De kompetente myndigheder fører på deres respektive områder tilsyn med væsentlige enheders overholdelse af denne lov og regler udstedt i medfør af loven. En kompetent myndighed kan som led i sit tilsyn anvende følgende tilsynsforanstaltninger over for en væsentlig enhed:
-
1) Uden retskendelse og mod behørig legitimation foretage kontrol på stedet og eksternt tilsyn, herunder stikprøvekontroller.
-
2) Foretage regelmæssige og målrettede sikkerhedsaudits eller stille krav om, at enheden får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.
-
3) Foretage sikkerhedsaudits.
-
4) Foretage sikkerhedsscanninger.
-
5) Kræve at få udleveret oplysninger, der er nødvendige for at vurdere de foranstaltninger til styring af cybersikkerhedsrisici, som den berørte enhed har indført.
-
6) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
-
7) Kræve at få udleveret dokumentation for gennemførelsen af cybersikkerhedspolitikker.
Stk. 2 Ved anvendelsen af tiltagene i stk. 1, nr. 5-7, skal den kompetente myndighed angive formålet hermed og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 5-7, skal udleveres.