Πηγή: http://www.opengov.gr/digitalandbrief/?p=3398

ΣΧΕΔΙΟ ΝΟΜΟΥ  του Υπουργείου Ψηφιακής Διακυβέρνησης   με τίτλο «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις»

ΜΕΡΟΣ Α’

Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022

ΚΕΦΑΛΑΙΟ Α΄ ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ

Άρθρο 1

Σκοπός

Σκοπός του παρόντος μέρους είναι η επίτευξη υψηλού επιπέδου κυβερνοασφάλειας με την ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2, L 333).

Άρθρο 2 Αντικείμενο (άρθρο 1 της Οδηγίας (ΕΕ) 2022/2555)

Αντικείμενο του παρόντος μέρους αποτελούν:   

α) η εισαγωγή ρυθμίσεων για την Εθνική Στρατηγική Κυβερνοασφάλειας, ο ορισμός αρμόδιας αρχής για την κυβερνοασφάλεια και τη διαχείριση κυβερνοκρίσεων, ο ορισμός ενιαίου σημείου επαφής για την κυβερνοασφάλεια και ομάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών [Computer Security Incident Response Team (CSIRT)],  β) ο καθορισμός μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και η επιβολή υποχρεώσεων υποβολής αναφορών για τις οντότητες που υπάγονται στο πεδίο εφαρμογής του παρόντος μέρους, συμπεριλαμβανομένων και των οντοτήτων που χαρακτηρίζονται κρίσιμες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333),

γ) η πρόβλεψη κανόνων και υποχρεώσεων σχετικά με την ανταλλαγή πληροφοριών για την κυβερνοασφάλεια και  

δ) η θέσπιση διατάξεων για την εν γένει εποπτεία και επιβολή μέτρων και κυρώσεων για την εφαρμογή του παρόντος μέρους, έτσι ώστε να επιτυγχάνεται υψηλό επίπεδο κυβερνοασφάλειας στην Ελλάδα στο πλαίσιο των κανόνων και των στόχων της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2).

ΚΕΦΑΛΑΙΟ Β’ ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 3

Πεδίο εφαρμογής (άρθρο 2 της Οδηγίας (ΕΕ) 2022/2555)

1. Το παρόν μέρος εφαρμόζεται σε δημόσιες ή ιδιωτικές οντότητες των τύπων που αναφέρονται στα παραρτήματα Ι ή ΙΙ του παρόντος νόμου, οι οποίες χαρακτηρίζονται ως μεσαίες επιχειρήσεις σύμφωνα με την παρ. 1 του άρθρου 2 του παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (L 124), ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που αναφέρονται στο εν λόγω άρθρο και οι οποίες παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της ελληνικής επικράτειας. Η παρ. 4 του άρθρου 3 του παραρτήματος της εν λόγω Σύστασης δεν εφαρμόζεται για τους σκοπούς του παρόντος.

• Το παρόν μέρος εφαρμόζεται, επίσης, στις οντότητες, στους τομείς και υποτομείς που αναφέρονται στα παραρτήματα Ι ή ΙΙ, ανεξάρτητα από το μέγεθός τους, εφόσον: α) οι υπηρεσίες παρέχονται από:

αα) παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, αβ) παρόχους υπηρεσιών εμπιστοσύνης, αγ) μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα,

β) η οντότητα είναι ο μοναδικός πάροχος στη χώρα υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων,

γ) η διατάραξη της υπηρεσίας που παρέχει η οντότητα θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία,

δ) η διατάραξη της υπηρεσίας που παρέχεται από την οντότητα θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, συμπεριλαμβανομένων των τομέων στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,

ε) η οντότητα είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη χώρα, στ) η οντότητα είναι:

στα) φορέας δημόσιας διοίκησης της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143), στβ) Οργανισμός Τοπικής Αυτοδιοίκησης α’ βαθμού, στγ) Οργανισμός Τοπικής Αυτοδιοίκησης β’ βαθμού.  

• Το παρόν μέρος εφαρμόζεται σε οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), ανεξάρτητα από το μέγεθός τους.
• Το παρόν μέρος εφαρμόζεται σε οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, ανεξάρτητα από το μέγεθός τους.
• Το παρόν μέρος εφαρμόζεται με την επιφύλαξη των μέτρων που λαμβάνει η χώρα για την προστασία της εθνικής ασφάλειας και του κυριαρχικού της δικαιώματος να διαφυλάσσει άλλες ουσιώδεις κρατικές λειτουργίες, συμπεριλαμβανομένων της διασφάλισης της εδαφικής ακεραιότητάς της και της διατήρησης της δημόσιας τάξης.
• Το παρόν μέρος δεν εφαρμόζεται σε οντότητες δημόσιας διοίκησης που ασκούν τις δραστηριότητές τους στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων της πρόληψης, της διακρίβωσης, της διαπίστωσης και της δίωξης ποινικών αδικημάτων.  Τα μέτρα εποπτείας και επιβολής που αναφέρονται στο Κεφάλαιο Ζ΄ του παρόντος μέρους δεν εφαρμόζονται σε συγκεκριμένες οντότητες που ασκούν δραστηριότητες στους τομείς του δεύτερου εδαφίου της παρ. 2 του άρθρου 29 του παρόντος.
• Η παρ. 6 και τα εδάφια δεύτερο έως τέταρτο της παρ. 2 του άρθρου 29 δεν εφαρμόζονται όταν μια οντότητα ενεργεί ως πάροχος υπηρεσιών εμπιστοσύνης σύμφωνα με την περ. 16 του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014.
• Το παρόν μέρος δεν εφαρμόζεται σε οντότητες τις οποίες η Ελλάδα εξαιρεί από το πεδίο εφαρμογής του Κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333), σύμφωνα με την παρ. 4 του άρθρου 2 του εν λόγω Κανονισμού.
• Οι υποχρεώσεις που προβλέπονται στο παρόν μέρος δεν περιλαμβάνουν την παροχή πληροφοριών, η γνωστοποίηση των οποίων θα ήταν αντίθετη προς ουσιώδη συμφέροντα εθνικής ασφάλειας, δημόσιας τάξης ή άμυνας της χώρας.
• Ο παρών νόμος εφαρμόζεται με την επιφύλαξη του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119), του ν. 4624/2019 (Α΄ 137), του ν. 3471/2006 (Α΄ 133), του ν. 4267/2014 (Α΄ 137), του ν. 4411/2016 (Α΄ 142) και της Οδηγίας (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333).
• Με την επιφύλαξη του άρθρου 346 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, πληροφορίες που είναι εμπιστευτικές σύμφωνα με ενωσιακούς ή εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές σύμφωνα με τον παρόντα νόμο, μόνον εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή των διατάξεών του και των διατάξεων της Οδηγίας (ΕΕ) 2022/2555. Οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής. Η ανταλλαγή πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των οικείων οντοτήτων.
• Οι οντότητες, η Εθνική Αρχή Κυβερνοασφάλειας του άρθρου 3 του ν. 5086/2024 (Α΄ 23) και οι CSIRTs  του άρθρου 10 του παρόντος επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στον βαθμό που είναι αναγκαίο για τους σκοπούς του παρόντος νόμου και σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, μόνον εφόσον η εν λόγω επεξεργασία βασίζεται στο άρθρο 6 του εν λόγω Κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος μέρους από παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών πραγματοποιείται σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων και για την προστασία της ιδιωτικότητας, καθώς και με τον ν. 4624/2019 και τον ν. 3471/2006.

Άρθρο 4 Βασικές και σημαντικές οντότητες (άρθρο 3 της Οδηγίας (ΕΕ) 2022/2555)

1. Για την εφαρμογή του παρόντος μέρους, «βασικές οντότητες» θεωρούνται οι ακόλουθες οντότητες:

α) οντότητες στους τομείς και υποτομείς που αναφέρονται στο παράρτημα Ι, οι οποίες υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που προβλέπονται στην παρ. 1 του άρθρου 2 του παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (L124),  

β) εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης και μητρώα ονομάτων τομέα ανωτάτου επιπέδου, καθώς και πάροχοι υπηρεσιών συστήματος ονομάτων τομέα (Domain Name System), ανεξάρτητα από το μέγεθός τους,

γ) πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών που χαρακτηρίζονται ως μεσαίες επιχειρήσεις, δυνάμει του άρθρου 2 του παραρτήματος της Σύστασης 2003/361/ΕΚ,

δ) οντότητες δημόσιας διοίκησης που αναφέρονται στην υποπερ. στα) της περ. στ) της παρ. 2 του άρθρου 3 του παρόντος,

ε) οποιεσδήποτε άλλες οντότητες των τύπων που αναφέρονται στα παραρτήματα Ι ή ΙΙ, οι οποίες προσδιορίζονται ως βασικές οντότητες σύμφωνα με τις περ. β) έως ε) της παρ. 2 του άρθρου 3 του παρόντος,  

στ) οντότητες που προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), που αναφέρονται στην παρ. 3 του άρθρου 3 του παρόντος νόμου,

ζ) οντότητες που αναγνωρίστηκαν, σύμφωνα με το άρθρο 4 του ν. 4577/2018 (Α’ 199) και το άρθρο 16 της υπ’ αρ. 1027/4.10.2019 απόφασης του Υπουργού Επικρατείας (Β΄ 3739), πριν από τις 16 Ιανουαρίου 2023, ως φορείς εκμετάλλευσης βασικών υπηρεσιών.

• Για την εφαρμογή του παρόντος μέρους, οι οντότητες των τομέων και υποτομέων που αναφέρονται στα παραρτήματα Ι ή ΙΙ, οι οποίες δεν θεωρούνται βασικές οντότητες σύμφωνα με την παρ. 1, θεωρούνται σημαντικές οντότητες. Σε αυτές περιλαμβάνονται οντότητες που προσδιορίζονται ως σημαντικές οντότητες σύμφωνα με τις περ. β) έως ε) της παρ. 2 του άρθρου 3.
• Η Εθνική Αρχή Κυβερνοασφάλειας, σε συνεργασία με τις ανά τομέα αρμόδιες ρυθμιστικές/εποπτικές αρχές και λοιπούς εμπλεκόμενους εθνικούς φορείς, προσδιορίζει, για κάθε τομέα και υποτομέα των παραρτημάτων Ι και ΙΙ, τις βασικές ή σημαντικές οντότητες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος. Για την κατάρτιση του καταλόγου που αναφέρεται στην παρ. 3 του άρθρου 29, οι οντότητες που αναφέρονται σε αυτή υποβάλλουν στην Εθνική Αρχή Κυβερνοασφάλειας, μέσω της ψηφιακής πλατφόρμας της παρ. 4 του άρθρου 29 και εντός αποκλειστικής προθεσμίας δυο (2) μηνών από την έναρξη ισχύος του παρόντος, τις κάτωθι πληροφορίες: α) την επωνυμία της οντότητας,

β) τη διεύθυνση και τα επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου της οντότητας, του εύρους των διαδικτυακών διευθύνσεων (IP ranges),

γ) το σύνολο των ονομάτων χώρου (domain names) που χρησιμοποιεί η οντότητα,

δ) κατά περίπτωση, τον σχετικό τομέα, υποτομέα και τύπο οντότητας που αναφέρεται στα παραρτήματα Ι ή ΙΙ και

ε) κατά περίπτωση, κατάλογο των άλλων κρατών μελών της Ευρωπαϊκής Ένωσης, στα οποία παρέχουν υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος μέρους.

Οι οντότητες της παρ. 3 κοινοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας τυχόν μεταβολές στα στοιχεία που υποβάλλονται σύμφωνα με το πρώτο εδάφιο, αμελλητί και σε κάθε περίπτωση εντός δύο (2) εβδομάδων από την ημερομηνία επέλευσης της μεταβολής, με την επιφύλαξη της παρ. 2 του άρθρου 19.  

4. Το αργότερο έως τη 17η Απριλίου 2025 και ανά δύο (2) έτη, η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί:

α) στην Ευρωπαϊκή Επιτροπή και στην Ομάδα Συνεργασίας (Cooperation Group) για την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών, καθώς και την ενίσχυση της πίστης και της εμπιστοσύνης, τον αριθμό των βασικών και σημαντικών οντοτήτων σύμφωνα με την παρ. 3 για κάθε τομέα και υποτομέα που αναφέρεται στα παραρτήματα Ι ή ΙΙ και

β) στην Ευρωπαϊκή Επιτροπή, πληροφορίες σχετικά με τον αριθμό των βασικών και σημαντικών οντοτήτων που προσδιορίζονται σύμφωνα με τις περ. β) έως ε) της παρ. 2 του άρθρου 3, τον τομέα και υποτομέα που αναφέρονται στα παραρτήματα Ι ή ΙΙ στον οποίο ανήκουν, το είδος της υπηρεσίας που παρέχουν και την απόφαση της παρ. 3 του άρθρου 29. 5. Έως τη 17η Απριλίου 2025 και μετά από αίτημα της Ευρωπαϊκής Επιτροπής, η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή τα ονόματα των βασικών και σημαντικών οντοτήτων που αναφέρονται στην περ. β) της παρ. 4.

Άρθρο 5

Επιφύλαξη όσον αφορά τις τομεακές νομικές πράξεις της Ένωσης (άρθρο 4 της Οδηγίας (ΕΕ) 2022/2555)

1. Όταν οι τομεακές νομικές πράξεις της Ευρωπαϊκής Ένωσης και οι εθνικές διατάξεις εναρμόνισής τους απαιτούν από βασικές ή σημαντικές οντότητες να εγκρίνουν μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας ή να κοινοποιούν σημαντικά περιστατικά και όταν οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στον παρόντα, οι σχετικές διατάξεις του παρόντος νόμου, συμπεριλαμβανομένων των διατάξεων για την εποπτεία και την επιβολή που προβλέπονται στο Κεφάλαιο Ζ, δεν εφαρμόζονται στις εν λόγω οντότητες. Όταν οι τομεακές νομικές πράξεις της Ένωσης και οι εθνικές διατάξεις εναρμόνισής τους δεν καλύπτουν όλες τις οντότητες σε συγκεκριμένο τομέα που εμπίπτει στο πεδίο εφαρμογής του παρόντος, οι διατάξεις του παρόντος εξακολουθούν να εφαρμόζονται στις οντότητες που δεν καλύπτονται από τις εν λόγω τομεακές νομικές πράξεις της Ευρωπαϊκής Ένωσης.
2. Οι απαιτήσεις που αναφέρονται στην παρ. 1 θεωρούνται ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στο παρόν μέρος όταν:

α) τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας είναι τουλάχιστον ισοδύναμα ως προς το αποτέλεσμα με εκείνα που προβλέπονται στις παρ. 1 και 2 του άρθρου 15 ή

β) η τομεακή νομική πράξη της Ευρωπαϊκής Ένωσης προβλέπει άμεση πρόσβαση, κατά περίπτωση αυτόματη και απευθείας, στις κοινοποιήσεις περιστατικών από τη CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας και εφόσον οι απαιτήσεις για την κοινοποίηση σημαντικών περιστατικών είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με εκείνες που ορίζονται στις παρ. 1 έως 6 του άρθρου 16.

3. Οι διατάξεις του παρόντος σχετικά με τις υποχρεώσεις διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και αναφοράς περιστατικών, και σχετικά με την εποπτεία δεν εφαρμόζονται στις χρηματοπιστωτικές οντότητες που καλύπτονται από τον Κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333), τηρουμένης σε κάθε περίπτωση της υποχρέωσης συνεργασίας με την Εθνική Αρχή Κυβερνοασφάλειας, σύμφωνα με το άρθρο 13 του παρόντος.

Άρθρο 6 Ορισμοί (άρθρο 6 της Οδηγίας (ΕΕ) 2022/2555)

Για την εφαρμογή του παρόντος νόμου, ισχύουν οι ακόλουθοι ορισμοί: α) «δικτυακό και πληροφοριακό σύστημα»:

αα) δίκτυο ηλεκτρονικών επικοινωνιών, όπως ορίζεται στην υποπερ. 9) της περ. Α του άρθρου

110 του ν. 4827/2020 (Α’ 184),

αβ) κάθε συσκευή ή ομάδα διασυνδεδεμένων ή συναφών συσκευών, μία ή περισσότερες από τις οποίες, σύμφωνα με ένα πρόγραμμα, διενεργούν αυτόματη επεξεργασία ψηφιακών δεδομένων ή

αγ) ψηφιακά δεδομένα που αποθηκεύονται, υποβάλλονται σε επεξεργασία, ανακτώνται ή μεταδίδονται από στοιχεία που καλύπτονται από τις υποπερ. αα) και αβ) της παρούσας για τους σκοπούς της λειτουργίας, χρήσης, προστασίας και συντήρησής τους·

β) «ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων»: η ικανότητα των συστημάτων δικτύου και πληροφοριακών συστημάτων να ανθίστανται, σε δεδομένο επίπεδο εμπιστοσύνης, σε κάθε συμβάν που ενδέχεται να θέσει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των αποθηκευμένων, διαβιβαζόμενων ή επεξεργασμένων δεδομένων ή των υπηρεσιών που προσφέρονται από τα εν λόγω συστήματα δικτύου και πληροφοριακών συστημάτων ή είναι προσβάσιμες μέσω αυτών·

γ) «κυβερνοασφάλεια»: η κυβερνοασφάλεια, όπως ορίζεται στο σημείο 1) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του Κανονισμού (ΕΕ) 526/2013 (πράξη για την κυβερνοασφάλεια, L 151)·

δ) «Εθνική Στρατηγική Κυβερνοασφάλειας»: συνεκτικό πλαίσιο το οποίο παρέχει στρατηγικούς στόχους και προτεραιότητες στον τομέα της κυβερνοασφάλειας και τη διακυβέρνηση για την επίτευξή τους·

ε) «παρ’ ολίγον περιστατικό»: περιστατικό, το οποίο θα μπορούσε να έχει θέσει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των αποθηκευμένων, διαβιβαζόμενων ή υφιστάμενων επεξεργασία δεδομένων ή των υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριακών συστημάτων, αλλά το οποίο εμποδίστηκε ή δεν υλοποιήθηκε επιτυχώς·

στ) «περιστατικό»: κάθε συμβάν που θέτει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριακών συστημάτων·

ζ) «περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας»: περιστατικό το οποίο προκαλεί διατάραξη που υπερβαίνει την ικανότητα της χώρας να ανταποκριθεί σε αυτή ή το οποίο έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο κράτη μέλη της Ευρωπαϊκής Ένωσης·

η) «χειρισμός περιστατικών»: κάθε ενέργεια και διαδικασία που αποσκοπεί στην πρόληψη, τη διαπίστωση, την ανάλυση και τον περιορισμό ή την αντίδραση σε περιστατικό και την ανάκαμψη από αυτό·

