                               Art. 34 
 
Principi generali per lo svolgimento delle attivita' di vigilanza  ed
                             esecuzione 
 
  1. L'Autorita'  nazionale  competente  NIS  monitora  e  valuta  il
rispetto da parte dei soggetti essenziali e dei  soggetti  importanti
degli obblighi previsti dall'articolo 7 e  dal  capo  IV,  nonche'  i
relativi effetti sulla sicurezza dei sistemi informativi e  di  rete,
svolgendo attivita' di vigilanza attraverso: 
    a)  il  monitoraggio,  l'analisi  e  il  supporto   ai   soggetti
essenziali e ai soggetti importanti; 
    b) la verifica e le ispezioni; 
    c) l'adozione di misure di esecuzione; 
    d)  l'irrogazione  di  sanzioni   amministrative   pecuniarie   e
accessorie. 
  2. L'Autorita' nazionale competente NIS  puo'  conferire  priorita'
alle attivita' di cui al presente capo adottando un approccio  basato
sul rischio. 
  3. L'Autorita'  nazionale  competente  NIS  provvede  affinche'  le
attivita' di vigilanza imposte ai soggetti per  quanto  riguarda  gli
obblighi di cui al presente decreto siano effettive, proporzionate  e
dissuasive, tenuto conto di ciascuna fattispecie e dei criteri di cui
all'articolo 31. 
  4. L'Autorita' nazionale competente NIS  vigila  sul  rispetto,  da
parte  degli  enti  della  pubblica  amministrazione,  del   presente
decreto, con indipendenza operativa rispetto agli enti della pubblica
amministrazione sottoposti a vigilanza. 
  5. L'Autorita' nazionale competente NIS espone nei  particolari  la
motivazione per l'adozione dei provvedimenti per lo svolgimento delle
attivita' e l'esercizio dei poteri di cui al presente capo. 
  6.  Le  attivita'  e  i  poteri  di  cui  al  presente  capo   sono
rispettivamente svolte ed  esercitati  rispettando  i  diritti  della
difesa  nonche'  tenendo  conto   delle   circostanze   di   ciascuna
fattispecie e almeno dei seguenti elementi: 
    a) la gravita' della violazione e l'importanza delle disposizioni
violate, considerando gravi in particolare: 
      1) le violazioni ripetute; 
      2) la mancata notifica di incidenti significativi o il  mancato
rimedio a tali incidenti; 
      3) il mancato rimedio alle  carenze  a  seguito  di  istruzioni
vincolanti emesse dall'Autorita' nazionale competente NIS; 
      4) l'ostacolo alle attivita' di vigilanza di  cui  al  presente
capo; 
      5) la fornitura di informazioni  false  o  gravemente  inesatte
relative agli obblighi di cui al presente decreto; 
    b) la durata della violazione; 
    c)  eventuali  precedenti  violazioni  pertinenti  commesse   dal
soggetto interessato; 
    d) qualsiasi danno materiale o immateriale  causato,  incluse  le
perdite finanziarie o economiche, gli effetti sugli altri  servizi  e
il numero di utenti interessati; 
    e) un'eventuale  condotta  intenzionale  o  negligenza  da  parte
dell'autore della violazione; 
    f)  qualsiasi  misura  adottata  dal  soggetto  per  prevenire  o
attenuare il danno materiale o immateriale; 
    g) qualsiasi adesione  a  codici  di  condotta  o  meccanismi  di
certificazione approvati; 
    h)  il  livello  di  collaborazione  delle  persone   fisiche   o
giuridiche ritenute responsabili con l'Autorita' nazionale competente
NIS. 
  7. Gli audit  sulla  sicurezza,  periodici  e  mirati,  nonche'  le
scansioni di sicurezza di cui agli articoli 35 e 37, sono  svolti  da
organismi  indipendenti  e  si  basano  su  valutazioni  del  rischio
effettuate dall'Autorita' nazionale competente  NIS  o  dal  soggetto
sottoposto ad audit o su altre informazioni disponibili in  relazione
ai rischi. L'Autorita'  nazionale  competente  NIS  puo'  richiedere,
anche solo in parte, di acquisire  gli  esiti  di  tali  audit  sulla
sicurezza e di tali scansioni di sicurezza. I  costi  di  tali  audit
sulla sicurezza e di tali scansioni di sicurezza sono  a  carico  del
soggetto sottoposto ad audit, salvo in casi debitamente  giustificati
in cui l'Autorita' nazionale competente  NIS  decida  altrimenti,  in
linea  con  il  piano  di  risposta  agli  incidenti  e  alle   crisi
informatiche su vasta scala di cui all'articolo 13, comma 3. 
  8. La designazione o la mancata designazione del rappresentante  di
cui all'articolo 5, comma 3,  non  pregiudica  lo  svolgimento  delle
attivita' e l'esercizio dei poteri di cui al presente capo. 
  9. Le comunicazioni e le interazioni dei soggetti  con  l'Autorita'
nazionale competente NIS avvengono, in  via  prioritaria,  per  mezzo
della piattaforma digitale di cui all'articolo 7, comma 1. 
  10. Con decreto del  Presidente  del  Consiglio  dei  ministri,  da
adottare secondo le modalita' di cui all'articolo 40, comma  1,  sono
stabiliti i criteri, le procedure e le modalita' per  lo  svolgimento
delle  attivita',   l'esercizio   dei   poteri   e   l'adozione   dei
provvedimenti di cui al presente capo.