36Α.-(1) Τα μέτρα εποπτείας ή επιβολής που επιβάλλονται σε βασικές οντότητες, σε σχέση με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο για τις βασικές οντότητες, είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
(2) Η Αρχή, κατά την άσκηση των εποπτικών της καθηκόντων σε σχέση με βασικές οντότητες, έχει την εξουσία να υποβάλλει τις εν λόγω οντότητες τουλάχιστον σε-
(α) επιτόπιες επιθεωρήσεις και εποπτεία εκτός των εγκαταστάσεων, συμπεριλαμβανομένων δειγματοληπτικών ελέγχων (random checks), που διεξάγονται από καταρτισμένους επαγγελματίες·
(β) τακτικούς και στοχευμένους ελέγχους ασφάλειας (security audits) που διενεργούνται από την Αρχή ή από ειδικευμένο ανεξάρτητο όργανο που εξουσιοδοτείται από την Αρχή:
(γ) έκτακτους ειδικούς ελέγχους, μεταξύ άλλων, όταν αυτό δικαιολογείται, λόγω σημαντικού περιστατικού ή παραβίαση των διατάξεων του παρόντος Νόμου από τη βασική οντότητα·
(δ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της βασικής οντότητας·
(ε) αιτήματα παροχής πληροφοριών αναγκαίων για την αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η εν λόγω οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στις αρμόδιες αρχές δυνάμει των διατάξεων του άρθρου 37Α·
(στ) αιτήματα πρόσβασης σε δεδομένα, έγγραφα και πληροφορίες που απαιτούνται για την εκτέλεση των εποπτικών καθηκόντων τους·
(ζ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο ελεγκτή όπως η εξουσιοδότηση αυτή δύναται να καθοριστεί σε Απόφαση της Αρχής ή/και ανεξάρτητο ελεγκτή, και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.
(3) Η Αρχή κατά την άσκηση των εξουσιών της κατά τα προεβλεπόμενα στις παραγράφους (ε), (στ) ή (ζ) του εδαφίου (2), δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
(4) Η Αρχή, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με τις βασικές οντότητες, έχει την εξουσία τουλάχιστον να-
(α) εκδίδει προειδοποιήσεις σχετικά με παραβιάσεις των διατάξεων του παρόντος Νόμου από τις βασικές οντότητες·
(β) εκδίδει δεσμευτικές οδηγίες, μεταξύ άλλων όσον αφορά τα μέτρα τα οποία είναι αναγκαία για την πρόληψη ή την αποκατάσταση περιστατικού, καθώς και προθεσμίες για την εφαρμογή των εν λόγω μέτρων και για την υποβολή εκθέσεων σχετικά με την εφαρμογή τους ή Απόφαση με την οποία ζητείται από τις εν λόγω οντότητες να αποκαταστήσουν τις ελλείψεις που εντοπίστηκαν ή τις παραβιάσεις των διατάξεων του παρόντος Νόμου·
(γ) απαιτεί από τις εν λόγω οντότητες να τερματίσουν συμπεριφορά που παραβιάζει τις διατάξεις του παρόντος Νόμου και να απέχουν από την επανάληψη της εν λόγω συμπεριφοράς·
(δ) απαιτεί από τις εν λόγω οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με το άρθρο 35 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που προβλέπονται δυνάμει των διατάξεων του άρθρου 35Β, με συγκεκριμένο τρόπο και εντός καθορισμένου χρονικού διαστήματος·
(ε) απαιτεί από τις εν λόγω οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής·
(στ) απαιτεί από τις εν λόγω οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας·
(ζ) ορίζει υπεύθυνο παρακολούθησης με σαφώς καθορισμένα καθήκοντα για καθορισμένο χρονικό διάστημα, προκειμένου να επιβλέπει τη συμμόρφωση των εν λόγω οντοτήτων δυνάμει των διατάξεων των άρθρων 35 και 35Β·
(η) απαιτεί από τις εν λόγω οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων των διατάξεων του παρόντος Νόμου με συγκεκριμένο τρόπο· και
(θ) επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του άρθρου 43Α επιπρόσθετα από οποιαδήποτε από τα μέτρα που αναφέρονται στις παραγράφους (α) έως (η) του παρόντος εδαφίου.
