ΝΟΜΟΣ ΥΠ' ΑΡΙΘΜ. 4577/ΦΕΚ Α/199/3.12.2018

 

Ενσωμάτωση στην ελληνική νομοθεσία της Οδηγίας 2016/1148/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση και άλλες διατάξεις.

 

Ο ΠΡΟΕΔΡΟΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ

 

   Εκδίδομε τον ακόλουθο νόμο που ψήφισε η Βουλή:

 

ΚΕΦΑΛΑΙΟ Α'

 

ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

 

’ρθρο 1

Αντικείμενο και πεδίο εφαρμογής (άρθρο 1 παράγραφοι 1, 3, 4, 5, 6, 7 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Σκοπός του παρόντος είναι η ενσωμάτωση στην ελληνική νομοθεσία της Οδηγίας 2016/1148/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 6ης Ιουλίου 2016 (EE L 194), με την οποία θεσπίζονται μέτρα για την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών.

 

   2. Οι απαιτήσεις ασφάλειας και κοινοποίησης που προβλέπονται στον παρόντα νόμο δεν εφαρμόζονται σε επιχειρήσεις που πληρούν τις προϋποθέσεις της παρ. 1 του άρθρου 33 του ν. 4070/2012 (Α' 82) ή σε παρόχους υπηρεσιών εμπιστοσύνης που εμπίπτουν στο άρθρο 19 του Κανονισμού (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Ιουλίου 2014 (EE L 257).

 

   3. Ο παρών νόμος εφαρμόζεται με την επιφύλαξη των διατάξεων του π.δ. 39/2011 (Α' 104) και των νόμων 4267/2014 (Α' 137) και 4360/2016 (Α' 9).

 

   4. Με την επιφύλαξη του άρθρου 346 της Συνθήκης Λειτουργίας της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), πληροφορίες που είναι απόρρητες σύμφωνα με ενωσιακούς και εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές, μόνον εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή του παρόντος. Οι πληροφορίες, που ανταλλάσσονται, περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς το σκοπό της ανταλλαγής αυτής. Η εν λόγω ανταλλαγή πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών.

 

   5. Με τον παρόντα δεν θίγονται τα μέτρα που λαμβάνει η χώρα μας για τη διαφύλαξη των ουσιωδών κρατικών λειτουργιών και ιδίως για τη διαφύλαξη της εθνικής ασφάλειας, συμπεριλαμβανομένων των μέτρων για την προστασία πληροφοριών, των οποίων η διάδοση θεωρείται αντίθετη προς τα ουσιώδη συμφέροντα ασφάλειας, καθώς και για τη διατήρηση του νόμου και της τάξης και ιδίως για τη διευκόλυνση της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων.

 

   6. Αν μία τομεακή νομική πράξη της Ευρωπαϊκής Ένωσης απαιτεί από τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή τους παρόχους ψηφιακών υπηρεσιών είτε να εξασφαλίζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών τους είτε να κοινοποιούν συμβάντα, εφαρμόζονται οι διατάξεις της εν λόγω τομεακής νομικής πράξης, υπό την προϋπόθεση ότι οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που θεσπίζονται στον παρόντα νόμο.

 

’ρθρο 2

(’ρθρο 2 της Οδηγίας 2016/1148/ΕΕ)

 

   Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, που γίνεται κατά τον παρόντα νόμο, διενεργείται σύμφωνα με τον Κανονισμό (ΕΚ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 (EE L 119) και το ν. 2472/1997 (Α' 50).

 

’ρθρο 3

Ορισμοί

(’ρθρο 4 της Οδηγίας 2016/1148/ΕΕ)

 

   Για τους σκοπούς του παρόντος νόμου, ισχύουν οι εξής ορισμοί:

 

   1) «σύστημα δικτύου και πληροφοριών»:

   α) ένα δίκτυο ηλεκτρονικών επικοινωνιών, σύμφωνα με την περίπτωση ιζ' της Ενότητας Α' παράγραφος του άρθρου 2 του ν. 4070/2012,

   β) κάθε συσκευή ή ομάδα διασυνδεδεμένων ή σχετιζόμενων συσκευών από τις οποίες μία ή περισσότερες εκτελούν, βάσει προγράμματος, αυτόματη επεξεργασία ψηφιακών δεδομένων,

   γ) ψηφιακά δεδομένα που αποθηκεύονται, υποβάλλονται σε επεξεργασία, ανακτώνται ή μεταδίδονται από στοιχεία που καλύπτονται στις περιπτώσεις α' και β' για τους σκοπούς της λειτουργίας, της χρήσης, της προστασίας και της συντήρησής τους,

 

   2) «ασφάλεια συστημάτων δικτύου και πληροφοριών»: η ικανότητα συστημάτων δικτύου και πληροφοριών να ανθίστανται, με δεδομένο βαθμό αξιοπιστίας, σε ενέργειες που πλήττουν τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των συναφών υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω των εν λόγω συστημάτων δικτύου και πληροφοριών,

 

   3) «εθνική στρατηγική για την ασφάλεια συστημάτων δικτύου και πληροφοριών»: πλαίσιο το οποίο παρέχει στρατηγικούς στόχους και προτεραιότητες για την ασφάλεια συστημάτων δικτύου και πληροφοριών σε εθνικό επίπεδο,

 

   4) «φορέας εκμετάλλευσης βασικών υπηρεσιών»: δημόσια ή ιδιωτική οντότητα είδους αναφερόμενου στο Παράρτημα Ι, η οποία πληροί τα κριτήρια που ορίζονται στην παράγραφο 2 του άρθρου 4,

 

   5) «ψηφιακή υπηρεσία»: υπηρεσία σύμφωνα με την περίπτωση β' της παρ. 1 του άρθρου 2 του π.δ. 81/2018 (Α' 151), η οποία είναι είδος αναφερόμενο στο Παράρτημα II,

 

   6) «πάροχος ψηφιακών υπηρεσιών»: νομικό πρόσωπο που παρέχει ψηφιακή υπηρεσία,

 

   7) «συμβάν»: κάθε γεγονός που έχει στην πραγματικότητα μια δυσμενή επίπτωση στην ασφάλεια συστημάτων δικτύου και πληροφοριών,

 

   8) «χειρισμός συμβάντων»: το σύνολο των διαδικασιών που υποστηρίζουν τον εντοπισμό, την ανάλυση και την ανάσχεση ενός συμβάντος, καθώς και την παρέμβαση για την αντιμετώπισή του,

 

   9) «κίνδυνος»: κάθε εύλογα διαπιστώσιμη περίσταση ή γεγονός με ενδεχομένως δυσμενή επίπτωση στην ασφάλεια συστημάτων δικτύου και πληροφοριών,

 