θ) «κίνδυνος»: η πιθανότητα απώλειας ή διατάραξης που προκαλείται από περιστατικό και εκφράζεται ως συνδυασμός του μεγέθους της εν λόγω απώλειας ή διατάραξης και της πιθανότητας επέλευσης του εν λόγω περιστατικού·

ι) «κυβερνοαπειλή»: κυβερνοαπειλή, όπως ορίζεται στην περ. 8) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881·

ια) «σημαντική κυβερνοαπειλή»: κυβερνοαπειλή η οποία, βάσει των τεχνικών χαρακτηριστικών της, μπορεί να θεωρηθεί ότι έχει τη δυνατότητα να επηρεάσει σοβαρά τα συστήματα δικτύου και πληροφοριών μιας οντότητας ή των χρηστών υπηρεσιών της οντότητας, προκαλώντας σημαντική υλική ή μη υλική ζημία·

ιβ) «προϊόν ΤΠΕ»: προϊόν, όπως ορίζεται στην περ. 12) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881·  

ιγ) «υπηρεσία ΤΠΕ»: υπηρεσία ΤΠΕ, όπως ορίζεται στην περ. 13) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881·

ιδ) «διαδικασία ΤΠΕ»: διαδικασία ΤΠΕ, όπως ορίζεται στην περ. 14) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881·

ιε) «ευπάθεια»: αδυναμία, ευαισθησία ή ελάττωμα προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ που μπορεί να αποτελέσει αντικείμενο εκμετάλλευσης από κυβερνοαπειλή·

ιστ) «πρότυπο»: πρότυπο, όπως ορίζεται στην περ. 1) του άρθρου 2 του Κανονισμού (ΕΕ) 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Οκτωβρίου 2012, σχετικά με την ευρωπαϊκή τυποποίηση, την τροποποίηση των Οδηγιών του Συμβουλίου 89/686/ΕΟΚ και 93/15/ΕΟΚ και των Οδηγιών του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 94/9/ΕΚ, 94/25/ΕΚ, 95/16/ΕΚ, 97/23/ΕΚ, 98/34/ΕΚ, 2004/22/ΕΚ, 2007/23/ΕΚ, 2009/23/ΕΚ και 2009/105/ΕΚ και την κατάργηση της Απόφασης 87/95/ΕΟΚ του Συμβουλίου και της Απόφασης 1673/2006/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (L 316)·

ιζ) «τεχνική προδιαγραφή»: τεχνική προδιαγραφή, όπως ορίζεται στην περ. 4) του άρθρου 2 του Κανονισμού (ΕΕ) 1025/2012·

ιη) «σημείο ανταλλαγής κίνησης διαδικτύου»: δικτυακή διευκόλυνση που επιτρέπει τη διασύνδεση περισσότερων από δύο ανεξάρτητων δικτύων (αυτόνομων συστημάτων), κυρίως με σκοπό τη διευκόλυνση της ανταλλαγής κίνησης στο διαδίκτυο, η οποία παρέχει διασύνδεση μόνο για αυτόνομα συστήματα και η οποία ούτε απαιτεί η κυκλοφορία στο διαδίκτυο που διέρχεται μεταξύ οποιουδήποτε ζεύγους συμμετεχόντων αυτόνομων συστημάτων να διέρχεται μέσω οποιουδήποτε τρίτου αυτόνομου συστήματος ούτε μεταβάλλει ή επηρεάζει με άλλο τρόπο την εν λόγω κίνηση·

ιθ) «σύστημα ονομάτων χώρου» ή «DNS»: ιεραρχικό κατανεμημένο σύστημα ονοματοδοσίας που επιτρέπει τον προσδιορισμό των διαδικτυακών υπηρεσιών και πόρων, επιτρέποντας στις συσκευές των τελικών χρηστών να χρησιμοποιούν υπηρεσίες δρομολόγησης και συνδεσιμότητας στο διαδίκτυο για την πρόσβαση στις εν λόγω υπηρεσίες και πόρους·

κ) «πάροχος υπηρεσιών DNS»: οντότητα που παρέχει:

κα) δημόσια διαθέσιμες υπηρεσίες αναδρομικής επίλυσης ονομάτων τομέα για τελικούς χρήστες του διαδικτύου, ή

κβ) έγκυρες υπηρεσίες επίλυσης ονομάτων τομέα για χρήση από τρίτους, με εξαίρεση τους εξυπηρετητές ονομάτων ρίζας,

κα) «μητρώο ονομάτων τομέα ανωτάτου επιπέδου» ή «μητρώο ονομάτων TLD»: οντότητα στην οποία έχει ανατεθεί συγκεκριμένος TLD και είναι υπεύθυνη για τη διαχείριση του TLD, συμπεριλαμβανομένης της καταχώρισης ονομάτων τομέα στο πλαίσιο του TLD και της τεχνικής λειτουργίας του TLD, συμπεριλαμβανομένης της λειτουργίας των εξυπηρετητών ονομάτων του, της συντήρησης των βάσεων δεδομένων του και της διανομής αρχείων ζώνης TLD σε διακομιστές ονομάτων, ανεξάρτητα από το αν οποιαδήποτε από τις εν λόγω πράξεις εκτελείται από την ίδια την οντότητα ή ανατίθεται εξωτερικά, αλλά εξαιρουμένων των περιπτώσεων στις οποίες τα ονόματα TLD χρησιμοποιούνται από μητρώο μόνο για δική της χρήση·

κβ) «οντότητα που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα»: καταχωρητής ή αντιπρόσωπος που ενεργεί για λογαριασμό καταχωρητών, όπως πάροχος υπηρεσιών καταχώρισης δεδομένων προσωπικού χαρακτήρα ή πληρεξούσιος ή μεταπωλητής·

κγ) «ψηφιακή υπηρεσία»: υπηρεσία, όπως ορίζεται στην περ. β) της παρ. 2 του άρθρου 2 του π.δ. 81/2018 (A’ 151)·

κδ) «τεχνική προδιαγραφή»: τεχνική προδιαγραφή, όπως ορίζεται στην περ. 16) του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (L 257)·

κε) «πάροχος υπηρεσιών εμπιστοσύνης»: πάροχος υπηρεσιών εμπιστοσύνης, όπως ορίζεται στην περ. 19) του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014·

κστ) «εγκεκριμένη υπηρεσία εμπιστοσύνης»: εγκεκριμένη υπηρεσία εμπιστοσύνης, όπως ορίζεται στην περ. 17) του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014·

κζ) «εγκεκριμένος πάροχος υπηρεσιών εμπιστοσύνης»: εγκεκριμένος πάροχος υπηρεσιών εμπιστοσύνης, όπως ορίζεται στην περ. 20) του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014·

κη) «επιγραμμική / διαδικτυακή αγορά»: επιγραμμική / διαδικτυακή αγορά, όπως ορίζεται στην παρ. 7 του άρθρου 3 του ν. 2251/1994 (Α’ 191)·

κθ) «επιγραμμική / διαδικτυακή μηχανή αναζήτησης»: επιγραμμική / διαδικτυακή μηχανή αναζήτησης, όπως ορίζεται στην περ. 5) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/1150 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 20ής Ιουνίου 2019, για την προώθηση της δίκαιης μεταχείρισης και της διαφάνειας για τους επιχειρηματικούς χρήστες επιγραμμικών υπηρεσιών διαμεσολάβησης (L 186)·

λ) «υπηρεσία υπολογιστικού νέφους»: ψηφιακή υπηρεσία που καθιστά δυνατή τη διαχείριση κατά παραγγελία και την ευρεία εξ αποστάσεως πρόσβαση σε κλιμακούμενη και ελαστική δεξαμενή κοινών υπολογιστικών πόρων, μεταξύ άλλων όταν οι πόροι αυτοί κατανέμονται σε διάφορα σημεία·

λα) «υπηρεσία κέντρου δεδομένων»: υπηρεσία που περιλαμβάνει δομές, ή ομάδες δομών, οι οποίες προορίζονται για την κεντρική φιλοξενία, διασύνδεση και λειτουργία εξοπλισμού τεχνολογίας πληροφοριών και δικτύων και παρέχουν υπηρεσίες αποθήκευσης, επεξεργασίας και μεταφοράς δεδομένων, καθώς και όλες τις εγκαταστάσεις και υποδομές διανομής ισχύος και περιβαλλοντικού ελέγχου·

λβ)  «δίκτυο διανομής περιεχομένου»: δίκτυο γεωγραφικά κατανεμημένων εξυπηρετητών που αποσκοπεί στη διασφάλιση υψηλής διαθεσιμότητας και προσβασιμότητας ή ταχείας παράδοσης ψηφιακού περιεχομένου και ψηφιακών υπηρεσιών στους χρήστες του διαδικτύου για λογαριασμό παρόχων περιεχομένου και υπηρεσιών·

λγ) «πλατφόρμα υπηρεσιών κοινωνικής δικτύωσης»: πλατφόρμα που επιτρέπει στους τελικούς χρήστες να συνδέονται, να ανταλλάσσουν, να αναζητούν και να επικοινωνούν μεταξύ τους μέσω πολλαπλών ηλεκτρονικών μέσων, ιδίως μέσω συνομιλιών, αναρτήσεων, βίντεο και συστάσεων·

λδ) «εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ελλάδα που έχει οριστεί ρητά να ενεργεί εξ ονόματος παρόχου υπηρεσιών Domain Name System (DNS), μητρώου ονομάτων top-level domain (TLD), οντότητας που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα, παρόχου υπηρεσιών υπολογιστικού νέφους, παρόχου υπηρεσιών κέντρου δεδομένων, παρόχου δικτύου διανομής περιεχομένου, παρόχου διαχειριζομένων υπηρεσιών, παρόχου διαχειριζομένων υπηρεσιών ασφάλειας, παρόχου επιγραμμικής / διαδικτυακής αγοράς, επιγραμμικής / διαδικτυακής μηχανής αναζήτησης ή πλατφόρμας υπηρεσιών κοινωνικής δικτύωσης που δεν είναι εγκατεστημένος στην Ευρωπαϊκή Ένωση, στον οποίο μπορεί να απευθύνεται η Εθνική Αρχή Κυβερνοασφάλειας ή CSIRT αντί της ίδιας της οντότητας όσον αφορά τις υποχρεώσεις της εν λόγω οντότητας δυνάμει του παρόντος νόμου·

λε) «οντότητα δημόσιας διοίκησης»: οντότητα που αναγνωρίζεται ως τέτοια σύμφωνα με το εθνικό δίκαιο, μη συμπεριλαμβανομένων των δικαστηρίων, των κοινοβουλίων ή της κεντρικής τράπεζας, η οποία πληροί τα ακόλουθα κριτήρια:

λεα) έχει συσταθεί με σκοπό την κάλυψη αναγκών γενικού συμφέροντος και δεν έχει βιομηχανικό ή εμπορικό χαρακτήρα,

λεβ) έχει νομική προσωπικότητα ή δικαιούται εκ του νόμου να ενεργεί για λογαριασμό άλλης οντότητας με νομική προσωπικότητα, λεγ) χρηματοδοτείται κατά το μεγαλύτερο μέρος από το κράτος, τις περιφερειακές αρχές ή άλλους οργανισμούς δημοσίου δικαίου, υπόκειται σε έλεγχο διαχείρισης από τις εν λόγω αρχές ή οργανισμούς ή έχει διοικητικό, διευθυντικό ή εποπτικό συμβούλιο, του οποίου περισσότερα από τα μισά μέλη διορίζονται από το κράτος, τις περιφερειακές αρχές ή άλλους οργανισμούς δημοσίου δικαίου, λεδ) έχει την εξουσία να εκδίδει διοικητικές πράξεις που επηρεάζουν τα δικαιώματα φυσικών ή νομικών προσώπων στη διασυνοριακή κυκλοφορία προσώπων, αγαθών, υπηρεσιών ή κεφαλαίων·

λστ) «δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών»: δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών, όπως ορίζεται στην υποπερ. 5) της περ. Α του άρθρου 110 του ν. 4727/2020·

λζ) «υπηρεσία ηλεκτρονικών επικοινωνιών»: υπηρεσία ηλεκτρονικών επικοινωνιών, όπως ορίζεται στην υποπερ. 39) της περ. Α του άρθρου 110 του ν. 4727/2020·

λη) «οντότητα»: φυσικό ή νομικό πρόσωπο που έχει συσταθεί και αναγνωρίζεται ως τέτοιο βάσει του εθνικού δικαίου του τόπου εγκατάστασής του ή του τόπου παροχής υπηρεσιών και άσκησης δραστηριοτήτων, το οποίο μπορεί, ενεργώντας για ίδιο λογαριασμό, να ασκεί δικαιώματα και να υπόκειται σε υποχρεώσεις·

λθ) «πάροχος διαχειριζόμενων υπηρεσιών»: οντότητα που παρέχει υπηρεσίες σχετικές με την εγκατάσταση, τη διαχείριση, τη λειτουργία ή τη συντήρηση προϊόντων, δικτύων, υποδομών, εφαρμογών τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) ή οποιωνδήποτε άλλων συστημάτων δικτύου και πληροφοριακών συστημάτων, μέσω συνδρομής ή ενεργού διαχείρισης που εκτελείται είτε στις εγκαταστάσεις των πελατών είτε εξ αποστάσεως·

μ) «πάροχος διαχειριζόμενων υπηρεσιών ασφάλειας»: πάροχος διαχειριζόμενων υπηρεσιών που εκτελεί ή παρέχει υποστήριξη για δραστηριότητες που σχετίζονται με τη διαχείριση κινδύνων κυβερνοασφάλειας, συμπεριλαμβανομένων της αντιμετώπισης περιστατικών, των δοκιμών διείσδυσης και των ελέγχων ασφάλειας·

μα) «ερευνητικός οργανισμός»: οντότητα η οποία έχει ως πρωταρχικό στόχο τη διεξαγωγή εφαρμοσμένης έρευνας ή πειραματικής ανάπτυξης με σκοπό την εκμετάλλευση των αποτελεσμάτων της εν λόγω έρευνας για εμπορικούς σκοπούς, αλλά δεν περιλαμβάνει εκπαιδευτικά ιδρύματα.

ΚΕΦΑΛΑΙΟ Γ΄ ΣΥΝΤΟΝΙΣΜΕΝΑ ΚΑΝΟΝΙΣΤΙΚΑ ΠΛΑΙΣΙΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ

Άρθρο 7 Εθνική Στρατηγική Κυβερνοασφάλειας (άρθρο 7 της Οδηγίας (ΕΕ) 2022/2555)

1. Η Εθνική Αρχή Κυβερνοασφάλειας διαμορφώνει την Εθνική Στρατηγική Κυβερνοασφάλειας (Ε.Σ.Κ.) που προβλέπει τους στρατηγικούς στόχους, τους πόρους που απαιτούνται για την επίτευξη των εν λόγω στόχων και κατάλληλα μέτρα πολιτικής και ρυθμιστικά μέτρα, με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας. Η Ε.Σ.Κ. θεσπίζεται στο πλαίσιο της Στρατηγικής Εθνικής Ασφάλειας που διαμορφώνεται από το Κυβερνητικό Συμβούλιο Εθνικής Ασφάλειας, σύμφωνα με την παρ. 5 του άρθρου 7 του ν. 4622/2019 (Α’ 133).

Η Ε.Σ.Κ. περιλαμβάνει ιδίως:

α) στόχους και προτεραιότητες της στρατηγικής κυβερνοασφάλειας, που καλύπτουν ιδίως τους τομείς που αναφέρονται στα παραρτήματα I και II,

β) πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στην περ. α), συμπεριλαμβανομένων των πολιτικών που αναφέρονται στην παρ. 2,

γ) πλαίσιο διακυβέρνησης που αποσαφηνίζει τους ρόλους και τις αρμοδιότητες των σχετικών ενδιαφερόμενων μερών σε εθνικό επίπεδο, το οποίο υποστηρίζει τη συνεργασία και τον συντονισμό σε εθνικό επίπεδο μεταξύ των αρμόδιων αρχών, του ενιαίου σημείου επαφής και των CSIRTs, δυνάμει του παρόντος μέρους, καθώς και τον συντονισμό και τη συνεργασία μεταξύ των εν λόγω φορέων και των αρμόδιων αρχών βάσει τομεακών νομικών πράξεων της Ευρωπαϊκής Ένωσης,

δ) μηχανισμό για τον προσδιορισμό των σχετικών πάγιων στοιχείων και εκτίμηση των κινδύνων,

ε) προσδιορισμό των μέτρων για τη διασφάλιση της ετοιμότητας, της απόκρισης και της αποκατάστασης από περιστατικά, συμπεριλαμβανομένης της συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα,

στ) κατάλογο των αρχών και ενδιαφερόμενων μερών που συμμετέχουν στην εφαρμογή της Ε.Σ.Κ.,

ζ) πλαίσιο πολιτικής για ενισχυμένο συντονισμό μεταξύ των αρμόδιων αρχών δυνάμει του παρόντος μέρους και των αρμόδιων αρχών που προβλέπονται στην Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333) για την ανταλλαγή πληροφοριών, σχετικά με κινδύνους, κυβερνοαπειλές και περιστατικά, καθώς και σχετικά με κινδύνους, απειλές και περιστατικά εκτός κυβερνοχώρου, και την άσκηση εποπτικών καθηκόντων, κατά περίπτωση,

η) σχέδιο, συμπεριλαμβανομένων των αναγκαίων μέτρων, για την ενίσχυση του γενικού επιπέδου ευαισθητοποίησης των πολιτών στον τομέα της κυβερνοασφάλειας,

θ) τους κρίσιμους παράγοντες επιτυχίας για την επίτευξη των στρατηγικών και επιχειρησιακών στόχων.

