Articulo 33 ciberseguridad en la Unión

1. Cuando dispongan de pruebas, indicios o información de que una entidad importante presuntamente no cumple la presente Directiva, en particular sus artículos 21 y 23, los Estados miembros garantizarán que las autoridades competentes actúen, cuando proceda, a través de medidas de supervisión a posteriori. Los Estados miembros velarán por que esas medidas sean eficaces, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso.

2. Los Estados miembros velarán por que las autoridades competentes, cuando ejerzan sus funciones de supervisión en relación con entidades importantes, dispongan de competencias para someter a dichas entidades a, como mínimo:

a) inspecciones in situ y supervisión a posteriori a distancia a cargo de profesionales cualificados;

b) auditorías de seguridad específicas que efectuará un organismo independiente o una autoridad competente;

c) análisis de seguridad basados en criterios de evaluación del riesgo objetivos, no discriminatorios, justos y transparentes, con la cooperación de la entidad afectada cuando sea necesario;

d) solicitudes de información necesaria para evaluar a posteriori las medidas para la gestión de riesgos de ciberseguridad adoptadas por la entidad afectada, en particular las políticas de ciberseguridad documentadas, así como el cumplimiento de la obligación de presentar información a las autoridades competentes en virtud del artículo 27;

e) solicitudes de acceso a datos, documentos o información necesaria para llevar a cabo sus funciones de supervisión;

f) solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como por ejemplo los resultados de las auditorías de seguridad realizadas por un auditor cualificado y las correspondientes pruebas subyacentes.

Las auditorías de seguridad específicas a que se refiere el párrafo primero, letra b), se basarán en evaluaciones del riesgo realizadas por la autoridad competente o la entidad auditada, o en otra información disponible relacionada con el riesgo.

Los resultados de cualquier auditoría de seguridad específica se pondrán a disposición de la autoridad competente. Los costes de dicha auditoría de seguridad específica realizada por un organismo independiente serán sufragados por la entidad auditada, salvo en aquellos casos debidamente motivados en los que la autoridad competente decida lo contrario.

3. En el ejercicio de sus competencias con arreglo al apartado 2, letras d), e) o f), las autoridades competentes indicarán la finalidad de la solicitud y especificarán la información requerida.

4. Los Estados miembros velarán por que las autoridades competentes, cuando ejerzan sus facultades de ejecución en relación con entidades importantes, dispongan de competencias para, como mínimo:

a) apercibir por el incumplimiento de la presente Directiva a las entidades afectadas;

b) adoptar instrucciones vinculantes o una orden de requerimiento para que las entidades afectadas subsanen las deficiencias detectadas o los incumplimientos de en la presente Directiva;

c) ordenar a las entidades afectadas que pongan fin a las conductas que infrinjan la presente Directiva y que se abstengan de repetirlas;

d) ordenar a las entidades afectadas que garanticen que sus medidas para la gestión de riesgos de ciberseguridad son conformes con lo dispuesto en el artículo 21 o que cumplan las obligaciones de notificación establecidas en el artículo 23 de una manera específica y en un plazo concreto;

e) ordenar a las entidades afectadas que informen a las personas físicas o jurídicas con respecto a las que prestan servicios o realizan actividades que puedan verse afectadas por una ciberamenaza significativa sobre la naturaleza de la amenaza, así como sobre cualquier posible medida correctora o de protección que dichas personas puedan adoptar en respuesta a la amenaza;

f) ordenar a las entidades afectadas que apliquen las recomendaciones formuladas a raíz de una auditoría de seguridad en un plazo razonable;

g) ordenar a las entidades afectadas que hagan públicos determinados aspectos del incumplimiento de la presente Directiva de una manera específica;

h) imponer o solicitar la imposición por parte de los organismos u órganos jurisdiccionales competentes de acuerdo con la legislación nacional de una multa administrativa de conformidad con el artículo 34 a título adicional respecto de cualquiera de las medidas referidas en las letras a) a g) del presente apartado.

5. El artículo 32, apartados 6, 7 y 8, se aplicará mutatis mutandis a las medidas de supervisión y ejecución previstas en el presente artículo en el caso de las entidades importantes.

6. Los Estados miembros velarán por que sus autoridades competentes con arreglo a la presente Directiva cooperen con las autoridades competentes pertinentes del Estado miembro en cuestión designadas con arreglo al Reglamento (UE) 2022/2554 En particular, los Estados miembros velarán por que sus autoridades competentes designadas con arreglo a la presente Directiva informen al Foro de Supervisión creado en virtud del artículo 32, apartado 1, del Reglamento (UE) 2022/2554 cuando ejerzan sus facultades de supervisión y ejecución al objeto de garantizar el cumplimiento por parte de una entidad importante que sea designada como proveedor tercero esencial de servicios de TIC en virtud del artículo 31 del Reglamento (UE) 2022/2554 de la presente Directiva.