L’autoritat que disposa de la potestat sancionadora ha de graduar les sancions previstes en aquest Títol atesos els següents criteris:
a) El grau de culpabilitat o l’existència d’intencionalitat.
b) La continuïtat o persistència en la conducta infractora.
c) La naturalesa i quantia dels danys i perjudicis causats.
d) La reincidència, per comissió en l’últim any de més d’una infracció de la mateixa naturalesa, quan així s’hagi declarat per resolució ferma en via administrativa.
e) El nombre d’usuaris afectats.
f) El volum de facturació de l’entitat infractora.
g) La utilització per l’entitat infractora de programes de recompensa pel descobriment de vulnerabilitats en les infraestructures crítiques, les xarxes i els sistemes d’informació, siguin propis o de tercers, que resultin necessaris per prestar els seus serveis.
h) Les accions realitzades per l’entitat infractora per pal·liar els efectes o les conseqüències de la infracció.