1. Η Εθνική Αρχή Κυβερνοασφάλειας:
α) αξιολογεί τη συμμόρφωση των φορέων εκμετάλλευσης βασικών υπηρεσιών προς τις υποχρεώσεις τους, σύμφωνα με το άρθρο 9 και των επιπτώσεών τους στην ασφάλεια των συστημάτων δικτύου και πληροφοριών,
β) απαιτεί από τους φορείς εκμετάλλευσης βασικών υπηρεσιών να παρέχουν:
αα) τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των συστημάτων δικτύου και των πληροφοριών τους, συμπεριλαμβανομένων, μεταξύ άλλων, τεκμηριωμένων και εγκεκριμένων πολιτικών ασφάλειας,
ββ) στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως τα αποτελέσματα επιθεώρησης ασφάλειας που έχει διενεργηθεί είτε από την Εθνική Αρχή Κυβερνοασφάλειας είτε από εξουσιοδοτημένο από αυτήν όργανο και, στη δεύτερη αυτή περίπτωση, να θέτουν τα αποτελέσματά τους, καθώς και όλα τα σχετικά στοιχεία στη διάθεση της Εθνικής Αρχής Κυβερνοασφάλειας.
Όταν ζητούνται αυτές οι πληροφορίες ή τα στοιχεία, η Εθνική Αρχή Κυβερνοασφάλειας δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ειδικότερες πληροφορίες που ζητούνται.
2. Μετά την αξιολόγηση των πληροφοριών ή των αποτελεσμάτων των επιθεωρήσεων ασφάλειας που αναφέρονται στην περίπτωση β΄ της παραγράφου 1, η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να εκδίδει δεσμευτικές οδηγίες προς τους φορείς εκμετάλλευσης βασικών υπηρεσιών για την αποκατάσταση των εντοπισμένων ελλείψεων.
3. Κατά την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων, συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
4. Με απόφαση του Υπουργού Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, ύστερα από εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας καθορίζονται η μεθοδολογία αξιολόγησης της περίπτωσης α΄ και η διαδικασία παροχής πληροφοριών της περίπτωσης β΄ της παραγράφου 1.