   10) «αντιπρόσωπος»: κάθε φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ευρωπαϊκή Ένωση, που ρητώς έχει οριστεί να ενεργεί εξ ονόματος παρόχου ψηφιακών υπηρεσιών μη εγκατεστημένου στην Ευρωπαϊκή Ένωση, στο οποίο μπορεί να απευθύνεται η εθνική αρμόδια αρχή ή η Αρμόδια Ομάδα Απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (Computer Security Incident Response Team - CSIRT) του άρθρου 8 παράγραφος 1 αντί του παρόχου ψηφιακών υπηρεσιών, όσον αφορά τις υποχρεώσεις αυτού σύμφωνα με τον παρόντα νόμο,

 

   11) «πρότυπο»: πρότυπο σύμφωνα με το σημείο 1 του άρθρου 2 του Κανονισμού (ΕΕ) 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Οκτωβρίου 2012 (EE L 316),

 

   12) «προδιαγραφή»: τεχνική προδιαγραφή σύμφωνα με το σημείο 4 του άρθρου 2 του Κανονισμού (ΕΕ) 1025/2012,

 

   13) «σημείο ανταλλαγής κίνησης διαδικτύου (Internet Exchange Point - IXP)»: δικτυακή υποδομή που επιτρέπει

τη διασύνδεση περισσότερων από δύο ανεξάρτητων αυτόνομων συστημάτων, κυρίως με σκοπό τη διευκόλυνση της ανταλλαγής κίνησης διαδικτύου, και η οποία διασυνδέει μόνον αυτόνομα συστήματα. Το IXP δεν αναγκάζει την κίνηση διαδικτύου που διέρχεται μεταξύ ζεύγους συμμετεχόντων αυτόνομων συστημάτων να διέλθει από τρίτο αυτόνομο σύστημα ούτε την τροποποιεί ούτε παρεμβαίνει με άλλον τρόπο σε αυτήν,

 

   14) «σύστημα ονομάτων χώρου (Domain Name System - DNS)»: ιεραρχικά κατανεμημένο σύστημα ονοματοδοσίας εντός ενός δικτύου, το οποίο εκτελεί παραπομπές αιτημάτων για ονόματα τομέων,

 

   15) «πάροχος υπηρεσιών συστήματος ονομάτων χώρου»: οντότητα που παρέχει υπηρεσίες συστήματος ονομάτων χώρου στο διαδίκτυο,

 

   16) «μητρώο ονομάτων χώρου ανώτατου επιπέδου» (top-level domain name registry): οντότητα που διαχειρίζεται και εκμεταλλεύεται την καταχώριση ονομάτων διαδικτυακών χώρων εντός συγκεκριμένου χώρου ανώτατου επιπέδου (TLD),

 

   17) «επιγραμμική αγορά» (online marketplace): ψηφιακή υπηρεσία που επιτρέπει σε καταναλωτές ή και εμπόρους, όπως ορίζονται στις περιπτώσεις α' και β' της παρ. 1 του άρθρου 4 της 70330οικ./30.6.2015 κοινής απόφασης των Υπουργών Οικονομίας, Υποδομών, Ναυτιλίας και Τουρισμού και Δικαιοσύνης, Διαφάνειας και Ανθρώπινων Δικαιωμάτων (Β' 1421), να συνάπτουν επιγραμμικές συμβάσεις πώλησης ή παροχής υπηρεσιών με εμπόρους είτε στον ιστοχώρο της επιγραμμικής αγοράς είτε σε ιστοχώρο εμπόρου που χρησιμοποιεί υπηρεσίες υπολογιστικής παρεχόμενες από την επιγραμμική αγορά,

 

   18) «επιγραμμική μηχανή αναζήτησης» (online search engine): ψηφιακή υπηρεσία που επιτρέπει στους χρήστες να εκτελούν αναζητήσεις καταρχήν σε όλους τους ιστοχώρους ή σε ιστοχώρους συγκεκριμένης γλώσσας βάσει ερωτήματος για οποιοδήποτε θέμα, με τη μορφή λέξης-κλειδιού, φράσης ή άλλων δεδομένων, και επιστρέφει ως αποτέλεσμα συνδέσμους όπου μπορεί κανείς να βρει πληροφορίες σχετικές με το περιεχόμενο που έχει ζητηθεί,

 

   19) «υπηρεσία νεφοϋπολογιστικής»: ψηφιακή υπηρεσία που επιτρέπει την πρόσβαση σε κλιμακοθετήσιμο και ελαστικό σύνολο κοινόχρηστων υπολογιστικών πόρων.

 

’ρθρο 4

Φορείς εκμετάλλευσης βασικών υπηρεσιών

(’ρθρο 5 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Η Εθνική Αρχή Κυβερνοασφάλειας της παραγράφου 1 του άρθρου 7, σε συνεργασία με τις ανά τομέα βασικής υπηρεσίας αρμόδιες ρυθμιστικές/εποπτικές αρχές και λοιπούς εμπλεκόμενους εθνικούς φορείς, προσδιορίζει, για κάθε τομέα και υποτομέα του Παραρτήματος Ι, τους φορείς εκμετάλλευσης βασικών υπηρεσιών που είναι εγκατεστημένοι στην Ελληνική Επικράτεια.

 

   Με απόφαση του Υπουργού Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, ύστερα από εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας, ορίζονται οι φορείς εκμετάλλευσης βασικών υπηρεσιών.

 

   2. Τα κριτήρια για τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών της περίπτωσης 4 του άρθρου 3 είναι τα εξής:

   α) ο φορέας να παρέχει υπηρεσία ουσιώδη για τη διατήρηση κρίσιμων κοινωνικών ή και οικονομικών δραστηριοτήτων,

   β) η παροχή της υπηρεσίας αυτής να στηρίζεται σε συστήματα δικτύου και πληροφοριών και

   γ) η πρόκληση σοβαρής διατάραξης της παροχής της εν λόγω υπηρεσίας, κατά τα οριζόμενα στο άρθρο 5, από τυχόν συμβάν.

 

   3. Για τους σκοπούς της παραγράφου 1, η Εθνική Αρχή Κυβερνοασφάλειας καταρτίζει κατάλογο τόσο των βασικών υπηρεσιών όσο και των φορέων εκμετάλλευσής τους. Οι κατάλογοι αυτοί επανεξετάζονται σε τακτική βάση, τουλάχιστον ανά διετία και, εφόσον κριθεί αναγκαίο, επικαιροποιούνται.

 

   4. Για τους σκοπούς της παραγράφου 1, όταν φορέας εκμετάλλευσης βασικών υπηρεσιών παρέχει και σε άλλο ή άλλα κράτη-μέλη της ΕΕ υπηρεσία που αναφέρεται στην παράγραφο 2, η Εθνική Αρχή Κυβερνοασφάλειας διαβουλεύεται με τις αντίστοιχες αρχές του ή των άλλων κρατών-μελών πριν από τη λήψη απόφασης για τον προσδιορισμό του.

