ΑΠΟΦΑΣΗ 205/2013/ΦΕΚ Β/1742/15.07.2013

 

Κανονισμός για την Ασφάλεια και την Ακεραιότητα Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών.

 

Η ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ (Α.Δ.Α.Ε.)

(Συνεδρίαση της 03.07.2013)

 

   Έχοντας υπόψη:

 

   1. Τις διατάξεις:

 

   α. του άρθρου 37 του ν.4070/2012 «Ρυθμίσεις Ηλεκτρονικών Επικοινωνιών, Μεταφορών, Δημοσίων Έργων και άλλες διατάξεις» (ΦΕΚ Α' 82/2012),

 

   β. των Οδηγιών 2002/21/ΕΚ σχετικά με κοινό κανονιστικό πλαίσιο για δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών, 2002/19/ΕΚ σχετικά με την πρόσβαση σε δίκτυα ηλεκτρονικών επικοινωνιών και συναφείς ευκολίες καθώς και με τη διασύνδεση τους, 2002/20/ΕΚ για την αδειοδότηση δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς και της Οδηγίας 2009/140/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Νοεμβρίου 2009, ιδίως το άρθρο 1 παρ.15 αυτής,

 

   γ. του ν.3115/2003 «Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών» (ΦΕΚ Α' 47/2003), όπως ισχύει,

 

   δ. του ν.3674/2008 «Ενίσχυση του θεσμικού πλαισίου διασφάλισης του απορρήτου της τηλεφωνικής επικοινωνίας και άλλες διατάξεις» (ΦΕΚ Α'136/2008),

 

   ε. του ν.703/1977 «Ελεγχος Μονοπωλίων-Ολιγοπωλίων-Ελεύθερος Ανταγωνισμός» (ΦΕΚ 278/Α/1977), ο οποίος αντικαταστάθηκε με το ν.3959/2011 «Προστασία του ελεύθερου ανταγωνισμού» (ΦΕΚ 93/Α/2011), όπως ισχύει,

 

   2. Τις απαντήσεις των ενδιαφερόμενων φορέων, όπως διατυπώθηκαν στο πλαίσιο της σχετικής δημόσιας διαβούλευσης, η οποία έλαβε χώρα κατά το διάστημα από 09.04.2013 έως 17.05.2013,

 

   3. Τις υπ' αριθμ.224/2013 και 234/2013 εισηγήσεις προς την Ολομέλεια της Α.Δ.Α.Ε.,

 

   4. Τα Πρακτικά των συνεδριάσεων της Ολομέλειας της Α.Δ.Α.Ε. της 26.06.2013 και 03.07.2013,

 

   5. Το γεγονός ότι από τις διατάξεις της παρούσας δεν προκαλείται δαπάνη για το τρέχον και τα επόμενα οικονομικά έτη εις βάρος του Κρατικού Προϋπολογισμού, αποφασίζει:

 

   Την έκδοση του παρόντος Κανονισμού, οι διατάξεις του οποίου έχουν ως ακολούθως:

 

’ρθρο 1

Σκοπός - Πεδίο Εφαρμογής

 

   Με τον παρόντα Κανονισμό καθορίζονται τα τεχνικά και οργανωτικά μέτρα που πρέπει να λαμβάνουν οι επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό (εφεξής καλούμενοι για λόγους συντομίας «οι πάροχοι»), για:

 

   α) Την κατάλληλη διαχείριση του κινδύνου όσον αφορά στην ασφάλεια των δικτύων και υπηρεσιών, ώστε να εξασφαλίζεται επίπεδο ασφάλειας ανάλογο προς τον υφιστάμενο κίνδυνο.

 

   β) Την αποτροπή και ελαχιστοποίηση των επιπτώσεων από περιστατικά ασφάλειας που επηρεάζουν τους χρήστες και τα διασυνδεμένα δίκτυα.

 

   γ) Την ακεραιότητα των δικτύων τους, ώστε να διασφαλίζεται η συνέχεια της παροχής των υπηρεσιών που διανέμονται μέσω των δικτύων αυτών.

 

’ρθρο 2

Ορισμοί

 

   Για την εφαρμογή του παρόντος Κανονισμού οι ακόλουθοι όροι έχουν την έννοια που τους αποδίδεται παρακάτω:

 

   Ακεραιότητα δικτύων: Η κατάσταση κατά την οποία το δίκτυο διατηρεί τη λειτουργικότητα για την οποία έχει σχεδιαστεί.

 

   Περιστατικό ασφάλειας: Ένα γεγονός το οποίο επηρεάζει την ακεραιότητα του δημοσίου δικτύου ηλεκτρονικών επικοινωνιών ή τη συνέχεια παροχής υπηρεσιών ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό. Στο πλαίσιο του παρόντος, δεν εμπίπτουν γεγονότα που επηρεάζουν το απόρρητο των επικοινωνιών καθώς και προγραμματισμένες εργασίες συντήρησης ή αναβάθμισης συστημάτων, οι οποίες επηρεάζουν τη συνέχεια παροχής υπηρεσιών, στο βαθμό που αυτές υλοποιούνται σύμφωνα με το προγραμματισμένο για τον πάροχο χρονοδιάγραμμα.

 

   Συστήματα Δικτύου και Υπηρεσιών (ΣΔΥ): Το υλικό και λογισμικό του παρόχου που είναι απαραίτητο για τη λειτουργία του δικτύου και την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών καθώς και τα συστήματα διαχείρισης και εποπτείας αυτών. Αναφέρονται ενδεικτικά τα μέσα μετάδοσης και διασύνδεσης, οι μεταγωγείς, οι δρομολογητές, τα συστήματα για την πρόσβαση στο διαδίκτυο και οι εξυπηρετητές ηλεκτρονικού ταχυδρομείου.

 

   Για τους υπόλοιπους όρους ισχύουν οι ορισμοί που περιλαμβάνονται στο ν.4070/2012 «Ρυθμίσεις Ηλεκτρονικών Επικοινωνιών, Μεταφορών, Δημοσίων Έργων και άλλες διατάξεις» (ΦΕΚ Α' 82/2012), όπως ισχύει.

 

’ρθρο 3

Γενικοί Όροι και Υποχρεώσεις Παρόχων

 

   1. Ο πάροχος οφείλει να λαμβάνει όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την ικανοποίηση του σκοπού του ’ρθρου 1 του παρόντος Κανονισμού.

 

   2. Σε περίπτωση που αποφασιστεί από την Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ.) η υποβολή κατ' άρθρο 37 παρ.7 του ν.4070/2012 τεκμηριωμένης πολιτικής ασφάλειας, ο πάροχος οφείλει να τηρεί αρχείο με αναλυτική αντιστοίχιση της πολιτικής ασφάλειας με τις απαιτήσεις του παρόντος Κανονισμού.

