1. Gli Stati membri assicurano che le misure di vigilanza o di esecuzione imposte agli enti essenziali in relazione agli obblighi previsti dalla presente direttiva siano efficaci, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso.
2. Gli Stati membri assicurano che le autorità competenti, nell'esercizio dei loro compiti di vigilanza in relazione ai soggetti essenziali, abbiano il potere di assoggettare tali soggetti almeno a:
(a) ispezioni in loco e supervisione fuori sede, compresi controlli a campione condotti da professionisti qualificati;
(b) controlli di sicurezza regolari e mirati effettuati da un organismo indipendente o da un'autorità competente;
(c) audit ad hoc, anche laddove giustificati da un significativo incidenteIncidente Si intende un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) o una violazione della presente direttiva da parte dell'essenziale entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2);
(d) scansioni di sicurezza basate su criteri oggettivi, non discriminatori, equi e trasparenti. rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) criteri di valutazione, se necessario con la collaborazione dell'ente interessato;
(e) richieste di informazioni necessarie per la valutazione della sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; le misure di gestione del rischio adottate dall'entità interessata, comprese le politiche di cybersecurity documentate, nonché il rispetto dell'obbligo di presentare informazioni alle autorità competenti ai sensi dell'articolo 27;
(f) richieste di accesso a dati, documenti e informazioni necessarie per svolgere i propri compiti di vigilanza;
(g) richieste di prove dell'attuazione delle politiche di cybersecurity, come i risultati degli audit di sicurezza effettuati da un revisore qualificato e le rispettive prove sottostanti.
I controlli di sicurezza mirati di cui al primo comma, lettera b), si basano su valutazioni del rischio condotte dall'autorità competente o dal soggetto sottoposto a controllo o su altre informazioni disponibili relative al rischio.
I risultati di qualsiasi controllo di sicurezza mirato sono messi a disposizione dell'autorità competente. I costi di tali controlli di sicurezza mirati effettuati da un organismo indipendente sono a carico del soggetto sottoposto a controllo, salvo nei casi debitamente motivati in cui l'autorità competente decida diversamente.
3. Nell'esercizio dei poteri di cui al paragrafo 2, lettere e), f) o g), le autorità competenti indicano lo scopo della richiesta e specificano le informazioni richieste.
4. Gli Stati membri assicurano che le loro autorità competenti, nell'esercizio dei loro poteri esecutivi in relazione ai soggetti essenziali, abbiano il potere almeno di:
(a) emettere avvertimenti sulle violazioni della presente direttiva da parte degli enti interessati;
(b) adottare istruzioni vincolanti, anche per quanto riguarda le misure necessarie per prevenire o porre rimedio a un incidente, nonché i termini per l'attuazione di tali misure e per la presentazione di relazioni sulla loro attuazione, o un ordine che imponga agli enti interessati di porre rimedio alle carenze individuate o alle violazioni della presente direttiva;
(c) ordinare agli enti interessati di cessare la condotta che viola la presente direttiva e di astenersi dal ripeterla;
(d) ordinare ai soggetti interessati di garantire che le loro misure di gestione del rischio di cibersicurezza siano conformi all'articolo 21 o di adempiere agli obblighi di comunicazione di cui all'articolo 23, secondo modalità ed entro un termine determinati;
(e) ordinare agli enti interessati di informare le persone fisiche o giuridiche nei confronti delle quali forniscono servizi o svolgono attività che sono potenzialmente interessate da una minaccia informatica significativaMinaccia informatica significativa Si intende una minaccia informatica che, in base alle sue caratteristiche tecniche, si può presumere abbia un impatto potenziale grave sulla rete e sui sistemi informativi di un'entità o sugli utenti dei servizi dell'entità stessa, causando danni materiali o immateriali considerevoli -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) della natura della minaccia, nonché delle possibili misure protettive o correttive che possono essere adottate da tali persone fisiche o giuridiche in risposta a tale minaccia;
(f) ordinare agli enti interessati di attuare le raccomandazioni fornite a seguito di un controllo di sicurezza entro un termine ragionevole;
(g) designare un responsabile del monitoraggio con compiti ben definiti per un determinato periodo di tempo, al fine di sorvegliare l'osservanza degli articoli 21 e 23 da parte degli enti interessati;
(h) ordinare agli enti interessati di rendere pubblici gli aspetti delle violazioni della presente direttiva secondo modalità specifiche;
(i) imporre o richiedere l'imposizione da parte degli organi, dei tribunali o delle corti competenti, in conformità al diritto nazionale, di una sanzione amministrativa pecuniaria ai sensi dell'articolo 34 in aggiunta a una qualsiasi delle misure di cui alle lettere da (a) a (h) del presente paragrafo.
