Art. 13 — Attuazione e controllo

Art. 13. Attuazione e controllo 1. Le autorita' competenti NIS valutano il rispetto da parte degli operatori di servizi essenziali degli obblighi previsti dall'articolo 12, nonche' i relativi effetti sulla sicurezza della rete e dei sistemi informativi. 2. Ai fini del comma 1, gli operatori di servizi essenziali sono tenuti a fornire all'autorita' competente NIS: a) le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza; b) la prova dell'effettiva attuazione delle politiche di sicurezza, come i risultati di un audit sulla sicurezza svolto dall'autorita' competente NIS o da un revisore abilitato e, in quest'ultimo caso, metterne a disposizione dell'autorita' competente NIS i risultati, inclusi gli elementi di prova. 3. Quando richiede le informazioni o le prove di cui al comma 2, l'autorita' competente NIS indica lo scopo delle richieste specificando il tipo di informazioni da fornire. 4. A seguito della valutazione delle informazioni o dei risultati degli audit sulla sicurezza di cui al comma 2, l'autorita' competente NIS puo' emanare istruzioni vincolanti per gli operatori di servizi essenziali al fine di porre rimedio alle carenze individuate. 5. Nei casi di incidenti che comportano violazioni di dati personali, l'autorita' competente NIS opera in stretta cooperazione con il Garante per la protezione dei dati personali.