Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας

35.-(1)(α) Οι βασικές και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες.

(β) Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες (state-of-the-art) και, κατά περίπτωση, τα σχετικά ευρωπαϊκά και διεθνή πρότυπα καθώς και το κόστος εφαρμογής, τα μέτρα που αναφέρονται στην παράγραφο (α) του εδαφίου (1), οι βασικές και σημαντικές οντότητες εξασφαλίζουν ότι το επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριών είναι ανάλογο προς τον εκάστοτε κίνδυνο.

(γ) Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνονται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας σε κινδύνους, το μέγεθος της οντότητας και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένων των κοινωνικών και οικονομικών επιπτώσεών τους.

(2) Τα μέτρα που αναφέρονται στην παράγραφο (α) του εδαφίου (1), τα οποία δύναται να καθοριστούν σε Απόφαση που εκδίδει η Αρχή, βασίζονται σε ολιστική προσέγγιση του κινδύνου που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά και περιλαμβάνουν τουλάχιστον τα ακόλουθα:

(α) Πολιτικές για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων·

(β) χειρισμό περιστατικών·

(γ) επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων·

(δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών που αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της·

(ε) απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριών, με ασφαλείς τρόπους και μέσα, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών·

(στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας·

(ζ) βασικές πρακτικές κυβερνοϋγιεινής (cyber hygiene) και κατάρτιση στην κυβερνοασφάλεια·

(η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας (cryptography) και, κατά περίπτωση, κρυπτογράφησης (encryption)·

(θ) ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων· και

(ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας (multi-factor authentication) ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.

(3) Αναφορικά με τα μέτρα που αναφέρονται στην παράγραφο (δ) του εδαφίου (2) οι οντότητες λαμβάνουν υπόψη-

(α) τις ευπάθειες που χαρακτηρίζουν κάθε άμεσο προμηθευτή και πάροχο υπηρεσιών και τη συνολική ποιότητα των προϊόντων και των πρακτικών κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους∙ και

(β) τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με την παράγραφο 1 του άρθρου 22 της Οδηγίας (ΕΕ) 2022/2555.

(4) Οντότητα η οποία διαπιστώνει ότι δεν συμμορφώνεται με τα προβλεπόμενα δυνάμει των διατάξεων του εδαφίου (2) μέτρα, υποχρεούται να λαμβάνει αμελλητί όλα τα αναγκαία, κατάλληλα και αναλογικά διορθωτικά μέτρα.

(5) Η Αρχή εφαρμόζει τυχόν εκτελεστικές πράξεις της Επιτροπής για τον καθορισμό των τεχνικών και μεθοδολογικών απαιτήσεων των μέτρων διαχείρισης κινδύνων που αναφέρονται στο εδάφιο (2), σύμφωνα με τις διατάξεις της παραγράφου 5 του άρθρου 21 της Οδηγίας (ΕΕ) 2022/2555.