 

   5. Η Εθνική Αρχή Κυβερνοασφάλειας της παραγράφου 1 του άρθρου 7 υποβάλλει στην Επιτροπή ανά διετία τις πληροφορίες που είναι αναγκαίες για την αξιολόγηση της εφαρμογής της Οδηγίας που ενσωματώνεται με τον παρόντα νόμο. Στις πληροφορίες αυτές περιλαμβάνονται τουλάχιστον τα εξής:

   α) τα εθνικά κριτήρια βάσει των οποίων προσδιορίζονται οι φορείς εκμετάλλευσης βασικών υπηρεσιών,

   β) ο κατάλογος των υπηρεσιών που αναφέρεται στην παράγραφο 3,

   γ) ο αριθμός των φορέων εκμετάλλευσης βασικών υπηρεσιών που έχουν προσδιοριστεί για κάθε τομέα του Παραρτήματος Ι και αναφορά της σημασίας τους σε σχέση με τον εν λόγω τομέα,

   δ) τα κατώτατα όρια, εφόσον υπάρχουν, για τον προσδιορισμό του σχετικού επιπέδου παροχής υπηρεσιών με αναφορά στον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία αυτή, όπως αναφέρεται στην περίπτωση α' της παραγράφου 2 του άρθρου 5, ή της σημασίας του συγκεκριμένου φορέα εκμετάλλευσης βασικών υπηρεσιών, όπως αναφέρεται στην περίπτωση στ' της παραγράφου 2 του άρθρου 5.

 

’ρθρο 5

Σοβαρή διατάραξη

(’ρθρο 6 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Η Εθνική Αρχή Κυβερνοασφάλειας της παραγράφου 1 του άρθρου 7 σε συνεργασία με τις, ανά τομέα βασικής υπηρεσίας, αρμόδιες ρυθμιστικές ή εποπτικές αρχές και λοιπούς εμπλεκόμενους εθνικούς φορείς, καθορίζει τα κριτήρια προσδιορισμού ενός συμβάντος ως σοβαρής διατάραξης.

 

   2. Κατά τον προσδιορισμό της σοβαρότητας της διατάραξης που αναφέρεται στην περίπτωση γ' της παραγράφου 2 του άρθρου 4 λαμβάνονται υπόψη τουλάχιστον οι εξής παράγοντες:

   α) ο αριθμός των χρηστών που εξαρτώνται από την υπηρεσία, η οποία παρέχεται από τον οικείο φορέα εκμετάλλευσης,

   β) η εξάρτηση άλλων τομέων που αναφέρονται στο Παράρτημα I από την υπηρεσία που παρέχεται από τον εν λόγω φορέα εκμετάλλευσης,

   γ) ο αντίκτυπος που θα μπορούσαν να έχουν τα συγκεκριμένα περιστατικά διατάραξης, από άποψη βαθμού και διάρκειας, σε οικονομικές και κοινωνικές δραστηριότητες ή στη δημόσια ασφάλεια,

   δ) το μερίδιο αγοράς του οικείου φορέα εκμετάλλευσης,

   ε) το γεωγραφικό εύρος της περιοχής που θα μπορούσε να επηρεαστεί από ένα περιστατικό,

   στ) η σημασία του εν λόγω φορέα για τη διατήρηση επαρκούς επιπέδου της υπηρεσίας, λαμβανομένων υπόψη των διαθέσιμων εναλλακτικών μέσων για την παροχή της εν λόγω υπηρεσίας,

   ζ) οι ειδικότεροι παράγοντες που αφορούν το συγκεκριμένο τομέα.

 

ΚΕΦΑΛΑΙΟ Β'

 

ΕΘΝΙΚΟ ΠΛΑΙΣΙΟ ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΔΙΚΤΥΩΝ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ

 

’ρθρο 6

Εθνική Στρατηγική Κυβερνοασφάλειας

(’ρθρο 7 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Η Εθνική Αρχή Κυβερνοασφάλειας επικαιροποιεί την «Εθνική Στρατηγική Κυβερνοασφάλειας» που έχει εγκριθεί με την υπουργική απόφαση 3218/2018 του Υπουργού Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης (ΑΔΑ: Ψ4Ρ7465ΧΘ0-Ζ6Ω) και την κοινοποιεί στην Επιτροπή μέσα σε τρεις (3) μήνες από την έγκρισή της από τον Υπουργό Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης.

 

   Από την κοινοποίηση αυτή εξαιρούνται στοιχεία της στρατηγικής που συνδέονται με την εθνική ασφάλεια. Η Εθνική Αρχή Κυβερνοασφάλειας, στο πλαίσιο των αρμοδιοτήτων της και για τις ανάγκες της παραγράφου αυτής, μπορεί να συνεργάζεται με τις αρμόδιες ρυθμιστικές/εποπτικές αρχές και τους λοιπούς εμπλεκόμενους εθνικούς φορείς.

 

   2. H Εθνική Στρατηγική Κυβερνοασφάλειας, η οποία αποτελεί την εθνική στρατηγική για την ασφάλεια συστημάτων δικτύου και πληροφοριών, περιλαμβάνει τα εξής:

   α) τους στόχους και τις προτεραιότητες της εθνικής στρατηγικής για την ασφάλεια συστημάτων δικτύου και πληροφοριών,

   β) το πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων της εθνικής στρατηγικής για την ασφάλεια συστημάτων δικτύων και πληροφοριών, συμπεριλαμβανομένων του ρόλου και των αρμοδιοτήτων των κυβερνητικών οργάνων και των λοιπών αρμόδιων φορέων,

   γ) τον προσδιορισμό των μέτρων ετοιμότητας, απόκρισης και αποκατάστασης, συμπεριλαμβανομένης της συνεργασίας ανάμεσα στο δημόσιο και ιδιωτικό τομέα,

   δ) αναφορά των προγραμμάτων εκπαίδευσης, ευαισθητοποίησης και κατάρτισης σε σχέση με την εθνική στρατηγική ασφάλειας δικτύων και συστημάτων πληροφοριών,

   ε) αναφορά των σχεδίων έρευνας και ανάπτυξης σχετικά με την εθνική στρατηγική ασφάλειας συστημάτων δικτύου και πληροφοριών,

   στ) σχέδιο εκτίμησης κινδύνου για τον προσδιορισμό κινδύνων,

   ζ) κατάλογο των διαφόρων φορέων που εμπλέκονται στην υλοποίηση της εθνικής στρατηγικής ασφάλειας συστημάτων δικτύου και πληροφοριών.

 

’ρθρο 7

Εθνική Αρχή Κυβερνοασφάλειας

(’ρθρο 8 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Ως Εθνική Αρμόδια Αρχή για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, εφεξής «Αρμόδια Αρχή» ή «Εθνική Αρχή Κυβερνοασφάλειας», ορίζεται η Διεύθυνση Κυβερνοασφάλειας της Γενικής Γραμματείας Ψηφιακής Πολιτικής του Υπουργείου Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης (άρθρο 15 του π.δ. 82/2017, Α' 117). Η Εθνική Αρχή καλύπτει τους τομείς που αναφέρονται στο Παράρτημα I και τις υπηρεσίες που αναφέρονται στο Παράρτημα II.

