1. De lidstaten zorgen ervoor dat de bevoegde autoriteiten over de nodige bevoegdheden en middelen beschikken om de naleving van de krachtens artikel 14 op aanbieders van essentiële diensten rustende verplichtingen en de effecten daarvan op de beveiliging van netwerk- en informatiesystemen te beoordelen.
2. De lidstaten zorgen ervoor dat de bevoegde autoriteiten over de bevoegdheden en middelen beschikt om van aanbieders van essentiële diensten te eisen dat zij:
a) | de informatie verschaffen die nodig is om de beveiliging van hun netwerk- en informatiesystemen te beoordelen, met inbegrip van gedocumenteerde beleidsmaatregelen op het gebied van beveiliging; |
b) | het bewijs leveren dat het beveiligingsbeleid daadwerkelijk wordt uitgevoerd, bijvoorbeeld de resultaten van een beveiligingsaudit die door de bevoegde autoriteit of een bevoegde auditor is uitgevoerd en, in het laatste geval, de resultaten daarvan, met inbegrip van de onderliggende gegevens, ter beschikking te stellen van de bevoegde autoriteit. |
Bij het toezenden van die eis tot informatie of bewijs vermelden de bevoegde autoriteiten het doel van de eis en specificeren zij welke informatie moet worden verstrekt.
3. Na de beoordeling van de informatie of het resultaat van de in lid 2 bedoelde audits, kan de bevoegde autoriteit aan de aanbieders van essentiële diensten bindende aanwijzingen geven om de vastgestelde tekortkomingen te verbeteren.
4. De bevoegde autoriteit werkt nauw samen met de autoriteiten voor gegevensbescherming om incidenten aan te pakken die inbreuken in verband met persoonsgegevens tot gevolg hebben.