Předně má podle čl. 31 směrnice NIS2 členský stát vždy zajistit, aby opatření dohledu byla účinná, přiměřená, odrazující a individuální. Směrnice také posiluje a prosazuje hlubší spolupráci s dozorovými orgány napříč odvětvími, stejně tak jako s dozorovými orgány ostatních členských států na provádění kontrol a vymáhání dodržování uložených povinností – především zavádění bezpečnostních opatření. Vzájemné přeshraniční spolupráci dozorových orgánů různých členských států se blíže věnuje čl. 37 směrnice.

Úřady mohou podle článků 32 a 33 směrnice v rámci svých úkolů v oblasti dohledu využívat širokou škálu různorodých postupů, od požadavků na poskytnutí informací a podkladů přes skenování zranitelností až po provádění distančních kontrol, kontrol přímo na místě, nebo auditů prostřednictvím třetích stran. Rozsah postupů, které je možné aplikovat vůči povinným subjektům, by se měl pro jednotlivé kategorie povinných subjektů lišit. Stěžejní rozdíl je přitom možné spatřovat v oprávnění dozorového orgánu k provedení kontroly – zatímco ve vztahu ke kategorii „essential entity“ směrnice umožňuje provedení jak preventivní kontroly (ex-ante), tak kontroly na základě podezření z neplnění povinností (ex-post), u kategorie „important entity“ upravuje kontrolu toliko na základě podezření z neplnění povinností, pouze tedy ex-post. Dále může dozorový úřad na základě čl. 31 odst. 2 směrnice, s ohledem na rozsah nově přicházející regulace, vytvořit interní metodologii, která stanoví prioritizaci při výkonu kontroly.

Kromě samotného výkonu kontroly u organizací v kategoriích „essential entity“ a „important entity“ může dozorový úřad dle čl. 32 odst. 4 a čl. 33 odst. 4 směrnice také:

• vydávat závazné pokyny nebo příkazy požadující, aby organizace napravily zjištěné nedostatky nebo porušení povinností;
• nařídit organizacím, aby přestaly s chováním, které není v souladu se zákonnými povinnostmi a zdržely se tohoto jednání;
• nařídit organizacím, aby svá bezpečnostní opatření nebo procesy stanovené k hlášení incidentů konkrétním stanoveným způsobem a ve stanovené lhůtě uvedly do souladu s požadavky;
• nařídit organizacím, aby informovaly fyzické nebo právnické osoby, kterým poskytují služby nebo činnosti, které jsou potenciálně ovlivněny významnou kybernetickou hrozbou, o povaze hrozby, jakož i o případných ochranných nebo nápravných opatřeních, která mohou být přijata touto fyzickou nebo právnickou osobou v reakci na tuto hrozbu;
• nařídit organizacím, aby v přiměřené lhůtě provedly doporučení poskytnutá na základě bezpečnostního auditu;
• nařídit organizacím, aby specifikovaným způsobem zveřejnily aspekty neplnění povinností, pokud by takové zveřejnění ovšem nevedlo k poškození dané organizace a
• uložit správní pokuty vedle opatření uvedených výše nebo namísto nich.

Pokud se vydání varování, závazného pokynu, nařízení ukončení závadného jednání, nařízení uvedení do souladu nebo nařízení provedení doporučení ukáže jako neefektivní, může úřad stanovit dodatečnou lhůtu k nápravě zjištěných nedostatků. Nebudou-li nedostatky odstraněny v dodatečné lhůtě, může dojít k uložení specifických sankcí dle čl. 32 odst. 5 směrnice.

Pravomoci NÚKIB v oblasti dohledu a výkonu jsou v zásadě shodné vůči oběma skupinám regulovaných subjektů. 

Původně prezentovaný návrh zákona o kybernetické bezpečnosti počítal s delegací kontroly poskytovatelů v režimu nižších povinností na tzv. inspektory, kteří by museli splňovat zákonem stanovené podmínky, složit zkoušku a obdržet od NÚKIB příslušnou autorizaci. Od této varianty bylo v návaznosti na veřejné konzultace původního návrhu a po vyhodnocení veškerých dopadů a potřebných kapacit alespoň prozatím upuštěno. Kontroly budou každopádně probíhat v podobě, která umožní efektivní fungování NÚKIB a zároveň nebude nepřiměřeně zatěžovat regulované organizace.

V návaznosti na případné nedostatky zjištěné v průběhu kontroly je NÚKIB oprávněn kontrolované organizaci uložit nápravná opatření k odstranění zjištěných nedostatků, obdobně jako je tomu v § 24 stávajícího zákona o kybernetické bezpečnosti. Ve vymezených případech pak může NÚKIB přistoupit k vydání výstrahy, kterou může veřejnost informovat kromě jiného o porušování určitých povinností daných návrhem tohoto zákona, případně uložit dotčenému subjektu, aby tak učinil sám.

Nový zákon o kybernetické bezpečnosti se také detailněji věnuje vzájemné spolupráci členských států např. při výkonu kontrol subjektů, které sice na území České republiky poskytují své služby nebo zde mají infrastrukturu k poskytování těchto služeb, ale spadají do působnosti kompetentních orgánů jiného členského státu, kde mají svou hlavní provozovnu.

Aby bylo možné požadavky směrnice NIS2 po promítnutí jejího obsahu do českého právního řádu efektivně vymáhat, zavádí směrnice sadu sankcí a kontrolních prostředků. Ty je možné v případě porušení zákonem stanovených povinností a v rámci předcházení potenciálnímu porušení použít. Blíže se jim proto také věnuje následující téma.

1. Obecné informace o směrnici NIS2 a budoucí národní úpravě
2. Koho se nové povinnosti týkají
3. Rozdělení povinných organizací
4. Povinnost zavádět bezpečnostní opatření
5. Incidenty a způsob jejich hlášení
6. Ohlášení regulované služby a komunikace s NÚKIB
7. Způsob kontroly plnění povinností
8. Sankce a donucovací prostředky
9. Národní a mezinárodní spolupráce
10. Další specifika úpravy v České republice
11. Jak se připravit na novou právní úpravu
12. Finanční aspekty návrhu nového zákona o kybernetické bezpečnosti