 

   2. Η Εθνική Αρχή Κυβερνοασφάλειας:

   α) παρακολουθεί την εφαρμογή του παρόντος,

   β) ορίζεται ως το εθνικό ενιαίο κέντρο επαφής, εφεξής «Ενιαίο Κέντρο Επαφής», για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, ασκώντας καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας των αρχών των κρατών-μελών, καθώς και με τις Αρμόδιες Αρχές άλλων κρατών-μελών στο πλαίσιο των μηχανισμών συνεργασίας, όπως αυτοί προσδιορίζονται στα άρθρα 11 και 12 της Οδηγίας που ενσωματώνεται με τον παρόντα,

   γ) ως ενιαίο κέντρο επαφής υποβάλλει ετησίως στην ομάδα συνεργασίας του άρθρου 11 της ανωτέρω Οδηγίας, συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου του αριθμού των κοινοποιήσεων και της φύσης των κοινοποιημένων συμβάντων, καθώς και τα μέτρα που έχουν ληφθεί σύμφωνα με τα άρθρα 9 και 11,

   δ) συνεργάζεται με την αρμόδια CSIRT της παραγράφου 1 του άρθρου 8, με σκοπό την αμοιβαία και από κοινού τήρηση των υποχρεώσεων της χώρας στο πλαίσιο του παρόντος νόμου,

   ε) διαβουλεύεται και συνεργάζεται με τις Αρμόδιες Εθνικές Αρχές επιβολής του νόμου, την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), καθώς και τις λοιπές αρμόδιες ρυθμιστικές ή εποπτικές αρχές και τους λοιπούς εμπλεκόμενους εθνικούς φορείς αναφορικά με τα θέματα που άπτονται της εφαρμογής του παρόντος,

   στ) συνεργάζεται με τις Αρμόδιες Αρχές των λοιπών κρατών-μελών, στο πλαίσιο των μηχανισμών συνεργασίας, όπως αυτοί προσδιορίζονται στα άρθρα 11 και 12 της Οδηγίας που ενσωματώνεται με τον παρόντα νόμο,

   ζ) συμμετέχει στην ομάδα συνεργασίας του άρθρου 11 της ως άνω Οδηγίας, ορίζει τους εθνικούς αντιπροσώπους της χώρας σ' αυτήν και ενημερώνει τους λοιπούς εμπλεκόμενους εθνικούς φορείς αναφορικά με τις εργασίες και τις αποφάσεις που λαμβάνονται στο πλαίσιο αυτής,

   η) συνεργάζεται με σχετικούς με θέματα κυβερνοασφάλειας και προστασίας κρίσιμων υποδομών διεθνείς οργανισμούς και όργανα ή υπηρεσίες της Ευρωπαϊκής Ένωσης ή άλλων κρατών και συμμετέχει στις αντίστοιχες συναντήσεις συναφών με τα ανωτέρω, επιτροπών και ομάδων εργασίας.

 

   3. Ο ορισμός της Αρμόδιας Αρχής και του ενιαίου κέντρου επαφής, τα καθήκοντά τους, καθώς και κάθε μεταγενέστερη σχετική τροποποίηση δημοσιοποιούνται και κοινοποιούνται, χωρίς καθυστέρηση, στην Επιτροπή.

 

’ρθρο 8

Ομάδα απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (CSIRT)

(’ρθρο 9 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Αρμόδια Ομάδα Απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (Computer Security Incident Response Team - CSIRT εφεξής «αρμόδια CSIRT»), η οποία καλύπτει τους τομείς του Παραρτήματος I και τις υπηρεσίες του Παραρτήματος II του παρόντος, και είναι υπεύθυνη για το χειρισμό κινδύνων και συμβάντων βάσει επακριβώς καθορισμένης διαδικασίας, είναι η Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ.

 

   2. Η αρμόδια CSIRT:

 

   α) εξασφαλίζει υψηλό επίπεδο διαθεσιμότητας των υπηρεσιών επικοινωνιών της, αποφεύγοντας μοναδικά σημεία αστοχίας και διαθέτει διάφορους τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή. Επιπλέον, οι δίαυλοι επικοινωνίας είναι σαφώς προσδιορισμένοι και ευρύτερα γνωστοί στα μέλη της περιοχής ευθύνης και τους συνεργαζόμενους εταίρους,

 

   β) τα γραφεία της και τα υποστηρικτικά συστήματα πληροφοριών εγκαθίστανται σε ασφαλείς χώρους,

 

   γ) αναφορικά με τη συνέχεια της επιχειρησιακής δραστηριότητάς της, η αρμόδια CSIRT:

   αα) είναι εφοδιασμένη με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, προκειμένου να διευκολύνεται η παράδοση καθηκόντων,

   ββ) είναι επαρκώς στελεχωμένη ώστε να εξασφαλίζεται η διαθεσιμότητα ανά πάσα στιγμή,

   γγ) βασίζεται σε υποδομή, η συνέχεια της οποίας είναι διασφαλισμένη. Για τον σκοπό αυτό, διατίθενται πλεονάζοντα συστήματα και εφεδρικοί χώροι εργασίας,

 

   δ) συμμετέχει σε διεθνή δίκτυα συνεργασίας.

 

   3. Οι αρμοδιότητες της αρμόδιας CSIRT είναι οι εξής:

   α) η παρακολούθηση συμβάντων σε εθνικό επίπεδο,

   β) η παροχή έγκαιρων προειδοποιήσεων, ειδοποιήσεων επαγρύπνησης και ανακοινώσεων, καθώς και η διάδοση πληροφοριών σε ενδιαφερόμενους φορείς σχετικά με κινδύνους και συμβάντα,

   γ) η παρέμβαση σε περίπτωση συμβάντος,

   δ) η παροχή δυναμικής ανάλυσης κινδύνων και συμβάντων, καθώς και η επίγνωση της κατάστασης,

   ε) η συμμετοχή στο δίκτυο CSIRT και η συνεργασία με τις αντίστοιχες υπηρεσίες των υπόλοιπων κρατών - μελών στο πλαίσιο του δικτύου CSIRT του άρθρου 12 της Οδηγίας που ενσωματώνεται με τον παρόντα νόμο,

   στ) η λήψη των κοινοποιήσεων συμβάντων που υποβάλλονται σύμφωνα με τον παρόντα νόμο,

   ζ) η ενημέρωση του Εθνικού Ενιαίου Κέντρου Επαφής της περίπτωσης β' της παραγράφου 2 του άρθρου 7, σχετικά με τις κοινοποιήσεις των συμβάντων που υποβάλλονται σύμφωνα με τον παρόντα νόμο,

   η) η εγκαθίδρυση σχέσεων συνεργασίας με τον ιδιωτικό τομέα,

   θ) η προώθηση, η υιοθέτηση και η χρήση κοινών ή τυποποιημένων πρακτικών για:

   αα) τις διαδικασίες χειρισμού συμβάντων και κινδύνων,

   ββ) τα συστήματα ταξινόμησης συμβάντων, κινδύνων και πληροφοριών.

