V smernici NIS2 sa ustanovujú mechanizmy, aby sa zabezpečilo účinné dodržiavanie pravidiel a uvaľovanie sankcií v prípade ich porušenia.
Mechanizmy presadzovania
Členské štáty musia zabezpečiť účinný dohľad s cieľom zaistiť súlad s požiadavkami smernice NIS2. Pri kľúčových subjektoch je dohľad proaktívny. Dôležitým subjektom zasa zo smernice vyplýva reaktívny dohľad, ktorý môže byť vyvolaný na základe dôkazov, indícií alebo informácií, že subjekt údajne porušuje smernicu. V druhom prípade by sa mali prijať opatrenia len vtedy, ak sa členskému štátu zdá, že dôležitý subjekt neplní povinnosti stanovené v smernici.
Opatrenia prijaté príslušnými orgánmi musia byť účinné, primerané a odrádzajúce. V prípade oboch typov subjektov budú mať príslušné orgány právomoc podrobiť ich inšpekciám na mieste a následnému ex post dohľadu na diaľku, ktoré vykonávajú vyškolení odborníci, cieleným bezpečnostným auditom, bezpečnostným kontrolám, žiadostiam o prístup k údajom, dokumentom a informáciám a žiadostiam o dôkazy vykonávania politík kybernetickej bezpečnosti, ako sú výsledky bezpečnostných auditov uskutočnených kvalifikovaným audítorom a príslušné podkladové dôkazy. Zoznam v prípade kľúčových subjektov ďalej rozširujú náhodné kontroly spolu s auditmi ad hoc. S výnimkou riadne odôvodnených prípadov budú musieť náklady na bezpečnostné audity hradiť auditované subjekty.
Ak sa zistí porušenie, príslušné orgány môžu presadiť ďalšie právomoci, ako je vydávanie varovaní, prijímanie pokynov, nariaďovanie subjektom, aby ukončili vykonávanie činností, ktoré sú v rozpore so smernicou, nariaďovanie subjektom, aby informovali fyzické alebo právnické osoby, ktoré môžu byť dotknuté pochybením, alebo dokonca zverejnenie informácií. V prípade, že sa zavedené opatrenia ukážu ako neúčinné, príslušné orgány môžu dočasne pozastaviť činnosť subjektu a fyzickej osoby, ktorá vykonáva povinnosti na úrovni výkonného riaditeľa alebo právneho zástupcu.
Sankcie
Smernicou NIS2 sa stanovuje konzistentný rámec pre sankcie v celej Únii, a to vytvorením minimálneho zoznamu správnych sankcií za porušenie opatrení na riadenie kybernetických rizík a oznamovacích povinností. Tieto sankcie zahŕňajú záväzné pokyny, vykonanie odporúčaní poskytnutých na základe bezpečnostného auditu, zosúladenie bezpečnostných opatrení s požiadavkami smernice NIS a správne pokuty. Pokiaľ ide o správne sankcie, nová smernica NIS pri ich ukladaní rozlišuje medzi kľúčovými a dôležitými subjektmi.
Členské štáty musia poskytnúť príslušným orgánom možnosť ukladať primerané pokuty. V prípade kľúčových subjektov podľa smernice NIS2 členské štáty zabezpečia, aby im boli uložené správne pokuty v maximálnej výške aspoň 10 000 000 EUR alebo 2 % celkového celosvetového ročného obratu v predchádzajúcom finančnom roku, podľa toho, ktorá suma je vyššia. V prípade dôležitých subjektov podľa smernice NIS2 členské štáty zabezpečia, aby im boli uložené správne pokuty v maximálnej výške aspoň 7 000 000 EUR alebo 1.4 % celkového celosvetového ročného obratu v predchádzajúcom finančnom roku, podľa toho, ktorá suma je vyššia.
Za nedodržanie ustanovení smernice NIS2 môžu byť zodpovedné aj riadiace orgány kľúčových a dôležitých subjektov. Ak je vaša organizácia pokrytým subjektom a nedokáže si vybudovať a zachovať kybernetickú spôsobilosť, hrozia jej pokuty a sankcie za nedodržanie opatrení na riadenie rizík alebo oznamovacej povinnosti.
S cieľom posilniť opatrenia v oblasti dohľadu, ktoré pomáhajú zabezpečiť účinné dodržiavanie predpisov, sa v smernici NIS2 stanovuje minimálny zoznam prostriedkov dohľadu, prostredníctvom ktorých môžu príslušné orgány vykonávať dohľad nad kľúčovými a dôležitými subjektmi. Patria sem pravidelné a cielené audity, inšpekcie na mieste a kontroly na diaľku, žiadosti o informácie a prístup k dokumentom alebo dôkazom.
Pri výkone svojich právomocí presadzovania práva by príslušné orgány mali náležite zohľadniť konkrétne okolnosti každého prípadu, ako je povaha, závažnosť a trvanie porušenia, spôsobená ujma alebo vzniknuté straty a úmyselný alebo nedbanlivostný charakter porušenia.
S cieľom zaistiť skutočnú zodpovednosť za bezpečnostné opatrenia na úrovni organizácie sa v smernici NIS2 zavádzajú ustanovenia o zodpovednosti fyzických osôb, ktoré zastávajú vedúce pozície v subjektoch spadajúcich do rozsahu pôsobnosti tejto smernice.