2. Στο πλαίσιο της Ε.Σ.Κ., θεσπίζονται ιδίως πολιτικές:

α) εμπέδωσης της κυβερνοασφάλειας στην αλυσίδα εφοδιασμού προϊόντων τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) και υπηρεσιών ΤΠΕ, που χρησιμοποιούνται από οντότητες για την παροχή των υπηρεσιών τους,

β) σχετικά με τη συμπερίληψη και τον προσδιορισμό των σχετικών με την κυβερνοασφάλεια απαιτήσεων για τα προϊόντα ΤΠΕ και τις υπηρεσίες ΤΠΕ στις δημόσιες συμβάσεις, συμπεριλαμβανομένων των σχετικών με την πιστοποίηση της κυβερνοασφάλειας, την κρυπτογράφηση, σε συνεργασία με την αρμόδια εθνική αρχή CRYPTO, και τη χρήση προϊόντων κυβερνοασφάλειας ανοικτού κώδικα,

γ) διαχείρισης ευπαθειών, συμπεριλαμβανομένης της προώθησης και της διευκόλυνσης της συντονισμένης γνωστοποίησης ευπαθειών σύμφωνα με την παρ. 1 του άρθρου 12,

δ) σχετικές με τη διατήρηση της γενικής διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας του δημόσιου πυρήνα του ανοικτού διαδικτύου, συμπεριλαμβανομένης, κατά περίπτωση, της κυβερνοασφάλειας των υποβρύχιων καλωδίων επικοινωνιών,

ε) προώθησης της ανάπτυξης και της ενσωμάτωσης προηγμένων τεχνολογιών με στόχο την εφαρμογή προηγμένων μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, στ) προώθησης και ανάπτυξης της εκπαίδευσης και της κατάρτισης στην κυβερνοασφάλεια, ανάπτυξης δεξιοτήτων κυβερνοασφάλειας, ευαισθητοποίησης και ανάληψης πρωτοβουλιών έρευνας και ανάπτυξης, καθώς και σχετικά με την καθοδήγηση σε ορθές πρακτικές και ελέγχους κυβερνοϋγιεινής, με στόχο τους πολίτες, τα ενδιαφερόμενα μέρη και τις οντότητες, ζ) στήριξης ακαδημαϊκών και ερευνητικών ιδρυμάτων για την ανάπτυξη, την ενίσχυση και την προώθηση της ανάπτυξης εργαλείων κυβερνοασφάλειας και ασφαλών υποδομών δικτύου,

η) συμπερίληψης σχετικών διαδικασιών και κατάλληλων εργαλείων ανταλλαγής πληροφοριών για τη στήριξη της εθελοντικής ανταλλαγής πληροφοριών για την κυβερνοασφάλεια μεταξύ οντοτήτων σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης και τον παρόντα νόμο,

θ) ενίσχυσης της κυβερνοανθεκτικότητας και της βάσης για την κυβερνοϋγιεινή των μικρών και μεσαίων επιχειρήσεων, ιδίως εκείνων που εξαιρούνται από το πεδίο εφαρμογής του παρόντος μέρους, με την παροχή εύκολα προσβάσιμης καθοδήγησης και συνδρομής για τις ειδικές ανάγκες τους,

ι) προώθησης της ενεργητικής κυβερνοπροστασίας.

• Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί την Ε.Σ.Κ. στην Ευρωπαϊκή Επιτροπή εντός τριών (3) μηνών από την έγκρισή της σύμφωνα με την παρ. 5 του άρθρου 29. Από την ανωτέρω κοινοποίηση εξαιρούνται πληροφορίες που αφορούν στην εθνική ασφάλεια.
• Η Ε.Σ.Κ. αξιολογείται σε τακτική βάση και τουλάχιστον ανά πέντε (5) έτη με βάση βασικούς δείκτες επιδόσεων και, όπου απαιτείται, επικαιροποιείται σύμφωνα με την παρ. 5 του άρθρου 29. Το Σχέδιο Δράσης για την υλοποίηση της Ε.Σ.Κ. αξιολογείται και, εφόσον είναι αναγκαίο, επικαιροποιείται τουλάχιστον ανά δύο (2) έτη σύμφωνα με την παρ. 5 του άρθρου 29.  

• Η Εθνική Αρχή Κυβερνοασφάλειας δύναται να υποβάλει, εφόσον το κρίνει αναγκαίο, στον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια [European Union Agency for Cybersecurity (ENISA)] αίτημα για τη συνδρομή του, στην ανάπτυξη ή την επικαιροποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας και των βασικών δεικτών επιδόσεων για την αξιολόγησή της, με σκοπό την εναρμόνισή της με τον παρόντα νόμο.

Άρθρο 8 Αρμόδιες αρχές και ενιαία σημεία επαφής (άρθρο 8 της Οδηγίας (ΕΕ) 2022/2555)

1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια αρχή υπεύθυνη για την κυβερνοασφάλεια και για τα εποπτικά καθήκοντα που αναφέρονται στο Κεφάλαιο Ζ του παρόντος μέρους και συμμετέχει στην Ομάδα Συνεργασίας για την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών, καθώς και την ενίσχυση της πίστης και της εμπιστοσύνης.
2. Η Εθνική Αρχή Κυβερνοασφάλειας παρακολουθεί την εφαρμογή του παρόντος μέρους και αποτελεί το ενιαίο σημείο επαφής της Ελλάδας. Στο πλαίσιο των αρμοδιοτήτων της, η Εθνική Αρχή Κυβερνοασφάλειας ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας της χώρας με τις αρμόδιες αρχές άλλων κρατών μελών και, κατά περίπτωση, με την Ευρωπαϊκή Επιτροπή και τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), καθώς και για τη διασφάλιση διατομεακής συνεργασίας με άλλες αρμόδιες αρχές εντός της χώρας.
3. Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή, αμελλητί, τον ορισμό της ως αρμόδιας αρχής της παρ. 1 και ενιαίου σημείου επαφής της παρ. 2, τα καθήκοντά της, καθώς και κάθε μεταγενέστερη αλλαγή. Η Εθνική Αρχή Κυβερνοασφάλειας δημοσιεύει στον ιστότοπό της τον ορισμό της ως αρμόδιας αρχής.

Άρθρο 9 Εθνικό πλαίσιο διαχείρισης κυβερνοκρίσεων (άρθρο 9 της Οδηγίας (ΕΕ) 2022/2555)

1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια για τη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας (αρχή διαχείρισης κυβερνοκρίσεων) και συμμετέχει στο Ευρωπαϊκό Δίκτυο οργανώσεων διασύνδεσης για κρίσεις στον κυβερνοχώρο (EU-CyCLONe).  
2. Για τον καθορισμό των στόχων και της διαδικασίας για τη διαχείριση μεγάλης κλίμακας περιστατικών και κρίσεων στον τομέα της κυβερνοασφάλειας, καταρτίζεται εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον κυβερνοχώρο σύμφωνα με την παρ. 7 του άρθρου 29. Στο εν λόγω σχέδιο καθορίζονται ιδίως:

α) οι στόχοι των εθνικών μέτρων και δραστηριοτήτων ετοιμότητας,

β) τα καθήκοντα και οι αρμοδιότητες της Εθνικής Αρχής Κυβερνοασφάλειας ως αρχής διαχείρισης κυβερνοκρίσεων,

γ) οι διαδικασίες διαχείρισης κυβερνοκρίσεων, συμπεριλαμβανομένης της ενσωμάτωσής τους στο γενικό εθνικό πλαίσιο διαχείρισης κρίσεων και στους διαύλους ανταλλαγής πληροφοριών,

δ) τα εθνικά μέτρα ετοιμότητας, συμπεριλαμβανομένων ασκήσεων και δραστηριοτήτων κατάρτισης,

ε) τα ενδιαφερόμενα μέρη δημόσιου και ιδιωτικού τομέα και οι υποδομές, και  στ) οι διαδικασίες μεταξύ των αρμόδιων αρχών και φορέων για τη διασφάλιση της αποτελεσματικής συμμετοχής και παροχής υποστήριξης εκ μέρους της χώρας στη συντονισμένη διαχείριση περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας σε επίπεδο Ευρωπαϊκής Ένωσης.

Η απόφαση με την οποία καταρτίζεται το εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον κυβερνοχώρο της παρ. 7 του άρθρου 29 εγκρίνεται εντός αποκλειστικής προθεσμίας ενός (1) μηνός από την υποβολή του στην Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας του άρθρου 23 του ν. 5002/2024 (A’ 228), σε περίπτωση δε άπρακτης παρέλευσης της ανωτέρω προθεσμίας τεκμαίρεται ως σιωπηρώς εγκριθείσα. Τα έννομα αποτελέσματα της απόφασης του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας επέρχονται είτε από την επομένη της ρητής έγκρισής της είτε από την επομένη της παρέλευσης ενός (1) μηνός από τη υποβολή της στην Επιτροπή.

3. Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή, εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, τον ορισμό της ως αρμόδιας αρχής της παρ. 1 και την ενημερώνει, αμελλητί, για τυχόν μεταγενέστερες αλλαγές. Επιπλέον, η Εθνική Αρχή Κυβερνοασφάλειας υποβάλλει στην Ευρωπαϊκή Επιτροπή και στο Ευρωπαϊκό Δίκτυο Οργανισμών Διασύνδεσης για Κυβερνοκρίσεις (EU-CyCLONe), εντός τριών (3) μηνών από την έγκριση του εθνικού σχεδίου αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας, πληροφορίες σχετικά με τις απαιτήσεις της παρ. 2 αναφορικά με το εθνικό σχέδιο. Από την παροχή πληροφοριών εξαιρούνται συγκεκριμένες πληροφορίες, εφόσον κρίνεται αναγκαίο για λόγους εθνικής ασφάλειας.

Άρθρο 10 Ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 10 της Οδηγίας (ΕΕ) 2022/2555)

1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team- CSIRT) για τις οντότητες που εντάσσονται στο πεδίο εφαρμογής του παρόντος μέρους. Ειδικά για τους οργανισμούς της περ. στ) της παρ. 2 του άρθρου 3, ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) ορίζεται η Διεύθυνση Κυβερνοχώρου της Εθνικής Υπηρεσίας Πληροφοριών (Ε.Υ.Π.).
2. Εφόσον κριθεί αναγκαίο για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας, δύναται να καθορίζονται και έτερες CSIRTs, σύμφωνα με την παρ. 8 του άρθρου 29.  
3. Η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας επιτελεί συντονιστικό ρόλο των CSIRTs, για την επίτευξη των σκοπών του παρόντος άρθρου. Οι CSIRTs συμμορφώνονται με τις απαιτήσεις που ορίζονται στην παρ. 1 του άρθρου 11, καλύπτουν τουλάχιστον τους τομείς και τους υποτομείς που αναφέρονται στα παραρτήματα Ι και ΙΙ και είναι υπεύθυνες για τον χειρισμό περιστατικών. Οι CSIRTs επιλαμβάνονται συμβάντων που αφορούν στην ασφάλεια υπολογιστών του οικείου τομέα, εφόσον ζητηθεί η συνδρομή τους από την Εθνική Αρχή Κυβερνοασφάλειας, ιδίως σε περιπτώσεις σοβαρών, επειγόντων ή σημαντικού αριθμού συμβάντων που εξελίσσονται ταυτόχρονα. Οι CSIRTs υποχρεούνται να ενημερώνουν αμελλητί την Εθνική Αρχή Κυβερνοασφάλειας για περιπτώσεις συμβάντων που διαπιστώνουν και αφορούν στην κυβερνοασφάλεια, καθώς και να την συνδράμουν αμελλητί στην εκτέλεση των καθηκόντων της σύμφωνα με την παρ. 1, εφόσον ζητηθεί από την ίδια.  
4. Οι CSIRTs ανταλλάσσουν πληροφορίες με βασικές και σημαντικές οντότητες και άλλα σχετικά ενδιαφερόμενα μέρη, μέσω ασφαλών εργαλείων ανταλλαγής πληροφοριών. H CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας και οι άλλες CSIRTs, συνεργάζονται και, κατά περίπτωση, ανταλλάσσουν μέσω της Εθνικής Αρχής Κυβερνοασφάλειας πληροφορίες σύμφωνα με το άρθρο 21 του παρόντος με τομεακές ή διατομεακές κοινότητες βασικών και σημαντικών οντοτήτων. Επιπλέον, συμμετέχουν σε αξιολογήσεις από ομοτίμους που διοργανώνονται σύμφωνα με το άρθρο 19 της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (L 333) και επιδιώκουν την αποτελεσματική, αποδοτική και ασφαλή συνεργασία τους στο πλαίσιο του δικτύου CSIRTs.
5. Οι CSIRTs μπορούν να συνάπτουν σχέσεις συνεργασίας με τις εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές τρίτης χώρας, ιδίως με την ανταλλαγή πληροφοριών, χρησιμοποιώντας σχετικά πρωτόκολλα ανταλλαγής πληροφοριών, συμπεριλαμβανομένου του πρωτοκόλλου φωτεινού σηματοδότη (traffic light protocol – TLP), καθώς και να ανταλλάσσουν σχετικές πληροφορίες με αυτές, συμπεριλαμβανομένων δεδομένων προσωπικού χαρακτήρα σύμφωνα με τη νομοθεσία της Ένωσης για την προστασία των δεδομένων. Επιπλέον, μπορούν να συνεργάζονται με εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές τρίτης χώρας ή με ισοδύναμους φορείς τρίτης χώρας, ιδίως με σκοπό την παροχή συνδρομής στον τομέα της κυβερνοασφάλειας.
6. Για την αντιμετώπιση συμβάντων στον τομέα της κυβερνοασφάλειας, δύνανται να συστήνονται ειδικές ομάδες απόκρισης, σύμφωνα με την παρ. 9 του άρθρου 29. Οι εν λόγω ομάδες απόκρισης αποτελούνται από εκπροσώπους της Εθνικής Αρχής Κυβερνοασφάλειας, και εκπροσώπους είτε της αρμόδιας οργανικής μονάδας του Γενικού Επιτελείου Εθνικής Άμυνας για θέματα κυβερνοασφάλειας/κυβερνοάμυνας, είτε της Διεύθυνσης Κυβερνοχώρου της Εθνικής Υπηρεσίας Πληροφοριών είτε κατά περίπτωση των National Sectorial Focal Points (NSFP) της παρ. 6 του άρθρου 13. Καθήκοντα Συντονιστή ανατίθενται σε εκπρόσωπο της Εθνικής Αρχής Κυβερνοασφάλειας. Οι εκπρόσωποι των λοιπών υπηρεσιών υποδεικνύονται από τα κατά περίπτωση αρμόδια όργανα μετά από αίτημα του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας. Σε περίπτωση μη υπόδειξης εκπροσώπου εντός της ταχθείσας από τον Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας προθεσμίας, η απόφαση του Διοικητή περί σύστασης της ομάδας απόκρισης εκδίδεται χωρίς τη συμμετοχή εκπροσώπου της οικείας υπηρεσίας. Για κάθε συμβάν, κάθε ειδική ομάδα απόκρισης καταθέτει στην αρμόδια οργανική μονάδα της Εθνικής Αρχής Κυβερνοασφάλειας προκαταρτική αναφορά εντός είκοσι τεσσάρων (24) ωρών, πληρέστερη επικαιροποιημένη αναφορά εντός εβδομήντα δύο (72) ωρών, ή οποτεδήποτε ζητηθεί από την αρμόδια οργανική μονάδα της Εθνικής Αρχής Κυβερνοασφάλειας, καθώς και αναλυτική αναφορά για το συμβάν και τη διαχείρισή του, εντός ενός (1) μηνός από την έκδοση της απόφασης σύστασης της ομάδας. Τα έξοδα των μελών της Ομάδας για την εκτέλεση του έργου που τους ανατίθεται βαρύνουν τον προϋπολογισμό της Εθνικής Αρχής Κυβερνοασφάλειας.  
7. Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή, αμελλητί, την ταυτότητα των CSIRTs της παρ. 1, των τυχόν άλλων CSIRTs που ορίζονται με την απόφαση της παρ. 8 του άρθρου 29, τα αντίστοιχα καθήκοντά τους σε σχέση με βασικές και σημαντικές οντότητες, την CSIRT στην οποία ανατίθενται συντονιστικά καθήκοντα σύμφωνα με το παρόν άρθρο, καθώς και τυχόν μεταγενέστερες αλλαγές.

Άρθρο 11 Απαιτήσεις, τεχνικές ικανότητες και καθήκοντα των ομάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 11 της Οδηγίας (ΕΕ) 2022/2555)

1. Οι ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) συμμορφώνονται με τις ακόλουθες απαιτήσεις:

α) εξασφαλίζουν υψηλό επίπεδο διαθεσιμότητας των διαύλων επικοινωνίας τους, αποφεύγοντας μοναδικά σημεία αστοχίας και διαθέτουν εναλλακτικούς τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή· προσδιορίζουν σαφώς τους διαύλους επικοινωνίας και τους γνωστοποιούν στα μέλη της περιοχής ευθύνης τους και στους συνεργαζόμενους εταίρους,  

β) οι εγκαταστάσεις των CSIRTs και τα υποστηρικτικά πληροφοριακά συστήματα βρίσκονται σε ασφαλείς χώρους,

γ) οι CSIRTs είναι εφοδιασμένες με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, ιδίως προκειμένου να διευκολύνεται η αποτελεσματική και αποδοτική άσκηση καθηκόντων,

δ) οι CSIRTs διασφαλίζουν την εμπιστευτικότητα και την αξιοπιστία των δραστηριοτήτων τους,

ε) οι CSIRTs είναι επαρκώς στελεχωμένες, ώστε να διασφαλίζουν τη διαθεσιμότητα των υπηρεσιών τους ανά πάσα στιγμή και διασφαλίζουν ότι το προσωπικό τους είναι κατάλληλα καταρτισμένο, στ) οι CSIRTs είναι εξοπλισμένες με εφεδρικά συστήματα και εφεδρικό χώρο εργασίας για τη διασφάλιση της συνέχειας των υπηρεσιών τους.

Η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας, καθώς και οι λοιπές CSIRTs μπορούν να συμμετέχουν σε διεθνή δίκτυα συνεργασίας. Ιδίως η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας δύναται να επικουρείται από τις λοιπές CSIRT για τη συμμετοχή της στα παραπάνω δίκτυα.

2. Οι CSIRTs είναι επιφορτισμένες με τα ακόλουθα καθήκοντα:

α) παρακολούθηση και ανάλυση κυβερνοαπειλών, ευπαθειών και περιστατικών σε εθνικό επίπεδο, αποκλειστικά για τους τομείς και οργανισμούς αρμοδιότητάς τους και, κατόπιν αιτήματος, παροχή συνδρομής σε επηρεαζόμενες βασικές και σημαντικές οντότητες σχετικά με την παρακολούθηση των συστημάτων δικτύου και πληροφοριακών συστημάτων τους σε πραγματικό χρόνο ή σχεδόν σε πραγματικό χρόνο,

β) παροχή έγκαιρων προειδοποιήσεων, ειδοποιήσεων, ανακοινώσεων και πληροφοριών σε εμπλεκόμενες βασικές και σημαντικές οντότητες, καθώς και σε αρμόδιες αρχές και άλλα σχετικά ενδιαφερόμενα μέρη σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά, ει δυνατόν σε σχεδόν πραγματικό χρόνο,

γ) αντιμετώπιση περιστατικών και παροχή συνδρομής στις επηρεαζόμενες βασικές και σημαντικές οντότητες, κατά περίπτωση,

δ) συλλογή και ανάλυση εγκληματολογικών δεδομένων και δυναμική ανάλυση κινδύνων και περιστατικών και επίγνωση της κατάστασης σε θέματα κυβερνοασφάλειας,

ε) παροχή, κατόπιν αιτήματος βασικής ή σημαντικής οντότητας, προληπτικής σάρωσης των συστημάτων δικτύου και πληροφοριακών συστημάτων της οικείας οντότητας για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο, στ) συμμετοχή, μετά από απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, στο δίκτυο CSIRTs του άρθρου 15 της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (L 333)· παροχή αμοιβαίας συνδρομής σύμφωνα με τις ικανότητες και τις αρμοδιότητές τους σε άλλα μέλη του δικτύου CSIRTs κατόπιν αιτήματός τους,

ζ) συμβολή στην ανάπτυξη ασφαλών εργαλείων ανταλλαγής πληροφοριών σύμφωνα με την παρ. 4 του άρθρου 10.

