1. Le misure adottate ai fini dell'attuazione del presente articolo e dell'articolo 40 sono approvate con provvedimento dell'Agenzia.
2. I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazioni elettroniche accessibili al pubblico adottano le istruzioni vincolanti eventualmente impartite dall'Agenzia, anche con riferimento alle misure necessarie per porre rimedio a un incidente di sicurezza o per evitare che si verifichi nel caso in cui sia stata individuata una minaccia significativa.
3. Ai fini del controllo del rispetto dell'articolo 40 le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico sono tenute a:
- a) fornire all'Agenzia le informazioni necessarie per valutare la sicurezza delle loro reti e dei loro servizi, in particolare i documenti relativi alle politiche di sicurezza;
- b) sottostare a verifiche di sicurezza effettuate dall'Agenzia o da un organismo qualificato indipendente designato dalla medesima Agenzia. L'impresa si assume l'onere finanziario della verifica.
4. L'Agenzia ha la facoltà di indagare i casi di mancata conformità nonché i loro effetti sulla sicurezza delle reti e dei servizi. I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazioni elettroniche accessibili al pubblico che indirizzano o raccolgono traffico per servizi offerti sul territorio nazionale sono tenuti a fornire le informazioni e i dati necessari alle indagini.
5. L'Agenzia, se del caso, consulta l'Autorità, le Autorità di contrasto nazionali, il Garante per la protezione dei dati personali, e coopera con esse.
6. Nel caso in cui l'Agenzia riscontri il mancato rispetto del presente articolo e dell'articolo 40 ovvero delle disposizioni attuative previste dai commi 1 e 2 da parte delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, si applicano le sanzioni di cui all'articolo 30, commi da 2 a 21.