36.-(1) H Αρχή χρησιμοποιεί τα απαραίτητα μέσα για την αξιολόγηση της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών προς τις υποχρεώσεις τους δυνάμει των διατάξεων του άρθρου 35 και των επιπτώσεών τους στην ασφάλεια των δικτύων και συστημάτων πληροφοριών.
(2) Ο Επίτροπος δύναται να εκδώσει Απόφαση σχετικά με ον τρόπο αξιολόγησης της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών προς τις υποχρεώσεις τους.
(3) H Aρχή χρησιμοποιεί τα απαραίτητα μέσα για να ζητά από τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών να παρέχουν:
(α) Τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών τους, συμπεριλαμβανομένων μεταξύ άλλων τεκμηριωμένων πολιτικών ασφάλειας·
(β) στοιχεία που αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που έχει διενεργηθεί είτε από την Αρχή είτε από εξουσιοδοτημένο επιθεωρητή, όπως η εξουσιοδότηση αυτή δύναται να καθοριστεί σε Απόφαση, και στη δεύτερη αυτή περίπτωση, θέτει τα αποτελέσματα του, καθώς και τα σχετικά στοιχεία στη διάθεση της Αρχής.
(4) Το κόστος της επιθεώρησης ασφάλειας επιβαρύνει τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών.
(5) Όταν ζητούνται αυτές οι πληροφορίες ή τα στοιχεία, η Αρχή δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις πληροφορίες που ζητούνται.
(6) Μετά την αξιολόγηση των πληροφοριών ή των αποτελεσμάτων των επιθεωρήσεων ασφάλειας που αναφέρονται στις διατάξεις του εδαφίου (3), η Αρχή μπορεί να εκδίδει δεσμευτικές οδηγίες προς τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών για την αποκατάσταση των εντοπισμένων ελλείψεων.
(7) Κατά την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων, η Αρχή συνεργάζεται στενά με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.