Статья 33. Меры по надзору и меры принудительного характера в отношении значимых организаций. Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14.12.2022 о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)

Статья 33
Меры по надзору и меры принудительного характера в отношении значимых организаций

1. При предоставлении доказательств, указаний или информации о том, что значимая организация предположительно не соблюдает настоящую Директиву, в частности, ее Статьи 21 и 23, государства-члены ЕС должны гарантировать, что компетентные органы предпринимают действия, при необходимости, посредством фактических мер по надзору пост фактум. Государства-члены ЕС должны гарантировать, что указанные меры являются эффективными, пропорциональными и оказывают сдерживающее воздействие, принимая во внимание обстоятельства каждого отдельного случая.

2. Государства-члены ЕС должны гарантировать, что компетентные органы при выполнении своих задач по надзору в отношении значимых организаций вправе подвергать указанные организации как минимум:

(a) выездным проверкам и фактическому надзору без выезда на место, проводимым подготовленными специалистами;

(b) целевым аудиторским проверкам состояния безопасности, проводимым независимым органом или компетентным органом власти;

(c) сканированиям системы безопасности на основе объективных, недискриминационных, справедливых и прозрачных критериев оценки рисков, по мере необходимости в сотрудничестве с соответствующей организацией;

(d) запросам о предоставлении информации, необходимой для фактической оценки мер по управлению рисками кибербезопасности, принятых соответствующей организацией, включая документально подтвержденные принципы кибербезопасности, а также о соблюдении обязательства по предоставлению информации компетентным органам согласно Статье 27;

(e) запросам на получение доступа к данным, документам и информации, необходимым для выполнения их задач по надзору;

(f) запросам о предоставлении доказательств реализации принципов кибербезопасности, таких как результаты аудиторских проверок состояния безопасности, проведенных квалифицированным аудитором, и соответствующие преимущественные доказательства.

Целевые аудиторские проверки состояния безопасности, указанные в пункте (b) первого подпараграфа, должны основываться на оценках рисков, проведенных компетентным органом или объектом аудита, или на другой имеющейся информации, связанной с рисками.

Результаты любой целевой аудиторской проверки состояния безопасности должны быть доступны компетентному органу. Расходы на указанную целевую аудиторскую проверку состояния безопасности, проведенную независимым органом, оплачиваются объектом аудита, за исключением должным образом обоснованных случаев, когда компетентный орган принимает иное решение.

3. При осуществлении своих полномочий согласно пункту (d), (e) или (f) параграфа 2 компетентные органы должны указать цель запроса и определить запрашиваемую информацию.

4. Государства-члены ЕС должны гарантировать, что их компетентные органы при осуществлении своих полномочий по принятию принудительных мер в отношении значимых организаций вправе как минимум:

(a) выдавать предупреждения о нарушениях настоящей Директивы соответствующими организациями;

(b) принимать обязательные для исполнения инструкции или распоряжение, требующее от соответствующих организаций устранить выявленные недостатки или нарушения настоящей Директивы;

(c) предписывать соответствующим организациям прекратить действия, нарушающие настоящую Директиву, и воздержаться от их повторного совершения;

(d) предписывать соответствующим организациям обеспечить соответствие их мер по управлению рисками кибербезопасности Статье 21 или выполнить обязательства по представлению отчетности, установленные в Статье 23, определенным образом и в установленный срок;

(e) предписывать соответствующим организациям информировать физических и юридических лиц, в отношении которых они предоставляют услуги или осуществляют действия, на которые может повлиять серьезная киберугроза, о характере такой угрозы, а также о любых возможных защитных или восстановительных мерах, которые могут быть приняты указанными физическими или юридическими лицами в ответ на данную угрозу;

(f) предписывать соответствующим организациям в разумные сроки выполнять рекомендации, представленные по результатам аудиторской проверки состояния безопасности;

(g) предписывать соответствующим организациям определенным образом обнародовать аспекты нарушений настоящей Директивы;

(h) в дополнение к любым из мер, указанных в пунктах (a) - (g) настоящего параграфа, налагать административный штраф согласно Статье 34 или запрашивать его установления определенными органами, судами или арбитражем, в соответствии с национальным законодательством.

5. Статья 32(6), (7) и (8) распространяется mutatis mutandis на меры по надзору и меры принудительного характера, предусмотренные в настоящей Статье в отношении значимых организаций.

6. Государства-члены ЕС должны гарантировать, что их компетентные органы в рамках настоящей Директивы сотрудничают с соответствующими компетентными органами соответствующего государства-члена ЕС в рамках Регламента (ЕС) 2022/2554. В частности, государства-члены ЕС должны гарантировать, что их компетентные органы в рамках настоящей Директивы информируют Форум по надзору, учрежденный согласно Статье 32(1) Регламента (ЕС) 2022/2554, при осуществлении своих полномочий по надзору и обеспечению исполнения, направленных на обеспечение соблюдения настоящей Директивы значимой организацией, которая назначена в качестве критически важного стороннего поставщика услуг ICT согласно Статье 31 Регламента (ЕС) 2022/2554.