 

   3. Κάθε αδυναμία συμμόρφωσης με τις απαιτήσεις που ορίζονται στον παρόντα Κανονισμό, η οποία, ενδεικτικά μπορεί να οφείλεται σε μη εφαρμοσιμότητα ή σε τεχνική αδυναμία κάλυψης συγκεκριμένων απαιτήσεων, καταγράφεται και τεκμηριώνεται επαρκώς.

 

   4. Για την υλοποίηση των μέτρων και των απαιτήσεων του παρόντος Κανονισμού, ορίζονται, τεκμηριώνονται, εφαρμόζονται και αναθεωρούνται συγκεκριμένες διαδικασίες και οργανωτικές δομές. Επίσης, ορίζονται συγκεκριμένες διοικητικές οντότητες ή φυσικά πρόσωπα και επιφορτίζονται με συγκεκριμένες αρμοδιότητες σχετικά με την εφαρμογή των μέτρων.

 

   5. Ο πάροχος οφείλει να ορίσει συγκεκριμένο εργαζόμενό του ως Υπεύθυνο για την Ασφάλεια και την Ακεραιότητα των Δικτύων και Υπηρεσιών του, επιφορτισμένο με την ευθύνη ελέγχου της υλοποίησης των μέτρων και των απαιτήσεων του παρόντος Κανονισμού. Ο πάροχος οφείλει να κοινοποιεί στην Α.Δ.Α.Ε. τα στοιχεία επικοινωνίας του εκάστοτε Υπευθύνου που έχει οριστεί.

 

   6. Με την επιφύλαξη των διατάξεων των ν.3471/2006 (ΦΕΚ Α'133), ν.3783/2009 (ΦΕΚ Α'136) και ν.3917/2011 (ΦΕΚ Α'22), όπως ισχύουν, καθώς και του άρθρου 5 παρ.9 εδ. β' της υπ'αριθμ.675/7 Απόφασης της Ε.Ε.Τ.Τ. «Υποβολή Αναφορών Παρόχων σχετικά με την Αδιάλειπτη Λειτουργία Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών» (ΦΕΚ Β' 107/2013), ο πάροχος υποχρεούται να διατηρεί τα στοιχεία για τα οποία προβλέπεται η υποχρέωση τήρησης στα άρθρα 4 έως 19 του παρόντος Κανονισμού, για χρονικό διάστημα δύο (2) ετών από την καταγραφή ή τη δημιουργία του αντίστοιχου τηρούμενου στοιχείου.

 

   7. Ο πάροχος ευθύνεται για το σύνολο των πράξεων οποιουδήποτε συνεργάτη, φυσικού ή νομικού προσώπου, χρησιμοποιεί για την κατασκευή, εγκατάσταση, συντήρηση ή λειτουργία του δικτύου του και για την παροχή των υπηρεσιών ηλεκτρονικών επικοινωνιών.

 

   Ο πάροχος οφείλει να ενημερώνει προσηκόντως τους συνεργάτες του σχετικά με τα τηρούμενα μέτρα για την Ασφάλεια και την Ακεραιότητα των Δικτύων και Υπηρεσιών του, λαμβάνοντας υπόψη τη φύση της παρεχόμενης εργασίας, και να απαιτεί την αποδοχή, εκ μέρους τους, της υποχρέωσης τήρησης εκείνων των μέτρων ασφάλειας που έχουν εφαρμογή σύμφωνα με την εργασία που προσφέρει ο καθένας από αυτούς.

 

   8. Σε περιπτώσεις εκτάκτων αναγκών ο πάροχος οφείλει να συνεργάζεται κατά τις κείμενες διατάξεις με τις Αρμόδιες Αρχές, και να εφαρμόζει όποτε αυτό είναι αναγκαίο σχέδιο εκτάκτων αναγκών, με το οποίο θα προσδιορίζεται η διαδικασία με την οποία θα παρέχει υπηρεσίες σε περιοχές που έχουν κηρυχτεί σε έκτακτη ανάγκη και για όσο διάστημα αυτή υφίσταται σύμφωνα με την κείμενη νομοθεσία.

 

   9. Ο πάροχος πρέπει να συμμορφώνεται με πρότυπα ή προδιαγραφές που θεσπίζονται σε κοινοτικό επίπεδο, χαρακτηρίζονται ως υποχρεωτικές και έχουν δημοσιευθεί σε κατάλογο προτύπων ή και προδιαγραφών στην Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων για την παροχή υπηρεσιών, τεχνικών διεπαφών ή και λειτουργιών δικτύων. Σε περίπτωση που δεν έχουν δημοσιευθεί τέτοια πρότυπα και προδιαγραφές, εφαρμόζονται πρότυπα ή και προδιαγραφές που θεσπίζονται από τους Ευρωπαϊκούς Οργανισμούς Τυποποίησης και έχουν υιοθετηθεί με αποφάσεις του Υπουργού Ανάπτυξης, Ανταγωνιστικότητας, Υποδομών, Μεταφορών και Δικτύων. Ελλείψει τέτοιων προτύπων ή και προδιαγραφών, εφαρμόζονται διεθνή πρότυπα ή συστάσεις που εγκρίνονται από τη Διεθνή Ένωση Τηλεπικοινωνιών (ITU), τον Διεθνή Οργανισμό Τυποποίησης (ISO) ή τη Διεθνή Ηλεκτροτεχνική Επιτροπή (IEC). Ο πάροχος εφαρμόζει την τελευταία έκδοση των προτύπων αυτών.

 

’ρθρο 4

Ανάλυση Επιχειρησιακών Επιπτώσεων

 

   1. Ο πάροχος υλοποιεί Ανάλυση Επιχειρησιακών Επιπτώσεων, με την οποία εντοπίζει και καταγράφει τις επιχειρησιακές λειτουργίες και τους πόρους που υποστηρίζουν τις λειτουργίες αυτές και σχετίζονται ή μπορεί να επηρεάσουν την ακεραιότητα του δικτύου και τη διαθεσιμότητα των υπηρεσιών.

 

   2. Ο πάροχος προσδιορίζει τις επιπτώσεις που δύνανται να επέλθουν από γεγονότα που μπορεί να επηρεάσουν τις επιχειρησιακές λειτουργίες της παραγράφου 1.

 

   3. Ο πάροχος κατηγοριοποιεί τις επιχειρησιακές λειτουργίες σύμφωνα με την προτεραιότητα αποκατάστασής τους προκειμένου να επηρεάζεται στο ελάχιστο η λειτουργία του δικτύου και η διαθεσιμότητα των υπηρεσιών. Προς τούτο λαμβάνονται υπόψη, μεταξύ άλλων, ο αριθμός των χρηστών που επηρεάζεται από τη μη διαθεσιμότητα της υπηρεσίας, η γεωγραφική έκταση που εξυπηρετεί κάθε πόρος, καθώς και η γεωγραφική θέση αυτού.