Οι CSIRTs μπορούν να διενεργούν προληπτική μη παρεμβατική σάρωση των δημοσίως προσβάσιμων συστημάτων δικτύου και πληροφοριακών συστημάτων βασικών και σημαντικών οντοτήτων, εφόσον δεν έχει αρνητικές συνέπειες για τη λειτουργία των υπηρεσιών των οντοτήτων. Η εν λόγω σάρωση διενεργείται για τον εντοπισμό ευπαθών ή επισφαλώς διαμορφωμένων συστημάτων δικτύου και πληροφοριακών συστημάτων και για την ενημέρωση των οικείων οντοτήτων.  

Κατά την εκτέλεση των καθηκόντων που αναφέρονται στο πρώτο εδάφιο, οι CSIRTs μπορούν να δίνουν προτεραιότητα σε συγκεκριμένα καθήκοντα στο πλαίσιο προσέγγισης βάσει κινδύνου.

3. Οι CSIRTs δύνανται να συνεργάζονται με ενδιαφερόμενα μέρη του ιδιωτικού τομέα, με σκοπό την επίτευξη των στόχων του παρόντος νόμου. Προκειμένου να διευκολυνθεί η συνεργασία, οι CSIRTs προωθούν την υιοθέτηση και τη χρήση κοινών ή τυποποιημένων πρακτικών, συστημάτων ταξινόμησης και ταξινομιών σε σχέση με: α) διαδικασίες διαχείρισης περιστατικών·

β) διαχείριση κρίσεων· και

γ) συντονισμένη γνωστοποίηση ευπαθειών σύμφωνα με την παρ. 1 του άρθρου 12.

Άρθρο 12 Συντονισμένη γνωστοποίηση ευπαθειών και ευρωπαϊκή βάση δεδομένων ευπαθειών (άρθρο 12 της Οδηγίας 2022/2555)

1. Στην CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας ανατίθεται ο συντονιστικός ρόλος για τους σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών. Η ως άνω CSIRT ενεργεί ως αξιόπιστος διαμεσολαβητής, διευκολύνοντας, όπου απαιτείται, την επικοινωνία μεταξύ του φυσικού ή νομικού προσώπου που αναφέρει την ευπάθεια και του κατασκευαστή ή του παρόχου των δυνητικά ευπαθών προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ, κατόπιν αιτήματος ενός εκ των μερών. Τα καθήκοντα της ανωτέρω CSIRT στην οποία έχει ανατεθεί συντονιστικός ρόλος περιλαμβάνουν:

α) τον προσδιορισμό των οικείων οντοτήτων και την επικοινωνία με αυτές,

β) την παροχή συνδρομής στα φυσικά ή νομικά πρόσωπα που αναφέρουν ευπάθειες, και

γ) τη διαπραγμάτευση χρονοδιαγραμμάτων γνωστοποίησης και τη διαχείριση ευπαθειών που επηρεάζουν πλείονες οντότητες.

• Τα φυσικά ή νομικά πρόσωπα μπορούν να αναφέρουν, εφόσον το ζητήσουν, ανώνυμα ευπάθειες στην CSIRT της παρ. 1. Η εν λόγω CSIRT διασφαλίζει ότι εκτελούνται επιμελείς ενέργειες παρακολούθησης όσον αφορά την αναφερθείσα ευπάθεια και διασφαλίζει την ανωνυμία του φυσικού ή νομικού προσώπου που αναφέρει την τρωτότητα. Στις περιπτώσεις που μια αναφερόμενη ευπάθεια θα μπορούσε να έχει σημαντικό αντίκτυπο σε οντότητες σε περισσότερα του ενός κράτη μέλη, η CSIRT της παρ. 1 του άρθρου 10 συνεργάζεται, κατά περίπτωση, με άλλες CSIRTs στις οποίες έχει ανατεθεί συντονιστικός ρόλος στο πλαίσιο του δικτύου CSIRTs.

Άρθρο 13 Συνεργασία σε εθνικό επίπεδο (άρθρο 13 της Οδηγίας (ΕΕ) 2022/2555)

1. Η Εθνική Αρχή Κυβερνοασφάλειας, ως αρμόδια αρχή, ενιαίο σημείο επαφής και ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT), καθώς και οι CSIRTs των παρ. 1 και 2 του άρθρου 10 συνεργάζονται μεταξύ για την τήρηση των υποχρεώσεων που προβλέπονται στον παρόντα νόμο.
2. Οι CSIRTs λαμβάνουν αναφορές σοβαρών περιστατικών σύμφωνα με το άρθρο 16, καθώς και περιστατικών, κυβερνοαπειλών και παρ’ ολίγον περιστατικών σύμφωνα με το άρθρο 22. Οι CSIRTs ενημερώνουν, αμελλητί, την CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας για κοινοποιήσεις περιστατικών, κυβερνοαπειλών και παρ’ ολίγον περιστατικών που υποβάλλονται σύμφωνα με τον παρόντα νόμο.
3. Η Εθνική Αρχή Κυβερνοασφάλειας, οι CSIRTs και οι λοιπές αρμόδιες εθνικές αρχές ανταλλάσσουν συστηματικά πληροφορίες μεταξύ τους με στόχο την αποτελεσματικότερη άσκηση των καθηκόντων τους και ιδίως:

α) Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί σε κάθε αρμόδια CSIRT τα στοιχεία που υποβάλλονται σε αυτήν σύμφωνα με την παρ. 3 του άρθρου 4.

β) Κάθε αρμόδια CSIRT, η οποία επιλαμβάνεται περιστατικού, κοινοποιεί, αμελλητί και όχι αργότερα από είκοσι τέσσερες (24) ώρες, στη CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας σχετική έκθεση, καθώς και κάθε άλλη αιτούμενη πληροφορία.

γ) Στην Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας του άρθρου 23 του ν. 5002/2022 (Α’ 228) αποστέλλονται: γα) τα στοιχεία που κοινοποιούνται σύμφωνα με την παρ. 4 του άρθρου 4, την παρ. 3 του άρθρου 9 και την παρ. 6 του άρθρου 16 του παρόντος και

γβ) τα αναγκαία στοιχεία και αναφορές σχετικά με την πρόοδο υλοποίησης της Εθνικής Στρατηγικής Κυβερνοασφάλειας.

δ) Η Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας του άρθρου 23 του ν. 5002/2022 στο πλαίσιο της εκτέλεσης των αρμοδιοτήτων της, η Εθνική Αρχή Κυβερνοασφάλειας και οι φορείς που ορίζονται στην παρ. 1 του άρθρου 26 του ν. 5002/2022 υποχρεούνται να συνεργάζονται και να ανταλλάσσουν πληροφορίες, ιδίως αναφορικά με τη διαχείριση συμβάντος που ενέχει στρατηγικό κίνδυνο, σύμφωνα με την περ. α) του άρθρου 22 του ν. 5002/2022.

• Προκειμένου να διασφαλιστεί η αποτελεσματική εκτέλεση των καθηκόντων και των υποχρεώσεων της Εθνικής Αρχής Κυβερνοασφάλειας ως αρμόδιας αρχής, ενιαίου σημείου επαφής και CSIRT, καθώς και των άλλων CSIRTs, συνεργάζονται, με κατάλληλο και συστηματικό τρόπο, οι εν λόγω φορείς και οι αρμόδιες αρχές επιβολής του νόμου, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, οι αρμόδιες εθνικές αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΚ) 300/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2008, για τη θέσπιση κοινών κανόνων στο πεδίο της ασφάλειας της πολιτικής αεροπορίας και την κατάργηση του Κανονισμού (ΕΚ) 2320/2002 (L 97) και τον Κανονισμό (ΕΕ) 2018/1139 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Ιουλίου 2018, για τη θέσπιση κοινών κανόνων στον τομέα της πολιτικής αεροπορίας και την ίδρυση Οργανισμού της Ευρωπαϊκής Ένωσης για την Αεροπορική Ασφάλεια, και για την τροποποίηση των Κανονισμών (ΕΚ) 2111/2005, (ΕΚ) 1008/2008, (ΕΕ) 996/2010, (ΕΕ) 376/2014 και των Οδηγιών 2014/30/ΕΕ και 2014/53/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και για την κατάργηση των Κανονισμών (ΕΚ) 552/2004 και (ΕΚ) 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του Κανονισμού (ΕΟΚ) 3922/91 του Συμβουλίου (L 212), οι εποπτικοί φορείς που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της Οδηγίας 1999/93/ΕΚ (L 257), οι αρμόδιες αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333), οι εθνικές ρυθμιστικές αρχές που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2018/1972 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Δεκεμβρίου 2018, για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών (L 321), οι αρμόδιες αρχές που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), καθώς και οι αρμόδιες αρχές που έχουν οριστεί σύμφωνα με άλλες τομεακές νομικές πράξεις της Ευρωπαϊκής Ένωσης, εντός της χώρας.
• H Εθνική Αρχή Κυβερνοασφάλειας, ως αρμόδια εθνική αρχή σύμφωνα με τον παρόντα νόμο, και οι λοιπές αρμόδιες εθνικές αρχές σύμφωνα με την Οδηγία (ΕΕ) 2022/2557, συνεργάζονται και ανταλλάσσουν πληροφορίες σε τακτική βάση όσον αφορά τον προσδιορισμό των κρίσιμων οντοτήτων, τους κινδύνους, τις κυβερνοαπειλές και τα περιστατικά, καθώς και τους κινδύνους, τις απειλές και τα περιστατικά εκτός του κυβερνοχώρου, που επηρεάζουν βασικές οντότητες οι οποίες προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (EE) 2022/2557, και τα μέτρα που λαμβάνονται για την αντιμετώπιση των εν λόγω κινδύνων, απειλών και περιστατικών. Οι κατά τα ανωτέρω αρμόδιες αρχές και οι αρμόδιες αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 910/2014, τον Κανονισμό (ΕΕ) 2022/2554 και την Οδηγία (ΕΕ) 2018/1972 ανταλλάσσουν σχετικές πληροφορίες σε τακτική βάση, μεταξύ άλλων όσον αφορά συναφή περιστατικά και κυβερνοαπειλές.
• Eίναι δυνατός ο ορισμός αρχών, φορέων, υπηρεσιών ή οργανικών μονάδων της δημόσιας διοίκησης με ρυθμιστικές και εποπτικές αρμοδιότητες σε επιμέρους τομείς των παραρτημάτων Ι και ΙΙ, ως τομεακών σημείων επαφής και συνεργασίας σε εθνικό επίπεδο με την Εθνική Αρχή Κυβερνοασφάλειας (National Sectorial Focal Points, NSFPs) σύμφωνα με την παρ. 11 του άρθρου 29. Οι NSFPs υποχρεούνται ιδίως να ενημερώνουν και να παρέχουν αμελλητί κάθε αναγκαία συνδρομή προς την Εθνική Αρχή Κυβερνοασφάλειας για την αντιμετώπιση και διαχείριση περιστατικών κυβερνοασφάλειας.  

ΚΕΦΑΛΑΙΟ Δ΄ ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΑΝΑΦΟΡΑΣ ΠΕΡΙΣΤΑΤΙΚΩΝ

Άρθρο 14 Διακυβέρνηση (άρθρο 20 της Οδηγίας (ΕΕ) 2022/2555)

1. Τα όργανα διοίκησης των βασικών και σημαντικών οντοτήτων εγκρίνουν, εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω οντότητες προκειμένου να συμμορφώνονται με το άρθρο 15, επιβλέπουν την εφαρμογή τους και είναι υπεύθυνα για την εκ μέρους των οντοτήτων παραβίαση των υποχρεώσεων του παρόντος άρθρου. Η παρούσα δεν θίγει τους ισχύοντες κανόνες περί ευθύνης στις οντότητες της δημόσιας διοίκησης, καθώς και την ευθύνη δημοσίων υπαλλήλων και αιρετών ή διορισμένων αξιωματούχων.
2. Τα μέλη των οργάνων διοίκησης των βασικών και σημαντικών οντοτήτων παρακολουθούν εκπαίδευση και διασφαλίζουν ότι οι βασικές και σημαντικές οντότητες παρέχουν όμοια κατάρτιση στους υπαλλήλους τους σε τακτική βάση, προκειμένου να αποκτούν επαρκείς γνώσεις και δεξιότητες που τους επιτρέπουν να εντοπίζουν τους κινδύνους και να αξιολογούν τις πρακτικές διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τον αντίκτυπό τους στις υπηρεσίες που παρέχει η οντότητα.  
3. Το Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης, σε συνεργασία με την Εθνική Αρχή Κυβερνοασφάλειας και τη Γενική Γραμματεία Δημόσιας Διοίκησης του Υπουργείου Εσωτερικών, οργανώνει ειδικό πρόγραμμα πιστοποίησης επάρκειας στον τομέα της κυβερνοασφάλειας.  

Άρθρο 15 Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας (άρθρα 21 και 25 της Οδηγίας (ΕΕ) 2022/2555)

1. Οι βασικές και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες και οργανισμούς. Λαμβάνοντας υπόψη τα πλέον σύγχρονα και, κατά περίπτωση, σχετικά εθνικά, ευρωπαϊκά και διεθνή πρότυπα, καθώς και το κόστος εφαρμογής, τα μέτρα που αναφέρονται στο πρώτο εδάφιο εξασφαλίζουν επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριακών συστημάτων ανάλογο προς τον εκάστοτε κίνδυνο. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνονται υπόψη ο βαθμός έκθεσης της οντότητας σε κινδύνους, το μέγεθος της οντότητας, η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένων των κοινωνικών και οικονομικών επιπτώσεών τους.
2. Τα μέτρα της παρ. 1 βασίζονται σε ολιστική προσέγγιση του κινδύνου που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά, περιλαμβάνουν δε τουλάχιστον τα ακόλουθα:

α) πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων,

β) διαχείριση περιστατικών,

γ) επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των κρίσεων,

δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών που αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της,

ε) ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένων του χειρισμού και της γνωστοποίησης ευπαθειών, στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας,

ζ) βασικές πρακτικές κυβερνοϋγιεινής και κατάρτιση στην κυβερνοασφάλεια,

η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης, σε συνεργασία με την εθνική αρχή CRYPTO, όπου απαιτείται,

θ) ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων,

ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.

• Εφόσον το μέτρο της περ. δ) της παρ. 2 κριθεί, σύμφωνα με την απόφαση της παρ. 16 του άρθρου 29, ως κατάλληλο, οι οντότητες λαμβάνουν υπόψη τις ευπάθειες που χαρακτηρίζουν κάθε άμεσο προμηθευτή και πάροχο υπηρεσιών, τη συνολική ποιότητα των προϊόντων και των πρακτικών κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους, καθώς και τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με την παρ. 1 του άρθρου 22 της Οδηγίας 2022/2555.   
• Κάθε οντότητα που διαπιστώνει ότι δεν συμμορφώνεται με τα μέτρα που προβλέπονται στην παρ. 2 λαμβάνει, αμελλητί, όλα τα αναγκαία, κατάλληλα και αναλογικά διορθωτικά μέτρα.
• Οι βασικές και οι σημαντικές οντότητες:

α) Ορίζουν ένα αρμόδιο στέλεχός τους, ανάλογων προσόντων και εμπειρογνωμοσύνης, ως Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), ο οποίος αναλαμβάνει:

αα) τη διαχείριση πάσης φύσεως επικοινωνιών και επαφών με την Εθνική Αρχή Κυβερνοασφάλειας, ββ) την επιμέλεια και τον εσωτερικό συντονισμό για τη συμμόρφωση της οικείας οντότητας με τις απαιτήσεις του παρόντος άρθρου, καθώς και τις απαιτήσεις αναφοράς περιστατικών σύμφωνα με το άρθρο 16.

Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.) του άρθρου 37 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) και των άρθρων 7 και 8 του ν. 4624/2019 (Α’ 137). Ο Υ.Α.Σ.Π.Ε. διαθέτει κατάλληλο επίπεδο αυτονομίας στη λήψη αποφάσεων, τη δυνατότητα εφαρμογής τους από τις επιμέρους οργανικές μονάδες της οντότητας, την ενημέρωση των οργάνων διοίκησης, τον συντονισμό της διαχείρισης περιστατικών ασφαλείας, καθώς και των διαδικασιών εφαρμογής των σχεδίων επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή. Για τους φορείς της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143), εφαρμόζονται τα άρθρα 18 και 19 του ν. 4961/2022 (Α’ 146), σχετικά με τον ορισμό, τα προσόντα και τα καθήκοντα του Υ.Α.Σ.Π.Ε..

β) Τηρούν ενιαία πολιτική κυβερνοασφάλειας, στην οποία συμπεριλαμβάνεται το σύνολο των επιμέρους μέτρων, πολιτικών και διαδικασιών που τηρούνται σύμφωνα με την παρ. 2 του παρόντος. Σε περίπτωση τήρησης από τον φορέα επιμέρους καταγεγραμμένων πολιτικών και διαδικασιών, που αφορούν κατ’ ελάχιστο τα μέτρα συμμόρφωσης της παρ. 2 του παρόντος, η ενιαία πολιτική κυβερνοασφάλειας παραπέμπει για τις επιμέρους λεπτομέρειες στις πολιτικές και διαδικασίες αυτές.  

γ) Tηρούν συνολική καταγραφή των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών, τα οποία ιεραρχούνται βάσει της κρισιμότητάς τους.