5. Qualora le misure di esecuzione adottate ai sensi del paragrafo 4, lettere da a) a d) e f), siano inefficaci, gli Stati membri assicurano che le loro autorità competenti abbiano il potere di stabilire un termine entro il quale si richiede all'ente essenziale di adottare le misure necessarie per rimediare alle carenze o per conformarsi ai requisiti di tali autorità. Se l'azione richiesta non viene intrapresa entro il termine stabilito, gli Stati membri assicurano che le loro autorità competenti abbiano il potere di:
(a) sospendere temporaneamente, o chiedere a un organismo di certificazione o autorizzazione, o a un organo giurisdizionale, in conformità alla legislazione nazionale, di sospendere temporaneamente una certificazione o un'autorizzazione relativa a una parte o alla totalità dei servizi pertinenti forniti o delle attività svolte dall'entità essenziale;
(b) chiedere che gli organi, i tribunali o le corti competenti, in conformità con la legislazione nazionale, vietino temporaneamente a qualsiasi persona fisica che sia responsabile dell'esercizio delle funzioni dirigenziali di amministratore delegato o di direttore legale rappresentanteRappresentante Persona fisica o giuridica stabilita nell'Unione esplicitamente designata ad agire per conto di un fornitore di servizi DNS, di un registro di nomi TLD, di un'entità che fornisce servizi di registrazione di nomi di dominio, di un fornitore di servizi di cloud computing, di un fornitore di servizi di data center, di un fornitore di reti di distribuzione di contenuti, di un fornitore di servizi gestiti, di un fornitore di servizi di sicurezza gestiti o di un fornitore di un mercato online, di un motore di ricerca online o di una piattaforma di servizi di social network non stabilita nell'Unione, che può essere interpellata da un'autorità competente o da un CSIRT al posto dell'entità stessa per quanto riguarda gli obblighi di tale entità ai sensi della presente direttiva. - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) livello dell'entità essenziale dall'esercizio di funzioni manageriali in tale entità.
Le sospensioni o i divieti temporanei imposti ai sensi del presente paragrafo sono applicati solo fino a quando l'entità interessata non intraprende le azioni necessarie per rimediare alle carenze o conformarsi ai requisiti dell'autorità competente per cui sono state applicate tali misure di esecuzione. L'imposizione di tali sospensioni o divieti temporanei è soggetta ad adeguate garanzie procedurali in conformità ai principi generali del diritto dell'Unione e della Carta, compresi il diritto a un ricorso effettivo e a un giudice imparziale, la presunzione di innocenza e i diritti della difesa.
Le misure di esecuzione di cui al presente paragrafo non si applicano agli enti della pubblica amministrazione che sono soggetti alla presente direttiva.
6. Gli Stati membri provvedono affinché qualsiasi persona fisica responsabile o che agisce in qualità di rappresentante legale di un'entità essenziale sulla base del potere di rappresentarla, del potere di prendere decisioni per suo conto o del potere di esercitare un controllo su di essa abbia il potere di garantire la conformità alla presente direttiva. Gli Stati membri provvedono affinché sia possibile ritenere tali persone fisiche responsabili per la violazione dei loro obblighi di garantire la conformità alla presente direttiva.
Per quanto riguarda gli enti della pubblica amministrazione, il presente paragrafo non pregiudica la legislazione nazionale in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati.
7. Nell'adottare una delle misure esecutive di cui ai paragrafi 4 o 5, le autorità competenti rispettano i diritti della difesa e tengono conto delle circostanze di ogni singolo caso e, come minimo, tengono in debito conto:
(a) la gravità dell'infrazione e l'importanza delle disposizioni violate, che, tra l'altro, costituiscono in ogni caso un'infrazione grave:
(i) violazioni ripetute;
(ii) la mancata notifica o il mancato rimedio a incidenti significativi;
(iii) la mancata correzione delle carenze a seguito di istruzioni vincolanti delle autorità competenti;
(iv) l'impedimento di verifiche o attività di monitoraggio ordinate dall'autorità competente a seguito dell'accertamento di una violazione;
(v) fornire informazioni false o gravemente inesatte in relazione alle misure di gestione del rischio di cibersicurezza o agli obblighi di segnalazione di cui agli articoli 21 e 23;
(b) la durata della violazione;
(c) eventuali precedenti violazioni pertinenti da parte dell'ente interessato;
(d) qualsiasi danno materiale o non materiale causato, comprese le perdite finanziarie o economiche, gli effetti su altri servizi e il numero di utenti interessati;
(e) qualsiasi intenzione o negligenza da parte dell'autore della violazione;
(f) qualsiasi misura adottata dall'entità per prevenire o mitigare il danno materiale o non materiale;
(g) l'eventuale adesione a codici di condotta approvati o a meccanismi di certificazione approvati;
(h) il livello di cooperazione delle persone fisiche o giuridiche ritenute responsabili con le autorità competenti.
8. Le autorità competenti motivano dettagliatamente le loro misure di esecuzione. Prima di adottare tali misure, le autorità competenti notificano agli enti interessati le loro conclusioni preliminari. Esse concedono inoltre a tali soggetti un periodo di tempo ragionevole per presentare osservazioni, tranne nei casi debitamente motivati in cui un'azione immediata per prevenire o rispondere agli incidenti sarebbe altrimenti impedita.
9. Gli Stati membri provvedono affinché le loro autorità competenti ai sensi della presente direttiva informino le autorità competenti interessate all'interno dello stesso Stato membro ai sensi della direttiva (UE) 2022/2557 quando esercitano i loro poteri di vigilanza e di applicazione volti a garantire la conformità di un'entità identificata come entità critica ai sensi della direttiva (UE) 2022/2557 alla presente direttiva. Se del caso, le autorità competenti ai sensi della direttiva (UE) 2022/2557 possono chiedere alle autorità competenti ai sensi della presente direttiva di esercitare i loro poteri di vigilanza e applicazione in relazione a un'entità identificata come entità critica ai sensi della direttiva (UE) 2022/2557.
10. Gli Stati membri assicurano che le loro autorità competenti ai sensi della presente direttiva cooperino con le autorità competenti dello Stato membro interessato ai sensi del regolamento (UE) 2022/2554. In particolare, gli Stati membri assicurano che le loro autorità competenti ai sensi della presente direttiva informino il forum di vigilanza istituito ai sensi dell'articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando esercitano i loro poteri di vigilanza e di applicazione volti a garantire la conformità alla presente direttiva di un'entità essenziale designata come fornitore di servizi di terze parti TIC critici ai sensi dell'articolo 31 del regolamento (UE) 2022/2554.