1. Cuando se le proporcionen pruebas, indicios o información de que un entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) supuestamente no cumple lo dispuesto en la presente Directiva, en particular en sus artículos 21 y 23, los Estados miembros velarán por que las autoridades competentes actúen, en caso necesario, mediante medidas de supervisión a posteriori. Los Estados miembros velarán por que dichas medidas sean eficaces, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso concreto.
2. Los Estados miembros velarán por que las autoridades competentes, en el ejercicio de sus funciones de supervisión en relación con entidades importantes, estén facultadas para someter a dichas entidades, como mínimo, a:
(a) Inspecciones in situ y supervisión ex post a cargo de profesionales cualificados;
(b) auditorías de seguridad específicas realizadas por un organismo independiente o una autoridad competente;
(c) exploraciones de seguridad basadas en criterios objetivos, no discriminatorios, justos y transparentes riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) criterios de evaluación, en su caso con la colaboración de la entidad interesada;
(d) solicitudes de información necesaria para evaluar, a posteriori, la ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; las medidas de gestión de riesgos adoptadas por la entidad en cuestión, incluidas las políticas de ciberseguridad documentadas, así como el cumplimiento de la obligación de presentar información a las autoridades competentes con arreglo al artículo 27;
(e) solicitudes de acceso a datos, documentos e información necesarios para llevar a cabo sus tareas de supervisión;
(f) solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como los resultados de las auditorías de seguridad realizadas por un auditor cualificado y las respectivas pruebas subyacentes.
Las auditorías de seguridad específicas a que se refiere el párrafo primero, letra b), se basarán en evaluaciones de riesgos realizadas por la autoridad competente o la entidad auditada, o en otra información disponible relacionada con el riesgo.
Los resultados de cualquier auditoría de seguridad específica se pondrán a disposición de la autoridad competente. Los costes de dicha auditoría de seguridad específica realizada por un organismo independiente correrán a cargo de la entidad auditada, salvo en casos debidamente justificados en que la autoridad competente decida otra cosa.
3. En el ejercicio de las facultades previstas en las letras d), e) o f) del apartado 2, las autoridades competentes indicarán el objeto de la solicitud y especificarán la información solicitada.
4. Los Estados miembros velarán por que las autoridades competentes, en el ejercicio de sus competencias de ejecución en relación con entidades importantes, estén facultadas al menos para:
(a) emitir advertencias sobre las infracciones de la presente Directiva por parte de las entidades afectadas;
(b) adoptar instrucciones vinculantes u ordenar a las entidades afectadas que subsanen las deficiencias detectadas o la infracción de la presente Directiva;
(c) ordenar a las entidades afectadas que cesen en las conductas que infrinjan la presente Directiva y desistan de repetirlas;
(d) ordenar a las entidades afectadas que garanticen que sus medidas de gestión de los riesgos de ciberseguridad se ajustan a lo dispuesto en el artículo 21 o que cumplan las obligaciones de información establecidas en el artículo 23, de un modo y en un plazo determinados;
(e) ordenar a las entidades afectadas que informen a las personas físicas o jurídicas a las que presten servicios o realicen actividades potencialmente afectadas por un importante amenaza cibernéticaCiberamenazas significativas Se trata de una ciberamenaza que, en función de sus características técnicas, cabe suponer que puede tener un impacto grave en la red y los sistemas de información de una entidad o en los usuarios de los servicios de la entidad, causando daños materiales o inmateriales considerables. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) de la naturaleza de la amenaza, así como de las posibles medidas de protección o reparación que puedan adoptar dichas personas físicas o jurídicas en respuesta a dicha amenaza;
(f) ordenar a las entidades afectadas que apliquen las recomendaciones formuladas a raíz de una auditoría de seguridad en un plazo razonable;
(g) ordenar a las entidades afectadas que hagan públicos los aspectos de las infracciones de la presente Directiva de una manera determinada;
(h) imponer, o solicitar la imposición por los órganos, juzgados o tribunales competentes, de conformidad con la legislación nacional, de una multa administrativa con arreglo al artículo 34, además de cualquiera de las medidas contempladas en las letras a) a g) del presente apartado.
5. Los apartados 6, 7 y 8 del artículo 32 se aplicarán mutatis mutandis a las medidas de supervisión y ejecución previstas en el presente artículo para las entidades importantes.
6. Los Estados miembros velarán por que sus autoridades competentes en virtud de la presente Directiva cooperen con las autoridades competentes pertinentes del Estado miembro de que se trate en virtud del Reglamento (UE) 2022/2554. En particular, los Estados miembros velarán por que sus autoridades competentes con arreglo a la presente Directiva informen al Foro de Supervisión establecido de conformidad con el artículo 32, apartado 1, del Reglamento (UE) 2022/2554 cuando ejerzan sus competencias de supervisión y ejecución destinadas a garantizar el cumplimiento de la presente Directiva por parte de una entidad importante designada como proveedor de servicios de TIC a terceros de importancia crítica de conformidad con el artículo 31 del Reglamento (UE) 2022/2554.