Άρθρο 16 Υποχρεώσεις αναφοράς περιστατικών (άρθρο 23 της Οδηγίας 2022/2555)

1. Οι βασικές και σημαντικές οντότητες κοινοποιούν, αμελλητί, στην ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) της Εθνικής Αρχής Κυβερνοασφάλειας κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους, όπως αναφέρεται στην παρ. 3 (σημαντικό περιστατικό). Οι οργανισμοί της περ. στ) της παρ. 2 του άρθρου 3 κοινοποιούν τα περιστατικά του παρόντος άρθρου στην CSIRT της Εθνικής Υπηρεσίας Πληροφοριών με ταυτόχρονη ενημέρωση της Εθνικής Αρχής Κυβερνοασφάλειας από τους υπόχρεους φορείς. Κατά περίπτωση, οι οικείες οντότητες κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους αποδέκτες των υπηρεσιών τους σημαντικά περιστατικά που ενδέχεται να επηρεάσουν αρνητικά την παροχή των εν λόγω υπηρεσιών. Οι εν λόγω οντότητες αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην Εθνική Αρχή Κυβερνοασφάλειας να προσδιορίσει τυχόν διασυνοριακές επιπτώσεις του περιστατικού. Η απλή πράξη κοινοποίησης δεν συνεπάγεται ευθύνη της κοινοποιούσας οντότητας. Σε περίπτωση διασυνοριακού ή διατομεακού σημαντικού περιστατικού, η Εθνική Αρχή Κυβερνοασφάλειας παρέχει, αμελλητί, στα ενιαία σημεία επαφής της παρ. 8 τις σχετικές πληροφορίες που της κοινοποιούνται σύμφωνα με την παρ. 4.

• Οι βασικές και σημαντικές οντότητες κοινοποιούν, αμελλητί, στους κατά περίπτωση αποδέκτες των υπηρεσιών τους, που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, τυχόν μέτρα ή διορθωτικές ενέργειες που μπορούν αυτοί να λάβουν για την αντιμετώπιση της συγκεκριμένης απειλής. Οι οντότητες ενημερώνουν, επίσης, τους εν λόγω αποδέκτες για τη σημαντική κυβερνοαπειλή.
• Ένα περιστατικό θεωρείται σημαντικό αν:

α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα,

β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία.

• Για την κοινοποίηση της παρ. 1, οι οικείες οντότητες υποβάλλουν στην Εθνική Αρχή Κυβερνοασφάλειας:

α) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, προειδοποίηση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,

β) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες που αναφέρονται στην περ. α) και, επιπλέον, περιλαμβάνει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης,

γ) κατόπιν αιτήματος της Εθνικής Αρχής Κυβερνοασφάλειας, ενδιάμεση έκθεση σχετικά με τις σχετικές επικαιροποιήσεις της κατάστασης,

δ) τελική έκθεση το αργότερο εντός ενός (1) μήνα μετά από την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την περ. β), η οποία περιλαμβάνει τα ακόλουθα:

δα) λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, δβ) το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό, δγ) εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού, δδ) κατά περίπτωση, τον διασυνοριακό αντίκτυπο του περιστατικού,

ε) σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στην περ. δ), οι οικείες οντότητες υποβάλλουν έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός (1) μηνός από τον εκ μέρους τους χειρισμό του σημαντικού περιστατικού.

Κατά παρέκκλιση της περ. β), ο πάροχος υπηρεσιών εμπιστοσύνης ενημερώνει την Εθνική Αρχή Κυβερνοασφάλειας αναφορικά με σημαντικά περιστατικά που επηρεάζουν την παροχή των υπηρεσιών εμπιστοσύνης του, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που έλαβε γνώση του σημαντικού περιστατικού.

• Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει στην κοινοποιούσα οντότητα, αμελλητί και ει δυνατόν εντός είκοσι τεσσάρων (24) ωρών από τη λήψη της έγκαιρης προειδοποίησης που αναφέρεται στην περ. α) της παρ. 4, απάντηση που συμπεριλαμβάνει αρχική αντίδραση σχετικά με το σημαντικό περιστατικό και, κατόπιν αιτήματος της οντότητας, καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού. Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει πρόσθετη τεχνική υποστήριξη, εφόσον το ζητήσει η οικεία οντότητα. Όταν υπάρχουν υπόνοιες ότι το σημαντικό περιστατικό είναι ποινικού χαρακτήρα, η Εθνική Αρχή Κυβερνοασφάλειας παρέχει, επίσης, καθοδήγηση σχετικά με την αναφορά του σημαντικού περιστατικού στις αρμόδιες εισαγγελικές αρχές ή στην αρμόδια Διεύθυνση της Ελληνικής Αστυνομίας.
• Κατά περίπτωση, και ιδίως όταν το σημαντικό περιστατικό αφορά και άλλα κράτη μέλη της Ευρωπαϊκής Ένωσης, η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας ενημερώνει, αμελλητί, τα άλλα επηρεαζόμενα κράτη μέλη και τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) σχετικά με το σημαντικό περιστατικό. Οι πληροφορίες αυτές περιλαμβάνουν το είδος των πληροφοριών που λαμβάνονται σύμφωνα με την παρ. 4. Στο πλαίσιο αυτό, η Εθνική Αρχή Κυβερνοασφάλειας διαφυλάσσει, σύμφωνα με το ενωσιακό και το εθνικό δίκαιο, την ασφάλεια και τα εμπορικά συμφέροντα της οντότητας, καθώς και την εμπιστευτικότητα των παρεχόμενων πληροφοριών.
• Όταν η ευαισθητοποίηση του κοινού είναι αναγκαία για την πρόληψη σημαντικού περιστατικού ή για την αντιμετώπιση σημαντικού εν εξελίξει περιστατικού, ή όταν η γνωστοποίηση του σημαντικού περιστατικού είναι προς το δημόσιο συμφέρον, η Εθνική Αρχή Κυβερνοασφάλειας δύναται, κατόπιν διαβούλευσης με την οικεία οντότητα, να ενημερώσει το κοινό σχετικά με το σημαντικό περιστατικό ή να απαιτήσει από την οντότητα να ενημερώσει το κοινό εντός ορισμένης προθεσμίας.
• Η Εθνική Αρχή Κυβερνοασφάλειας διαβιβάζει τις κοινοποιήσεις που λαμβάνει σύμφωνα με την παρ. 1 στα ενιαία σημεία επαφής τυχόν άλλων επηρεαζόμενων κρατών μελών της Ευρωπαϊκής Ένωσης.
• Η Εθνική Αρχή Κυβερνοασφάλειας ως ενιαίο σημείο επαφής υποβάλλει στον ENISA ανά τρεις (3) μήνες συνοπτική έκθεση, η οποία περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται σύμφωνα με την παρ. 1 του παρόντος και με το άρθρο 22.
• Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει στις αρμόδιες αρχές, που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), πληροφορίες σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται σύμφωνα με την παρ. 1 και το άρθρο 22 του παρόντος από οντότητες που προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557.

Άρθρο 17 Τυποποίηση (άρθρο 25 της Οδηγίας (ΕΕ) 2022/2555)

Για την αποτελεσματική εφαρμογή των παρ. 1 και 2 του άρθρου 15, μπορεί να προβλέπεται, με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας και αφού ληφθούν υπόψη οι τυχόν κατευθύνσεις που εκδίδει ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), χωρίς να επιβάλλεται ούτε να ευνοείται η χρήση συγκεκριμένου είδους τεχνολογίας, η θέσπιση μέτρων ενθάρρυνσης της χρήσης ευρωπαϊκών και διεθνώς αποδεκτών προτύπων και τεχνικών προδιαγραφών σχετικών με την ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων.

ΚΕΦΑΛΑΙΟ Ε΄ ΔΙΚΑΙΟΔΟΣΙΑ ΚΑΙ ΚΑΤΑΧΩΡΙΣΗ

Άρθρο 18 Δικαιοδοσία και εδαφικότητα (άρθρο 26 της Οδηγίας (ΕΕ) 2022/2555)

1. Οι οντότητες που είναι εγκατεστημένες ή παρέχουν υπηρεσίες ή ασκούν δραστηριότητα στη χώρα και εμπίπτουν στο πεδίο εφαρμογής του παρόντος μέρους θεωρούνται ότι υπόκεινται στη δικαιοδοσία της, εκτός αν πρόκειται για:

α) παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, οι οποίοι θεωρείται ότι εμπίπτουν στη δικαιοδοσία άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης στο οποίο παρέχουν τις υπηρεσίες τους,

β) παρόχους υπηρεσιών Domain Name System (DNS), μητρώα ονομάτων top-level domain (TLD), οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους υπηρεσιών κέντρων δεδομένων, παρόχους δικτύων διανομής περιεχομένου, παρόχους διαχειριζομένων υπηρεσιών, παρόχους διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και παρόχους επιγραμμικών / διαδικτυακών αγορών, επιγραμμικών / διαδικτυακών μηχανών αναζήτησης ή πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, που θεωρείται ότι εμπίπτουν στη δικαιοδοσία άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης στο οποίο έχουν την κύρια εγκατάστασή τους στην Ευρωπαϊκή Ένωση σύμφωνα με την παρ. 2,

γ) οντότητες δημόσιας διοίκησης, που θεωρείται ότι υπάγονται στη δικαιοδοσία άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης που τις έχει συστήσει.

• Για την εφαρμογή του παρόντος μέρους, οντότητα που αναφέρεται στην περ. β) της παρ. 1 θεωρείται ότι έχει την κύρια εγκατάστασή της στην ημεδαπή εφόσον σε αυτήν λαμβάνονται κυρίως οι αποφάσεις που σχετίζονται με τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας. Αν δεν μπορεί να προσδιοριστεί το κράτος μέλος ή αν οι αποφάσεις αυτές δεν λαμβάνονται στην Ευρωπαϊκή Ένωση, η κύρια εγκατάσταση θεωρείται ότι βρίσκεται στην ημεδαπή εφόσον σε αυτήν διεξάγονται οι επιχειρήσεις κυβερνοασφάλειας. Αν δεν μπορεί να προσδιοριστεί το κράτος μέλος, η κύρια εγκατάσταση θεωρείται ότι βρίσκεται στην ημεδαπή εφόσον η οικεία οντότητα έχει στην Ελλάδα την εγκατάσταση με τον μεγαλύτερο αριθμό εργαζομένων στην Ευρωπαϊκή Ένωση.
• Αν μια οντότητα που αναφέρεται στην περ. β) της παρ. 1 δεν είναι εγκατεστημένη στην Ευρωπαϊκή Ένωση, αλλά προσφέρει υπηρεσίες εντός αυτής, ορίζει υποχρεωτικώς εκπρόσωπο στην Ευρωπαϊκή Ένωση. Μια τέτοια οντότητα θεωρείται ότι υπόκειται στη δικαιοδοσία της Ελλάδας εφόσον ο εκπρόσωπος είναι εγκατεστημένος σε αυτήν. Ελλείψει εκπροσώπου, σύμφωνα με την παρούσα, στην Ευρωπαϊκή Ένωση, η οντότητα που παρέχει υπηρεσίες στην Ελλάδα υπέχει ευθύνη για παραβίαση των υποχρεώσεων του παρόντος μέρους.
• Ο ορισμός εκπροσώπου από οντότητα που αναφέρεται στην περ. β) της παρ. 1 δεν θίγει τις νομικές ενέργειες που θα μπορούσαν να αναληφθούν κατά της ίδιας της οντότητας.
• Αν υποβληθεί στην Εθνική Αρχή Κυβερνοασφάλειας αίτημα αμοιβαίας συνδρομής σε σχέση με οντότητα που αναφέρεται στην παρ. 1, οι αρμόδιες σύμφωνα με το παρόν μέρος αρχές λαμβάνουν, εντός των ορίων του εν λόγω αιτήματος, κατάλληλα μέτρα εποπτείας και επιβολής σε σχέση με την οικεία οντότητα, η οποία παρέχει υπηρεσίες ή διαθέτει το σύστημα δικτύου και πληροφοριών στην ελληνική επικράτεια.

Άρθρο 19 Μητρώο οντοτήτων (άρθρο 27 της Οδηγίας (ΕΕ) 2022/2555)

1. Οι πάροχοι υπηρεσιών Domain Name System (DNS), τα μητρώα ονομάτων top-level domain (TLD), οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, οι πάροχοι υπηρεσιών υπολογιστικού νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι πάροχοι δικτύων διανομής περιεχομένου, οι πάροχοι διαχειριζομένων υπηρεσιών, οι πάροχοι διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και οι πάροχοι επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης ή πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, υποβάλλουν υποχρεωτικώς στην Εθνική Αρχή Κυβερνοασφάλειας τις ακόλουθες πληροφορίες το αργότερο έως τις 17 Ιανουαρίου 2025: α) την επωνυμία της οντότητας,

β) τον σχετικό τομέα, υποτομέα και τύπο οντότητας που αναφέρεται στα παραρτήματα I και II, κατά περίπτωση,

γ) τη διεύθυνση της κύριας εγκατάστασης της οντότητας και των άλλων νόμιμων εγκαταστάσεών της στην Ευρωπαϊκή Ένωση ή, αν δεν είναι εγκατεστημένη σε αυτή, τη διεύθυνση του εκπροσώπου της, ο οποίος έχει οριστεί σύμφωνα με την παρ. 3 του άρθρου 18,

δ) επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου της οντότητας και, κατά περίπτωση, του εκπροσώπου της, ο οποίος έχει οριστεί σύμφωνα με την παρ. 3 του άρθρου 18,

ε) τα κράτη μέλη στα οποία η οντότητα παρέχει υπηρεσίες και στ) το εύρος Internet Protocol (IP) της οντότητας.

• Οι οντότητες που αναφέρονται στην παρ. 1 κοινοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας, αμελλητί και, σε κάθε περίπτωση, εντός τριών (3) μηνών από την ημερομηνία επέλευσης της μεταβολής, τυχόν μεταβολές στις πληροφορίες που υπέβαλαν.
• Με την παραλαβή των πληροφοριών που αναφέρονται στις παρ. 1 και 2, εκτός από τις πληροφορίες που αναφέρονται στην περ. στ) της παρ. 1, η Εθνική Αρχή Κυβερνοασφάλειας τις διαβιβάζει στον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA).

Άρθρο 20 Βάση δεδομένων καταχώρισης ονομάτων τομέα (άρθρο 28 της Οδηγίας (EE) 2022/2555)

1. Για την ασφάλεια, τη σταθερότητα και την ανθεκτικότητα του Domain Name System (DNS), τα μητρώα ονομάτων top-level domain (TLD) και οι οντότητες, που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, συλλέγουν και διατηρούν ακριβή και πλήρη δεδομένα καταχώρισης ονομάτων τομέα σε ειδική βάση δεδομένων με τη δέουσα επιμέλεια σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Oδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) Γ.Κ.Π.Δ. και τον ν. 4624/2019 (Α’ 137).
2. Για τους σκοπούς της παρ. 1, η βάση δεδομένων καταχώρισης ονομάτων τομέα περιέχει τις αναγκαίες πληροφορίες για την ταυτοποίηση και την επικοινωνία με τους κατόχους των ονομάτων τομέα και τα σημεία επαφής που διαχειρίζονται τα ονόματα τομέα στο πλαίσιο των TLD. Οι πληροφορίες αυτές περιλαμβάνουν: α) το όνομα τομέα,

β) την ημερομηνία καταχώρισης,

γ) το όνομα, την ηλεκτρονική διεύθυνση επικοινωνίας και τον αριθμό τηλεφώνου του καταχωρίζοντος,

δ) τη διεύθυνση ηλεκτρονικού ταχυδρομείου επικοινωνίας και τον αριθμό τηλεφώνου του σημείου επαφής που διαχειρίζεται το όνομα τομέα, σε περίπτωση που διαφέρουν από εκείνα του καταχωρίζοντος.

• Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα διαθέτουν πολιτικές και διαδικασίες, συμπεριλαμβανομένων διαδικασιών επαλήθευσης, ώστε να διασφαλίζεται ότι οι βάσεις δεδομένων που αναφέρονται στην παρ. 1 περιλαμβάνουν ακριβείς και πλήρεις πληροφορίες.  
• Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα δημοσιοποιούν, αμελλητί και μετά από την καταχώριση ονόματος τομέα, τα δεδομένα καταχώρισης ονομάτων τομέα που δεν είναι δεδομένα προσωπικού χαρακτήρα.
• Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα παρέχουν πρόσβαση σε συγκεκριμένα δεδομένα καταχώρισης ονομάτων τομέα κατόπιν νόμιμων και δεόντως αιτιολογημένων αιτημάτων από αιτούντες πρόσβαση, σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) Γ.Κ.Π.Δ. και τον ν. 4624/2019 (Α’ 137). Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα οφείλουν να απαντούν χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από την παραλαβή τυχόν αιτημάτων πρόσβασης. Επιπλέον, δημοσιοποιούν τις πολιτικές και τις διαδικασίες γνωστοποίησης των εν λόγω δεδομένων.
• Η συμμόρφωση με τις υποχρεώσεις που ορίζονται στο παρόν δεν πρέπει να οδηγεί σε επικάλυψη της συλλογής δεδομένων καταχώρισης ονομάτων τομέα. Για τον σκοπό αυτό, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα συνεργάζονται μεταξύ τους.

ΚΕΦΑΛΑΙΟ ΣΤ΄ ΑΝΤΑΛΛΑΓΗ ΠΛΗΡΟΦΟΡΙΩΝ

Άρθρο 21 Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας (άρθρο 29 της Οδηγίας (ΕΕ) 2022/2555)

1. Οι οντότητες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος μέρους και, κατά περίπτωση, άλλες οντότητες που δεν εμπίπτουν στο πεδίο εφαρμογής του, ανταλλάσσουν μεταξύ τους, σε εθελοντική βάση, πληροφορίες σχετικές με την κυβερνοασφάλεια, συμπεριλαμβανομένων πληροφοριών που αφορούν κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες, τεχνικές και διαδικασίες, ενδείξεις της παραβίασης, εχθρικές τακτικές, πληροφορίες που αφορούν συγκεκριμένους παράγοντες απειλής, προειδοποιήσεις για την κυβερνοασφάλεια και συστάσεις σχετικά με την παραμετροποίηση εργαλείων κυβερνοασφάλειας για τον εντοπισμό κυβερνοεπιθέσεων, στον βαθμό που η εν λόγω ανταλλαγή πληροφοριών:

α) αποσκοπεί στην πρόληψη, τον εντοπισμό, την αντιμετώπιση ή την ανάκαμψη από περιστατικά ή στον μετριασμό των επιπτώσεών τους,

β) ενισχύει το επίπεδο της κυβερνοασφάλειας, ιδίως μέσω της ευαισθητοποίησης σχετικά με τις κυβερνοαπειλές, του περιορισμού ή της παρεμπόδισης της ικανότητας διάδοσης των εν λόγω απειλών, της στήριξης μιας σειράς αμυντικών ικανοτήτων, της αποκατάστασης και της γνωστοποίησης ευπαθειών, της ανίχνευσης απειλών, των τεχνικών περιορισμού και πρόληψης, των στρατηγικών μετριασμού ή των σταδίων αντίδρασης και ανάκαμψης ή της προώθησης της συνεργατικής έρευνας για τις κυβερνοαπειλές μεταξύ δημόσιων και ιδιωτικών φορέων.