(5) Σε περίπτωση κατά την οποία τα μέτρα επιβολής που θεσπίζονται σύμφωνα με τις παραγράφους (α) έως (δ) και (στ) του εδαφίου (4) είναι αναποτελεσματικά, η Αρχή έχει την εξουσία να ορίζει προθεσμία εντός της οποίας η βασική οντότητα καλείται να λάβει τα αναγκαία μέτρα για την αποκατάσταση των ελλείψεων ή για τη συμμόρφωση με τις απαιτήσεις της Αρχής και εάν τα ζητούμενα μέτρα δεν ληφθούν εντός της καθορισμένης προθεσμίας, η Αρχή έχει την εξουσία να-
(α) αναστείλει προσωρινά ή να ζητήσει από φορέα πιστοποίησης ή εξουσιοδότησης ή από δικαστήριο, σύμφωνα με την κείμενη νομοθεσία, την προσωρινή αναστολή πιστοποίησης ή εξουσιοδότησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών που παρέχονται ή των δραστηριοτήτων που εκτελούνται από τη βασική οντότητα· και
(β) ζητά από τα αρμόδια όργανα, σύμφωνα με τη κείμενη νομοθεσία, να απαγορεύουν προσωρινά σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νομικού εκπροσώπου στη βασική οντότητα να ασκεί διευθυντικά καθήκοντα στην εν λόγω οντότητα:
(6) Κάθε φυσικό πρόσωπο το οποίο είναι υπεύθυνο ή ενεργεί ως νόμιμος εκπρόσωπος βασικής οντότητας με βάση την εξουσία εκπροσώπησής της, την αρμοδιότητα να λαμβάνει αποφάσεις εξ ονόματός της ή να ασκεί τον έλεγχό της, έχει την εξουσία να διασφαλίζει τη συμμόρφωσή της με τις διατάξεις του παρόντος Νόμου και το εν λόγω φυσικό πρόσωπο δύναται να θεωρηθεί υπεύθυνο για παράβαση των υποχρεώσεών του, ώστε να εξασφαλίζεται η συμμόρφωση με τον παρόντα Νόμο:
(7) Σε περίπτωση κατά την οποία, η Αρχή λαμβάνει οποιοδήποτε από τα μέτρα επιβολής που αναφέρονται στα εδάφια (4) ή (5), σέβεται τα δικαιώματα υπεράσπισης και λαμβάνει υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης και, τουλάχιστον, λαμβάνει δεόντως υπόψη-
(α) τη σοβαρότητα της παράβασης και τη σημασία των διατάξεων που παραβιάζονται, ενώ σε κάθε περίπτωση τα ακόλουθα, μεταξύ άλλων, θεωρούνται σοβαρές παραβάσεις:
(i) Η ύπαρξη επανειλημμένων παραβάσεων·
(ii) η μη κοινοποίηση ή η μη αποκατάσταση σημαντικών περιστατικών·
(iii) η μη αποκατάσταση ελλείψεων σύμφωνα με δεσμευτικές οδηγίες της Αρχής·
(iv) η παρεμπόδιση των ελέγχων ή των δραστηριοτήτων παρακολούθησης που διατάσσονται από την Αρχή μετά τη διαπίστωση παράβασης· και
(v) η παροχή ψευδών ή κατάφωρα ανακριβών πληροφοριών σε σχέση με τα μέτρα διαχείρισης κινδύνου ή τις υποχρεώσεις υποβολής κοινοποιήσεων που ορίζονται στις διατάξεις των άρθρων 35 και 35Β·
(β) τη διάρκεια της παράβασης·
(γ) τυχόν σχετικές προηγούμενες παραβάσεις από την εν λόγω οντότητα·
(δ) οποιαδήποτε υλική ή μη υλική ζημία που προκλήθηκε, συμπεριλαμβανομένης της χρηματοοικονομικής ή οικονομικής ζημίας, τις επιπτώσεις σε άλλες υπηρεσίες και τον αριθμό των θιγόμενων χρηστών·
(ε) οποιαδήποτε πρόθεση ή αμέλεια εκ μέρους του δράστη της παράβασης·
(στ) οποιαδήποτε μέτρα που λαμβάνει η οντότητα για την πρόληψη ή τον μετριασμό της υλικής ή μη υλικής ζημίας·
(ζ) οποιαδήποτε τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης· και
(η) τον βαθμό συνεργασίας των υπαίτιων φυσικών ή νομικών προσώπων με την Αρχή.
(8)(α) Η Αρχή αιτιολογεί λεπτομερώς τα μέτρα επιβολής της και πριν από τη λήψη των μέτρων αυτών, κοινοποιεί στις ενδιαφερόμενες οντότητες τα προκαταρκτικά πορίσματά της, με την επιφύλαξη των διατάξεων του άρθρου 21.
(β) Η Αρχή παρέχει επίσης εύλογο χρονικό διάστημα στις ενδιαφερόμενες οντότητες για να υποβάλουν παρατηρήσεις, εκτός από δεόντως αιτιολογημένες περιπτώσεις όπου διαφορετικά θα παρεμποδιζόταν η ανάληψη άμεσης δράσης για την πρόληψη ή την αντιμετώπιση περιστατικών.
(9) Η Αρχή δυνάμει του παρόντος Νόμου ενημερώνει τη σχετική αρμόδια αρχή στη Δημοκρατία για την ανθεκτικότητα των κρίσιμων οντοτήτων κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της με στόχο τη διασφάλιση της συμμόρφωσης μίας οντότητας που προσδιορίζεται ως κρίσιμη οντότητα από την αρμοδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων με τις υποχρεώσεις του παρόντος Νόμου, και κατά περίπτωση, η αρμόδια αρχή στη Δημοκρατία δύναται να ζητεί από την Αρχή να ασκεί τις εποπτικές και εκτελεστικές εξουσίες της σε σχέση με οντότητα η οποία προσδιορίζεται ως κρίσιμη οντότητα δυνάμει της Οδηγίας (ΕΕ) 2022/2557.
(10) Η Αρχή συνεργάζεται με τις αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554 και ειδικότερα, ενημερώνει το φόρουμ εποπτείας που συστάθηκε σύμφωνα με το άρθρο 32 παράγραφος 1 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης βασικής οντότητας που έχει οριστεί ως κρίσιμος τρίτος παροχέας υπηρεσιών ΤΠΕ σύμφωνα με το άρθρο 31 του Κανονισμού (ΕΕ) 2022/2554 με τις υποχρεώσεις των διατάξεων του παρόντος Νόμου: