Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Директива Европейского Парламента и Совета Европейского Союза 2022/2555 от 14 декабря 2022 г. о мерах по обеспечению высокого общего уровня кибербезопасности на территории Союза, о внесении изменений в Регламент (ЕС) 910/2014 и Директиву (ЕС) 2018/1972, а также об отмене Директивы (ЕС) 2016/1148 (Директива NIS 2)
- Глава VII. Надзор и обеспечение исполнения
- Статья 32. Меры по надзору и меры принудительного характера в отношении основных организаций
Статья 32. Меры по надзору и меры принудительного характера в отношении основных организаций
Статья 32
Меры по надзору и меры принудительного характера в отношении основных организаций
1. Государства-члены ЕС должны гарантировать, что меры по надзору или меры принудительного характера, налагаемые на основные организации в отношении обязательств, установленных в настоящей Директиве, являются эффективными, пропорциональными и оказывают сдерживающее воздействие, принимая во внимание обстоятельства каждого отдельного случая.
2. Государства-члены ЕС должны гарантировать, что компетентные органы при выполнении своих задач по надзору в отношении основных организаций вправе подвергать указанные организации как минимум:
(a) выездным проверкам и проверкам без выезда на место, включая выборочные проверки, проводимые подготовленными специалистами;
(b) регулярным и целевым проверкам состояния безопасности, проводимым независимым органом или компетентным органом власти;
(c) специальным аудиторским проверкам, в том числе при условии обоснования по причине серьезного инцидента или нарушения настоящей Директивы основной организацией;
(d) сканированиям системы безопасности на основе объективных, недискриминационных, справедливых и прозрачных критериев оценки рисков, по мере необходимости в сотрудничестве с соответствующей организацией;
(e) запросам о предоставлении информации, необходимой для оценки мер по управлению рисками кибербезопасности, принятых соответствующей организацией, включая документально подтвержденные принципы кибербезопасности, а также о соблюдении обязательства по предоставлению информации компетентным органам согласно Статье 27;
(f) запросам на получение доступа к данным, документам и информации, необходимым для выполнения их задач по надзору;
(g) запросам о предоставлении доказательств реализации принципов кибербезопасности, таких как результаты аудиторских проверок состояния безопасности, проведенных квалифицированным аудитором, и соответствующие преимущественные доказательства.
Целевые аудиторские проверки состояния безопасности, указанные в пункте (b) первого подпараграфа, должны основываться на оценках рисков, проведенных компетентным органом или объектом аудита, или на другой имеющейся информации, связанной с рисками.
Результаты любой аудиторской проверки состояния безопасности должны быть доступны компетентному органу. Расходы на указанную аудиторскую проверку состояния безопасности, проведенную независимым органом, оплачиваются объектом аудита, за исключением должным образом обоснованных случаев, когда компетентный орган принимает иное решение.
3. При осуществлении своих полномочий согласно пункту (e), (f) или (g) параграфа 2 компетентные органы должны указать цель запроса и определить запрашиваемую информацию.
4. Государства-члены ЕС должны гарантировать, что их компетентные органы при осуществлении своих полномочий по принятию принудительных мер в отношении основных организаций вправе как минимум:
(a) выдавать предупреждения о нарушениях настоящей Директивы соответствующими организациями;
(b) принимать обязательные для исполнения инструкции, в том числе в отношении мер, необходимых для предотвращения или устранения инцидента, а также сроки для реализации таких мер и для представления отчетности об их реализации, или распоряжение, требующее от соответствующих организаций устранить выявленные недостатки или нарушения настоящей Директивы;
(c) предписывать соответствующим организациям прекратить действия, нарушающие настоящую Директиву, и воздержаться от их повторного совершения;
(d) предписывать соответствующим организациям обеспечить соответствие их мер по управлению рисками кибербезопасности Статье 21 или выполнить обязательства по представлению отчетности, установленные в Статье 23, определенным образом и в установленный срок;
(e) предписывать соответствующим организациям информировать физических и юридических лиц, в отношении которых они предоставляют услуги или осуществляют действия, на которые может повлиять серьезная киберугроза, о характере такой угрозы, а также о любых возможных защитных или восстановительных мерах, которые могут быть приняты указанными физическими или юридическими лицами в ответ на данную угрозу;
(f) предписывать соответствующим организациям в разумные сроки выполнять рекомендации, представленные по результатам аудиторской проверки состояния безопасности;
(g) назначать офицера по контролю деятельности с четко определенными задачами на определенный период времени для надзора за соблюдением соответствующими организациями Статей 21 и 23;
(h) предписывать соответствующим организациям определенным образом обнародовать аспекты нарушений настоящей Директивы;
(i) в дополнение к любым из мер, указанных в пунктах (a) - (h) настоящего параграфа, налагать административный штраф согласно Статье 34 или запрашивать его установления определенными органами, судами или арбитражем, в соответствии с национальным законодательством.
