De kompetente myndigheder fører reaktivt tilsyn med vigtige enheders overholdelse af denne lov og regler udstedt i medfør af loven. En kompetent myndighed kan som led i dette tilsyn efter indikationer på, at en vigtig enhed ikke overholder eller ikke har overholdt denne lov eller regler udstedt i medfør af loven, anvende følgende tilsynsforanstaltninger:
-
1) Uden retskendelse og mod behørig legitimation foretage kontrol på stedet og efterfølgende eksternt tilsyn.
-
2) Foretage målrettede sikkerhedsaudits eller stille krav om, at enheden får et kvalificeret uafhængigt organ til at foretage disse audits, og at resultaterne heraf stilles til rådighed for den kompetente myndighed.
-
3) Foretage sikkerhedsscanninger.
-
4) Kræve at få udleveret oplysninger, der er nødvendige for efterfølgende at vurdere de foranstaltninger til styring af cybersikkerhedsrisici, som den berørte enhed har indført.
-
5) Kræve at få adgang til data, dokumenter og oplysninger, der er nødvendige for udførelsen af tilsynsopgaven, herunder til afgørelse af, om et forhold er omfattet af denne lov eller regler udstedt i medfør af loven.
-
6) Kræve at få udleveret dokumentation for gennemførelsen af cybersikkerhedspolitikker.
Stk. 2 Ved anvendelse af tiltagene i stk. 1, nr. 4-6, skal den kompetente myndighed angive formålet med kravet og præcisere, hvilke oplysninger der kræves udleveret, og hvordan og i hvilken form oplysningerne og materialet nævnt i stk. 1, nr. 4-6, skal udleveres.