 

   4. Ο πάροχος καθορίζει τους πόρους (ΣΔΥ, εγκαταστάσεις, προσωπικό) που απαιτούνται για τη συνέχιση κάθε επιχειρησιακής λειτουργίας, καθώς και τυχόν εξαρτήσεις αυτών.

 

   5. Ο πάροχος αναθεωρεί περιοδικά, και κατ' ελάχιστον ανά δύο (2) έτη, την Ανάλυση Επιχειρησιακών Επιπτώσεων λαμβάνοντας υπόψη:

   α) επιχειρησιακές, οργανωτικές, ή τεχνολογικές αλλαγές,

   β) αλλαγές στο νομοθετικό πλαίσιο, σε εθνικό ή κοινοτικό επίπεδο

   γ) τα αποτελέσματα των διενεργούμενων ελέγχων και

   δ) άλλα δεδομένα τα οποία οφείλει να λάβει υπόψη του.

 

   6. O πάροχος τηρεί καταγεγραμμένα τα ακόλουθα:

   α) περιγραφή της εφαρμοσθείσας μεθοδολογίας Ανάλυσης Επιχειρησιακών Επιπτώσεων,

   β) τα αποτελέσματα της Ανάλυσης Επιχειρησιακών Επιπτώσεων και

   γ) τα ενδιάμεσα αποτελέσματα μεταξύ όλων των σταδίων προκειμένου όλη η διαδικασία να είναι τεκμηριωμένη και πλήρης.

 

’ρθρο 5

Αξιολόγηση Επικινδυνότητας

 

   1. Ο πάροχος, λαμβάνοντας υπόψη την Ανάλυση Επιχειρησιακών Επιπτώσεων πραγματοποιεί Αξιολόγηση Επικινδυνότητας με σκοπό την αναγνώριση των απειλών στην ακεραιότητα του δικτύου και τη διαθεσιμότητα των υπηρεσιών.

 

   2. Ο πάροχος αναγνωρίζει και εξετάζει τόσο ενδογενείς απειλές, οι οποίες εξαρτώνται από το επίπεδο της εσωτερικής αξιοπιστίας, ασφάλειας και ανθεκτικότητας του δικτύου, όσο και εξωγενείς απειλές, όπως καιρικές συνθήκες, φυσικές καταστροφές, ατυχήματα και πράξεις δολιοφθοράς, οι οποίες μπορούν να προκαλέσουν προσωρινή ή παρατεταμένη διακοπή των επιχειρησιακών λειτουργιών. Επίσης, εξετάζει απειλές, οι οποίες ενδεχομένως προέρχονται από άλλα διασυνδεόμενα δίκτυα.

 

   3. Ο πάροχος καταρτίζει κατάλογο με τις διαφορετικές εκτιμώμενες απειλές που δύνανται να εκδηλωθούν σε πόρους του.

 

   4. Ο πάροχος καταρτίζει κατάλογο με την ταξινόμηση των πόρων του, λαμβάνοντας υπόψη τις απειλές που μπορεί να τους επηρεάσουν.

 

   5. Ο πάροχος αναγνωρίζει τα ευάλωτα σημεία και τις αδυναμίες των πόρων (ΣΔΥ, εγκαταστάσεις, προσωπικό), που απαιτούνται για τη συνέχιση κάθε επιχειρησιακής λειτουργίας.

 

   6. Ο πάροχος, στο πλαίσιο της Αξιολόγησης Επικινδυνότητας που πραγματοποιεί και λαμβάνοντας υπόψη τα ευάλωτα σημεία και τις αδυναμίες της παραγράφου 5 του παρόντος άρθρου, αξιολογεί την πιθανότητα πραγματοποίησης των απειλών που έχει αναγνωρίσει και εκτιμά την επίδρασή τους στη λειτουργία του δικτύου και των παρεχόμενων υπηρεσιών.

 

   7. Ο πάροχος λαμβάνει υπόψη τα αποτελέσματα της Αξιολόγησης Επικινδυνότητας, προσδιορίζει τον τρόπο με τον οποίο θα αντιμετωπίσει τους κινδύνους που σχετίζονται με τις επιχειρησιακές λειτουργίες και εφαρμόζει τα κατάλληλα μέτρα για την αντιμετώπισή τους.

 

   8. Ο πάροχος προσδιορίζει και εφαρμόζει διαδικασίες αξιολόγησης της αποτελεσματικότητας των μέτρων που εφαρμόζει.

 

   9. Ο πάροχος αναθεωρεί την Αξιολόγηση Επικινδυνότητας περιοδικά, και κατ' ελάχιστον ανά δύο (2) έτη, λαμβάνοντας υπόψη:

   α) την αποτελεσματικότητα των εφαρμοζόμενων μέτρων,

   β) την αναγνώριση νέων απειλών,

   γ) οργανωτικές ή τεχνολογικές αλλαγές,

   δ) αλλαγές στο νομοθετικό πλαίσιο, σε εθνικό ή κοινοτικό επίπεδο,

   ε) τα αποτελέσματα των ελέγχων που πραγματοποιούνται από τις Ελεγκτικές Αρχές και τις σχετικές υποδείξεις τους και

   στ) άλλα γεγονότα που θα έθεταν νέα δεδομένα τα οποία οφείλει να λάβει υπόψη του ο πάροχος.

 

   10. O πάροχος τηρεί καταγεγραμμένα:

   α) την περιγραφή της εφαρμοσθείσας μεθοδολογίας Αξιολόγησης Επικινδυνότητας,

   β) τα αποτελέσματα της Αξιολόγησης Επικινδυνότητας (ευάλωτα σημεία, αδυναμίες που έχει αναγνωρίσει, κινδύνους που έχει αξιολογήσει),

   γ) τα προτεινόμενα μέτρα και

   δ) τα ενδιάμεσα αποτελέσματα μεταξύ όλων των σταδίων προκειμένου όλη η διαδικασία να είναι τεκμηριωμένη και πλήρης.