• Η ανταλλαγή πληροφοριών πραγματοποιείται στο πλαίσιο κοινοτήτων βασικών και σημαντικών οντοτήτων και, κατά περίπτωση, των προμηθευτών ή των παρόχων υπηρεσιών τους. Η εν λόγω ανταλλαγή πραγματοποιείται λαμβάνοντας υπόψη τον δυνητικά ευαίσθητο χαρακτήρα των ανταλλασσόμενων πληροφοριών.
• Οι βασικές και σημαντικές οντότητες γνωστοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας, αμελλητί, τη συμμετοχή τους στο πλαίσιο ανταλλαγής πληροφοριών της παρ. 2, καθώς και την απόσυρση της συμμετοχής τους, μόλις αυτή πραγματοποιηθεί.

Άρθρο 22 Εθελούσια κοινοποίηση των σχετικών πληροφοριών (άρθρο 30 της Οδηγίας (ΕΕ) 2022/2555)

1. Πέραν της υποχρέωσης κοινοποίησης που προβλέπεται στο άρθρο 16, οι κοινοποιήσεις μπορούν να υποβάλλονται στην Εθνική Αρχή Κυβερνοασφάλειας σε εθελοντική βάση, από:

α) βασικές και σημαντικές οντότητες όσον αφορά περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά,

β) οντότητες διαφορετικές από εκείνες που αναφέρονται στην περ. α), ανεξαρτήτως του αν εμπίπτουν στο πεδίο εφαρμογής του παρόντος νόμου, όσον αφορά σημαντικά περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά.

• Η Εθνική Αρχή Κυβερνοασφάλειας επεξεργάζεται τις κοινοποιήσεις που αναφέρονται στην παρ. 1 σύμφωνα με τη διαδικασία του άρθρου 16, δίνοντας προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων. Η Εθνική Αρχή Κυβερνοασφάλειας διασφαλίζει την εμπιστευτικότητα και την κατάλληλη προστασία των πληροφοριών που παρέχονται από την αναφέρουσα οντότητα. Με την επιφύλαξη της πρόληψης, της διερεύνησης, της διακρίβωσης και της δίωξης ποινικών αδικημάτων, η εθελούσια αναφορά δεν συνεπάγεται την επιβολή πρόσθετων υποχρεώσεων στην κοινοποιούσα οντότητα, τις οποίες δεν θα υπείχε αν δεν είχε υποβάλει την κοινοποίηση.

ΚΕΦΑΛΑΙΟ Ζ΄ ΕΠΟΠΤΕΙΑ ΚΑΙ ΚΥΡΩΣΕΙΣ

Άρθρο 23

Γενικές πτυχές που αφορούν την εποπτεία και την επιβολή (άρθρο 31 της Οδηγίας (ΕΕ) 2022/2555)

1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια αρχή εποπτείας και ελέγχου για τη συμμόρφωση με τις διατάξεις του παρόντος μέρους και ασκεί εποπτεία και έλεγχο σύμφωνα με τα άρθρα 24 και 25.

Στις οντότητες που υπάγονται στην εποπτεία της Εθνικής Αρχής Κυβερνοασφάλειας, επιβάλλονται αναλογικό τέλος εποπτείας και αναλογικό τέλος ελέγχου, με βάση ιδίως το μέγεθος της οντότητας και την πολυπλοκότητα του ελέγχου που καθορίζονται με την κοινή απόφαση της παρ. 21 του άρθρου 29.   

Η ανάθεση καθηκόντων ελέγχου και επιθεώρησης και ο ορισμός πιστοποιημένων τεχνικών εμπειρογνωμόνων (Subject Matter Experts, SMEs) γίνεται σύμφωνα με την παρ. 22 του άρθρου 29. Ειδικά η εποπτεία των οντοτήτων της παρ. 2 του άρθρου 3 ασκείται αποκλειστικά από τους επιθεωρητές της Εθνικής Αρχής Κυβερνοασφάλειας και από πιστοποιημένους από αυτήν επιθεωρητές της δημόσιας διοίκησης, οι οποίοι κατά περίπτωση μπορούν να επικουρούνται από πιστοποιημένο από την Εθνική Αρχή Κυβερνοασφάλειας SME σύμφωνα με τον Κανονισμό Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας. Σε περίπτωση ορισμού και άσκησης εποπτικών αρμοδιοτήτων από National Sectorial Focal Points (NSFP) σύμφωνα με την παρ. 11 του άρθρου 29, καθήκοντα εποπτείας και ελέγχου σύμφωνα με τις διατάξεις του παρόντος νόμου ασκούνται από τους επιθεωρητές της Εθνικής Αρχής Κυβερνοασφάλειας και τους πιστοποιημένους από την Εθνική Αρχή Κυβερνοασφάλειας επιθεωρητές των National Sectorial Focal Points (NSFP). Τα όργανα που μετέχουν στην ελεγκτική διαδικασία, συμπεριλαμβανομένων των πιστοποιημένων επιθεωρητών και των πιστοποιημένων SMEs, λαμβάνουν αποζημίωση, το ύψος της οποίας καθορίζεται με την απόφαση της παρ. 20 του άρθρου 29.

• Τα έσοδα από τις χρηματικές κυρώσεις που επιβάλλονται σε βάρος φυσικών ή νομικών προσώπων σύμφωνα με το παρόν μέρος, καθώς και από το τέλος εποπτείας και το τέλος ελέγχου της παρ. 1, αποτελούν πόρους της Εθνικής Αρχής Κυβερνοασφάλειας και διατίθενται αποκλειστικά για την κάλυψη των λειτουργικών δαπανών της και για την εξυπηρέτηση των σκοπών της λειτουργίας της.
• Η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σύμφωνα με τον Κανονισμό (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119).
• Σε περίπτωση παραβίασης των διατάξεων του παρόντος μέρους επιβάλλονται κατά περίπτωση τα πρόστιμα που προβλέπονται στα άρθρα 26 και 29.
• Τα όργανα της Εθνικής Αρχής Κυβερνοασφάλειας απολαμβάνουν έναντι των εποπτευόμενων φορέων δημόσιας διοίκησης, λειτουργικής ανεξαρτησίας κατά την άσκηση των αρμοδιοτήτων τους εποπτείας και ελέγχου που προβλέπονται στο παρόν άρθρο και στα άρθρα 24 έως 27 και 29.

  Άρθρο 24 Μέτρα εποπτείας και επιβολής σε σχέση με βασικές οντότητες  (άρθρο 32 της Οδηγίας (ΕΕ) 2022/2555)

1. Τα μέτρα εποπτείας ή επιβολής που επιβάλλονται σε βασικές οντότητες σε σχέση με τις υποχρεώσεις που ορίζονται στο παρόν μέρος επιβάλλεται να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
2. Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών της καθηκόντων σε σχέση με βασικές οντότητες, έχει την αρμοδιότητα να υποβάλλει τις εν λόγω οντότητες σε διαδικασίες που αφορούν:

α) επιτόπιες επιθεωρήσεις και εποπτεία εκτός των εγκαταστάσεων, συμπεριλαμβανομένων δειγματοληπτικών ελέγχων, που διεξάγονται από τους επιθεωρητές της παρ. 1 του άρθρου 23,

β) τακτικούς και στοχευμένους ελέγχους ασφάλειας που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας,

γ) έκτακτους ειδικούς ελέγχους, μεταξύ άλλων, όταν αυτό δικαιολογείται λόγω σημαντικού περιστατικού ή παραβίασης του παρόντος νόμου από τη βασική οντότητα ή όταν έχει υποβληθεί σχετικώς καταγγελία ή υπάρχουν πληροφορίες ή αποχρώσες ενδείξεις για την ύπαρξη τέτοιου περιστατικού ή παραβίασης,

δ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της οικείας οντότητας,

ε) αιτήματα παροχής αναγκαίων πληροφοριών για την εκ των υστέρων αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η οικεία οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας, καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στην Εθνική Αρχή Κυβερνοασφάλειας,

στ) αιτήματα πρόσβασης σε δεδομένα, έγγραφα και πληροφορίες που απαιτούνται για την εκτέλεση των εποπτικών καθηκόντων της,

ζ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο επιθεωρητή και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.

Οι στοχευμένοι έλεγχοι ασφάλειας της περ. β) βασίζονται σε εκτιμήσεις κινδύνου, που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας ή την ελεγχόμενη οντότητα, ή σε άλλες σχετικές με κινδύνους διαθέσιμες πληροφορίες.

Τα αποτελέσματα κάθε στοχευμένου ελέγχου ασφάλειας τίθενται στη διάθεση της αρμόδιας Διεύθυνσης της Εθνικής Αρχής Κυβερνοσφάλειας.   

3. Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των αρμοδιοτήτων των περ. ε), στ) και ζ) της παρ. 2, δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες. 4. Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με βασικές οντότητες, έχει τις εξής αρμοδιότητες:

α) εκδίδει προειδοποιήσεις σχετικά με παραβιάσεις του παρόντος μέρους από τις οικείες οντότητες,

β) εκδίδει δεσμευτικές οδηγίες και κατευθύνσεις, μεταξύ άλλων όσον αφορά τα μέτρα που είναι αναγκαία για την πρόληψη ή την αποκατάσταση περιστατικού, και τάσσει προθεσμίες για την εφαρμογή των εν λόγω μέτρων και για την υποβολή εκθέσεων σχετικά με την εφαρμογή τους, ή εντέλλει τις οικείες οντότητες να αποκαταστήσουν τις ελλείψεις που εντοπίστηκαν ή τις παραβιάσεις του παρόντος μέρους,

γ) εντέλλει τις οικείες οντότητες να παύσουν συμπεριφορά που παραβιάζει το παρόν μέρος και να απόσχουν από την επανάληψη της εν λόγω συμπεριφοράς,

δ) εντέλλει τις οικείες οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας εναρμονίζονται με το άρθρο 15 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο άρθρο 16, με συγκεκριμένο τρόπο και εντός ορισμένου χρονικού διαστήματος,

ε) εντέλλει τις οικείες οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα, σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής, στ) εντέλλει τις οικείες οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας,

ζ) ορίζει αρμόδιο επιβλέποντα με σαφώς καθορισμένα καθήκοντα για καθορισμένο χρονικό διάστημα, προκειμένου να επιβλέπει τη συμμόρφωση των οικείων οντοτήτων με τα άρθρα 15 και 16,

η) εντέλλει τις οικείες οντότητες να δημοσιοποιούν στοιχεία των παραβιάσεων του παρόντος μέρους με συγκεκριμένο τρόπο και διαδικασία,

θ) επιβάλλει διοικητικά πρόστιμα σύμφωνα με το άρθρο 26, επιπλέον των μέτρων των περ. α) έως η).

5. Όταν τα μέτρα επιβολής που θεσπίζονται σύμφωνα με τις περ. α) έως δ) και στ) της παρ. 4 κρίνονται ως αναποτελεσματικά, η Εθνική Αρχή Κυβερνοασφάλειας ορίζει προθεσμία εντός της οποίας η βασική οντότητα καλείται να λάβει τα αναγκαία μέτρα για την αποκατάσταση των ελλείψεων ή για τη συμμόρφωσή της. Αν τα ζητούμενα μέτρα δεν ληφθούν εντός της καθορισμένης προθεσμίας, ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας κατόπιν εισήγησης του αρμόδιου ελεγκτικού οργάνου, δύναται με ειδικώς αιτιολογημένη απόφασή του:

α) να αναστείλει προσωρινά την πιστοποίηση ή εξουσιοδότηση που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών που παρέχονται ή των δραστηριοτήτων που εκτελούνται από τη βασική οντότητα,

β) να απαγορεύει προσωρινά σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νομικού εκπροσώπου στη βασική οντότητα να ασκεί διευθυντικά καθήκοντα στην εν λόγω οντότητα.

Οι προσωρινές αναστολές ή απαγορεύσεις που επιβάλλονται σύμφωνα με την παρούσα εφαρμόζονται μόνο εωσότου η οικεία οντότητα λάβει τα αναγκαία μέτρα για να διορθώσει τις ελλείψεις ή να συμμορφωθεί με τις απαιτήσεις της ως άνω αρμόδιας αρχής για τις οποίες εφαρμόστηκαν τέτοια μέτρα επιβολής. Κατά της απόφασης του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, με την οποία επιβάλλεται προσωρινή αναστολή ή απαγόρευση, επιτρέπεται η άσκηση αίτησης ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας.  

Τα μέτρα επιβολής που προβλέπονται στην παρούσα δεν εφαρμόζονται στις οντότητες δημόσιας διοίκησης που υπόκεινται στο παρόν μέρος.

• Κάθε φυσικό πρόσωπο που, σύμφωνα με την ισχύουσα νομοθεσία, είναι, κατά περίπτωση, υπεύθυνο ή ενεργεί ως νόμιμος εκπρόσωπος βασικής οντότητας με βάση την εξουσία εκπροσώπησής της ή έχει την αρμοδιότητα να λαμβάνει αποφάσεις εξ ονόματός της ή να ασκεί τον έλεγχό της, έχει την ευθύνη να διασφαλίζει τη συμμόρφωσή της με τον παρόντα νόμο. Τα εν λόγω φυσικά πρόσωπα θεωρούνται υπεύθυνα για παράβαση των υποχρεώσεών τους των βασικών οντοτήτων που εμπίπτουν στην παρούσα. Η εφαρμογή της παρούσας δεν θίγει τις ισχύουσες διατάξεις περί ευθύνης που ισχύουν για τις οντότητες της δημόσιας διοίκησης, καθώς και περί ευθύνης δημοσίων υπαλλήλων και αιρετών ή διορισμένων μελών της διοίκησής τους.
• Η Εθνική Αρχή Κυβερνοασφάλειας, όταν λαμβάνει οποιοδήποτε από τα μέτρα επιβολής που αναφέρονται στις παρ. 4 ή 5, λαμβάνει υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης. Ιδίως, λαμβάνει δεόντως υπόψη:

α) τη σοβαρότητα της παράβασης και τη σημασία των διατάξεων που παραβιάζονται. Ως σοβαρές παραβάσεις θεωρούνται σε κάθε περίπτωση ιδίως: αα) οι επανειλημμένες παραβάσεις, αβ) μη κοινοποίηση ή αποκατάσταση σημαντικών περιστατικών, αγ) η μη αποκατάσταση ελλείψεων σύμφωνα με δεσμευτικές οδηγίες των κατά περίπτωση αρμόδιων αρχών, αδ) η παρεμπόδιση των ελέγχων ή των δραστηριοτήτων επίβλεψης που διατάσσονται από την Εθνική Αρχή Κυβερνοασφάλειας μετά από τη διαπίστωση παράβασης, αε) η παροχή ψευδών ή ανακριβών πληροφοριών σε σχέση με τα μέτρα διαχείρισης κινδύνου ή τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στα άρθρα 15 και 16, β) τη διάρκεια της παράβασης,

γ) σχετικές προηγούμενες παραβάσεις από την οικεία οντότητα,

δ) οποιαδήποτε υλική ή μη υλική ζημία που προκλήθηκε, συμπεριλαμβανομένης της χρηματοοικονομικής ή οικονομικής ζημίας, τις επιπτώσεις σε άλλες υπηρεσίες και τον αριθμό των θιγόμενων χρηστών,

ε) οποιαδήποτε υπαιτιότητα εκ μέρους του δράστη της παράβασης, στ) οποιαδήποτε μέτρα που λαμβάνει η οντότητα για την πρόληψη ή τον μετριασμό της υλικής ή μη υλικής ζημίας,

ζ) οποιαδήποτε τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης,

η) τον βαθμό συνεργασίας των υπαίτιων φυσικών ή νομικών προσώπων με τις αρμόδιες αρχές.

• Η Εθνική Αρχή Κυβερνοασφάλειας αιτιολογεί τα μέτρα επιβολής και πριν από τη λήψη τους κοινοποιεί στις ενδιαφερόμενες οντότητες τα προκαταρκτικά πορίσματά της και τις τυχόν προειδοποιήσεις της. Παρέχει εύλογο, κατά τις περιστάσεις, χρονικό διάστημα στις οικείες οντότητες για να υποβάλουν παρατηρήσεις, εκτός από αιτιολογημένες περιπτώσεις στις οποίες διαφορετικά θα παρεμποδιζόταν η ανάληψη άμεσης δράσης για την πρόληψη ή την αντιμετώπιση περιστατικών.
• Η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει τις αρχές που ασκούν κατά περίπτωση συναφείς αρμοδιότητες κατά την άσκηση των εποπτικών και εκτελεστικών αρμοδιοτήτων τους σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), με στόχο τη διασφάλιση της συμμόρφωσης μιας οντότητας που προσδιορίζεται ως κρίσιμη οντότητα βάσει της Οδηγίας (ΕΕ) 2022/2557 με τις υποχρεώσεις του παρόντος μέρους. Οι αρμόδιες αρχές που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 δύνανται να ζητούν σύμφωνα με το παρόν μέρος από την Εθνική Αρχή Κυβερνοασφάλειας να ασκούν τις εποπτικές και εκτελεστικές αρμοδιότητές της σε σχέση με οντότητα, η οποία προσδιορίζεται ως κρίσιμη οντότητα δυνάμει της Οδηγίας (ΕΕ) 2022/2557.
• Η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται με τις εθνικές αρμόδιες αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333). Ειδικότερα, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει το φόρουμ εποπτείας που συστήθηκε σύμφωνα με την παρ. 1 του άρθρου 32 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης βασικής οντότητας, που έχει οριστεί ως κρίσιμος τρίτος πάροχος υπηρεσιών τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) σύμφωνα με το άρθρο 31 του Κανονισμού (ΕΕ) 2022/2554, με τις υποχρεώσεις του παρόντος νόμου.

Άρθρο 25 Μέτρα εποπτείας και επιβολής σε σχέση με σημαντικές οντότητες (άρθρο 33 της Οδηγίας (ΕΕ) 2022/2555)

1. Η Εθνική Αρχή Κυβερνοασφάλειας, όταν της παρέχονται αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες ότι μια σημαντική οντότητα εικάζεται ότι δεν συμμορφώνεται με το παρόν μέρος, ιδίως δε με τα άρθρα 15 και 16 αυτού, λαμβάνει, εφόσον το κρίνει αναγκαίο, κατασταλτικά μέτρα, τα οποία επιβάλλεται να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
2. Η Εθνική Αρχή Κυβερνοασφάλειας κατά την άσκηση των αρμοδιοτήτων επιβολής σε σχέση με σημαντικές οντότητες, υποβάλλει τις εν λόγω οντότητες ιδίως στα ακόλουθα:

α) επιτόπιες επιθεωρήσεις και κατασταλτική εποπτεία εντός και εκτός των εγκαταστάσεων,

β) στοχευμένους ελέγχους ασφάλειας που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας,

γ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της οικείας οντότητας,

δ) αιτήματα παροχής αναγκαίων πληροφοριών για την αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η οικεία οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας, καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στις αρμόδιες αρχές σύμφωνα με το άρθρο 19,

ε) αιτήματα για πρόσβαση σε δεδομένα, έγγραφα ή πληροφορίες που είναι αναγκαίες για την εκ μέρους της εκτέλεση των εποπτικών καθηκόντων της,

στ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο επιθεωρητή της παρ. 2 του άρθρου 23 και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.

