1. Los Estados miembros velar\u00e1n por que las medidas de supervisi\u00f3n o de ejecuci\u00f3n impuestas a las entidades esenciales en relaci\u00f3n con las obligaciones establecidas en la presente Directiva sean eficaces, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso concreto.<\/p>\n\n\n\n
2. Los Estados miembros velar\u00e1n por que las autoridades competentes, en el ejercicio de sus funciones de supervisi\u00f3n en relaci\u00f3n con las entidades esenciales, est\u00e9n facultadas para someter a dichas entidades, como m\u00ednimo, a:<\/p>\n\n\n\n
(a) inspecciones in situ y supervisi\u00f3n fuera de las instalaciones, incluidos controles aleatorios realizados por profesionales formados;<\/p>\n\n\n\n
(b) auditor\u00edas de seguridad peri\u00f3dicas y espec\u00edficas realizadas por un organismo independiente o una autoridad competente;<\/p>\n\n\n\n
(c) auditor\u00edas ad hoc, incluso cuando se justifiquen por una importante incidenteIncidente<\/span> Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de informaci\u00f3n o accesibles a trav\u00e9s de ellos\". Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> o una infracci\u00f3n de la presente Directiva por la esencial entidadEntidad<\/span> Persona f\u00edsica o jur\u00eddica creada y reconocida como tal en virtud de la legislaci\u00f3n nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span>;<\/p>\n\n\n\n (d) exploraciones de seguridad basadas en criterios objetivos, no discriminatorios, justos y transparentes riesgoRiesgo<\/span> Se refiere al potencial de p\u00e9rdida o perturbaci\u00f3n causado por un incidente y debe expresarse como una combinaci\u00f3n de la magnitud de dicha p\u00e9rdida o perturbaci\u00f3n y la probabilidad de que se produzca el incidente. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> criterios de evaluaci\u00f3n, en su caso con la colaboraci\u00f3n de la entidad interesada;<\/p>\n\n\n\n (e) solicitudes de informaci\u00f3n necesaria para evaluar la ciberseguridadCiberseguridad<\/span> \"ciberseguridad\": la ciberseguridad definida en el art\u00edculo 2, punto 1, del Reglamento (UE) 2019\/881; - Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a>\r\r\"ciberseguridad\": las actividades necesarias para proteger las redes y los sistemas de informaci\u00f3n, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definici\u00f3n seg\u00fan el art\u00edculo 2, punto (1), del Reglamento (UE) 2019\/881;<\/span><\/span><\/span> las medidas de gesti\u00f3n de riesgos adoptadas por la entidad en cuesti\u00f3n, incluidas las pol\u00edticas de ciberseguridad documentadas, as\u00ed como el cumplimiento de la obligaci\u00f3n de presentar informaci\u00f3n a las autoridades competentes con arreglo al art\u00edculo 27;<\/p>\n\n\n\n (f) solicitudes de acceso a los datos, documentos e informaci\u00f3n necesarios para llevar a cabo sus tareas de supervisi\u00f3n;<\/p>\n\n\n\n (g) solicitudes de pruebas de la aplicaci\u00f3n de las pol\u00edticas de ciberseguridad, como los resultados de las auditor\u00edas de seguridad realizadas por un auditor cualificado y las respectivas pruebas subyacentes.<\/p>\n\n\n\n Las auditor\u00edas de seguridad espec\u00edficas a que se refiere el p\u00e1rrafo primero, letra b), se basar\u00e1n en evaluaciones de riesgos realizadas por la autoridad competente o la entidad auditada, o en otra informaci\u00f3n disponible relacionada con el riesgo.<\/p>\n\n\n\n Los resultados de cualquier auditor\u00eda de seguridad espec\u00edfica se pondr\u00e1n a disposici\u00f3n de la autoridad competente. Los costes de dicha auditor\u00eda de seguridad espec\u00edfica realizada por un organismo independiente correr\u00e1n a cargo de la entidad auditada, salvo en casos debidamente justificados en que la autoridad competente decida otra cosa.<\/p>\n\n\n\n 3. En el ejercicio de las facultades previstas en las letras e), f) o g) del apartado 2, las autoridades competentes indicar\u00e1n el objeto de la solicitud y especificar\u00e1n la informaci\u00f3n solicitada.