un mercado en línea, de un motor de búsqueda en línea o de una plataforma de servicios de redes sociales que no esté establecido en la Unión, a la que pueda dirigirse una autoridad competente o un CSIRT en lugar de la propia entidad en lo que respecta a las obligaciones que incumben a dicha entidad en virtud de la presente Directiva. - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) nivel en la entidad esencial de ejercer funciones directivas en dicha entidad.
Las suspensiones o prohibiciones temporales impuestas de conformidad con el presente apartado sólo se aplicarán hasta que la entidad de que se trate emprenda las acciones necesarias para subsanar las deficiencias o cumplir los requisitos de la autoridad competente para la que se aplicaron dichas medidas de ejecución. La imposición de dichas suspensiones o prohibiciones temporales estará sujeta a las garantías procesales adecuadas de conformidad con los principios generales del Derecho de la Unión y de la Carta, incluido el derecho a la tutela judicial efectiva y a un juez imparcial, la presunción de inocencia y los derechos de la defensa.
Las medidas de ejecución previstas en el presente apartado no serán aplicables a las entidades de la administración pública sujetas a la presente Directiva.
6. Los Estados miembros velarán por que toda persona física responsable de una entidad esencial o que actúe como representante legal de la misma en virtud del poder de representación, de la facultad de tomar decisiones en su nombre o de la facultad de ejercer el control de la misma, esté facultada para garantizar el cumplimiento de la presente Directiva. Los Estados miembros velarán por que sea posible exigir responsabilidades a dichas personas físicas por el incumplimiento de sus obligaciones de garantizar el cumplimiento de la presente Directiva.
Por lo que respecta a las entidades de la administración pública, el presente apartado se entenderá sin perjuicio de la legislación nacional en materia de responsabilidad de los funcionarios públicos y los cargos electos o designados.
7. Al adoptar cualquiera de las medidas de ejecución contempladas en los apartados 4 ó 5, las autoridades competentes respetarán los derechos de la defensa y tendrán en cuenta las circunstancias de cada caso concreto y, como mínimo, tomarán debidamente en consideración:
(a) La gravedad de la infracción y la importancia de las disposiciones infringidas, constituyendo en todo caso infracción grave, entre otras, las siguientes:
(i) infracciones reiteradas;
(ii) la no notificación o subsanación de incidentes significativos;
(iii) la no subsanación de deficiencias a raíz de instrucciones vinculantes de las autoridades competentes;
(iv) la obstrucción de auditorías o actividades de control ordenadas por la autoridad competente a raíz de la constatación de una infracción;
(v) facilitar información falsa o manifiestamente inexacta en relación con las medidas de gestión de riesgos para la ciberseguridad o las obligaciones de notificación establecidas en los artículos 21 y 23;
(b) la duración de la infracción;
(c) cualquier infracción anterior relevante cometida por la entidad en cuestión;
(d) cualquier daño material o inmaterial causado, incluidas las pérdidas financieras o económicas, los efectos sobre otros servicios y el número de usuarios afectados;
(e) cualquier intención o negligencia por parte del autor de la infracción;
(f) las medidas adoptadas por la entidad para prevenir o mitigar el daño material o moral;
(g) cualquier adhesión a códigos de conducta o mecanismos de certificación aprobados;
(h) el nivel de cooperación de las personas físicas o jurídicas consideradas responsables con las autoridades competentes.
8. Las autoridades competentes motivarán detalladamente sus medidas de ejecución. Antes de adoptar dichas medidas, las autoridades competentes notificarán sus conclusiones preliminares a las entidades afectadas. Asimismo, concederán un plazo razonable para que dichas entidades presenten sus observaciones, salvo en casos debidamente justificados en los que, de lo contrario, se impediría una actuación inmediata para prevenir incidentes o responder a los mismos.
9. Los Estados miembros velarán por que sus autoridades competentes con arreglo a la presente Directiva informen a las autoridades competentes pertinentes dentro del mismo Estado miembro con arreglo a la Directiva (UE) 2022/2557 cuando ejerzan sus facultades de supervisión y ejecución destinadas a garantizar el cumplimiento de la presente Directiva por parte de una entidad identificada como entidad crítica con arreglo a la Directiva (UE) 2022/2557. Cuando proceda, las autoridades competentes en virtud de la Directiva (UE) 2022/2557 podrán solicitar a las autoridades competentes en virtud de la presente Directiva que ejerzan sus competencias de supervisión y ejecución en relación con una entidad identificada como entidad crítica en virtud de la Directiva (UE) 2022/2557.
10. Los Estados miembros velarán por que sus autoridades competentes en virtud de la presente Directiva cooperen con las autoridades competentes pertinentes del Estado miembro de que se trate en virtud del Reglamento (UE) 2022/2554. En particular, los Estados miembros velarán por que sus autoridades competentes en virtud de la presente Directiva informen al Foro de Supervisión establecido de conformidad con el artículo 32, apartado 1, del Reglamento (UE) 2022/2554 cuando ejerzan sus competencias de supervisión y ejecución destinadas a garantizar el cumplimiento de la presente Directiva por parte de una entidad esencial designada como proveedor de servicios críticos de TIC en calidad de tercero de conformidad con el artículo 31 del Reglamento (UE) 2022/2554.