 

   4. Συνεργάζεται με την Εθνική Αρχή Κυβερνοασφάλειας της παραγράφου 1 του άρθρου 7, με σκοπό την αμοιβαία και από κοινού τήρηση των υποχρεώσεων της χώρας στο πλαίσιο του παρόντος.

 

ΚΕΦΑΛΑΙΟ Γ

 

ΑΣΦΑΛΕΙΑ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΔΙΚΤΥΟΥ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ ΤΩΝ ΦΟΡΕΩΝ ΕΚΜΕΤΑΛΛΕΥΣΗΣ ΒΑΣΙΚΩΝ ΥΠΗΡΕΣΙΩΝ

 

’ρθρο 9

Απαιτήσεις ασφάλειας και κοινοποίηση συμβάντων

(’ρθρο 14 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Η Εθνική Αρχή Κυβερνοασφάλειας, σε συνεργασία με την αρμόδια CSIRT και τους λοιπούς, ανά τομέα βασικής υπηρεσίας, εμπλεκόμενους φορείς:

   α) αξιολογεί τα τεχνικά και οργανωτικά μέτρα που λαμβάνουν οι φορείς εκμετάλλευσης βασικών υπηρεσιών για τη διαχείριση των κινδύνων που αφορούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους, ως προς την καταλληλότητα και την αναλογικότητά τους,

   β) αξιολογεί την καταλληλότητα των μέτρων που λαμβάνουν οι φορείς εκμετάλλευσης βασικών υπηρεσιών για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούνται για την παροχή των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της επιχειρησιακής συνέχειάς τους,

   γ) καθορίζει τη διαδικασία κοινοποίησης που πρέπει να τηρούν οι φορείς εκμετάλλευσης βασικών υπηρεσιών, προκειμένου να κοινοποιήσουν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT συμβάντα με σοβαρές επιπτώσεις στην επιχειρησιακή συνέχεια των βασικών υπηρεσιών που αυτοί παρέχουν. Οι ανωτέρω κοινοποιήσεις εκ μέρους των φορέων εκμετάλλευσης βασικών υπηρεσιών πρέπει να πραγματοποιούνται χωρίς αδικαιολόγητη καθυστέρηση και να περιλαμβάνουν πληροφορίες που να επιτρέπουν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT να προσδιορίσουν τόσο τη σοβαρότητα όσο και τις διασυνοριακές επιπτώσεις, λόγω του κοινοποιούμενου περιστατικού. Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα.

 

   2. Για να προσδιοριστεί η σοβαρότητα του αντίκτυπου ενός συμβάντος, λαμβάνονται υπόψη ειδικότερα οι εξής παράμετροι:

   α) ο αριθμός των χρηστών που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας,

   β) η διάρκεια του συμβάντος,

   γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν.

 

   3. Βάσει των πληροφοριών που παρέχονται στην κοινοποίηση από το φορέα εκμετάλλευσης βασικών υπηρεσιών, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει το ή τα άλλα επηρεαζόμενα κράτη-μέλη, εφόσον το κοινοποιούμενο συμβάν έχει σοβαρό αντίκτυπο στην επιχειρησιακή συνέχεια των βασικών υπηρεσιών στο εν λόγω κράτος-μέλος. Στο πλαίσιο της ανωτέρω ενημέρωσης, διαφυλάσσεται, σύμφωνα με το ενωσιακό δίκαιο ή με την εθνική νομοθεσία, η ασφάλεια και τα εμπορικά συμφέροντα του κοινοποιούντος φορέα εκμετάλλευσης βασικών υπηρεσιών, καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί στην κοινοποίησή του.

 

   Όταν οι περιστάσεις το επιτρέπουν, η Εθνική Αρχή Κυβερνοασφάλειας ή η αρμόδια CSIRT παρέχει στον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών πληροφορίες όσον αφορά τις ενέργειες που έλαβαν χώρα σε συνέχεια της κοινοποίησής του, όπως πληροφορίες που θα μπορούσαν να υποστηρίξουν την αποτελεσματική διαχείριση του περιστατικού.

 

   Μετά από αίτηση της αρμόδιας αρχής ή του CSIRT, το ενιαίο κέντρο επαφής διαβιβάζει τις κοινοποιήσεις συμβάντων που αναφέρονται στο πρώτο εδάφιο της παρούσας στα ενιαία κέντρα επαφής των άλλων επηρεαζόμενων κρατών-μελών.

 

   4. Ύστερα από διαβούλευση με τον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών, η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να ενημερώνει το κοινό σχετικά με μεμονωμένα συμβάντα, αν η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη μελλοντικού συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη.

 

   5. Η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να καταρτίζει και να εκδίδει κατευθυντήριες γραμμές σχετικά με τις περιστάσεις υπό τις οποίες οι φορείς εκμετάλλευσης βασικών υπηρεσιών είναι υποχρεωμένοι να κοινοποιούν συμβάντα, συμπεριλαμβανομένων μεταξύ άλλων των παραμέτρων που προσδιορίζουν τη σοβαρότητα των επιπτώσεων ενός συμβάντος, όπως αυτές αναφέρονται στην παράγραφο 2.

 

’ρθρο 10

Εφαρμογή και επιβολή

(’ρθρο 15 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Η Εθνική Αρχή Κυβερνοασφάλειας:

   α) αξιολογεί τη συμμόρφωση των φορέων εκμετάλλευσης βασικών υπηρεσιών προς τις υποχρεώσεις τους, σύμφωνα με το άρθρο 9 και των επιπτώσεών τους στην ασφάλεια των συστημάτων δικτύου και πληροφοριών,

   β) απαιτεί από τους φορείς εκμετάλλευσης βασικών υπηρεσιών να παρέχουν:

   αα) τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των συστημάτων δικτύου και των πληροφοριών τους, συμπεριλαμβανομένων, μεταξύ άλλων, τεκμηριωμένων και εγκεκριμένων πολιτικών ασφάλειας,

   ββ) στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως τα αποτελέσματα επιθεώρησης ασφάλειας που έχει διενεργηθεί είτε από την Εθνική Αρχή Κυβερνοασφάλειας είτε από εξουσιοδοτημένο από αυτήν όργανο και, στη δεύτερη αυτή περίπτωση, να θέτουν τα αποτελέσματά τους, καθώς και όλα τα σχετικά στοιχεία στη διάθεση της Εθνικής Αρχής Κυβερνοασφάλειας.