<\/p>\n\n\n\n 4. Los Estados miembros velar\u00e1n por que sus autoridades competentes, en el ejercicio de sus competencias de ejecuci\u00f3n en relaci\u00f3n con las entidades esenciales, est\u00e9n facultadas al menos para:<\/p>\n\n\n\n (a) emitir advertencias sobre las infracciones de la presente Directiva por parte de las entidades afectadas;<\/p>\n\n\n\n (b) adoptar instrucciones vinculantes, incluso en relaci\u00f3n con las medidas necesarias para prevenir o remediar un incidente, as\u00ed como plazos para la aplicaci\u00f3n de dichas medidas y para informar sobre su aplicaci\u00f3n, o una orden que exija a las entidades afectadas que subsanen las deficiencias detectadas o las infracciones de la presente Directiva;<\/p>\n\n\n\n (c) ordenar a las entidades afectadas que cesen en las conductas que infrinjan la presente Directiva y desistan de repetirlas;<\/p>\n\n\n\n (d) ordenar a las entidades afectadas que garanticen que sus medidas de gesti\u00f3n de los riesgos de ciberseguridad se ajustan a lo dispuesto en el art\u00edculo 21 o que cumplan las obligaciones de informaci\u00f3n establecidas en el art\u00edculo 23, de un modo y en un plazo determinados;<\/p>\n\n\n\n (e) ordenar a las entidades afectadas que informen a las personas f\u00edsicas o jur\u00eddicas a las que presten servicios o realicen actividades potencialmente afectadas por un importante amenaza cibern\u00e9ticaCiberamenazas significativas<\/span> Se trata de una ciberamenaza que, en funci\u00f3n de sus caracter\u00edsticas t\u00e9cnicas, cabe suponer que puede tener un impacto grave en la red y los sistemas de informaci\u00f3n de una entidad o en los usuarios de los servicios de la entidad, causando da\u00f1os materiales o inmateriales considerables. Definici\u00f3n seg\u00fan el art\u00edculo 6 de la Directiva (UE) 2022\/2555 (Directiva NIS2)<\/a><\/span><\/span><\/span> de la naturaleza de la amenaza, as\u00ed como de las posibles medidas de protecci\u00f3n o reparaci\u00f3n que puedan adoptar dichas personas f\u00edsicas o jur\u00eddicas en respuesta a dicha amenaza;<\/p>\n\n\n\n (f) ordenar a las entidades afectadas que apliquen las recomendaciones formuladas a ra\u00edz de una auditor\u00eda de seguridad en un plazo razonable;<\/p>\n\n\n\n (g) designar a un responsable de supervisi\u00f3n con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento de los art\u00edculos 21 y 23 por parte de las entidades afectadas;<\/p>\n\n\n\n (h) ordenar a las entidades afectadas que hagan p\u00fablicos los aspectos de las infracciones de la presente Directiva de una manera determinada;<\/p>\n\n\n\n (i) imponer, o solicitar la imposici\u00f3n por los \u00f3rganos, juzgados o tribunales competentes, de conformidad con la legislaci\u00f3n nacional, de una multa administrativa con arreglo al art\u00edculo 34, adem\u00e1s de cualquiera de las medidas contempladas en las letras a) a h) del presente apartado.<\/p>\n\n\n\n 5. Cuando las medidas de ejecuci\u00f3n adoptadas con arreglo al apartado 4, letras a) a d) y f), sean ineficaces, los Estados miembros velar\u00e1n por que sus autoridades competentes est\u00e9n facultadas para establecer un plazo en el que se solicite a la entidad esencial que adopte las medidas necesarias para subsanar las deficiencias o cumplir los requisitos de dichas autoridades. Si no se adoptan las medidas solicitadas en el plazo fijado, los Estados miembros velar\u00e1n por que sus autoridades competentes est\u00e9n facultadas para:<\/p>\n\n\n\n (a) suspender temporalmente, o solicitar a un organismo de certificaci\u00f3n o autorizaci\u00f3n, o a un \u00f3rgano jurisdiccional, de conformidad con la legislaci\u00f3n nacional, que suspenda temporalmente una certificaci\u00f3n o autorizaci\u00f3n relativa a una parte o a la totalidad de los servicios pertinentes prestados o de las actividades realizadas por la entidad esencial;<\/p>\n\n\n\n