Οι στοχευμένοι έλεγχοι ασφάλειας που αναφέρονται στην περ. β) βασίζονται σε εκτιμήσεις κινδύνου που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας ή την ελεγχόμενη οντότητα ή σε άλλες διαθέσιμες πληροφορίες σχετικά με κινδύνους.

Τα αποτελέσματα κάθε στοχευμένου ελέγχου ασφάλειας τίθενται στη διάθεση της Εθνικής Αρχής Κυβερνοασφάλειας.   

• Κατά την άσκηση των αρμοδιοτήτων της σύμφωνα με τις περ. δ), ε) και στ) της παρ. 2, η Εθνική Αρχή Κυβερνοασφάλειας δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
• Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών αρμοδιοτήτων της σε σχέση με σημαντικές οντότητες, έχει τις εξής ιδίως αρμοδιότητες:

α) εκδίδει προειδοποιήσεις σχετικά με τις παραβιάσεις του παρόντος μέρους από τις οικείες οντότητες,

β) εκδίδει δεσμευτικές οδηγίες ή διαταγή προς τις οικείες οντότητες να αποκαταστήσουν τις διαπιστωθείσες ελλείψεις ή την παράβαση των υποχρεώσεων του παρόντος μέρους,

γ) εντέλλει τις οικείες οντότητες να παύσουν συμπεριφορά που παραβιάζει το παρόν μέρος και να απέχουν από επανάληψη της εν λόγω συμπεριφοράς παραβίασης,

δ) εντέλλει τις οικείες οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με το άρθρο 15 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο άρθρο 16, με συγκεκριμένο τρόπο και εντός ορισμένου χρονικού διαστήματος,

ε) εντέλλει τις οικείες οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής,  

στ) εντέλλει τις οικείες οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας,

ζ) εντέλλει τις οικείες οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων του παρόντος μέρους με συγκεκριμένο τρόπο,

η) επιβάλλει διοικητικά πρόστιμα σύμφωνα με το άρθρο 26, επιπλέον των μέτρων που αναφέρονται στις περ. α) έως ζ).

5. Οι παρ. 6, 7, 8 και 10 του άρθρου 24 εφαρμόζονται αναλόγως στα μέτρα εποπτείας και επιβολής που προβλέπονται στο παρόν άρθρο για τις σημαντικές οντότητες.

Άρθρο 26 Γενικοί όροι για την επιβολή διοικητικών προστίμων σε βασικές και σημαντικές οντότητες – Κυρώσεις (άρθρα 34 και 36 της Οδηγίας (ΕΕ) 2022/2555)

1. Τα μέτρα εποπτείας ή επιβολής που επιβάλλονται σε βασικές ή σημαντικές οντότητες σε σχέση με το παρόν μέρος επιβάλλεται να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
2. Οι κυρώσεις σε βάρος φυσικών ή νομικών προσώπων για την παραβίαση των διατάξεων του παρόντος επιβάλλονται με ειδικώς αιτιολογημένη απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται αφού προηγηθεί ακρόασή τους κατόπιν κλήσης τους, σύμφωνα με το άρθρο 6 του Κώδικα Διοικητικής Διαδικασίας (ν. 2690/1999, Α’ 45).  
3. Οι αποφάσεις επιβολής προστίμων και κυρώσεων κοινοποιούνται στους ενδιαφερόμενους και αναρτώνται, αμελλητί, στον επίσημο ιστότοπο της Εθνικής Αρχής Κυβερνοασφάλειας. Οι αποφάσεις επιβολής προστίμων και κάθε άλλου είδους κυρώσεων προσβάλλονται με αίτηση ακυρώσεως στο κατά τόπο αρμόδιο Διοικητικό Εφετείο.
4. Αν διαπιστωθεί παραβίαση των άρθρων 15 ή 16, επιβάλλεται στις βασικές οντότητες πρόστιμο ύψους κατ’ ανώτατο όριο δέκα εκατομμυρίων (10.000.000) ευρώ ή κατ’ ανώτατο όριο δύο τοις εκατό (2%) του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η σημαντική οντότητα, ανάλογα με το ποιο είναι υψηλότερο.
5. Αν διαπιστωθεί παραβίαση των άρθρων 15 ή 16, επιβάλλεται στις σημαντικές οντότητες πρόστιμο ύψους κατ’ ανώτατο όριο επτά εκατομμυρίων (7.000.000) ευρώ ή κατ’ ανώτατο όριο ένα κόμμα τέσσερα τοις εκατό (1,4%) του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η σημαντική οντότητα, ανάλογα με το ποιο είναι υψηλότερο.
6. Διοικητικά πρόστιμα επιβάλλονται, επιπλέον των μέτρων που αναφέρονται στις περ. α) έως η) της παρ. 4 και την παρ. 5 του άρθρου 24, καθώς και στις περ. α) έως ζ) της παρ. 4 του άρθρου 25, για την παράβαση των περ. α) έως η) της παρ. 4 και της παρ. 5 του άρθρου 24, ύψους κατ’ ανώτατο όριο ενός εκατομμυρίου (1.000.000) ευρώ, και για την παράβαση των περ. α) έως ζ) της παρ. 4 του άρθρου 25, ύψους κατ’ ανώτατο όριο επτακοσίων χιλιάδων (700.000) ευρώ.
7. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου και τη λήψη απόφασης σχετικά με το ύψος του σε κάθε μεμονωμένη περίπτωση, λαμβάνονται υπόψη, κατ’ ελάχιστον, τα στοιχεία που προβλέπονται στην παρ. 7 του άρθρου 24  
8. Με την επιφύλαξη των εξουσιών της Εθνικής Αρχής Κυβερνοασφάλειας σύμφωνα με τα άρθρα 24 και 25, επιβάλλονται διοικητικά πρόστιμα σε οντότητες δημόσιας διοίκησης που υπόκεινται στις υποχρεώσεις που ορίζονται στο παρόν μέρος. Τα πρόστιμα αυτά δεν μπορεί να είναι κατώτερα των είκοσι χιλιάδων (20.000) ευρώ και ανώτερα των πεντακοσίων χιλιάδων (500.000) ευρώ.  
9. Αν διαπιστωθεί παραβίαση:

α) της παρ. 1 του άρθρου 14, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο διακοσίων χιλιάδων (200.000) ευρώ,  

β) της παρ. 2 του άρθρου 14, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο εκατό χιλιάδων (100.000) ευρώ,  

γ) του άρθρου 19, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο διακοσίων χιλιάδων (200.000) ευρώ,  

δ) του άρθρου 20, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο οκτακοσίων χιλιάδων (800.000) ευρώ,  

ε) της παρ. 3 του άρθρου 21, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο εκατό χιλιάδων (100.000) ευρώ,  στ) των παρ. 2 και 4 του άρθρου 24, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο πεντακοσίων χιλιάδων (500.000) ευρώ,

ζ) της παρ. 2 του άρθρου 25, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο τριακοσίων πενήντα (350.000) ευρώ, και

η) της παρ. 18 του άρθρου 29, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο τριακοσίων χιλιάδων (300.000) ευρώ.  

Άρθρο 27 Παραβάσεις που συνεπάγονται παραβίαση δεδομένων προσωπικού χαρακτήρα (άρθρο 35 της Οδηγίας (ΕΕ) 2022/2555)

1. Αν η Εθνική Αρχή Κυβερνοασφάλειας διαπιστώσει, στο πλαίσιο της εποπτείας ή της επιβολής κυρώσεων, ότι η παράβαση από βασική ή σημαντική οντότητα των υποχρεώσεων που ορίζονται στα άρθρα 15 και 16 μπορεί να συνεπάγεται παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως ορίζεται στην περ. 12) του άρθρου 4 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) και τον ν. 4624/2019 (Α’ 137), η οποία πρέπει να κοινοποιείται σύμφωνα με το άρθρο 33 του εν λόγω Κανονισμού, ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
2. Όταν οι εποπτικές αρχές που αναφέρονται στα άρθρα 55 ή 56 του Κανονισμού (ΕΕ) 2016/679 επιβάλλουν διοικητικό πρόστιμο σύμφωνα με την περ. θ) της παρ. 2 του άρθρου 58 του εν λόγω Κανονισμού, η Εθνική Αρχή Κυβερνοασφάλειας δεν επιβάλλει διοικητικό πρόστιμο σύμφωνα με το άρθρο 26 για παράβαση που αναφέρεται στην παρ. 1 του παρόντος και η οποία απορρέει από την ίδια συμπεριφορά που αποτέλεσε αντικείμενο του διοικητικού προστίμου σύμφωνα με την περ. θ) της παρ. 2 του άρθρου 58 του Κανονισμού (ΕΕ) 2016/679. Η Εθνική Αρχή Κυβερνοασφάλειας δύναται στην περίπτωση αυτή να εφαρμόσει τα μέτρα επιβολής που αναφέρονται στις περ. α) έως η) της παρ. 4 και στην παρ. 5 του άρθρου 24 και στις περ. α) έως ζ) της παρ. 4 του άρθρου 25 του παρόντος.
3. Αν η εποπτική αρχή που είναι αρμόδια σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 είναι εγκατεστημένη σε άλλο κράτος μέλος της Ευρωπαϊκής Ένωσης, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει την εποπτική αρχή που είναι εγκατεστημένη στην Ελλάδα για την ενδεχόμενη παραβίαση των δεδομένων που αναφέρονται στην παρ. 1.

Άρθρο 28 Αμοιβαία συνδρομή  (άρθρο 37 της Οδηγίας (ΕΕ) 2022/2555)

1. Όταν μια οντότητα παρέχει υπηρεσίες σε περισσότερα του ενός κράτη μέλη ή παρέχει υπηρεσίες σε ένα ή περισσότερα κράτη μέλη της Ευρωπαϊκής Ένωσης και τα συστήματα δικτύου και πληροφοριών της βρίσκονται σε ένα ή περισσότερα άλλα κράτη μέλη, εφόσον ένα εκ των μελών είναι η Ελλάδα, η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται με τις αρμόδιες αρχές των λοιπών ενδιαφερόμενων κρατών μελών και παρέχεται αμοιβαία συνδρομή, ανάλογα με τις ανάγκες.   

Η συνεργασία αυτή συνεπάγεται, τουλάχιστον, ότι:

α) Η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει και διαβουλεύεται με τις αρμόδιες αρχές των άλλων ενδιαφερόμενων κρατών μελών σχετικά με τα μέτρα εποπτείας και επιβολής που λαμβάνονται,

β) η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να ζητήσει από άλλη αρμόδια αρχή να λάβει τα μέτρα εποπτείας ή επιβολής και το αντίστροφο,

γ) η Εθνική Αρχή Κυβερνοασφάλειας, μόλις λάβει τεκμηριωμένο αίτημα από άλλη αρμόδια αρχή, παρέχει στην άλλη αρμόδια αρχή αμοιβαία συνδρομή ανάλογη προς τους πόρους που διαθέτει η ίδια, ώστε τα μέτρα εποπτείας και επιβολής να μπορούν να εφαρμοστούν με αποτελεσματικό, αποδοτικό και συνεπή τρόπο.

Η αμοιβαία συνδρομή που αναφέρεται στην περ. γ) μπορεί να καλύπτει αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, συμπεριλαμβανομένων αιτημάτων για τη διενέργεια επιτόπιων επιθεωρήσεων ή μη επιτόπιας εποπτείας ή στοχευμένων ελέγχων ασφάλειας. Η Εθνική Αρχή Κυβερνοασφάλειας δεν απορρίπτει το αίτημα συνδρομής, εκτός εάν διαπιστωθεί ότι δεν είναι αρμόδια να παράσχει τη ζητούμενη συνδρομή, ότι η ζητούμενη συνδρομή δεν είναι ανάλογη προς τα εποπτικά της καθήκοντα ή ότι το αίτημα αφορά πληροφορίες ή συνεπάγεται δραστηριότητες οι οποίες, εάν κοινοποιηθούν ή εκτελεστούν, θα ήταν αντίθετες προς τα βασικά συμφέροντα εθνικής ασφάλειας, δημόσιας ασφάλειας ή άμυνας της Ελλάδας. Πριν απορρίψει το εν λόγω αίτημα, η Εθνική Αρχή Κυβερνοασφάλειας διαβουλεύεται με τις άλλες οικείες αρμόδιες αρχές, καθώς και, κατόπιν αιτήματος ενός από τα ενδιαφερόμενα κράτη μέλη, με την Ευρωπαϊκή Επιτροπή και τον ENISA.

2. Κατά περίπτωση και με κοινή συμφωνία, οι αρμόδιες αρχές των κρατών μελών της παρ. 1 μπορούν να αναλαμβάνουν κοινές εποπτικές ενέργειες.

ΚΕΦΑΛΑΙΟ Η΄ ΕΞΟΥΣΙΟΔΟΤΙΚΕΣ, ΜΕΤΑΒΑΤΙΚΕΣ, ΤΕΛΙΚΕΣ ΚΑΙ ΚΑΤΑΡΓΟΥΜΕΝΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 29 Εξουσιοδοτικές διατάξεις

1. Με κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης και Εσωτερικών, είναι δυνατόν να μετατίθεται ο χρόνος έναρξης ισχύος της υποπερ. στβ) της περ. στ) της παρ. 2 του άρθρου 3.
2. Με κοινή απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση αρμόδιου Υπουργού, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να εντάσσονται στο πεδίο εφαρμογής του παρόντος και λοιποί φορείς του δημόσιου ή του ιδιωτικού τομέα και να καθορίζεται κάθε ειδικότερο θέμα σχετικό με:

α. τους τομείς, υποτομείς και το είδος οντοτήτων ή υπηρεσιών, που δύνανται να υπαχθούν στις διατάξεις του παρόντος μέρους,

β. τη μεθοδολογία, τους όρους και την εξειδίκευση των κριτηρίων για την υπαγωγή οντοτήτων στις διατάξεις του παρόντος,

γ. τις απαιτήσεις ασφαλείας που οφείλουν να τηρούν,

δ. τις προϋποθέσεις, τις αρμόδιες αρχές και τη διαδικασία κοινοποίησης συμβάντος σε αυτές, και

ε. την αξιολόγηση συμμόρφωσης, καθώς και τα όργανα, τη διαδικασία, μεθοδολογία και τα πρότυπα για τη διενέργεια επιθεωρήσεων και ελέγχων.  

Με όμοια απόφαση είναι δυνατόν να εξαιρούνται συγκεκριμένες οντότητες που ασκούν δραστηριότητες στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων δραστηριοτήτων που σχετίζονται με την πρόληψη, τη διερεύνηση, τη διακρίβωση και τη δίωξη ποινικών αδικημάτων, ή οι οποίες παρέχουν υπηρεσίες αποκλειστικά στις οντότητες της δημόσιας διοίκησης που αναφέρονται στην παρ. 6 του άρθρου 3, από τις υποχρεώσεις που ορίζονται στα άρθρα 15 ή 16, όσον αφορά τις εν λόγω δραστηριότητες ή υπηρεσίες. Όταν οι οντότητες ασκούν δραστηριότητες ή παρέχουν υπηρεσίες αποκλειστικά του τύπου που αναφέρεται στο δεύτερο εδάφιο, είναι δυνατόν να εξαιρεθούν από τις υποχρεώσεις που ορίζονται στα άρθρα 4 και 20 υπό τους όρους και τις προϋποθέσεις που τίθενται με την κοινή υπουργική απόφαση του δεύτερου εδαφίου.  

• Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται το αργότερο εντός τεσσάρων (4) μηνών από την έναρξη ισχύος του παρόντος, προσδιορίζονται τα κριτήρια χαρακτηρισμού μιας οντότητας ως βασικής ή σημαντικής και καταρτίζεται κατάλογος βασικών και σημαντικών οντοτήτων καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, ο οποίος επανεξετάζεται και κατά περίπτωση επικαιροποιείται σε τακτική βάση και στη συνέχεια τουλάχιστον ανά δύο (2) έτη.  
• Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης δημιουργείται ψηφιακή πλατφόρμα για την εγγραφή των βασικών και σημαντικών οντοτήτων, καθορίζονται οι όροι και η διαδικασία εγγραφής τους, καθώς και τα υποδείγματα για την υποβολή των στοιχείων της παρ. 3 του άρθρου 4.
• Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης που εκδίδεται εντός έξι (6) μηνών από την έναρξη ισχύος του παρόντος, μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, εγκρίνεται η Εθνική Στρατηγική Κυβερνοασφάλειας του άρθρου 7. Με όμοια απόφαση επικαιροποιείται η Εθνική Στρατηγική Κυβερνοασφάλειας. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας εγκρίνεται και επικαιροποιείται το Σχέδιο Δράσης για την υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας.
• Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται εντός τεσσάρων (4) μηνών από την έναρξη ισχύος του παρόντος, προσδιορίζονται οι ικανότητες, τα μέσα, τα πάγια στοιχεία, το ανθρώπινο δυναμικό και οι διαδικασίες που μπορούν να χρησιμοποιηθούν σε περίπτωση κρίσης για τους σκοπούς του παρόντος μέρους.
• Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται εντός έξι (6) μηνών από την έναρξη ισχύος του παρόντος και εγκρίνεται εντός αποκλειστικής προθεσμίας ενός (1) μηνός από την Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας του άρθρου 23 του ν. 5002/2022 (Α’ 228), καταρτίζεται το εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον κυβερνοχώρο, σύμφωνα με την παρ. 2 του άρθρου 9 του παρόντος.  
• Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση αρμόδιου Υπουργού, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να ορίζονται και άλλες CSIRTs στο πλαίσιο του άρθρου 10, εφόσον τούτο κριθεί αναγκαίο για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας.  
• Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να συστήνονται ειδικές ομάδες απόκρισης για την αντιμετώπιση συμβάντων στον τομέα της κυβερνοασφάλειας του άρθρου 10. Ειδικά για την αντιμετώπιση συμβάντων σε οργανισμούς της περ. στ) της παρ. 2 του άρθρου 3, η ομάδα απόκρισης συστήνεται με κοινή απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας και του Διοικητή της Εθνικής Υπηρεσίας Πληροφοριών.
• Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας λαμβάνονται συγκεκριμένα μέτρα, διαδικασίες και μέσα διασφάλισης της ανωνυμίας των προσώπων που αναφέρουν την ευπάθεια σύμφωνα με την παρ. 2 του άρθρου 12.   
• Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση αρμόδιου Υπουργού που εποπτεύει τον εκάστοτε φορέα και, σε περίπτωση μη άσκησης εποπτείας, του κατά περίπτωση ανώτατου οργάνου διοίκησης του οικείου φορέα, είναι δυνατός ο ορισμός αρχών, φορέων, υπηρεσιών ή οργανικών μονάδων της δημόσιας διοίκησης με ρυθμιστικές και εποπτικές αρμοδιότητες σε επιμέρους τομείς των παραρτημάτων Ι και ΙΙ του παρόντος μέρους, ως τομεακών σημείων επαφής και συνεργασίας σε εθνικό επίπεδο με την Εθνική Αρχή Κυβερνοασφάλειας (National Sectorial Focal Points, NSFPs) σύμφωνα με το άρθρο 13.  