 

   Όταν ζητούνται αυτές οι πληροφορίες ή τα στοιχεία, η Εθνική Αρχή Κυβερνοασφάλειας δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ειδικότερες πληροφορίες που ζητούνται.

 

   2. Μετά την αξιολόγηση των πληροφοριών ή των αποτελεσμάτων των επιθεωρήσεων ασφάλειας που αναφέρονται στην περίπτωση β' της παραγράφου 1, η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να εκδίδει δεσμευτικές οδηγίες προς τους φορείς εκμετάλλευσης βασικών υπηρεσιών για την αποκατάσταση των εντοπισμένων ελλείψεων.

 

   3. Κατά την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων, συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

 

   4. Με απόφαση του Υπουργού Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, ύστερα από εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας καθορίζονται η μεθοδολογία αξιολόγησης της περίπτωσης α' και η διαδικασία παροχής πληροφοριών της περίπτωσης β' της παραγράφου 1.

 

ΚΕΦΑΛΑΙΟ Δ'

ΑΣΦΑΛΕΙΑ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΔΙΚΤΥΟΥ ΚΑΙ ΠΛΗΡΟΦΟΡΙΩΝ ΤΩΝ ΠΑΡΟΧΩΝ ΨΗΦΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ

 

’ρθρο 11

Απαιτήσεις ασφάλειας και κοινοποίηση συμβάντων

(’ρθρο 16 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Η Εθνική Αρχή Κυβερνοασφάλειας σε συνεργασία με την αρμόδια CSIRT και τους λοιπούς εμπλεκόμενους φορείς:

 

   α) αξιολογεί τα τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων που πρέπει να λάβουν οι πάροχοι ψηφιακών υπηρεσιών, όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν στο πλαίσιο της παροχής, εντός της Ευρωπαϊκής Ένωσης, των υπηρεσιών του Παραρτήματος II. Τα μέτρα αυτά πρέπει να εξασφαλίζουν επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο και να συνεκτιμούν ιδίως τα εξής στοιχεία:

   αα) την ασφάλεια των συστημάτων και των εγκαταστάσεων,

   ββ) τη διαχείριση συμβάντων,

   γγ) τη διαχείριση της επιχειρησιακής συνέχειας,

   δδ) την παρακολούθηση, τους ελέγχους και τις δοκιμές δικτύων και πληροφοριακών συστημάτων,

   εε) τη συμμόρφωση με διεθνή πρότυπα,

 

   β) αξιολογεί τα μέτρα για την αποτροπή και την ελαχιστοποίηση των επιπτώσεων συμβάντων, τα οποία πρέπει να λάβουν οι πάροχοι ψηφιακών υπηρεσιών και επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν σε σχέση με τις υπηρεσίες του Παραρτήματος ΙΙ, οι οποίες προσφέρονται εντός της Ευρωπαϊκής Ένωσης, με σκοπό τη διασφάλιση της επιχειρησιακής συνέχειάς τους,

 

   γ) καθορίζει τη διαδικασία κοινοποίησης που πρέπει να τηρούν οι πάροχοι ψηφιακών υπηρεσιών, προκειμένου να κοινοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT, χωρίς αδικαιολόγητη καθυστέρηση, κάθε συμβάν που έχει σημαντικές επιπτώσεις στην παροχή της υπηρεσίας, η οποία υπάγεται σε κατηγορία υπηρεσιών που αναφέρεται στο Παράρτημα ΙΙ και παρέχεται από αυτούς εντός της Ευρωπαϊκής Ένωσης. Οι ανωτέρω κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT να προσδιορίσουν τόσο τη σοβαρότητα του συμβάντος όσο και τις διασυνοριακές επιπτώσεις. Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα πάροχο.

 

   2. Για να προσδιοριστεί αν οι επιπτώσεις ενός συμβάντος είναι σημαντικές, λαμβάνονται υπόψη ειδικότερα οι εξής παράμετροι:

   α) ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως αυτών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών,

   β) η διάρκεια του συμβάντος,

   γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν,

   δ) το μέγεθος της διατάραξης της λειτουργίας της υπηρεσίας,

   ε) η έκταση των επιπτώσεων στις οικονομικές και κοινωνικές δραστηριότητες.

 

   Η υποχρέωση κοινοποίησης συμβάντος εφαρμόζεται μόνο αν ο πάροχος ψηφιακών υπηρεσιών έχει πρόσβαση στις πληροφορίες που απαιτούνται για να εκτιμηθεί ο αντίκτυπος του συμβάντος έναντι των παραμέτρων που αναφέρονται στις περιτπώσεις α' έως ε'.

 

   3. Όταν ένας φορέας εκμετάλλευσης βασικών υπηρεσιών εξαρτάται από τρίτο φορέα παροχής ψηφιακών υπηρεσιών για την παροχή υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων οικονομικών και κοινωνικών δραστηριοτήτων, κοινοποιείται από τον εν λόγω φορέα κάθε σοβαρή επίπτωση επί της συνέχειας των βασικών υπηρεσιών που οφείλεται σε συμβάν το οποίο επηρεάζει τον πάροχο ψηφιακών υπηρεσιών.

 

   4. Κατά περίπτωση, και συγκεκριμένα αν το συμβάν με σημαντικές επιπτώσεις που αναφέρεται στην περίπτωση γ' της παραγράφου 1 αφορά δύο (2) ή περισσότερα κράτη-μέλη, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει τα άλλα κράτη-μέλη που επηρεάζονται από το συμβάν. Στο πλαίσιο της ενημέρωσης αυτής, το ενιαίο κέντρο επαφής σε συνεργασία με την αρμόδια CSIRT πρέπει, σύμφωνα με το ενωσιακό δίκαιο και την εθνική νομοθεσία που είναι σύμφωνη προς το ενωσιακό δίκαιο, να διαφυλάσσουν την ασφάλεια και τα εμπορικά συμφέροντα του παρόχου ψηφιακών υπηρεσιών, καθώς και το απόρρητο των πληροφοριών που ο τελευταίος έχει παράσχει. Το εθνικό ενιαίο κέντρο επαφής διαβιβάζει τις κοινοποιήσεις συμβάντων που αναφέρονται στο πρώτο εδάφιο της παρούσας στα ενιαία κέντρα επαφής των άλλων επηρεαζόμενων κρατών-μελών.

 

   5. Ύστερα από διαβούλευση με τον ενδιαφερόμενο πάροχο ψηφιακών υπηρεσιών, η Εθνική Αρχή Κυβερνοασφάλειας, σε συνεργασία με την αρμόδια CSIRT, και, κατά περίπτωση, οι αρμόδιες αρχές ή τα αρμόδια CSIRT άλλων ενδιαφερόμενων κρατών-μελών μπορούν να ενημερώνουν το κοινό σχετικά με μεμονωμένα συμβάντα ή να απαιτούν από τον πάροχο ψηφιακών υπηρεσιών να το πράξει, όταν η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη ή αν η αποκάλυψη του συμβάντος εξυπηρετεί το δημόσιο συμφέρον.