5. В случае если меры принудительного характера, принятые согласно пунктам (a) - (d) и (f) параграфа 4, являются неэффективными, государства-члены ЕС должны гарантировать, что их компетентные органы вправе установить крайний срок, к которому основная организация должна предпринять необходимые действия для устранения недостатков или для соблюдения требований указанных органов. Если требуемое действие не будет предпринято в установленный крайний срок, государства-члены ЕС должны гарантировать, что их компетентные органы вправе:
(a) временно приостановить или обратиться к органу по сертификации, или органу по выдаче разрешений, или в суд, или арбитраж в соответствии с национальным законодательством с запросом о временном приостановлении сертификации или разрешения, касающихся части или всех соответствующих предоставляемых услуг или видов деятельности, осуществляемых основной организацией;
(b) обратиться в соответствующие органы, суды или арбитражи в соответствии с национальным законодательством с запросом о временном запрете любому физическому лицу, ответственному за выполнение управленческих задач на уровне главного должностного лица или законного представителя в основной организации, осуществлять управленческие функции в указанной организации.
Временные приостановления или запреты, налагаемые согласно настоящему параграфу, должны применяться только до тех пор, пока соответствующая организация не предпримет необходимые действия для устранения недостатков или для выполнения требований компетентного органа, относительно которых были приняты меры принудительного характера. Наложение таких временных приостановлений или запретов должно осуществляться с соблюдением надлежащих процедурных гарантий в соответствии с общими принципами законодательства Союза и Хартией, включая право на эффективные средства правовой защиты и беспристрастное судебное разбирательство, презумпцию невиновности и права защиты.
Меры принудительного характера, предусмотренные в настоящем параграфе, не должны применяться к государственным административным органам, на которые распространяется действие настоящей Директивы.
6. Государства-члены ЕС должны гарантировать, что любое физическое лицо, ответственное за основную организацию или действующее в качестве ее законного представителя на основании полномочия представлять ее, полномочия принимать решения от ее имени или полномочия осуществлять контроль над ней, вправе обеспечить ее соответствие настоящей Директиве. Государства-члены ЕС должны гарантировать возможность привлечения таких физических лиц к ответственности за нарушение их обязанностей по обеспечению соблюдения настоящей Директивы.
В том, что касается государственных административных органов, настоящий параграф действует без ущерба национальному законодательству в отношении ответственности государственных служащих и избранных или назначенных должностных лиц.
7. При принятии любой из мер принудительного характера, указанных в параграфе 4 или 5, компетентные органы должны соблюдать права защиты и учитывать обстоятельства каждого отдельного случая и как минимум принимать во внимание:
(a) серьезность нарушения и важность нарушенных положений, которые, inter alia, в любом случае представляют собой следующие серьезные нарушения:
(i) неоднократные нарушения;
(ii) неспособность уведомить о серьезных инцидентах или устранить их последствия;
(iii) неспособность устранить недостатки в соответствии с обязательными к исполнению инструкциями компетентных органов;
(iv) воспрепятствование проведению аудиторских проверок или мероприятий по контролю, предписанных компетентным органом после выявления нарушения;
(v) предоставление ложной или чрезвычайно неточной информации в отношении мер по управлению рисками кибербезопасности или обязательств по представлению отчетности согласно Статьям 21 и 23;
(b) продолжительность нарушения;
(c) любые соответствующие предыдущие нарушения со стороны соответствующей организации;
(d) любой причиненный материальный или нематериальный ущерб, включая любые финансовые или экономические потери, последствия для других услуг и общее количество пострадавших пользователей;
(e) любой умысел или небрежность со стороны лица, совершившего нарушение;
(f) любые меры, принятые организацией для предотвращения или смягчения материального или нематериального ущерба;
(g) любое соблюдение утвержденных правил поведения или утвержденных механизмов сертификации;
(h) уровень сотрудничества физических или юридических лиц, привлеченных к ответственности, с компетентными органами.
8. Компетентные органы должны изложить подробное обоснование своих мер принудительного характера. Прежде чем принимать такие меры, компетентные органы должны уведомить соответствующие организации о своих предварительных выводах. Они также должны предоставить указанным организациям соответствующий срок для представления замечаний, за исключением должным образом обоснованных случаев, когда принятие немедленных мер по предотвращению инцидентов или по реагированию на них в ином случае было бы затруднительным.
9. Государства-члены ЕС должны гарантировать, что их компетентные органы в рамках настоящей Директивы информируют соответствующие компетентные органы в том же государстве-члене ЕС в рамках Директивы (ЕС) 2022/2557 при осуществлении своих полномочий по надзору и обеспечению исполнения, направленных на обеспечение соблюдения настоящей Директивы организацией, определенной в качестве критически важной в рамках Директивы (ЕС) 2022/2557. В предусмотренных случаях компетентный орган в рамках Директивы (ЕС) 2022/2557 может обратиться к компетентным органам в рамках настоящей Директивы с запросом об осуществлении своих полномочий по надзору и обеспечению исполнения в отношении организации, которая определена в качестве критически важной в рамках Директивы (ЕС) 2022/2557.
10. Государства-члены ЕС должны гарантировать, что их компетентные органы в рамках настоящей Директивы сотрудничают с соответствующими компетентными органами соответствующего государства-члена ЕС в рамках Регламента (ЕС) 2022/2554. В частности, государства-члены ЕС должны гарантировать, что их компетентные органы в рамках настоящей Директивы информируют Форум по надзору, учрежденный согласно Статье 32(1) Регламента (ЕС) 2022/2554, при осуществлении своих полномочий по надзору и обеспечению исполнения, направленных на обеспечение соблюдения настоящей Директивы основной организацией, которая назначена в качестве критически важного стороннего поставщика услуг ICT согласно Статье 31 Регламента (ЕС) 2022/2554.