47. člen
(nadzor pomembnih subjektov)
(1)
Inšpekcijski nadzor pomembnega subjekta se izvede, če inšpektor prejme dokaze, indice ali informacije, da pomembni subjekt ne izvaja ukrepov za obvladovanje tveganj kibernetske varnosti v skladu s predpisanimi obveznostmi iz tega zakona, ali da ne izpolnjuje obveznosti v zvezi z obveščanjem o kibernetskih incidentih na predpisani način in v predpisanih rokih, ali da ne ravna po zahtevah pristojnega nacionalnega organa iz tega zakona.
(2)
Če inšpektor pri opravljanju nalog inšpekcijskega nadzora ugotovi, da je pomembni subjekt kršil ta zakon ali drug predpis ali drug akt, katerega izvajanje nadzoruje, ima poleg pravic in dolžnosti iz zakona, ki ureja inšpekcijski nadzor, tudi pravico in dolžnost:
(3)
Inšpektor pri odreditvi ukrepov iz prejšnjega odstavka spoštuje postopkovne pravice pomembnega subjekta v postopku nadzora in upošteva okoliščine vsakega posameznega primera, pri čemer upošteva:
(4)
Ciljno usmerjene revizije skladnosti iz 1. točke drugega odstavka tega člena temeljijo na ocenah tveganj, ki jih izvedejo pristojni nacionalni organi ali pomembni subjekt, ki je predmet presoje, ali na drugih razpoložljivih informacijah o tveganju. Poročilo o izvedeni ciljno usmerjeni reviziji skladnosti se da na voljo inšpektorju.
(5)
Stroške ciljno usmerjene revizije skladnosti, ki jo opravi revizor informacijskih sistemov, krije pomembni subjekt, razen v ustrezno utemeljenih primerih, ko pristojni organ odloči drugače.
(6)
Predstojnik organa subjekta javne uprave ali odgovorna oseba pravne osebe, ki je pomembni subjekt, to je fizična oseba ali osebe, ki vodijo, nadzorujejo ali upravljajo poslovanje pravne osebe oziroma so po zakonu, aktu o ustanovitvi ali pooblastilu pristojne in dolžne zagotoviti zakonito delovanje, je odgovorna oseba za zagotavljanje skladnosti delovanja pomembnega subjekta po tem zakonu (v nadaljnjem besedilu: odgovorna oseba pomembnega subjekta) in odgovarja za kršitve svojih dolžnosti v skladu s tem zakonom.
(7)
Kadar inšpektor opravlja upravno izvršbo izvršljivih odločb, ki jih je izdal v postopku nadzora pomembnih subjektov in pri tem uporablja prisilne ukrepe z izrekanjem denarnih kazni, prva denarna kazen ne glede na zakon, ki ureja splošni upravni postopek, ne sme presegati 7.000 eurov. Vsaka poznejša denarna kazen za prisilitev je lahko znova izrečena do tega zneska.
(8)
Prejšnji odstavek se ne uporablja za pravne osebe javnega prava.
(9)
Inšpektor sodeluje z nadzornimi organi, ki so določeni z zakonom, ki ureja izvajanje Uredbe 2022/2554/EU o digitalni operativni odpornosti za finančni sektor. Pri tem inšpektor zagotovi, da o nadzoru pomembnega subjekta, ki je imenovan za ključnega tretjega ponudnika storitev IKT na podlagi 31. člena Uredbe 2022/2554/EU, o tem obvesti nadzorniški forum, ustanovljen na podlagi prvega odstavka 32. člena Uredbe 2022/2554/EU.