 

   6. Με την επιφύλαξη της παραγράφου 5 του άρθρου 1, δεν επιβάλλονται οποιεσδήποτε περαιτέρω υποχρεώσεις ασφάλειας ή κοινοποίησης στους παρόχους ψηφιακών υπηρεσιών.

 

   7. Τα άρθρα 11 έως 13 δεν εφαρμόζονται σε πολύ μικρές και μικρές επιχειρήσεις, όπως αυτές ορίζονται στη σύσταση 2003/361/ΕΚ της Επιτροπής της 6ης Μαΐου 2003 (EE L 124).

 

’ρθρο 12

Εφαρμογή και επιβολή

(’ρθρο 17 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Η Εθνική Αρχή Κυβερνοασφάλειας:

 

   α) αξιολογεί και αναλαμβάνει δράση επιβάλλοντας τα απαραίτητα εποπτικά μέτρα, όταν της παρέχονται στοιχεία που αποδεικνύουν ότι πάροχος ψηφιακών υπηρεσιών δεν πληροί τις απαιτήσεις που ορίζονται στο άρθρο 11. Τα εν λόγω αποδεικτικά στοιχεία μπορεί να υποβάλλονται από μια αρμόδια αρχή άλλου κράτους-μέλους, στο οποίο παρέχεται η υπηρεσία,

 

   β) απαιτεί από τους παρόχους ψηφιακών υπηρεσιών:

   αα) να παρέχουν τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των συστημάτων δικτύου και των πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων και εγκεκριμένων πολιτικών ασφάλειας,

   ββ) να διορθώνουν οποιαδήποτε παράλειψη συμμόρφωσης προς τις απαιτήσεις που ορίζονται στο άρθρο 11.

 

   2. Αν ένας πάροχος ψηφιακών υπηρεσιών έχει την κύρια εγκατάστασή του ή αντιπρόσωπο σε ένα κράτος- μέλος, αλλά τα συστήματα δικτύου και πληροφοριών του βρίσκονται σε ένα ή περισσότερα άλλα κράτη-μέλη, η αρμόδια αρχή του κράτους-μέλους της κύριας εγκατάστασης ή του αντιπροσώπου και οι αρμόδιες αρχές των άλλων κρατών-μελών συνεργάζονται και παρέχουν αμοιβαία συνδρομή, εφόσον απαιτείται. Η συνδρομή και η συνεργασία μπορεί να καλύπτουν ανταλλαγές πληροφοριών μεταξύ των σχετικών αρμόδιων αρχών και αιτήματα για τη λήψη των ανωτέρω αναφερόμενων εποπτικών μέτρων.

 

   3. Με απόφαση του Υπουργού Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, ύστερα από εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας, καθορίζονται τα μέτρα της περίπτωσης α' και η διαδικασία παροχής πληροφοριών της περίπτωσης β' της παραγράφου 1.

 

’ρθρο 13

Δικαιοδοσία και εδαφικότητα

(’ρθρο 18 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Ο πάροχος ψηφιακών υπηρεσιών υπόκειται στη δικαιοδοσία των Ελληνικών αρχών όταν έχει την κύρια εγκατάστασή του στην Ελληνική Επικράτεια. Ο πάροχος ψηφιακών υπηρεσιών θεωρείται ότι έχει την κύρια εγκατάστασή του στην Ελληνική Επικράτεια όταν έχει την έδρα του σε αυτήν.

 

   2. Ο πάροχος ψηφιακών υπηρεσιών που δεν είναι εγκατεστημένος στην Ευρωπαϊκή Ένωση αλλά προσφέρει, εντός της Ευρωπαϊκής Ένωσης, υπηρεσίες που αναφέρονται στο Παράρτημα II ορίζει αντιπρόσωπο στην Ένωση. Ο αντιπρόσωπος είναι εγκατεστημένος σε ένα από τα κράτη - μέλη στα οποία προσφέρονται οι υπηρεσίες. Ο πάροχος ψηφιακών υπηρεσιών θεωρείται ότι υπόκειται στη δικαιοδοσία του κράτους - μέλους στο οποίο είναι εγκατεστημένος ο αντιπρόσωπος.

 

   3. Ο ορισμός αντιπροσώπου από τον πάροχο ψηφιακών υπηρεσιών δεν θίγει τις νομικές ενέργειες που μπορεί να αναληφθούν κατά του ίδιου του παρόχου ψηφιακών υπηρεσιών.

 

ΚΕΦΑΛΑΙΟ Ε'

ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

 

’ρθρο 14

Εθελούσια κοινοποίηση

(’ρθρο 20 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Οντότητες που δεν έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών υπηρεσιών και δεν είναι πάροχοι ψηφιακών υπηρεσιών μπορεί να κοινοποιούν σε εθελούσια βάση συμβάντα με σοβαρές επιπτώσεις στη επιχειρησιακή συνέχεια των υπηρεσιών που παρέχουν.

 

   2. Κατά την επεξεργασία των κοινοποιήσεων, οι αρμόδιες αρχές ενεργούν σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 9. Οι αρμόδιες αρχές μπορεί να δίνουν προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων. Οι εθελούσιες κοινοποιήσεις υποβάλλονται σε επεξεργασία μόνον εφόσον η επεξεργασία αυτή δεν συνιστά δυσανάλογη ή περιττή επιβάρυνση για τα οικεία κράτη - μέλη.

 

   Η εθελούσια κοινοποίηση δεν συνεπάγεται την επιβολή στην κοινοποιούσα οντότητα υποχρεώσεων τις οποίες δεν θα είχε αν δεν προέβαινε στην εν λόγω κοινοποίηση.

 

’ρθρο 15

Κυρώσεις

(’ρθρο 21 της Οδηγίας 2016/1148/ΕΕ)

 

   1. Ο Υπουργός Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, ύστερα από εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας, επιβάλλει κυρώσεις σε φυσικό ή νομικό πρόσωπο, σε περίπτωση παραβίασης των διατάξεων του παρόντος νόμου, ως εξής:

 

   α) Αν διαπιστωθεί ότι φορέας εκμετάλλευσης βασικών υπηρεσιών ή φορέας παροχής ψηφιακών υπηρεσιών δεν κοινοποιεί ή κοινοποιεί με αδικαιολόγητη καθυστέρηση συμβάν με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών του, επιβάλλεται:

   αα) πρόστιμο μέχρι του ποσού των δεκαπέντε χιλιάδων (15.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων,

   ββ) πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.

 

   β) Αν διαπιστωθεί ότι φορέας εκμετάλλευσης βασικών υπηρεσιών ή φορέας παροχής ψηφιακών υπηρεσιών δεν λαμβάνει κατάλληλα και αναλογικά, τεχνικά και οργανωτικά, προληπτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και των συστημάτων πληροφοριών που χρησιμοποιεί για τις υπηρεσίες αυτές, επιβάλλεται:

   αα) πρόστιμο μέχρι του ποσού των πενήντα χιλιάδων (50.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων,

   ββ) πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.

