Art. 13 
 
                       Attuazione e controllo 
 
  1. Le autorita' competenti NIS valutano il rispetto da parte  degli
operatori di servizi essenziali degli obblighi previsti dall'articolo
12, nonche' i relativi effetti  sulla  sicurezza  della  rete  e  dei
sistemi informativi. 
  2. Ai fini del comma 1, gli operatori di  servizi  essenziali  sono
tenuti a fornire all'autorita' competente NIS: 
  a) le informazioni necessarie per valutare la sicurezza della  loro
rete e dei loro sistemi informativi, compresi  i  documenti  relativi
alle politiche di sicurezza; 
  b) la prova dell'effettiva attuazione delle politiche di sicurezza,
come i risultati di un audit sulla  sicurezza  svolto  dall'autorita'
competente NIS o da un revisore abilitato e,  in  quest'ultimo  caso,
metterne a disposizione dell'autorita' competente  NIS  i  risultati,
inclusi gli elementi di prova. 
  3. Quando richiede le informazioni o le prove di cui  al  comma  2,
l'autorita'  competente  NIS  indica   lo   scopo   delle   richieste
specificando il tipo di informazioni da fornire. 
  4. A seguito della valutazione delle informazioni o  dei  risultati
degli audit sulla sicurezza di cui al comma 2, l'autorita' competente
NIS puo' emanare istruzioni vincolanti per gli operatori  di  servizi
essenziali al fine di porre rimedio alle carenze individuate. 
  5.  Nei  casi  di  incidenti  che  comportano  violazioni  di  dati
personali, l'autorita' competente NIS opera in  stretta  cooperazione
con il Garante per la protezione dei dati personali.