1. Cada autoritat nacional competent ha de vetllar perquè les entitats essencials del seu àmbit de competència compleixen amb les obligacions establertes en aquesta Llei de forma efectiva, proporcionada i dissuasiva.
2. Les competències de les autoritats nacionals competents, en cooperació amb el CSIRT-AD si escau, en matèria de supervisió, es fomenten en:
a) Inspeccionsin situi supervisió a distància, incloent controls aleatoris;
b) Auditories periòdiques;
c) Auditories de seguretat específiques basades en avaluacions de riscos o en informació disponible sobre riscs;
d) Anàlisis de seguretat a través de criteris d’avaluació de riscs objectius, no discriminatoris, justos i transparents;
e) Sol·licituds de tota la informació necessària per avaluar les mesures de ciberseguretat adoptades per l’entitat, en particular les polítiques de ciberseguretat documentades, així com el compliment del procediment de notificació previst en aquesta Llei, si és necessari;
f) Sol·licituds d’accés a dades, documents o qualsevol informació necessària per al desenvolupament de les seves funcions de supervisió; i.
g) Sol·licituds de tota mena de proves necessàries per acreditar l’aplicació de les polítiques de ciberseguretat.
Respecte a les lletres e), f) i g), en tot moment l’autoritat nacional competent ha d’indicar la finalitat de la sol·licitud i especificar la informació requerida.
3. Les competències de les autoritats nacionals competents, en cooperació amb el CSIRT-AD si escau, en matèria d’execució, es fomenten en:
a) Advertir a les entitats per l’incompliment de les obligacions establertes en aquesta Llei.
b) Emetre instruccions vinculants perquè les entitats corregeixin les deficiències detectades o les infraccions de les obligacions establertes en aquesta Llei.
c) Exigir a les entitats que posin fi a les conductes que incompleixen les obligacions establertes en aquesta Llei i que s’abstinguin a repetir-les.
d) Exigir a les entitats que adeqüin les seves mesures de gestió de riscos o obligacions de notificació a l’establert en el capítol primer d’aquest Títol.
e) Ordenar a les entitats que informin les persones físiques o jurídiques a les quals presten serveis que es poden veure afectades per una ciberamenaça significativa i de les corresponents mesures correctores o de protecció que les dites persones poden adoptar en resposta a l’amenaça.
f) Ordenar a les entitats l’aplicació, en un termini raonable, de les recomanacions formulades després d’haver realitzat una auditoria de seguretat.
g) Designar a un responsable de supervisió per dur a terme unes funcions clarament definides i perquè supervisi, durant un període determinat, el compliment de les seves obligacions previstes al Títol III.
h) Ordenar a les entitats que facin públics d’una forma concreta els incompliments de les obligacions establertes en aquesta Llei.
i) Emetre comunicats públics en els quals s’identifiqui a les persones físiques i jurídiques responsables d’incompliments d’obligacions establertes en aquesta Llei i la naturalesa dels dits incompliments.
j) Imposar, en el cas de l’ANC-AD, o sol·licitar la imposició per part de l’ANC-AD, en el cas de l’AFA, d’una multa administrativa de conformitat amb el previst al Títol IV, a títol addicional o substitutiu de les mesures referides a les lletres a) a i) d’aquest apartat, en funció de les circumstàncies de cada cas particular.
4. Quan les mesures d’execució exigides per l’autoritat nacional competent no s’adoptin en el termini establert, l’autoritat nacional competent està facultada per:
a) Suspendre la certificació de compliment;
b) Imposar una prohibició temporal sobre qualsevol persona física que exerceixi responsabilitats de direcció o representació legal de l’entitat essencial, i de qualsevol altra persona física responsable de l’incompliment, d’exercir les funcions de direcció en aquesta entitat.
Aquestes suspensions o prohibicions romanen fins que l’entitat referida adopti les mesures necessàries per resoldre les deficiències o compleixi els requisits de l’autoritat nacional competent que hagi aplicat la suspensió o prohibició de què es tracti.
5. Les mesures indicades a l’apartat anterior, s’apliquen sense perjudici de garantir el dret de defensa de la persona afectada, com a mínim en els següents aspectes:
a) La gravetat de l’incompliment i la importància de les obligacions infringides, i en especial les classificades com a greus i molt greus d’acord amb l’article 34;
b) La durada de l’incompliment, en particular si hi ha hagut incompliments reiterats;
c) Els perjudicis o les pèrdues reals originats, o els perjudicis o les pèrdues que podrien haver-se originat, en la mesura en què puguin determinar-se i tot tenint en compte, entre d’altres, les pèrdues financeres o econòmiques reals o potencials, els efectes per a altres serveis i el nombre d’usuaris afectats o potencialment afectats;
d) La intencionalitat o negligència en la infracció;
e) Les mesures adoptades per l’entitat per prevenir o reduir els perjudicis o les pèrdues;
f) L’adhesió a codis de conducta o a mecanismes de certificació aprovats; i.
g) El grau de cooperació de les persones físiques o jurídiques responsables amb les autoritats nacionals competents.
6. L’autoritat nacional competent ha d’emetre les decisions d’execució de forma detallada i motivada, notificant prèviament a l’emissió definitiva de les mateixes, a les entitats afectades, concedint-les un termini de sis mesos per formular observacions.