 

   γ) Αν διαπιστωθεί ότι φυσικό ή νομικό πρόσωπο δεν παρέχει ή παρέχει με αδικαιολόγητη καθυστέρηση οποιαδήποτε σχετική πληροφορία που ζητείται κατά τη διενέργεια ελέγχου ή τη διερεύνηση περιστατικού, επιβάλλεται:

   αα) πρόστιμο μέχρι του ποσού των πενήντα χιλιάδων (50.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων,

   ββ) πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.

 

   2. Πριν από την επιβολή κυρώσεων, η Εθνική Αρχή Κυβερνοασφάλειας ειδοποιεί εγγράφως το ενδιαφερόμενο φυσικό ή νομικό πρόσωπο, παρέχοντας σε αυτό το δικαίωμα ακρόασης και παροχής εξηγήσεων σε ημερομηνία, που απέχει πέντε (5) τουλάχιστον εργάσιμες ημέρες από την κοινοποίηση της ειδοποίησης.

 

   Οι κυρώσεις επιβάλλονται με γραπτή και αιτιολογημένη απόφαση, η οποία κοινοποιείται στο ενδιαφερόμενο φυσικό ή νομικό πρόσωπο και στην οποία προσδιορίζεται η παράβαση. Οι κυρώσεις που επιβάλλονται στις ανωτέρω περιπτώσεις αναρτώνται στην επίσημη ιστοσελίδα της Εθνικής Αρχής Κυβερνοασφάλειας.

 

’ρθρο 16

 

   Προσαρτώνται στον παρόντα νόμο και αποτελούν αναπόσπαστο τμήμα αυτού τα Παραρτήματα Ι και ΙΙ.

 

’ρθρο 17

Τροποποίηση του άρθρου 31 του ν. 3986/2011

 

   Το άρθρο 31 του ν. 3986/2011 (Α' 152) τροποποιείται ως εξής:

   1. Στην περίπτωση ε' της παραγράφου 1 του άρθρου 31, προστίθεται δεύτερο εδάφιο ως εξής: «Από 1.1.2019 καταργείται η υποχρέωση του προηγούμενου εδαφίου.».

   2. Το τέταρτο εδάφιο της παραγράφου 3 του άρθρου 31 αντικαθίσταται ως εξής:

 

   «Από το φορολογικό έτος 2018 και εφεξής εξαιρούνται από την υποχρέωση καταβολής τέλους οι αγρότες - μέλη αγροτικών συνεταιρισμών που πληρούν τις προϋποθέσεις του άρθρου 8 του ν. 4384/2016 (Α' 78), οι αγροτικοί συνεταιρισμοί, οι σχολικοί συνεταιρισμοί του άρθρου 46 του ν. 1566/1985 (Α' 167), οι Φορείς Κοινωνικής και Αλληλέγγυας Οικονομίας με τη μορφή Κοινωνικής Συνεταιριστικής Επιχείρησης ή Συνεταιρισμού Εργαζομένων, καθώς και οι επιχειρήσεις ανεξαρτήτως νομικής μορφής που βρίσκονται σε εκκαθάριση, πτώχευση ή αδράνεια. Σε περίπτωση που η αδράνεια δεν καταλαμβάνει ολόκληρο το φορολογικό έτος εφαρμόζεται αναλογικά η παράγραφος 2.».

 

’ρθρο 18

 

   1. Στο τρίτο εδάφιο του άρθρου 37 του ν. 4262/2014 (Α' 114) οι λέξεις «περιεχόμενα περιφερειακών τηλεοπτικών σταθμών» αντικαθίστανται από τις λέξεις «προγράμματα παρόχων περιεχομένου περιφερειακής εμβέλειας».

 

   2. Το τέταρτο και πέμπτο εδάφιο του άρθρου 37 του ν. 4262/2014 αντικαθίστανται ως εξής:

 

   «Η κατά τα ανωτέρω εγκατάσταση επιτρέπεται με απόφαση του Υπουργού Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης μετά από υποβολή κοινής αίτησης από τους παρόχους περιεχομένου ενός διαύλου (πολυπλέκτη) περιφερειακής εμβέλειας που επιθυμούν να μεταδοθεί το πρόγραμμά τους από ΣΕΕ εντός αποκλειστικής προθεσμίας είκοσι (20) εργάσιμων ημερών από τη δημοσίευση της απόφασης του επόμενου εδαφίου. Με απόφαση του Υπουργού Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης, ύστερα από γνώμη της ΕΕΤΤ, ορίζονται οι όροι και οι προϋποθέσεις εγκατάστασης και λειτουργίας των ΣΕΕ, τα δικαιολογητικά έγγραφα που συνοδεύουν την ανωτέρω αίτηση περί λειτουργίας ΣΕΕ και κάθε άλλο σχετικό ζήτημα. Το κόστος αγοράς, εγκατάστασης, λειτουργίας, μεταφοράς του σήματος στις ΣΕΕ και συντήρησης των ανωτέρω ΣΕΕ βαρύνει τους αιτούντες παρόχους περιεχομένου και σε καμία περίπτωση δεν εντάσσεται στα κόστη λειτουργίας του δικτύου και δεν επηρεάζει το Ανώτατο Όριο Τιμών (ΑΟΤ).».

 

’ρθρο 19

Έναρξη ισχύος

 

   Η ισχύς του παρόντος νόμου αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως, εκτός αν άλλως ορίζεται στις επιμέρους διατάξεις.

 

ΑΚΟΛΟΥΘΕΙ ΠΑΡΑΡΤΗΜΑ I ΕΙΔΟΣ ΟΝΤΟΤΗΤΩΝ ΓΙΑ ΤΟΥΣ ΣΚΟΠΟΥΣ ΤΟΥ ΑΡΘΡΟΥ 3 ΠΑΡΑΓΡΑΦΟΣ 4 (ΒΛΕΠΕ ΟΙΚΕΙΟ ΦΕΚ)

 

ΑΚΟΛΟΥΘΕΙ ΠΑΡΑΡΤΗΜΑ ΠΑΡΑΡΤΗΜΑ II ΕΙΔΗ ΨΗΦΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ ΓΙΑ ΤΟΥΣ ΣΚΟΠΟΥΣ ΤΟΥ ΑΡΘΡΟΥ 3 ΠΑΡΑΓΡΑΦΟΣ 5 (ΒΛΕΠΕ ΟΙΚΕΙΟ ΦΕΚ)

 

   Παραγγέλλομε τη δημοσίευση του παρόντος στην Εφημερίδα της Κυβερνήσεως και την εκτέλεσή του ως νόμου του Κράτους.

 

Αθήνα, 30 Νοεμβρίου 2018