Wenn wir über die gesetzlich vorgeschriebene Aufsicht sprechen, müssen wir zwischen zwei Kategorien von Einrichtungen unterscheiden: wesentliche Einrichtungen und wichtige Einrichtungen.

Wesentliche Einrichtungen müssen sich einer regelmäßigen Konformitätsbewertung unterziehen. Diese Bewertung wird auf Grundlage einer von der Einrichtung getroffenen Wahl zwischen drei Optionen durchgeführt: 

• entweder eine CyberFundamentals (CyFun®)-Zertifizierung, die von einer vom CCB anerkannten Konformitätsbewertungsstelle erteilt wird (nach Akkreditierung durch BELAC);
• Oder eine ISO/IEC 27001-Zertifizierung, die von einer akkreditierten Konformitätsbewertungsstelle (CAB) erteilt wird. Diese Akkreditierung kann von einer Akkreditierungsstelle erteilt werden, die das MLA unterzeichnet hat, zu dem ISO 27001 im Rahmen der Europäischen Kooperation für Akkreditierung (EA) oder des IAF (International Accreditation Forum) gehört;
• oder eine Inspektion durch den Inspektionsdienst des CCB (oder durch einen sektoralen Inspektionsdienst).

Der Inspektionsdienst kann wesentliche Einrichtungen auch jederzeit kontrollieren (ohne Sicherheitsvorfall - ex ante - und nach einem Sicherheitsvorfall - ex post).

Bei wichtigen Einrichtungen erfolgt die Aufsicht "ex post", d.h. nach einem Sicherheitsvorfall oder bei Vorliegen von Beweisen, Hinweisen oder Informationen, dass eine wichtige Einrichtung ihren Verpflichtungen nicht nachkommt (Art. 48 des NIS2-Gesetzes). Diese Einrichtungen können sich jedoch auch freiwillig der gleichen Regelung unterwerfen wie wesentliche Einrichtungen.

Die Inspektoren können sich direkt vor Ort begeben, Protokolle erstellen und Berichte verfassen. Auf Grundlage dieser Feststellungen kann ein Verfahren eingeleitet werden, um die Einrichtung anzuweisen, den Verstoß zu beenden und um, falls erforderlich, geeignete administrative Maßnahmen zu ergreifen, die von Verwarnungen bis zu Bußgeldern reichen. 

Die Listen der Bußgelder und administrativen Maßnahmen befinden sich in den Artikeln 58, 59 und 60 des Gesetzes.

Die Aufsicht wird grundsätzlich von der Inspektionsabteilung der nationalen Cybersicherheitsbehörde ausgeübt. Die sektoralen Behörden können jedoch die Einrichtungen ihres Sektors im Hinblick auf die von ihnen vorgeschriebenen zusätzlichen Cybersicherheitsmaßnahmen kontrollieren. Das Gesetz sieht auch gemeinsame Inspektionen oder sogar die Delegation von Inspektionen an eine sektorale Behörde vor, um die Aufsicht zu vereinfachen und die staatlichen Ressourcen zu rationalisieren.