1. Wanneer bewijs, aanwijzingen of informatie wordt verstrekt dat een belangrijke entiteitEntiteit Een natuurlijke persoon of rechtspersoon die als zodanig is opgericht en erkend door het nationale recht van zijn vestigingsplaats en die in eigen naam rechten kan uitoefenen en verplichtingen kan hebben. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) niet aan deze richtlijn, en met name aan de artikelen 21 en 23, voldoet, zorgen de lidstaten ervoor dat de bevoegde autoriteiten indien nodig maatregelen nemen door middel van toezichtmaatregelen achteraf. De lidstaten zien erop toe dat deze maatregelen doeltreffend, evenredig en afschrikkend zijn, rekening houdend met de omstandigheden van elk individueel geval.
2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun toezichthoudende taken ten aanzien van belangrijke entiteiten de bevoegdheid hebben om deze entiteiten ten minste te onderwerpen aan:
(a) inspecties op locatie en toezicht achteraf door getrainde professionals;
(b) gerichte beveiligingsaudits door een onafhankelijk orgaan of een bevoegde autoriteit;
(c) veiligheidsscans op basis van objectieve, niet-discriminerende, eerlijke en transparante risicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) beoordelingscriteria, waar nodig met medewerking van de betrokken entiteit;
(d) verzoeken om informatie die nodig is om achteraf de cyberbeveiligingCyberbeveiliging "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881; - "cyberbeveiliging": cyberbeveiliging als gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2019/881. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) "cyberbeveiliging": de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen die te maken hebben met cyberdreigingen, te beschermen; - Definitie overeenkomstig artikel 2, punt 1, van Verordening (EU) 2019/881; de door de betrokken entiteit vastgestelde risicobeheersmaatregelen, met inbegrip van gedocumenteerd beleid inzake cyberbeveiliging, alsook de naleving van de verplichting om informatie te verstrekken aan de bevoegde autoriteiten overeenkomstig artikel 27;
(e) verzoeken om toegang tot gegevens, documenten en informatie die zij nodig hebben om hun toezichthoudende taken uit te voeren;
(f) verzoeken om bewijs van de tenuitvoerlegging van het cyberbeveiligingsbeleid, zoals de resultaten van beveiligingsaudits die zijn uitgevoerd door een gekwalificeerde auditor en de respectieve onderliggende bewijsstukken.
De in de eerste alinea, onder b), bedoelde gerichte beveiligingsaudits worden gebaseerd op risicobeoordelingen die door de bevoegde autoriteit of de gecontroleerde entiteit worden uitgevoerd, of op andere beschikbare risicogerelateerde informatie.
De resultaten van alle gerichte beveiligingsaudits worden ter beschikking gesteld van de bevoegde autoriteit. De kosten van een dergelijke gerichte beveiligingsaudit, die wordt uitgevoerd door een onafhankelijk orgaan, worden betaald door de entiteit waarop de audit betrekking heeft, behalve in naar behoren gemotiveerde gevallen waarin de bevoegde autoriteit anders beslist.
3. Bij de uitoefening van hun bevoegdheden krachtens lid 2, onder d), e) of f), vermelden de bevoegde autoriteiten het doel van het verzoek en specificeren zij de gevraagde informatie.
4. De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun handhavingsbevoegdheden ten aanzien van belangrijke entiteiten ten minste de bevoegdheid hebben om:
(a) waarschuwingen geven bij inbreuken op deze richtlijn door de betrokken entiteiten;
(b) bindende instructies of een bevel aan te nemen waarin van de betrokken entiteiten wordt verlangd dat zij de vastgestelde tekortkomingen of de inbreuk op deze richtlijn verhelpen;
(c) de betrokken entiteiten te gelasten een einde te maken aan gedragingen die een inbreuk vormen op deze richtlijn en dergelijke gedragingen niet meer te herhalen;
(d) de betrokken entiteiten gelasten ervoor te zorgen dat hun risicobeheersmaatregelen op het gebied van cyberbeveiliging voldoen aan artikel 21 of aan de rapportageverplichtingen van artikel 23, op een bepaalde wijze en binnen een bepaalde termijn;
(e) de betrokken entiteiten te gelasten de natuurlijke personen of rechtspersonen ten aanzien van wie zij diensten verrichten of activiteiten ontplooien en die mogelijk getroffen worden door een belangrijke cyberdreigingAanzienlijke cyberdreiging Een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat ze een ernstige impact kan hebben op het netwerk en de informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door aanzienlijke materiële of immateriële schade te veroorzaken. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) van de aard van de bedreiging en van alle mogelijke beschermende of corrigerende maatregelen die deze natuurlijke of rechtspersonen in reactie op die bedreiging kunnen nemen;
(f) de betrokken entiteiten opdragen de aanbevelingen die naar aanleiding van een beveiligingsaudit zijn gedaan, binnen een redelijke termijn uit te voeren;
(g) de betrokken entiteiten gelasten aspecten van inbreuken op deze richtlijn op een gespecificeerde wijze openbaar te maken;
(h) naast de onder a) tot en met g) van dit lid genoemde maatregelen, een bestuurlijke boete opleggen, of verzoeken dat de betrokken instanties, rechtbanken of gerechtshoven overeenkomstig het nationale recht een dergelijke boete opleggen, in aanvulling op een van de onder a) tot en met g) van dit lid genoemde maatregelen.
5. Artikel 32, leden 6, 7 en 8, is van overeenkomstige toepassing op de toezichts- en handhavingsmaatregelen waarin dit artikel voor belangrijke entiteiten voorziet.
6. De lidstaten zorgen ervoor dat hun bevoegde autoriteiten in het kader van deze richtlijn samenwerken met de relevante bevoegde autoriteiten van de betrokken lidstaat in het kader van Verordening (EU) nr. 2022/2554. De lidstaten zorgen er in het bijzonder voor dat hun bevoegde autoriteiten in het kader van deze richtlijn het Oversight Forum dat is opgericht overeenkomstig artikel 32, lid 1, van Verordening (EU) nr. 2022/2554 informeren wanneer zij hun toezichts- en handhavingsbevoegdheden uitoefenen om ervoor te zorgen dat een belangrijke entiteit die overeenkomstig artikel 31 van Verordening (EU) nr. 2022/2554 is aangewezen als een kritieke ICT-dienstverlener van derden, deze richtlijn naleeft.