1. Quando viene fornita un'evidenza, un'indicazione o un'informazione che un'importante entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) non è conforme alla presente direttiva, in particolare agli articoli 21 e 23, gli Stati membri assicurano che le autorità competenti intervengano, se necessario, mediante misure di vigilanza ex post. Gli Stati membri assicurano che tali misure siano efficaci, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso.
2. Gli Stati membri assicurano che le autorità competenti, nell'esercizio dei loro compiti di vigilanza in relazione ai soggetti rilevanti, abbiano il potere di assoggettare tali soggetti almeno a:
(a) ispezioni in loco e supervisione ex post fuori sede condotte da professionisti qualificati;
(b) controlli di sicurezza mirati effettuati da un organismo indipendente o da un'autorità competente;
(c) scansioni di sicurezza basate su criteri oggettivi, non discriminatori, equi e trasparenti. rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) criteri di valutazione, se necessario con la collaborazione dell'ente interessato;
(d) le richieste di informazioni necessarie a valutare, ex post, la sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; le misure di gestione del rischio adottate dall'entità interessata, comprese le politiche di cybersecurity documentate, nonché il rispetto dell'obbligo di presentare informazioni alle autorità competenti ai sensi dell'articolo 27;
(e) richieste di accesso a dati, documenti e informazioni necessarie per svolgere i propri compiti di vigilanza;
(f) richieste di prove dell'attuazione delle politiche di cybersecurity, come i risultati degli audit di sicurezza effettuati da un revisore qualificato e le rispettive prove sottostanti.
I controlli di sicurezza mirati di cui al primo comma, lettera b), si basano su valutazioni del rischio condotte dall'autorità competente o dal soggetto sottoposto a controllo o su altre informazioni disponibili relative al rischio.
I risultati di qualsiasi controllo di sicurezza mirato sono messi a disposizione dell'autorità competente. I costi di tali controlli di sicurezza mirati effettuati da un organismo indipendente sono a carico del soggetto sottoposto a controllo, salvo nei casi debitamente motivati in cui l'autorità competente decida diversamente.
3. Nell'esercizio dei poteri di cui al paragrafo 2, lettere d), e) o f), le autorità competenti indicano lo scopo della richiesta e specificano le informazioni richieste.
4. Gli Stati membri assicurano che le autorità competenti, nell'esercizio dei loro poteri di esecuzione in relazione a entità importanti, abbiano almeno il potere di:
(a) emettere avvertimenti sulle violazioni della presente direttiva da parte degli enti interessati;
(b) adottare istruzioni vincolanti o un ordine che imponga agli enti interessati di porre rimedio alle carenze individuate o alla violazione della presente direttiva;
(c) ordinare agli enti interessati di cessare la condotta che viola la presente direttiva e di astenersi dal ripeterla;
(d) ordinare ai soggetti interessati di garantire che le loro misure di gestione del rischio di cibersicurezza siano conformi all'articolo 21 o di adempiere agli obblighi di comunicazione di cui all'articolo 23, secondo modalità ed entro un termine determinati;
(e) ordinare agli enti interessati di informare le persone fisiche o giuridiche nei confronti delle quali forniscono servizi o svolgono attività che sono potenzialmente interessate da una minaccia informatica significativaMinaccia informatica significativa Si intende una minaccia informatica che, in base alle sue caratteristiche tecniche, si può presumere abbia un impatto potenziale grave sulla rete e sui sistemi informativi di un'entità o sugli utenti dei servizi dell'entità stessa, causando danni materiali o immateriali considerevoli -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) della natura della minaccia, nonché delle possibili misure protettive o correttive che possono essere adottate da tali persone fisiche o giuridiche in risposta a tale minaccia;
(f) ordinare agli enti interessati di attuare le raccomandazioni fornite a seguito di un controllo di sicurezza entro un termine ragionevole;
(g) ordinare agli enti interessati di rendere pubblici gli aspetti delle violazioni della presente direttiva secondo modalità specifiche;
(h) imporre o richiedere l'imposizione da parte degli organi, dei tribunali o delle corti competenti, in conformità al diritto nazionale, di una sanzione amministrativa pecuniaria ai sensi dell'articolo 34 in aggiunta a una qualsiasi delle misure di cui alle lettere da a) a g) del presente paragrafo.
5. L'articolo 32, paragrafi 6, 7 e 8, si applica mutatis mutandis alle misure di vigilanza e di esecuzione previste dal presente articolo per gli enti importanti.
6. Gli Stati membri assicurano che le loro autorità competenti ai sensi della presente direttiva cooperino con le autorità competenti dello Stato membro interessato ai sensi del regolamento (UE) 2022/2554. In particolare, gli Stati membri assicurano che le loro autorità competenti ai sensi della presente direttiva informino il forum di vigilanza istituito ai sensi dell'articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando esercitano i loro poteri di vigilanza e di applicazione volti a garantire la conformità alla presente direttiva di un'entità importante designata come fornitore di servizi di terze parti TIC critici ai sensi dell'articolo 31 del regolamento (UE) 2022/2554.