36Β.-(1) Η Αρχή λαμβάνει μέτρα, εφόσον απαιτείται, μέσω κατασταλτικών εποπτικών μέτρων (ex post supervisory measures) σε περίπτωση που της παρέχονται αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες ότι μια σημαντική οντότητα εικάζεται ότι δεν συμμορφώνεται με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο για τις σημαντικές οντότητες, ιδίως με τις διατάξεις των άρθρων 35 και 35Β του παρόντος Νόμου και τα μέτρα αυτά είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
(2) Η Αρχή, κατά την άσκηση των εξουσιών επιβολής σε σχέση με σημαντικές οντότητες, έχει την εξουσία να υποβάλλει τις εν λόγω οντότητες τουλάχιστον σε-
(α) επιτόπιες επιθεωρήσεις και κατασταλτική εποπτεία (ex post supervision) εκτός των εγκαταστάσεων, που διενεργούνται από καταρτισμένους επαγγελματίες·
(β) στοχευμένους ελέγχους ασφάλειας (security audits) που διενεργούνται από ανεξάρτητο όργανο ή αρμόδια αρχή:
(γ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της εν λόγω οντότητας·
(δ) αιτήματα παροχής πληροφοριών αναγκαίων για την εκ των υστερών αξιολόγηση (ex post) των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η εν λόγω οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στην Αρχή δυνάμει των διατάξεων του άρθρου 37Α·
(ε) αιτήματα για πρόσβαση σε δεδομένα, έγγραφα ή πληροφορίες που είναι αναγκαία για την εκτέλεση των εποπτικών της καθηκόντων·
(στ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο ελεγκτή και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.
(3) Η Αρχή κατά την άσκηση των εξουσιών της σύμφωνα κατά τα προβλεπόμενα στις παραγράφους (δ), (ε) ή (στ) του εδάφιου (2), δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
(4) Η Αρχή, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με σημαντικές οντότητες, έχει την εξουσία τουλάχιστον να-
(α) εκδίδει προειδοποιήσεις σχετικά με τις παραβιάσεις των διατάξεων του παρόντος Νόμου από τις εν λόγω οντότητες·
(β) εκδίδει δεσμευτικές οδηγίες ή Απόφαση προς τις εν λόγω οντότητες για να αποκαταστήσουν τις διαπιστωθείσες ελλείψεις ή την παράβαση των υποχρεώσεων του παρόντος Νόμου·
(γ) απαιτεί από τις εν λόγω οντότητες να παύσουν συμπεριφορά που παραβιάζει τις διατάξεις του παρόντος Νόμου και να απέχουν από επανάληψη της εν λόγω συμπεριφοράς παραβίασης·
(δ) απαιτεί από τις εν λόγω οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με τις διατάξεις του άρθρου 35 ή να εκπληρώσουν τις υποχρεώσεις υποβολής κοινοποιήσεων που ορίζονται στις διατάξεις του άρθρου 35Β, με συγκεκριμένο τρόπο και εντός καθορισμένου χρονικού διαστήματος·
(ε) απαιτεί από τις εν λόγω οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες τα οποία ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής·
(στ) απαιτεί από τις εν λόγω οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας·
(ζ) απαιτεί από τις εν λόγω οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων των διατάξεων του παρόντος Νόμου με συγκεκριμένο τρόπο·
(η) επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του άρθρου 43Α επιπρόσθετα από οποιαδήποτε από τα μέτρα που αναφέρονται στις παραγράφους (α) έως (ζ) του παρόντος εδαφίου.
(5) Τα εδάφια (6), (7) και (8) του άρθρου 36Α εφαρμόζονται κατ’ αναλογία στα μέτρα εποπτείας και επιβολής που προβλέπονται στο παρόν άρθρο για τις σημαντικές οντότητες.
(6) Η Αρχή συνεργάζεται με τις αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554 και ειδικότερα ενημερώνει το φόρουμ εποπτείας που συστάθηκε δυνάμει των διατάξεων της παραγράφου 1 του άρθρου 32 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης σημαντικής οντότητας που έχει οριστεί ως κρίσιμος τρίτος παροχέας υπηρεσιών ΤΠΕ, δυνάμει των διατάξεων του άρθρου 31 του Κανονισμού (ΕΕ) 2022/2554 με τις υποχρεώσεις των διατάξεων του παρόντος Νόμου: