Vykdymas, priežiūra ir sankcijos: kaip tai veikia?

Kitas straipsnis

Ankstesniuose tinklaraščiuose pristatėme, kas numatyta TIS2 direktyvoje, ko iš jos tikėtis ir kokios bus pranešimų teikimo bei priežiūros pareigos. Direktyvoje taip pat numatyti vykdymo užtikrinimo metodai, kuriais siekiama užtikrinti veiksmingą taisyklių laikymąsi, bei taisyklių pažeidimo atveju - sankcijos.

Vykdymo užtikrinimo priemonės

Priemonės, kurių imasi kompetentingos institucijos, turi būti veiksmingos, drausminančios ir proporcingos subjekto rizikos lygiui. Kompetentingos institucijos turės įgaliojimus abiejų tipų subjektams taikyti patikrinimus vietoje ir ne vietoje vykdomą ex-post priežiūrą, kurią atlieka kvalifikuoti specialistai, tikslinį saugumo auditą, saugumo skenavimą, prašymus leisti susipažinti su duomenimis, dokumentais ir informacija, taip pat prašymus pateikti kibernetinio saugumo politikos įgyvendinimo įrodymus, pavyzdžiui, kvalifikuoto auditoriaus atlikto saugumo audito rezultatus ir atitinkamus pagrindžiančius įrodymus. Atsitiktinės patikros dar labiau praplečia šį sąrašą kartu su ad hoc auditais, kai tai yra svarbūs subjektai. Audituojami subjektai turės padengti saugumo auditų išlaidas, išskyrus tinkamai pagrįstus atvejus.

Nustačiusios pažeidimą kompetentingos institucijos gali pasinaudoti tolesniais vykdymo užtikrinimo įgaliojimais, pavyzdžiui, įspėti, pateikti instrukcijas, duoti nurodymus subjektams nutraukti veiklą, kuria pažeidžiama direktyva, nurodyti subjektams informuoti fizinius ar juridinius asmenis, kuriems gali turėti įtakos netinkamas elgesys, arba net paviešinti informaciją. Jei šios priemonės nepadeda ištaisyti padėties, kompetentingos institucijos gali laikinai sustabdyti subjekto veiklą ir organizacijos vadovo, vykdančio vyriausiojo vadovo arba atstovaujamojo teisinio lygmens pareigas, veiklą.

Sankcijos

TIS2 direktyva nustatoma nuosekli sankcijų sistema visoje Europos Sąjungoje, sudarant minimalų administracinių sankcijų už kibernetinio saugumo rizikos valdymo ir pranešimų teikimo įpareigojimų pažeidimus sąrašą. Šios sankcijos apima privalomus nurodymus, saugumo audito rekomendacijų įgyvendinimą, saugumo priemonių suderinimą su TIS2 reikalavimais ir administracines baudas. Kalbant apie administracines nuobaudas, naujojoje Tinklų ir informacinių sistemų saugumo direktyvoje išskiriami kritinės svarbos ir svarbūs subjektai.

Valstybės narės turi suteikti atitinkamoms institucijoms galimybę skirti dideles baudas. TIS2 direktyvoje reikalaujama, kad valstybės narės numatytų tam tikro dydžio administracines baudas, visų pirma ne mažesnes kaip 10 000 000 EUR arba 2 % visos praėjusių finansinių metų pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Kalbant apie svarbius subjektus, TIS2 direktyvoje reikalaujama, kad valstybės narės numatytų ne mažesnę kaip 7 000 000 EUR baudą arba ne mažesnę kaip 1,4 % visos praėjusių finansinių metų pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Naudodamosi vykdymo užtikrinimo įgaliojimais, kompetentingos institucijos turėtų tinkamai atsižvelgti į konkrečias kiekvieno atvejo aplinkybes, pavyzdžiui, pažeidimo pobūdį, sunkumą ir trukmę, padarytą žalą ar patirtus nuostolius, taip pat į tyčinį ar neatsargų pažeidimo pobūdį.