 

’ρθρο 6

Επιχειρησιακή Συνέχεια

 

   1. Για την εξασφάλιση Επιχειρησιακής Συνέχειας, ο πάροχος υποχρεούται να τηρεί τις ακόλουθες απαιτήσεις:

 

   α) ορίζει το προσωπικό που εμπλέκεται στην περίπτωση που απειλείται η επιχειρησιακή συνέχεια του παρόχου, καθώς και του ρόλου και των αρμοδιοτήτων του προσωπικού αυτού,

   β) ορίζει τις συνθήκες κατά τις οποίες ενεργοποιούνται τα μέτρα για την εξασφάλιση της Επιχειρησιακής Συνέχειας και το εξουσιοδοτημένο για την ενεργοποίησή τους προσωπικό,

   γ) ορίζει τις διαδικασίες διάχυσης πληροφορίας στο αρμόδιο προσωπικό σχετικά με το εκάστοτε πρόβλημα,

   δ) ορίζει τις λειτουργικές διαδικασίες για την ανάλυση και εκτίμηση του προβλήματος,

   ε) ορίζει τις ενέργειες κατά προτεραιότητα, τις διαδικασίες και τους πόρους που απαιτούνται για την αποκατάσταση του δικτύου και των υπηρεσιών και το χρονοδιάγραμμα υλοποίησης,

   στ) ορίζει τους εκτιμώμενους χρόνους αποκατάστασης (Recovery Time Objectives) σε διαφορετικές συνθήκες βλάβης,

   ζ) ορίζει τους τρόπους και στοιχεία επικοινωνίας του προσωπικού του παρόχου με τεχνικούς, προμηθευτές, εργολάβους του παρόχου, με παρόχους άλλων δικτύων καθώς και διαδικασίες συνεργασίας μεταξύ τους, που αφορούν στην υλοποίηση των μέτρων για την εξασφάλιση της Επιχειρησιακής Συνέχειας,

   η) ορίζει τις πληροφορίες σχετικά με τη διαθεσιμότητα εξοπλισμού αντικατάστασης,

   θ) ορίζει την αξιολόγηση των μέτρων που ελήφθησαν για την επίλυση συγκεκριμένου προβλήματος και διαδικασίες αναθεώρησης των μέτρων για την εξασφάλιση της Επιχειρησιακής Συνέχειας.

 

   2. Ο πάροχος προσδιορίζει τα απαιτούμενα μέτρα, με στόχο τη διατήρηση της διαθεσιμότητας του δικτύου και των υπηρεσιών που παρέχονται στο κοινό και τη διατήρηση του υψηλότερου δυνατού επιπέδου υπηρεσιών, για την ανταπόκριση στις απαιτήσεις των δημοσίων Αρχών σε περίπτωση καταστρεπτικής βλάβης ή ανωτέρας βίας.

 

   3. Ο πάροχος ορίζει προσωπικό, το οποίο θα είναι υπεύθυνο για την εκπόνηση και την αναθεώρηση των μέτρων Ανάκαμψης από Καταστροφή.

 

   4. Τα μέτρα για την τήρηση των ανωτέρω απαιτήσεων αναθεωρούνται και αναπροσαρμόζονται από τον πάροχο σε τακτά χρονικά διαστήματα, λαμβάνοντας υπόψη περιστατικά ασφάλειας που ενδεχομένως έλαβαν χώρα κατά το παρελθόν και αποτελέσματα που προκύπτουν από δοκιμές και ασκήσεις.

 

   5. O πάροχος τηρεί καταγεγραμμένα τα μέτρα της προηγούμενης παραγράφου, καθώς και τα ενδιάμεσα αποτελέσματα μεταξύ όλων των σταδίων εκπόνησης των ανωτέρω μέτρων, προκειμένου όλη η διαδικασία να είναι τεκμηριωμένη και πλήρης.

 

’ρθρο 7

Έλεγχοι Αποτελεσματικότητας

 

   1. Ο πάροχος οφείλει να ελέγχει το δίκτυό του και να προβαίνει σε προγραμματισμένες ασκήσεις (δοκιμές), τεχνικούς ελέγχους διείσδυσης (penetration tests) και αξιολόγηση αδυναμιών ασφάλειας (vulnerability assessment).

 

   2. Ο πάροχος οφείλει να διαθέτει καταγεγραμμένες διαδικασίες βάσει των οποίων πραγματοποιούνται οι συγκεκριμένοι έλεγχοι. Η συχνότητα και το εύρος των ελέγχων καθορίζεται από τους κινδύνους που έχουν αναγνωριστεί και από τα εφαρμοζόμενα μέτρα ασφάλειας.

 

   3. Ο πάροχος λαμβάνει υπόψη του τα αποτελέσματα των ελέγχων, προσδιορίζει τις διορθωτικές ενέργειες και τροποποιεί και ενημερώνει τα σχέδιά του σύμφωνα με αυτές.

 

   4. O πάροχος τηρεί καταγεγραμμένα τα ακόλουθα:

   α) περιγραφή της εφαρμοσθείσας μεθοδολογίας ελέγχων,

   β) τα αποτελέσματα των ελέγχων του παρόντος άρθρου,

   γ) τα ενδιάμεσα αποτελέσματα μεταξύ όλων των σταδίων εκπόνησης των ανωτέρω ελέγχων, προκειμένου όλη η διαδικασία να είναι τεκμηριωμένη και πλήρης.

 

’ρθρο 8

Αποδεκτή Χρήση

 

   1. Οι εργαζόμενοι και συνεργάτες του παρόχου οφείλουν να συμμορφώνονται προς τα μέτρα που προβλέπονται στον παρόντα Κανονισμό.

 

   Για το σκοπό αυτό, ο πάροχος οφείλει να καταγράφει τον τρόπο με τον οποίο εξασφαλίζει ότι οι εργαζόμενοι και συνεργάτες του λαμβάνουν γνώση και έχουν αποδεχτεί τα μέτρα για την Ασφάλεια και την Ακεραιότητα των Δικτύων και Υπηρεσιών.

 

   2. Ο πάροχος οφείλει να ενημερώνει με πρόσφορα μέσα και να εκπαιδεύει τους εργαζόμενους και συνεργάτες του σχετικά με τα μέτρα της παραγράφου 1.

 

   3. Οι εργαζόμενοι και συνεργάτες του παρόχου, οι οποίοι αποκτούν πρόσβαση στα ΣΔΥ και τα δεδομένα αυτών δεν επιτρέπεται να αποκαλύπτουν οποιαδήποτε πληροφορία ή στοιχείο υποπίπτει στην αντίληψή τους ή την κατοχή τους, ως αποτέλεσμα της φύσης της εργασίας τους.

 

   4. Οι εργαζόμενοι και συνεργάτες του παρόχου υποχρεούνται να ενημερώνουν άμεσα το αρμόδιο προσωπικό του σε περίπτωση που υποπέσει στην αντίληψή τους ένα κενό ασφάλειας ή σχετικό περιστατικό που θέτει σε κίνδυνο την Ασφάλεια και την Ακεραιότητα των παρεχόμενων Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών.

 

’ρθρο 9

Φυσική Ασφάλεια

 

   1. Ο πάροχος οφείλει να μεριμνά για τη φυσική ασφάλεια των εγκαταστάσεων στις οποίες είναι εγκατεστημένα ΣΔΥ. Τα μέτρα που λαμβάνει ο πάροχος για τη φυσική ασφάλεια περιλαμβάνουν την αποτροπή μη εξουσιοδοτημένης πρόσβασης και την προστασία από φυσικές καταστροφές, που προκαλούνται από φαινόμενα όπως ο σεισμός, η υγρασία, οι πλημμύρες, η υπερθέρμανση, η φωτιά, ο κεραυνός.

