1. Si l’autoritat nacional competent disposa de proves o d’indicis d’incompliment de les obligacions establertes en aquesta Llei, per part d’una entitat de serveis importants, l’autoritat referida pot imposar
a posteriori
les mesures de supervisió corresponents.
2. En aquest sentit, les competències de l’autoritat nacional competent, en cooperació amb el CSIRT-AD, si escau, en matèria de supervisió, es fomenten en:
a) Inspeccionsin situi supervisióa posteriori;
b) Auditories de seguretat específiques basades en avaluacions de riscos o en la informació disponible sobre els riscos;
c) Anàlisis de seguretat basades en criteris d’avaluació de riscs objectius, justos i transparents;
d) Sol·licituds de tota informació necessària per avaluara posterioriles mesures de ciberseguretat, en particular les polítiques de ciberseguretat documentades, així com el compliment de les obligacions de notificar incidents a l’autoritat nacional competent; i.
e) Sol·licitar l’accés a dades o qualsevol informació necessària per al correcte desenvolupament de funcions de supervisió.
Respecte a les lletres d) i e), en tot moment, l’autoritat nacional competent ha d’indicar la finalitat de la sol·licitud i especificar la informació requerida.
3. Les competències de l’autoritat nacional competent, en cooperació amb el CSIRT-AD, si escau, en matèria d’execució, es fomenten en:
a) Advertir a les entitats per l’incompliment de les obligacions establertes en aquesta Llei.
b) Emetre instruccions vinculants perquè les entitats resolguin les deficiències detectades o les infraccions de les obligacions establertes en aquesta Llei.
c) Exigir a les entitats que posin fi a les conductes que incompleixen les obligacions establertes en aquesta Llei i que s’abstinguin a repetir-les;
d) Exigir a les entitats que adeqüin les seves mesures de gestió de riscos o obligacions de notificació a l’establert al Títol III.
e) Ordenar a les entitats que informin les persones físiques o jurídiques a les quals els presten serveis que es poden veure afectades per una ciberamenaça significativa i de les corresponents mesures correctores o de protecció que les persones afectades poden adoptar en resposta a l’amenaça.
f) Ordenar a les entitats l’aplicació, en un termini raonable, de les recomanacions formulades després d’haver realitzat una auditoria de seguretat.
g) Designar un responsable de supervisió per dur a terme unes funcions clarament definides i perquè supervisi, durant un període determinat, el compliment de les obligacions previstes en el Títol III.
h) Ordenar a les entitats que facin públics d’una forma concreta els incompliments de les obligacions establertes en aquesta Llei.
i) Emetre comunicats públics en els quals s’identifiqui a les persones físiques i jurídiques responsables d’incompliments d’obligacions establertes en aquesta Llei i la naturalesa dels dits incompliments.
j) Imposar o sol·licitar la imposició d’una multa administrativa de conformitat amb l’establert al Títol IV, a títol addicional o substitutiu de les mesures referides en les lletres a) a i) d’aquest apartat, en funció de les circumstàncies de cada cas particular.
4. És igualment aplicable a les entitats importants, el previst en els apartats 4 a 6 de l’article 23.