                               Art. 37 
 
                        Misure di esecuzione 
 
  1. L'Autorita' nazionale competente NIS, ai fini dell'esercizio dei
suoi poteri di  esecuzione,  tiene  anche  conto  degli  esiti  delle
attivita' di monitoraggio, analisi e supporto di cui all'articolo  35
e delle risultanze dell'esercizio dei poteri di verifica e  ispettivi
di cui all'articolo 36. 
  2. L'Autorita' nazionale competente NIS,  nell'esercizio  dei  suoi
poteri di esecuzione puo' richiedere ai  soggetti,  dichiarandone  la
finalita', di fornire i dati che dimostrino l'attuazione di politiche
di sicurezza informatica, quali i risultati di audit sulla  sicurezza
e i relativi elementi di prova, nonche'  le  informazioni  necessarie
per lo svolgimento dei propri compiti istituzionali anche ai fini: 
    a) della valutazione delle misure di gestione dei rischi  per  la
sicurezza informatica; 
    b) del rispetto degli obblighi di trasmissione,  comunicazione  e
notifica di cui al presente decreto. 
  3. L'Autorita' nazionale competente NIS,  nell'esercizio  dei  suoi
poteri di esecuzione, puo' intimare ai soggetti: 
    a)  di  eseguire,  su  base  periodica  o  mirata,  audit   sulla
sicurezza, in particolare in caso di  incidente  significativo  o  di
violazione del presente decreto da parte  del  soggetto.  L'Autorita'
nazionale competente NIS non puo' prescrivere l'esecuzione  periodica
di audit di sicurezza ai soggetti importanti; 
    b) di eseguire  scansioni  di  sicurezza  basate  su  criteri  di
valutazione  dei  rischi  obiettivi,  non  discriminatori,   equi   e
trasparenti, se necessario in cooperazione con la medesima Autorita'; 
    c) di attuare le raccomandazioni fornite in seguito  a  un  audit
sulla sicurezza; 
    d) di adempiere agli obblighi di cui al presente decreto; 
    e) di porre  termine  al  comportamento  che  viola  il  presente
decreto e di astenersi dal ripeterlo; 
    f) di attuare le istruzioni vincolanti impartite  dalla  medesima
Autorita'   o   di   porre   rimedio   alle    carenze    individuate
nell'adempimento degli obblighi di cui al  presente  decreto  o  alle
conseguenze che derivano da violazioni del presente decreto; 
    g) ai  fini  dell'articolo  25,  comma  9,  di  comunicare  senza
ingiustificato ritardo ai destinatari dei loro servizi gli  incidenti
significativi che possono ripercuotersi negativamente sulla fornitura
di tali servizi; 
    h) ai fini  dell'articolo  25,  comma  10,  di  comunicare  senza
ingiustificato ritardo ai  destinatari  dei  loro  servizi  che  sono
potenzialmente interessati da una minaccia informatica significativa,
qualsiasi misura o azione correttiva  che  tali  destinatari  possono
adottare in risposta a  tale  minaccia,  nonche',  se  opportuno,  la
minaccia informatica significativa stessa; 
    i) ai fini dell'articolo 25, comma 11, di informare  il  pubblico
sugli incidenti occorsi; 
    l) di rendere pubbliche le violazioni di cui al presente decreto. 
  4. L'Agenzia per la cybersicurezza  nazionale,  nell'esercizio  dei
suoi poteri di esecuzione quale Autorita' nazionale  competente  NIS,
puo' intimare l'osservanza di istruzioni vincolanti  per  evitare  il
verificarsi di un incidente o per porvi rimedio. 
  5. L'Autorita' nazionale competente NIS puo' designare  un  proprio
funzionario  per  supportare  il   soggetto   interessato   ai   fini
dell'adempimento degli obblighi  di  cui  al  presente  decreto,  con
compiti ben definiti nell'arco di un periodo  di  tempo  determinato,
anche tramite visite in loco e a distanza.  Il  soggetto  interessato
assicura la piena collaborazione con il funzionario designato. 
  6. Qualora il soggetto interessato non adempia alle disposizioni di
cui ai commi 2, 3, 4 e  5,  secondo  periodo,  l'Autorita'  nazionale
competente NIS diffida il soggetto ad adempiere a tali disposizioni. 
  7. Ai fini dei commi 2, 3, 4 e 6, l'Autorita' nazionale  competente
NIS indica  modalita'  e  termini  ragionevoli  e  proporzionati  per
adempiere nonche' per riferire circa lo  stato  di  attuazione  degli
adempimenti. 
  8. Prima  di  adottare  provvedimenti  di  cui  ai  commi  3  e  6,
l'Autorita' nazionale competente NIS notifica ai soggetti interessati
le conclusioni preliminari, concedendo a  questi  ultimi  un  termine
ragionevole, comunque non inferiore a quindici giorni, per presentare
osservazioni. 
  9. Il comma 8 non trova applicazione nei casi in  cui  la  notifica
delle conclusioni  preliminari  non  consenta  azioni  immediate  per
prevenire un  incidente  o  rispondervi.  In  tali  casi  l'Autorita'
nazionale competente NIS motiva l'omissione della notifica di cui  al
comma 8. 
  10.  Nei  casi  di  adozione  da  parte  dell'Autorita'   nazionale
competente NIS di piu' provvedimenti  successivi  riconducibili  alla
medesima fattispecie, il comma 8 si applica esclusivamente  al  primo
di questi provvedimenti.