 

   2. Ο πάροχος οφείλει να διαθέτει και να εφαρμόζει διαδικασία φυσικής πρόσβασης, στην οποία περιγράφονται αναλυτικά όλες οι ενέργειες που απαιτούνται για την φυσική πρόσβαση των εργαζομένων, συνεργατών και επισκεπτών στις εγκαταστάσεις του.

 

   3. Ο πάροχος οφείλει να ορίσει ασφαλείς χώρους εντός των εγκαταστάσεών του, στους οποίους εγκαθίστανται τα ΣΔΥ. Οι χώροι αυτοί πρέπει να προστατεύονται με επιπρόσθετους ισχυρούς μηχανισμούς ασφάλειας και ελεγχόμενης πρόσβασης, τηρουμένης της κείμενης νομοθεσίας, οι οποίοι επιτρέπουν τον έλεγχο της πρόσβασης και την ταυτοποίηση των ατόμων που εισέρχονται σε αυτούς. Ενδεικτικά αναφέρονται τα ακόλουθα μέτρα: κλειστό κύκλωμα τηλεόρασης, αυτόματο σύστημα συναγερμού που αναφέρει κάθε εξωτερική παραβίαση εντός των χώρων, ειδικές κάρτες αναγνώρισης για τους εργαζόμενους και τους συνεργάτες του παρόχου.

 

   4. Ο πάροχος οφείλει να λαμβάνει υπόψη του, κατά την επιλογή ή κατασκευή των εγκαταστάσεων στους οποίους εγκαθιστά ΣΔΥ, καθώς και κατά την τοποθέτηση εξοπλισμού και υλοποίηση μέτρων φυσικής προστασίας, τις ιδιαίτερες φυσικές και άλλες συνθήκες, οι οποίες επικρατούν στην περιοχή. Ενδεικτικά αναφέρονται τα ακόλουθα μέτρα: ανιχνευτής φωτιάς, θερμοκρασίας και υγρασίας.

 

   5. Ο πάροχος μεριμνά ώστε τα κρίσιμα στοιχεία του δικτύου να είναι εγκατεστημένα σε διαφορετικές εγκαταστάσεις ή σε χώρους φυσικά ανεξάρτητους. Όπου αυτό δεν είναι δυνατόν, αυτά θα πρέπει να προστατεύονται από ανεξάρτητα μέσα φυσικής προστασίας.

 

   6. Ο πάροχος επιλέγει, όπου είναι τεχνικά εφικτό, την υπόγεια εγκατάσταση καλωδίων από την εναέρια εγκατάσταση.

 

   7. Ο πάροχος οφείλει να συνεργάζεται με τις υπηρεσίες, οι οποίες ενδεχομένως εκτελούν εργασίες δημόσιου ενδιαφέροντος, όπως, ενδεικτικά, έργα οδοποιίας ή αποχέτευσης, με στόχο την ελαχιστοποίηση της πιθανότητας ζημίας στα ΣΔΥ.

 

   8. Ο πάροχος οφείλει να μεριμνά για την τακτική συντήρηση των εγκαταστάσεων, στις οποίες είναι εγκατεστημένα ΣΔΥ.

 

’ρθρο 10

Εφεδρεία

 

   1. Ο πάροχος υποχρεούται να εξασφαλίζει ότι υπάρχει στο δίκτυό του η κατάλληλη εφεδρεία ούτως ώστε πιθανή βλάβη σε κάποιο ΣΔΥ να μην επηρεάσει καθοριστικά τη λειτουργία του δικτύου ή τις παρεχόμενες υπηρεσίες.

 

   2. Ο πάροχος οφείλει να υλοποιεί λύσεις εφεδρείας, οι οποίες είναι ανάλογες της κρισιμότητας των ΣΔΥ, όπως αυτή έχει προκύψει από την Αξιολόγηση Επικινδυνότητας. Για τα κρίσιμα ΣΔΥ, ο πάροχος υλοποιεί λύσεις αυτόματης εφεδρείας, οι οποίες επιτρέπουν την αδιάλειπτη λειτουργία του δικτύου.

 

   3. Σε περιπτώσεις που για κρίσιμα ΣΔΥ δεν είναι δυνατή η ύπαρξη μηχανισμού αυτόματης εφεδρείας, ο πάροχος οφείλει να λάβει όλα τα απαραίτητα μέτρα και να προβεί στις απαραίτητες ενέργειες για την ταχεία αποκατάσταση των λειτουργιών τους και την ελαχιστοποίηση των επιπτώσεων ενδεχόμενης βλάβης αυτών. Ο πάροχος οφείλει να προβεί σε σχεδιασμό, δοκιμή και έγγραφη τεκμηρίωση των μέτρων της παρούσας παραγράφου.

 

   4. Όπου αυτό είναι εφαρμόσιμο, ο πάροχος υλοποιεί την εφεδρεία κατά τέτοιο τρόπο ώστε τα ΣΔΥ, τα οποία παρέχουν εφεδρεία μεταξύ τους, να είναι τοποθετημένα σε διαφορετικές εγκαταστάσεις. Εάν τα ΣΔΥ αυτά δεν είναι τεχνικά εφικτό να τοποθετηθούν σε διαφορετικές εγκαταστάσεις, θα πρέπει, όπου αυτό είναι δυνατόν, να είναι τοποθετημένα σε χώρους με ανεξάρτητα μέσα φυσικής προστασίας.

 

   5. Ο πάροχος διασφαλίζει ότι υπάρχουν λειτουργικά διαθέσιμοι εφεδρικοί μηχανισμοί εναλλακτικής και φυσικά ανεξάρτητης όδευσης, ιδίως στο δίκτυο κορμού μετάδοσης, μεταγωγής και δρομολόγησης.

 

’ρθρο 11

Τροφοδοσία Ισχύος

 

   1. Ο πάροχος οφείλει να μεριμνά για την προστασία των ΣΔΥ από διακοπές ή διαταραχές του δημοσίου δικτύου τροφοδοσίας ισχύος, ώστε να εξασφαλίζεται η αδιάλειπτη λειτουργία των στοιχείων αυτών.

 

   2. Ο πάροχος οφείλει να μεριμνά ώστε η παροχή του δημοσίου δικτύου τροφοδοσίας ισχύος προς τα ΣΔΥ να γίνεται βάσει των ενδεδειγμένων προδιαγραφών.

 

   3. Στην περίπτωση διακοπής του δημοσίου δικτύου τροφοδοσίας ισχύος, ο πάροχος οφείλει να εφαρμόζει τρόπους/μέσα εφεδρικής τροφοδοσίας (ενδεικτικά: εφεδρικές συστοιχίες, μπαταρίες, γεννήτριες) που ενεργοποιούνται αυτόματα. Για τον καθορισμό του χρόνου για τον οποίο εξασφαλίζεται η συνέχεια λειτουργίας των ΣΔΥ μέσω εφεδρικής τροφοδοσίας λαμβάνονται υπόψη τα αποτελέσματα της Αξιολόγησης Επικινδυνότητας.

