- Η Εθνική Αρχή Κυβερνοασφάλειας, όταν της παρέχονται αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες ότι μια σημαντική οντότητα εικάζεται ότι δεν συμμορφώνεται με το παρόν μέρος, ιδίως δε με τα άρθρα 15 και 16 αυτού, λαμβάνει, εφόσον το κρίνει αναγκαίο, κατασταλτικά μέτρα, τα οποία επιβάλλεται να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
- Η Εθνική Αρχή Κυβερνοασφάλειας κατά την άσκηση των αρμοδιοτήτων επιβολής σε σχέση με σημαντικές οντότητες, υποβάλλει τις εν λόγω οντότητες ιδίως στα ακόλουθα:
α) επιτόπιες επιθεωρήσεις και κατασταλτική εποπτεία εντός και εκτός των εγκαταστάσεων,
β) στοχευμένους ελέγχους ασφάλειας που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας,
γ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της οικείας οντότητας,
δ) αιτήματα παροχής αναγκαίων πληροφοριών για την αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η οικεία οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας, καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στις αρμόδιες αρχές σύμφωνα με το άρθρο 19,
ε) αιτήματα για πρόσβαση σε δεδομένα, έγγραφα ή πληροφορίες που είναι αναγκαίες για την εκ μέρους της εκτέλεση των εποπτικών καθηκόντων της,
στ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο επιθεωρητή της παρ. 2 του άρθρου 23 και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.
Οι στοχευμένοι έλεγχοι ασφάλειας που αναφέρονται στην περ. β) βασίζονται σε εκτιμήσεις κινδύνου που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας ή την ελεγχόμενη οντότητα ή σε άλλες διαθέσιμες πληροφορίες σχετικά με κινδύνους.
Τα αποτελέσματα κάθε στοχευμένου ελέγχου ασφάλειας τίθενται στη διάθεση της Εθνικής Αρχής Κυβερνοασφάλειας.
- Κατά την άσκηση των αρμοδιοτήτων της σύμφωνα με τις περ. δ), ε) και στ) της παρ. 2, η Εθνική Αρχή Κυβερνοασφάλειας δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
- Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών αρμοδιοτήτων της σε σχέση με σημαντικές οντότητες, έχει τις εξής ιδίως αρμοδιότητες:
α) εκδίδει προειδοποιήσεις σχετικά με τις παραβιάσεις του παρόντος μέρους από τις οικείες οντότητες,
β) εκδίδει δεσμευτικές οδηγίες ή διαταγή προς τις οικείες οντότητες να αποκαταστήσουν τις διαπιστωθείσες ελλείψεις ή την παράβαση των υποχρεώσεων του παρόντος μέρους,
γ) εντέλλει τις οικείες οντότητες να παύσουν συμπεριφορά που παραβιάζει το παρόν μέρος και να απέχουν από επανάληψη της εν λόγω συμπεριφοράς παραβίασης,
δ) εντέλλει τις οικείες οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με το άρθρο 15 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο άρθρο 16, με συγκεκριμένο τρόπο και εντός ορισμένου χρονικού διαστήματος,
ε) εντέλλει τις οικείες οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής,
στ) εντέλλει τις οικείες οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας,
ζ) εντέλλει τις οικείες οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων του παρόντος μέρους με συγκεκριμένο τρόπο,
η) επιβάλλει διοικητικά πρόστιμα σύμφωνα με το άρθρο 26, επιπλέον των μέτρων που αναφέρονται στις περ. α) έως ζ).
- Οι παρ. 6, 7, 8 και 10 του άρθρου 24 εφαρμόζονται αναλόγως στα μέτρα εποπτείας και επιβολής που προβλέπονται στο παρόν άρθρο για τις σημαντικές οντότητες.