1. Gli Stati membri assicurano che le misure di vigilanza o di esecuzione imposte agli enti essenziali in relazione agli obblighi previsti dalla presente direttiva siano efficaci, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso.<\/p>\n\n\n\n
2. Gli Stati membri assicurano che le autorit\u00e0 competenti, nell'esercizio dei loro compiti di vigilanza in relazione ai soggetti essenziali, abbiano il potere di assoggettare tali soggetti almeno a:<\/p>\n\n\n\n
(a) ispezioni in loco e supervisione fuori sede, compresi controlli a campione condotti da professionisti qualificati;<\/p>\n\n\n\n
(b) controlli di sicurezza regolari e mirati effettuati da un organismo indipendente o da un'autorit\u00e0 competente;<\/p>\n\n\n\n
(c) audit ad hoc, anche laddove giustificati da un significativo incidenteIncidente<\/span> Si intende un evento che compromette la disponibilit\u00e0, l'autenticit\u00e0, l'integrit\u00e0 o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> o una violazione della presente direttiva da parte dell'essenziale entit\u00e0Entit\u00e0<\/span> Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che pu\u00f2, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span>;<\/p>\n\n\n\n (d) scansioni di sicurezza basate su criteri oggettivi, non discriminatori, equi e trasparenti. rischioIl rischio<\/span> Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entit\u00e0 di tale perdita o perturbazione e della probabilit\u00e0 che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> criteri di valutazione, se necessario con la collaborazione dell'ente interessato;<\/p>\n\n\n\n (e) richieste di informazioni necessarie per la valutazione della sicurezza informaticaSicurezza informatica<\/span> per \"cibersicurezza\" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019\/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a>\r\rper \"sicurezza informatica\" si intendono le attivit\u00e0 necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019\/881;<\/span><\/span><\/span> le misure di gestione del rischio adottate dall'entit\u00e0 interessata, comprese le politiche di cybersecurity documentate, nonch\u00e9 il rispetto dell'obbligo di presentare informazioni alle autorit\u00e0 competenti ai sensi dell'articolo 27;<\/p>\n\n\n\n (f) richieste di accesso a dati, documenti e informazioni necessarie per svolgere i propri compiti di vigilanza;<\/p>\n\n\n\n (g) richieste di prove dell'attuazione delle politiche di cybersecurity, come i risultati degli audit di sicurezza effettuati da un revisore qualificato e le rispettive prove sottostanti.<\/p>\n\n\n\n I controlli di sicurezza mirati di cui al primo comma, lettera b), si basano su valutazioni del rischio condotte dall'autorit\u00e0 competente o dal soggetto sottoposto a controllo o su altre informazioni disponibili relative al rischio.<\/p>\n\n\n\n I risultati di qualsiasi controllo di sicurezza mirato sono messi a disposizione dell'autorit\u00e0 competente. I costi di tali controlli di sicurezza mirati effettuati da un organismo indipendente sono a carico del soggetto sottoposto a controllo, salvo nei casi debitamente motivati in cui l'autorit\u00e0 competente decida diversamente.<\/p>\n\n\n\n 3. Nell'esercizio dei poteri di cui al paragrafo 2, lettere e), f) o g), le autorit\u00e0 competenti indicano lo scopo della richiesta e specificano le informazioni richieste.<\/p>\n\n\n\n 4. Gli Stati membri assicurano che le loro autorit\u00e0 competenti, nell'esercizio dei loro poteri esecutivi in relazione ai soggetti essenziali, abbiano il potere almeno di:<\/p>\n\n\n\n (a) emettere avvertimenti sulle violazioni della presente direttiva da parte degli enti interessati;<\/p>\n\n\n\n (b) adottare istruzioni vincolanti, anche per quanto riguarda le misure necessarie per prevenire o porre rimedio a un incidente, nonch\u00e9 i termini per l'attuazione di tali misure e per la presentazione di relazioni sulla loro attuazione, o un ordine che imponga agli enti interessati di porre rimedio alle carenze individuate o alle violazioni della presente direttiva;<\/p>\n\n\n\n (c) ordinare agli enti interessati di cessare la condotta che viola la presente direttiva e di astenersi dal ripeterla;<\/p>\n\n\n\n (d) ordinare ai soggetti interessati di garantire che le loro misure di gestione del rischio di cibersicurezza siano conformi all'articolo 21 o di adempiere agli obblighi di comunicazione di cui all'articolo 23, secondo modalit\u00e0 ed entro un termine determinati;<\/p>\n\n\n\n (e) ordinare agli enti interessati di informare le persone fisiche o giuridiche nei confronti delle quali forniscono servizi o svolgono attivit\u00e0 che sono potenzialmente interessate da una minaccia informatica significativaMinaccia informatica significativa<\/span> Si intende una minaccia informatica che, in base alle sue caratteristiche tecniche, si pu\u00f2 presumere abbia un impatto potenziale grave sulla rete e sui sistemi informativi di un'entit\u00e0 o sugli utenti dei servizi dell'entit\u00e0 stessa, causando danni materiali o immateriali considerevoli -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022\/2555 (direttiva NIS2)<\/a><\/span><\/span><\/span> della natura della minaccia, nonch\u00e9 delle possibili misure protettive o correttive che possono essere adottate da tali persone fisiche o giuridiche in risposta a tale minaccia;<\/p>\n\n\n\n (f) ordinare agli enti interessati di attuare le raccomandazioni fornite a seguito di un controllo di sicurezza entro un termine ragionevole;<\/p>\n\n\n\n (g) designare un responsabile del monitoraggio con compiti ben definiti per un determinato periodo di tempo, al fine di sorvegliare l'osservanza degli articoli 21 e 23 da parte degli enti interessati;<\/p>\n\n\n\n (h) ordinare agli enti interessati di rendere pubblici gli aspetti delle violazioni della presente direttiva secondo modalit\u00e0 specifiche;<\/p>\n\n\n\n (i) imporre o richiedere l'imposizione da parte degli organi, dei tribunali o delle corti competenti, in conformit\u00e0 al diritto nazionale, di una sanzione amministrativa pecuniaria ai sensi dell'articolo 34 in aggiunta a una qualsiasi delle misure di cui alle lettere da (a) a (h) del presente paragrafo.<\/p>\n\n\n\n 5. Qualora le misure di esecuzione adottate ai sensi del paragrafo 4, lettere da a) a d) e f), siano inefficaci, gli Stati membri assicurano che le loro autorit\u00e0 competenti abbiano il potere di stabilire un termine entro il quale si richiede all'ente essenziale di adottare le misure necessarie per rimediare alle carenze o per conformarsi ai requisiti di tali autorit\u00e0. Se l'azione richiesta non viene intrapresa entro il termine stabilito, gli Stati membri assicurano che le loro autorit\u00e0 competenti abbiano il potere di:<\/p>\n\n\n\n (a) sospendere temporaneamente, o chiedere a un organismo di certificazione o autorizzazione, o a un organo giurisdizionale, in conformit\u00e0 alla legislazione nazionale, di sospendere temporaneamente una certificazione o un'autorizzazione relativa a una parte o alla totalit\u00e0 dei servizi pertinenti forniti o delle attivit\u00e0 svolte dall'entit\u00e0 essenziale;<\/p>\n\n\n\n