 

   4. Όπου αυτό είναι δυνατόν, τα ΣΔΥ δεν εξυπηρετούνται από την ίδια πηγή τροφοδοσίας.

 

   5. Τα εφαρμοζόμενα μέσα συντηρούνται σύμφωνα με τις προδιαγραφές του κατασκευαστή και λαμβάνονται όλα τα μέτρα για την εξασφάλιση της εύρυθμης λειτουργίας τους. Σε περίπτωση που για τη λειτουργία των μέσων εφεδρικής τροφοδοσίας απαιτούνται πρώτες ύλες ή άλλα υλικά, ο πάροχος οφείλει να διαθέτει και να εφαρμόζει διαδικασίες για την εξασφάλιση της επαρκούς διαθεσιμότητάς τους.

 

’ρθρο 12

Λογική Πρόσβαση

 

   1. Ο πάροχος οφείλει να διαθέτει μηχανισμούς ελέγχου λογικής πρόσβασης για την απόκτηση πρόσβασης των εργαζομένων και συνεργατών του στα ΣΔΥ. Κατ' ελάχιστον ο έλεγχος πρόσβασης επιτυγχάνεται με τη χρήση ενός λογαριασμού πρόσβασης που αποτελείται από ένα ζεύγος ονόματος χρήστη και κωδικού πρόσβασης.

 

   2. Κατά τη λογική πρόσβαση των εργαζομένων και συνεργατών του παρόχου στα ΣΔΥ θα πρέπει να εξασφαλίζεται η αντιστοίχιση του συγκεκριμένου προσώπου με την πρόσβαση και τις ενέργειες που τελούνται σε κάθε ΣΔΥ, είτε αυτή πραγματοποιείται από προσωπικό λογαριασμό πρόσβασης είτε από κοινό ή προκαθορισμένο λογαριασμό. Η αντιστοίχιση αυτή θα πρέπει να καταγράφεται σε σχετικό αρχείο.

 

   3. Ο πάροχος οφείλει να καταγράφει τις διαφορετικές κατηγορίες χρηστών και τα δικαιώματα πρόσβασης που αποδίδονται σε αυτές για κάθε ΣΔΥ.

 

   4. Ο πάροχος οφείλει να διαθέτει διαδικασία διαχείρισης χρηστών, στην οποία περιγράφεται κάθε περίπτωση προσθήκης ή διαγραφής χρηστών και η απονομή και η μεταβολή των δικαιωμάτων ή επιπέδων πρόσβασης.

 

   5. Ο πάροχος οφείλει να διαθέτει κανόνες, οι οποίοι τηρούνται σε σχετικό αρχείο, αναφορικά με τη δημιουργία και διαχείριση των λογαριασμών πρόσβασης.

 

   6. Η λογική πρόσβαση εργαζομένων και συνεργατών στα ΣΔΥ θα πρέπει να περιορίζεται στις περιπτώσεις που αυτό είναι απαραίτητο για τις επιχειρησιακές ανάγκες του παρόχου.

 

   7. Ο πάροχος οφείλει να έχει καταγεγραμμένα τα ΣΔΥ, στα οποία επιτρέπεται η λογική πρόσβαση, καθώς και τους τρόπους με τους οποίους πραγματοποιείται αυτή από τους εργαζόμενους και τους συνεργάτες.

 

   8. Ο πάροχος οφείλει να διατηρεί αρχείο με τους εργαζόμενους και συνεργάτες, οι οποίοι έχουν εξουσιοδοτηθεί για χρήση της λογικής πρόσβασης.

 

   9. Η λογική πρόσβαση των εργαζομένων και συνεργατών πραγματοποιείται με χρήση μηχανισμών ασφαλούς αυθεντικοποίησης και κρυπτογράφησης.

 

   10. Η λογική πρόσβαση των συνεργατών του παρόχου θα πρέπει να επιτρέπεται μόνο για συγκεκριμένο χρονικό διάστημα, λαμβανομένου υπόψη του απαιτούμενου χρόνου διεκπεραίωσης της αντίστοιχης εργασίας. Αυτό είναι δυνατόν είτε με τη χρήση προσωρινών κωδικών, οι οποίοι θα μεταβάλλονται μετά το πέρας του προκαθορισμένου χρονικού διαστήματος, είτε με την απενεργοποίηση των λογαριασμών μετά το πέρας του διαστήματος αυτού.

 

   11. Ο πάροχος οφείλει να επιτρέπει τη λογική πρόσβαση των συνεργατών του μόνο κατόπιν έγκρισης των σχετικών αιτημάτων, στα οποία αναγράφονται όλες οι σχετικές πληροφορίες (λόγος της πρόσβασης, σύστημα, χρονικό διάστημα).

 

’ρθρο 13

Ασφάλεια Δικτύων από Εξωτερικά Δίκτυα

 

   1. Ο πάροχος οφείλει να πραγματοποιεί λογικό διαχωρισμό του δικτύου του από εξωτερικά δίκτυα και κατάτμηση αυτού σε ζώνες ασφάλειας ή υποδίκτυα με στόχο την απομόνωση των ΣΔΥ σε ζώνες ασφάλειας, τον έλεγχο ροής δεδομένων μεταξύ τους και την προστασία από κακόβουλες ενέργειες.

 

   2. Για την εφαρμογή της παραγράφου 1 του παρόντος άρθρου, ο πάροχος οφείλει να διαθέτει μηχανισμούς και συστήματα (ενδεικτικά αναφέρονται: αναχώματα ασφάλειας, συστήματα ανίχνευσης και αποτροπής εισβολών, λίστες ελέγχου πρόσβασης, ιδεατά ιδιωτικά δίκτυα), των οποίων η λειτουργία και η τεχνική διαμόρφωση λαμβάνει υπόψη τις διεθνείς, ευρέως αποδεκτές πρακτικές και πρότυπα και την Αξιολόγηση Επικινδυνότητας, όπως περιγράφεται στο άρθρο 5 του παρόντος Κανονισμού.

 

   3. Ο πάροχος οφείλει να διατηρεί τη διαμόρφωση των προαναφερομένων μηχανισμών και συστημάτων πλήρως επικαιροποιημένη στην περίπτωση ύπαρξης αποδεδειγμένων αδυναμιών και κενών ασφάλειας των μηχανισμών αυτών και εφόσον δεν υφίστανται συμπληρωματικοί μηχανισμοί ασφάλειας σύμφωνα με την πραγματοποιηθείσα Αξιολόγηση Επικινδυνότητας.