Με την απόφαση του προηγούμενου εδαφίου καθορίζονται:

α) κάθε ειδικότερο θέμα σχετικό με τη συνεργασία μεταξύ Εθνικής Αρχής Κυβερνοασφάλειας και του NSFP, ιδίως στο πλαίσιο της εκατέρωθεν ανταλλαγής πληροφοριών, της συντονισμένης εποπτείας, της αποτελεσματικής εφαρμογής, παρακολούθησης και ανατροφοδότησης του εθνικού στρατηγικού σχεδιασμού και της θέσπισης ειδικότερων μέτρων κυβερνοασφάλειας για τον οικείο τομέα·

β) κάθε ειδικότερο θέμα που άπτεται της συνεργασίας των οικείων υπηρεσιών σε θέματα διαχείρισης και διερεύνησης συμβάντων κυβερνοασφάλειας, καθώς και διαχείρισης κρίσεων.  

1. Με κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης, Παιδείας, Θρησκευμάτων και Αθλητισμού και Εργασίας και Κοινωνικής Ασφάλισης, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, καθορίζονται οι διαδικασίες, η διάρκεια εκπαίδευσης, τα προσόντα των εκπαιδευτών, το εκπαιδευτικό υλικό, η δυνατότητα χορήγησης πιστοποίησης από την Εθνική Αρχή Κυβερνοασφάλειας και κάθε άλλο θέμα σχετικό με την εφαρμογή της παρ. 2 του άρθρου 14. Με την ίδια απόφαση δύναται να καθίσταται υποχρεωτική η κατά τα ανωτέρω εκπαίδευση σε υπαλλήλους των βασικών και σημαντικών οντοτήτων που είναι αρμόδιοι σύμφωνα με τα οικεία οργανογράμματά τους ή τις σχετικές αποφάσεις ανάθεσης καθηκόντων για την κυβερνοασφάλεια των εν λόγω οντοτήτων.   
2. Με κοινή απόφαση των Υπουργών Εσωτερικών και Ψηφιακής Διακυβέρνησης ορίζονται το περιεχόμενο, οι προϋποθέσεις και η διαδικασία συμμετοχής στο Πρόγραμμα Πιστοποίησης Επάρκειας στον τομέα της Κυβερνοασφάλειας μέσω του Εθνικού Κέντρου Δημόσιας Διοίκησης και Αυτοδιοίκησης, ο τρόπος, η διάρκεια, η διαδικασία παρακολούθησης, ο τύπος του πιστοποιητικού που χορηγείται, καθώς και κάθε άλλο σχετικό θέμα για την εφαρμογή της παρ. 3 του άρθρου 14.
3. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας καθορίζονται το προτυποποιημένο υπόδειγμα σύμφωνα με το οποίο εκπονείται από τις οντότητες του πρώτου εδαφίου της παρ. 5 του άρθρου 15 η ενιαία πολιτική κυβερνοασφάλειας, η οποία αξιολογείται και εγκρίνεται από την Εθνική Αρχή Κυβερνοασφάλειας.
4. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας ρυθμίζονται οι λεπτομέρειες εφαρμογής του άρθρου 15, και συγκεκριμένα:

α) κάθε αναγκαία λεπτομέρεια σχετική με τα προσόντα, τα καθήκοντα και τις υποχρεώσεις των Υπεύθυνων Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) για κατηγορίες οντοτήτων που υπάγονται στο πεδίο εφαρμογής του παρόντος νόμου,

β) κάθε θέμα σχετικό με την εκπόνηση, αξιολόγηση και έγκριση της ενιαίας πολιτικής κυβερνοασφάλειας, καθώς και τη μεθοδολογία και τα πρότυπα καταγραφής και ιεράρχησης των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών,

γ) οι διαδικασίες ενημέρωσης των βασικών και σημαντικών οντοτήτων για τις απορρέουσες από το παρόν άρθρο υποχρεώσεις τους, για τη φύση και το περιεχόμενο των μέτρων της παρ. 1 του άρθρου 15, καθώς και για τις τεχνικές και μεθοδολογικές απαιτήσεις των μέτρων που αναφέρονται στην παρ. 2 του ίδιου άρθρου, σύμφωνα με τις εκτελεστικές πράξεις που εκδίδει η Επιτροπή σύμφωνα με την παρ. 5 του άρθρου 21 της Οδηγίας (ΕΕ) 2022/2555,

δ) η καταλληλότητα των μέτρων της παρ. 2 του άρθρου 15 του παρόντος, οι τεχνικές και μεθοδολογικές απαιτήσεις τους, λαμβάνοντας υπόψη και τις εκτελεστικές πράξεις που εκδίδει η Ευρωπαϊκή Επιτροπή σύμφωνα με την παρ. 5 του άρθρου 21 της Οδηγίας 2022/2555, με βάση τα χαρακτηριστικά των οντοτήτων.  

1. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να εξειδικεύονται οι προϋποθέσεις και οι αναγκαίες λεπτομέρειες για τον χαρακτηρισμό ενός περιστατικού ως σημαντικού σύμφωνα με το άρθρο 16, καθώς και οι επιμέρους λεπτομέρειες για τη διαδικασία αναφοράς και διαχείρισης περιστατικών ασφαλείας, με την επιφύλαξη των σχετικών εκτελεστικών πράξεων της Ευρωπαϊκής Επιτροπής.  
2. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να απαιτηθεί από βασικές και σημαντικές οντότητες να χρησιμοποιούν συγκεκριμένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ, που αναπτύσσονται από τη βασική ή σημαντική οντότητα ή παρέχονται από τρίτους και πιστοποιούνται στο πλαίσιο ευρωπαϊκών συστημάτων πιστοποίησης κυβερνοασφάλειας που θεσπίζονται σύμφωνα με το άρθρο 49 του Κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του Κανονισμού (ΕΕ) 526/2013 (πράξη για την κυβερνοασφάλεια, L 151). Με την ανωτέρω απόφαση προβλέπονται, επίσης, μέτρα ενθάρρυνσης των βασικών και σημαντικών οντοτήτων να χρησιμοποιούν αναγνωρισμένες υπηρεσίες εμπιστοσύνης.  
3. Με κοινή απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας και του Προέδρου της Εθνικής Αρχής Τηλεπικοινωνιών και Ταχυδρομείων του άρθρου 6 του ν. 4070/2012 (Α’ 82) καθορίζονται οι όροι και οι διαδικασίες δημοσιοποίησης των πολιτικών και διαδικασιών της παρ. 3 του άρθρου 20. Με όμοια απόφαση μπορεί να καθορίζονται οι όροι και οι διαδικασίες δημοσιοποίησης των απαραίτητων στοιχείων, καθώς και κάθε άλλο θέμα σχετικό με την εφαρμογή του άρθρου 20.
4. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας προβλέπονται μέτρα και δράσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας που αναφέρονται στις παρ. 1 και 2 του άρθρου 21, καθώς και επιβοηθητικά μέτρα για την εφαρμογή των εν λόγω ρυθμίσεων σύμφωνα με τις πολιτικές που αναφέρονται στην περ. η) της παρ. 2 του άρθρου 7. Τα ανωτέρω μέτρα και δράσεις μπορούν να προσδιορίζουν επιχειρησιακά στοιχεία, συμπεριλαμβανομένων της χρήσης ειδικών πλατφορμών τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) και εργαλείων αυτοματισμού, του περιεχομένου και των όρων των ρυθμίσεων ανταλλαγής πληροφοριών, αφού ληφθούν υπόψη οι κατευθύνσεις που τυχόν διατυπώνει ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) κατ’ εφαρμογή της παρ. 5 του άρθρου 29 της Οδηγίας 2022/2555. Με την ίδια ή όμοια απόφαση καθορίζονται οι όροι και οι λεπτομέρειες συμμετοχής των δημόσιων αρχών στις ρυθμίσεις του άρθρου 21 περί ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας.
5. Με κοινή απόφαση των Υπουργών Εθνικής Οικονομίας και Οικονομικών και Ψηφιακής Διακυβέρνησης, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, καθορίζονται το ύψος, τα κριτήρια και η διαδικασία καταβολής του τέλους εποπτείας και του τέλους ελέγχου της περ. β) της παρ. 1 του άρθρου 23, τυχόν εξαιρέσεις από την επιβολή τους, κάθε θέμα σχετικό με τη διαχείριση και την απόδοση των ανωτέρω τελών, καθώς και το ύψος των αποζημιώσεων των οργάνων που μετέχουν στην ελεγκτική διαδικασία, συμπεριλαμβανομένων των πιστοποιημένων επιθεωρητών και των πιστοποιημένων SMEs, σύμφωνα με το άρθρο 23.  
6. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας ανατίθενται καθήκοντα ελέγχου και επιθεώρησης σε πιστοποιημένα από την ίδια Αρχή πρόσωπα («πιστοποιημένοι επιθεωρητές») σύμφωνα με τον Κανονισμό Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας. Με όμοια απόφαση, για την αποτελεσματικότερη άσκηση του εποπτικού έργου της Εθνικής Αρχής Κυβερνοασφάλειας, είναι δυνατός ο ορισμός προσώπων που πληρούν τις προϋποθέσεις του Κανονισμού Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας ως πιστοποιημένων τεχνικών εμπειρογνωμόνων (Subject Matter Experts, SMEs) για την εισφορά εξειδικευμένης εμπειρογνωμοσύνης που αφορά πληροφοριακά και επικοινωνιακά συστήματα και τεχνολογίες.         
7. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, εγκρίνεται ο Κανονισμός Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας του άρθρου 23, με τον οποίο ρυθμίζονται η μεθοδολογία ελέγχου και εποπτείας και η τήρηση των απαιτούμενων διαδικασιών με γνώμονα την προσέγγιση βάσει κινδύνου, τα όργανα που ασκούν τον έλεγχο και την εποπτεία, οι εξουσίες, τα ασυμβίβαστα και τα ζητήματα σύγκρουσης συμφερόντων των οργάνων αυτών, τα προσόντα των πιστοποιημένων επιθεωρητών και των SMEs, η περιοδικότητα των ελέγχων και επιτόπιων επαληθεύσεων των ενιαίων πολιτικών κυβερνοασφάλειας των βασικών και σημαντικών οντοτήτων, τηρουμένων των αρχών της εποπτείας βάσει κινδύνου, καθώς και κάθε άλλο θέμα σχετικό με τα άρθρα 24 και 25. 23. Με κοινή απόφαση των Υπουργών Εθνικής Οικονομίας και Οικονομικών, Εσωτερικών και Ψηφιακής Διακυβέρνησης, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας καθορίζονται οι όροι, οι προϋποθέσεις και η διαδικασία είσπραξης των προστίμων του άρθρου 26.
8. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας καθορίζονται οι όροι, οι προϋποθέσεις και η διαδικασία επιβολής των προστίμων του άρθρου 26, κατηγοριοποιούνται οι παραβάσεις λαμβάνοντας κατ’ ελάχιστον υπόψη τα στοιχεία της παρ. 7 του άρθρου 24 και προβλέπονται η μέθοδος υπολογισμού του ύψους του προστίμου, η δυνατότητα επιβολής περιοδικών χρηματικών κυρώσεων και περιπτώσεις στις οποίες το ύψος του προστίμου μπορεί να αναπροσαρμόζεται.
9. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας δύνανται να προβλέπονται, πλην των αναφερομένων στο άρθρο 26, άλλες κυρώσεις, που επιβάλλονται σε βάρος νομικών ή φυσικών προσώπων που εμπίπτουν στον παρόντα νόμο και παραβιάζουν τις προβλεπόμενες σε αυτόν υποχρεώσεις τους. Με την ίδια απόφαση καθορίζονται οι όροι, οι προϋποθέσεις, η διαδικασία, τα κριτήρια, το είδος των κυρώσεων, το ύψος του προστίμου, καθώς και κάθε άλλο θέμα σχετικό με την εφαρμογή του πρώτου εδαφίου.  

                                                                         Άρθρο 30                                                     Μεταβατικές και τελικές διατάξεις

1. Μέχρι την έκδοση διαπιστωτικής πράξης του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας για την επάρκεια των μέσων και πόρων της ομάδας απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) της Εθνικής Αρχής Κυβερνοασφάλειας, η αρμόδια για θέματα κυβερνοασφάλειας/κυβερνοάμυνας οργανική μονάδα του Γενικού Επιτελείου Εθνικής Άμυνας ορίζεται ως ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) και υποστηρίζει την CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας στην εκτέλεση των καθηκόντων της παρ. 1 του άρθρου 10.
2. Όπου στην κείμενη νομοθεσία γίνεται αναφορά στον ν. 4577/2018 (Α΄ 199) για ζητήματα σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών, νοείται ο παρών νόμος.  

Άρθρο 31 Καταργούμενες διατάξεις

Από την έναρξη ισχύος του παρόντος μέρους καταργούνται:

α) τα άρθρα 148, περί ασφάλειας δικτύων και υπηρεσιών, και 149, περί εφαρμογής και επιβολής, του ν. 4727/2020 (Α’ 184) και

β) τα άρθρα 1 έως 16 του ν. 4577/2018 (Α΄ 199), περί ενσωμάτωσης στην ελληνική νομοθεσία της Οδηγίας 2016/1148/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση.

ΜΕΡΟΣ Β’ ΡΥΘΜΙΣΕΙΣ ΠΡΟΣΩΠΙΚΟΥ ΕΘΝΙΚΗΣ ΑΡΧΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΛΟΙΠΕΣ ΔΙΑΤΑΞΕΙΣ

Άρθρο 32 Ρυθμίσεις προσωπικού Εθνικής Αρχής Κυβερνοασφάλειας – Τροποποίηση άρθρου 21 ν. 5086/2024

Στην παρ. 4 του άρθρου 21 του ν. 5086/2024, περί των μεταβατικών διατάξεων του μέρους Α’ του νόμου αυτού, επέρχονται οι ακόλουθες τροποποιήσεις: α) στο πρώτο εδάφιο, η ημερομηνία «31η Δεκεμβρίου 2024» αντικαθίσταται από την ημερομηνία «31η Δεκεμβρίου 2025», β) στο δεύτερο εδάφιο, η ημερομηνία «1η Ιανουαρίου 2025» αντικαθίσταται από την ημερομηνία «1η Ιανουαρίου 2026» και η παρ. 4 διαμορφώνεται ως εξής:

«4. Μέχρι την 31η Δεκεμβρίου 2025, το συνολικό κόστος μισθοδοσίας, καθώς και κάθε είδους αποδοχών, περιλαμβανόμενης και της μισθολογικής διαφοράς που προκύπτει από την εφαρμογή του παρόντος βαρύνουν τον προϋπολογισμό του Υπουργείου Ψηφιακής Διακυβέρνησης και καταβάλλονται από αυτό. Με την επιφύλαξη της περ. β) της παρ. 3 του άρθρου 13, από την 1η Ιανουαρίου 2026, το συνολικό κόστος μισθοδοσίας, καθώς και κάθε είδους αποδοχών βαρύνουν την Αρχή και καταβάλλονται από αυτήν.».

Άρθρο 33 Ρυθμίσεις για τον ορισμό Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών – Τροποποίηση παρ. 1 άρθρου 18 ν. 4961/2022

Στην παρ. 1 του άρθρου 18 του ν. 4961/2022 (Α’ 146), περί του Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών, επέρχονται οι ακόλουθες τροποποιήσεις: α) στο πρώτο εδάφιο, οι λέξεις «ΠΕ ή ΤΕ Πληροφορικής» αντικαθίστανται από τις λέξεις «ΠΕ κλάδου Πληροφορικής οποιασδήποτε ειδικότητας ή υπάλληλος κατηγορίας ΤΕ κλάδου Πληροφορικής ειδικότητας Πληροφορικής (SOFTWARE ή HARDWARE)», β) προστίθεται νέο, δεύτερο, εδάφιο και η παρ. 1 διαμορφώνεται ως εξής:

«1. Σε κάθε φορέα κεντρικής Κυβέρνησης κατά την έννοια της περ. γ` της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α` 143) ορίζεται, με απόφαση του αρμόδιου Υπουργού ή του οργάνου διοίκησης του φορέα, ένας (1) υπάλληλος κατηγορίας ΠΕ κλάδου Πληροφορικής οποιασδήποτε ειδικότητας ή υπάλληλος κατηγορίας ΤΕ κλάδου Πληροφορικής ειδικότητας

Πληροφορικής (SOFTWARE ή HARDWARE) ως Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) με τον αναπληρωτή του. Ελλείψει υπαλλήλου κατηγορίας ΠΕ ή ΤΕ κλάδου Πληροφορικής, με την απόφαση του πρώτου εδαφίου ορίζεται υπάλληλος οποιουδήποτε κλάδου κατηγορίας ΠΕ ή ΤΕ. Ο Υ.Α.Σ.Π.Ε. ορίζεται βάσει της εμπειρίας που διαθέτει στον τομέα της κυβερνοασφάλειας.».  

ΜΕΡΟΣ Γ’ ΕΝΑΡΞΗ ΙΣΧΥΟΣ

Άρθρο 34 Έναρξη ισχύος

1. Με την επιφύλαξη της παρ. 2 η ισχύς του παρόντος νόμου αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.
2. Η ισχύς της υποπερ. στβ) της παρ. στ) της παρ. 2 του άρθρου 3 αρχίζει ένα (1) έτος από τη δημοσίευση του παρόντος στην Εφημερίδα της Κυβερνήσεως.  

ΠΑΡΑΡΤΗΜΑ I

ΤΟΜΕΙΣ ΥΨΗΛΗΣ ΚΡΙΣΙΜΟΤΗΤΑΣ

ΠΑΡΑΡΤΗΜΑ II

AΛΛΟΙ ΚΡΙΣΙΜΟΙ ΤΟΜΕΙΣ