Dyrektywa NIS2 określa szczegółowe kary za nieprzestrzeganie przepisów, do których należą:
- Środki niepieniężne
- Kary administracyjne
- Kary finansowe
Kary te mogą zostać nałożone na podmioty kluczowe oraz podmioty ważne za naruszenia takie jak niespełnienie wymogów bezpieczeństwa i niezgłoszenie incydentów.
Konkretne kary będą się różnić w zależności od państwa członkowskiego, ale dyrektywa ustanawia minimalny wykaz sankcji administracyjnych za naruszenie obowiązków w zakresie zarządzania ryzykiem cybernetycznym i raportowania.
Kary niepieniężne w NIS2
NIS2 daje krajowym organom nadzorczym uprawnienia do egzekwowania środków niepieniężnych, w tym:
- nakazy przestrzegania
- wiążące instrukcje
- zlecenia wykonania audytu bezpieczeństwa
- zlecenia powiadamiania klientów podmiotów o zagrożeniach.
Kary finansowe w NIS2
Jeśli chodzi o kary finansowe, dyrektywa NIS2 dokładnie rozróżnia podmioty kluczowe i podmioty ważne.
W przypadku podmiotów kluczowych wymaga od państw członkowskich zapewnienia maksymalnej kwoty kar w wysokości co najmniej 10 000 000 EUR lub 2% całkowitego rocznego dochodu, w zależności od tego, która wartość jest wyższa.
W przypadku ważnych podmiotów NIS2 wymaga od państw członkowskich nałożenia kary pieniężnej w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4% całkowitego rocznego dochodu, w zależności od tego, która kwota jest wyższa.
Sankcje karne dla kadry kierowniczej wg dyrektywy NIS2
Próbując zmniejszyć presję wywieraną na działy IT, aby samodzielnie zapewniały bezpieczeństwo organizacji i zmienić poczucie odpowiedzialności za cyberbezpieczeństwo, NIS2 zawiera nowe środki mające na celu pociągnięcie najwyższego kierownictwa do osobistej odpowiedzialności za rażące zaniedbanie w przypadku incydentu związanego z bezpieczeństwem.
W szczególności NIS2 umożliwia organom państw członkowskich pociągnięcie menedżerów organizacji do osobistej odpowiedzialności w przypadku udowodnienia rażącego zaniedbania po incydencie cybernetycznym poprzez m.in.:
- Nakazanie organizacjom upubliczniania naruszeń zgodności.
- Składanie publicznych oświadczeń identyfikujących osobę fizyczną i prawną odpowiedzialną za naruszenie oraz jego charakter.
- Jeśli organizacja jest podmiotem kluczowym, w przypadku powtarzających się naruszeń poprzez tymczasowy zakaz dla danej osoby pełnienia stanowisk kierowniczych .