 

   4. Η λειτουργία των μηχανισμών και συστημάτων του παρόντος άρθρου πρέπει να είναι απρόσκοπτη και συνεχής, με την εξαίρεση των περιπτώσεων προγραμματισμένης συντήρησης ή αναβάθμισης.

 

   5. Ο πάροχος οφείλει να παραμετροποιεί και να διαμορφώνει τους μηχανισμούς και τα συστήματα του παρόντος άρθρου κατά τέτοιο τρόπο ώστε να επιτυγχάνεται ο περιορισμός της εξάπλωσης και των επιπτώσεων του κακόβουλου λογισμικού.

 

   6. Ο πάροχος οφείλει να καταγράφει την αρχιτεκτονική που έχει υλοποιηθεί, τις ζώνες ασφάλειας και τα ΣΔΥ που έχουν τοποθετηθεί σε κάθε ζώνη, λαμβάνοντας υπόψη τους μηχανισμούς και τα συστήματα της παραγράφου 1 του παρόντος άρθρου, που χρησιμοποιεί.

 

   7. Στην περίπτωση που διατίθενται στο κοινό υπηρεσίες που απαιτούν πρόσβαση σε εξυπηρετητές από εξωτερικά δίκτυα (αναφέρονται ενδεικτικά οι υπηρεσίες ηλεκτρονικού ταχυδρομείου), τα ΣΔΥ που προσφέρουν αυτές τις υπηρεσίες πρέπει να τοποθετούνται σε μία ή περισσότερες αποστρατικοποιημένες ζώνες.

 

’ρθρο 14

Διαχείριση και Παρακολούθηση Δικτύου

 

   1. Ο πάροχος οφείλει να παρακολουθεί την υφιστάμενη κίνηση του δικτύου και τη διαθεσιμότητα των προσφερόμενων υπηρεσιών, να πραγματοποιεί συνεχείς μετρήσεις κίνησης και φόρτου του δικτύου να αναλύει τα προβλήματα και να προβλέπει τις μελλοντικές του ανάγκες, ώστε να προβαίνει έγκαιρα στις απαραίτητες ενέργειες για τη διασφάλιση της διαθεσιμότητας, όπως είναι, ενδεικτικά, η εισαγωγή νέων ΣΔΥ, η επέκταση ή αναβάθμιση υφιστάμενων ΣΔΥ και η αλλαγή στη διαμόρφωση των ΣΔΥ.

 

   2. Ο πάροχος οφείλει να προστατεύει το δίκτυό του από συνθήκες αυξημένης κίνησης. Ο πάροχος χρησιμοποιεί τεχνικές διαχείρισης κίνησης για να παρακολουθεί και να ελέγχει την κίνηση στο δίκτυό του και να εντοπίζει έγκαιρα την αύξηση κίνησης, προβαίνοντας στις κατάλληλες ενέργειες ώστε να προστατεύει το δίκτυό του από ενδεχόμενη συμφόρηση λόγω αυξημένης κίνησης, εξασφαλίζοντας παράλληλα τη βελτιστοποίηση της απόδοσης του δικτύου.

 

   3. Ο πάροχος οφείλει να προβαίνει σε προβλέψεις αναφορικά με περιοδικά ή μη γεγονότα, τα οποία ενδέχεται να προκαλέσουν σημαντική αύξηση της κίνησης στο δίκτυό του, όπως είναι, ενδεικτικά, οι εθνικές ή θρησκευτικές εορτές και οι διαγωνισμοί εθνικής εμβέλειας σε ιδιαίτερα περιορισμένο χρονικό διάστημα. Επίσης, οφείλει να παρακολουθεί την επικαιρότητα, στο βαθμό που αυτή ενδέχεται να επηρεάσει την κίνηση στο δίκτυό του, όπως, ενδεικτικά, σε περίπτωση καταστροφών ή φυσικών φαινομένων, εθνικής ή τοπικής εμβέλειας.

 

   4. Ο πάροχος οφείλει να καταγράφει τις τεχνικές διαχείρισης κίνησης και τις συνθήκες υπό τις οποίες τις εφαρμόζει. Καταγράφει, επίσης, τα μέτρα τα οποία χρησιμοποιεί προκειμένου να εξασφαλίσει την προτεραιότητα της κίνησης προς τις υπηρεσίες έκτακτης ανάγκης, ιδιαίτερα σε καταστάσεις εκτάκτων συνθηκών.

 

   5. Ο πάροχος εξασφαλίζει τους απαραίτητους μηχανισμούς, ώστε πιθανή βλάβη σε κάποιο ΣΔΥ να μην επηρεάσει καθοριστικά τη λειτουργία του δικτύου ή τις παρεχόμενες υπηρεσίες.

 

   6. Ο πάροχος οφείλει να διαθέτει κατάλληλους μηχανισμούς για τη διαχείριση του δικτύου του, ώστε να προλαβαίνει τυχόν βλάβες ή να τις αποκαθιστά άμεσα σε περίπτωση εμφάνισής τους, όπως, ενδεικτικά, βλαβοληψία, προληπτική συντήρηση, διαχείριση ανταλλακτικών, διαδικασία εσωτερικής κλιμάκωσης αναφοράς προβλημάτων, δείκτες αποκατάστασης βλαβών με τους προμηθευτές.

 

   7. Ο πάροχος αξιολογεί και αξιοποιεί πιθανές αναφορές που προκύπτουν από χρήστες του δικτύου σχετικά με προβλήματα που παρουσιάζονται αναφορικά με τη διαθεσιμότητα.

 

   8. Ο πάροχος ενημερώνεται συνεχώς, μέσω συστημάτων παρακολούθησης και ενημέρωσης, για ενέργειες ή αλλαγές που γίνονται στα ΣΔΥ, οι οποίες είναι πιθανόν να οδηγήσουν στην εκδήλωση περιστατικού ασφάλειας. Ενδεικτικά, και όχι περιοριστικά, αναφέρονται οι επανειλημμένες ανεπιτυχείς προσπάθειες πρόσβασης, οι αλλαγές στη διαμόρφωση των ΣΔΥ, οι αλλαγές στην κατάσταση και τη λειτουργία των ΣΔΥ, όπως η επανεκκίνηση ή η βίαιη διακοπή λειτουργίας των ΣΔΥ.

 

’ρθρο 15

Συντήρηση και Διαχείριση Αλλαγών

 

   1. Ο πάροχος οφείλει να εκτελεί προληπτική συντήρηση του εξοπλισμού του, καθώς και των κτηρίων στα οποία αυτός στεγάζεται, βάσει προδιαγεγραμμένου χρονοδιαγράμματος, προκειμένου να ελαχιστοποιηθεί η πιθανότητα δυσλειτουργίας του δικτύου και των παρεχόμενων υπηρεσιών.

