Iepriekšējos emuāros mēs izklāstījām, ko paredzēs NIS2 direktīva, ko no tās sagaidīt un kādi būs ziņošanas un uzraudzības procesi. Direktīvā ir paredzēti arī izpildes mehānismi, lai nodrošinātu efektīvu noteikumu ievērošanu un sankcijas tās pārkāpumu gadījumā.
Izpildes mehānismi
Dalībvalstīm jānodrošina, ka tās veic efektīvu uzraudzību, lai nodrošinātu atbilstību NIS2 prasībām. Attiecībā uz būtiskiem subjektiem tas nozīmē proaktīvu uzraudzību. Turpretī attiecībā uz svarīgiem subjektiem, tas nozīmē reaģējošu uzraudzību, ko var uzsākt, ja ir pierādījumi, norādes vai informācija, ka subjekts, iespējams, neatbilst direktīvai. Pēdējā minētajā gadījumā būtu jārīkojas tikai tad, ja dalībvalstij šķiet, ka svarīgs subjekts neievēro direktīvā noteiktos noteikumus.
Kompetento iestāžu veiktajiem pasākumiem jābūt efektīviem, samērīgiem un preventīviem. Attiecībā uz abu tipu subjektiem kompetentajām iestādēm būs pilnvaras veikt pārbaudes uz vietas un pēcpārbaudes ārpus uzņēmuma apmācīto speciālistu vadībā. Tādas kā - mērķtiecīgs drošības audits, drošības monitorēšana, pieprasījums piekļūt datiem, dokumentiem un informācijai, kā arī pieprasīt pierādījumus par kiberdrošības politikas īstenošanu, piemēram, kvalificēta revidenta veikto drošības auditu rezultātus un attiecīgos pamatojošos pierādījumus. Sarakstu papildina arī izlases veida pārbaudes, kā arī ad hoc revīzijas būtiskiem subjektiem. Izņemot pienācīgi pamatotus gadījumus, revidējamiem subjektiem būs jāsedz drošības revīziju izmaksas.
Ja tiek konstatēts pārkāpums, kompetentās iestādes var īstenot turpmākas izpildes pilnvaras, piemēram, izteikt brīdinājumus, sniegt norādījumus, uzdot struktūrām pārtraukt darbības, kas ir pretrunā ar direktīvu, uzdot struktūrām informēt fiziskās vai juridiskās personas, kuras var ietekmēt pārkāpums, vai pat publiskot informāciju. Ja šo pasākumu rezultātā situācija netiek novērsta, kompetentās iestādes var uz laiku apturēt struktūras darbību un subjekta vadītāja, kas pilda izpilddirektora vai pārstāvja pienākumus juridiskajā līmenī, darbību.
Sankcijas
Ar NIS2 direktīvu tiek izveidota konsekventa sankciju sistēma visā Eiropas Savienībā, izveidojot administratīvo sankciju minimālo sarakstu par kiberdrošības riska pārvaldības un ziņošanas pienākumu pārkāpumiem. Šīs sankcijas ietver saistošus norādījumus, drošības audita ieteikumu īstenošanu, drošības pasākumu saskaņošanu ar tīklu un informācijas drošības prasībām un administratīvus naudas sodus. Attiecībā uz administratīvajiem sodiem jaunajā tīklu un informācijas drošības direktīvā ir nošķirtas būtiski un svarīgi subjekti.
Dalībvalstīm ir jānodrošina attiecīgajām iestādēm iespēja uzlikt ievērojamus naudas sodus. Attiecībā uz būtiskiem subjektiem NIS2 direktīvā dalībvalstīm ir noteikts, ka tām ir jāparedz noteikts administratīvo naudas sodu apmērs, proti, maksimālais apmērs ir vismaz EUR 10 000 000 vai 2 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks. Attiecībā uz svarīgiem subjektiem NIS2 direktīvā dalībvalstīm noteikts, ka maksimālais naudas sods ir vismaz 7 000 000 euro vai vismaz 1,4 % no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks.
Par NIS2 direktīvas noteikumu neievērošanu var saukt pie atbildības arī būtisku un svarīgu subjektu vadības struktūras. Ja jūsu subjekts ir veselības aprūpes pakalpojumu sniedzējs un tā neveido un neīsteno kiberdrošības pasākumus, tiks piemēroti naudas sodi un sankcijas par riska pārvaldības pasākumu vai ziņošanas pienākumu neievērošanu.
Lai stiprinātu uzraudzību, kas palīdz nodrošināt efektīvu atbilstību, NIS2 direktīvā ir sniegts minimālais uzraudzības līdzekļu saraksts, ar kuru palīdzību kompetentās iestādes var uzraudzīt būtiskus un svarīgus subjektus. Tie ietver regulāras un mērķtiecīgas revīzijas, klātienes un attālinātas pārbaudes, informācijas pieprasījumus un piekļuvi dokumentiem vai pierādījumiem.
Īstenojot savas izpildes pilnvaras, kompetentajām iestādēm būtu pienācīgi jāņem vērā katras lietas konkrētie apstākļi, piemēram, pārkāpuma raksturs, smagums un ilgums, nodarītais kaitējums vai zaudējumi, kā arī pārkāpuma tīšais vai nolaidības raksturs.
Lai nodrošinātu reālu atbildību par kiberdrošības pasākumiem organizācijas līmenī, NIS2 ievieš noteikumus par to fizisko personu atbildību, kuras ieņem vadošus amatus struktūrās, uz kurām attiecas jaunā NIS2 direktīva.