 

   2. Ο πάροχος υποχρεούται να πραγματοποιεί τις εργασίες συντήρησης, αναβάθμισης ή άλλες τεχνικές επεμβάσεις στο δίκτυο και τις παρεχόμενες υπηρεσίες, χωρίς να διακόπτεται η λειτουργία τους. Όπου αυτό δεν είναι τεχνικά εφικτό, ο πάροχος επιλέγει οι εργασίες αυτές να πραγματοποιούνται σε ώρες χαμηλής κίνησης.

 

   3. Ο πάροχος οφείλει να διαθέτει διαδικασία διαχείρισης αλλαγών, στην οποία περιγράφονται όλες οι ενέργειες που απαιτούνται για κάθε αλλαγή στο υλικό ή λογισμικό των ΣΔΥ.

 

   4. Ο πάροχος εξασφαλίζει ότι υπάρχουν ανά πάσα στιγμή διαθέσιμα αντίγραφα ασφαλείας της πλέον πρόσφατης διαμόρφωσης του εξοπλισμού του, τα οποία είναι απαραίτητα για την αποκατάσταση του δικτύου του και των παρεχόμενων υπηρεσιών. Τα αντίγραφα ασφαλείας φυλάσσονται σε προστατευμένο χώρο.

 

’ρθρο 16

Καταγραφή Ενεργειών

 

   1. Ο πάροχος εξασφαλίζει ότι, κατ' ελάχιστο, καταγράφονται οι ακόλουθες ενέργειες (Event Logging):

   α) οι προσβάσεις (επιτυχείς και ανεπιτυχείς προσπάθειες) στα ΣΔΥ, καθώς και στους χώρους και τις εγκαταστάσεις αυτών,

   β) οι ενέργειες των χρηστών κατά την χρήση των ΣΔΥ,

   γ) οι μεταβολές στη διαμόρφωση των ΣΔΥ,

   δ) η αποσύνδεση/διακοπή της δικτυακής σύνδεσης ενός ΣΔΥ, η ανίχνευση σύνδεσης συστήματος που φέρει δικτυακή διεύθυνση που ήδη χρησιμοποιείται από άλλο ΣΔΥ και η επανεκκίνηση ή βίαιη διακοπή λειτουργίας ΣΔΥ.

 

   2. Ο πάροχος διατηρεί καταγεγραμμένη: α) την αρχιτεκτονική και τις επιμέρους μεθόδους δημιουργίας, συλλογής, αποθήκευσης και διαχείρισης των αρχείων καταγραφής, β) την περιγραφή του περιεχομένου αυτών και γ) τα μέτρα για τη διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας αυτών.

 

   3. Ο πάροχος εξασφαλίζει ότι οι απαιτούμενες καταγραφές είναι πλήρεις και συνεχείς.

 

   4. Ο πάροχος εξασφαλίζει ότι οι καταγεγραμμένες πληροφορίες προστατεύονται από οποιαδήποτε αλλοίωση και μη εξουσιοδοτημένη πρόσβαση.

 

’ρθρο 17

Διαχείριση Περιστατικών Ασφάλειας

 

   1. Ο πάροχος οφείλει να εφαρμόζει διαδικασία Διαχείρισης Περιστατικών Ασφάλειας, η οποία θα ενεργοποιείται αμελλητί σε κάθε περίπτωση περιστατικού ασφάλειας.

 

   2. Η διαδικασία Διαχείρισης Περιστατικών Ασφάλειας προβλέπει τις ακόλουθες ενέργειες:

   α) την καταγραφή στοιχείων για κάθε περιστατικό ασφάλειας,

   β) τη διερεύνηση των αιτιών και τον προσδιορισμό των τεχνικών ή/και οργανωτικών αδυναμιών στις οποίες ενδεχομένως οφείλεται το περιστατικό ασφάλειας,

   γ) την υλοποίηση των ενεργειών αποκατάστασης με συγκεκριμένο χρονοδιάγραμμα και

   δ) την ενημέρωση του Υπεύθυνου Ασφάλειας και Ακεραιότητας Δικτύου και Υπηρεσιών, των αρμοδίων στελεχών του παρόχου και των αρμοδίων Αρχών.

 

   3. Ο πάροχος οφείλει να διατηρεί όλα τα έγγραφα που σχετίζονται με τα περιστατικά ασφάλειας, από τα οποία θα τεκμηριώνεται η εκτέλεση των αντίστοιχων προβλεπόμενων ενεργειών.

 

’ρθρο 18

Εσωτερικός Έλεγχος για την Ασφάλεια και την Ακεραιότητα των Δικτύων και Υπηρεσιών

 

   1. Ο πάροχος οφείλει να διαθέτει και να εφαρμόζει διαδικασία εσωτερικού ελέγχου εφαρμογής των Μέτρων για την Ασφάλεια και την Ακεραιότητα των Δικτύων και Υπηρεσιών, στην οποία περιγράφονται τα ακόλουθα στάδια:

   α) προετοιμασία του ελέγχου (καθορισμός ΣΔΥ/εγκαταστάσεων/επιμέρους πολιτικών που θα ελεγχθούν, χρονοδιάγραμμα, κλπ),

   β) διεξαγωγή του ελέγχου,

   γ) αποτελέσματα του ελέγχου (τυχόν ευρήματα, επιγενόμενες ενέργειες κλπ).

 

   2. Για κάθε εσωτερικό έλεγχο, ο πάροχος οφείλει να διατηρεί σε αρχείο την τεκμηρίωση κάθε σταδίου του ελέγχου. Ο εσωτερικός έλεγχος είναι δυνατόν να πραγματοποιείται από εξωτερικό φορέα ή από εξουσιοδοτημένους προς τούτο εργαζόμενους του παρόχου.

 

’ρθρο 19

Έλεγχος

 

   Οι πάροχοι υποβάλλονται σε έλεγχο ασφάλειας, αυτεπαγγέλτως ή κατόπιν καταγγελίας, που διενεργείται από την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.), σύμφωνα με τα προβλεπόμενα στο άρθρο 37 του ν.4070/2012 (ΦΕΚ Α' 82/2012). Κατά τη διενέργεια του ελέγχου της, η Α.Δ.Α.Ε. έχει την εξουσία και τις αρμοδιότητες που προβλέπονται από το ν.3115/2003 (Α'47), το ν.703/1977 (Α' 278) και το ν.3674/2008 (Α' 136), όπως ισχύουν.

 

’ρθρο 20

Τελικές Διατάξεις

 

   Οι όροι του παρόντος Κανονισμού είναι υποχρεωτικοί για τον πάροχο και, σε περίπτωση που απαιτηθεί η κατάρτιση εκ μέρους του παρόχου πολιτικής ασφάλειας, περιλαμβάνονται στους όρους αυτής.

 

’ρθρο 21

Έναρξη Ισχύος

 

   Η ισχύς του παρόντος Κανονισμού αρχίζει 6 μήνες μετά τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.

 

   Ο παρών Κανονισμός να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.