35.-(1)(α) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους όπως τα μέτρα αυτά δύναται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.
(β) Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, τα μέτρα αυτά διασφαλίζουν επίπεδο ασφάλειας των δικτύων και συστημάτων πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο.
(2) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και οι φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν τα κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της επαναφοράς και της συνέχειάς τους, όπως τα μέτρα αυτά δύνανται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.
(3)(α) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και οι φορείς κρίσιμων υποδομών πληροφοριών κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην Αρχή συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών που παρέχουν.
(β) Οι κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην Αρχή ή/και το εθνικό CSIRT να προσδιορίσει τυχόν διασυνοριακό αντίτυπο του συμβάντος.
(γ) Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα, οι δε διαδικασίες και το περιεχόμενο της κοινοποίησης, καθώς και οποιαδήποτε σχετικά στοιχεία ρυθμίζονται με Απόφαση που εκδίδει ο Επίτροπος.
(4) Για να προσδιοριστεί η σοβαρότητα του αντικτύπου ενός συμβάντος, λαμβάνονται υπόψη ειδικότερα οι ακόλουθες παράμετροι:
(α) Ο αριθμός των χρηστών που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας·
(β) η διάρκεια του συμβάντος·
(γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν.
(5) Βάσει των πληροφοριών που παρέχονται στην κοινοποίηση από τον φορέα εκμετάλλευσης βασικών υπηρεσιών, η Αρχή ή το εθνικό CSIRT ενημερώνει το άλλο επηρεαζόμενο κράτος μέλος αν το συμβάν έχει σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών στο εν λόγω κράτος μέλος και, στο πλαίσιο της ενημέρωσης αυτής, η Αρχή ή το εθνικό CSIRT διαφυλάσσει, σύμφωνα με το ενωσιακό δίκαιο ή με την εθνική νομοθεσία η οποία έχει μεταφέρει στην εσωτερική έννομη τάξη το ενωσιακό δίκαιο, την ασφάλεια και τα εμπορικά συμφέροντα του φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών, καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί στην κοινοποίησή του.
(6) Όταν οι περιστάσεις το επιτρέπουν, η Αρχή ή το εθνικό CSIRT παρέχει πληροφορίες στον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών όσον αφορά τις ενέργειες σε συνέχεια της κοινοποίησής του, όπως πληροφορίες που θα μπορούσε να υποστηρίξουν τον αποτελεσματικό χειρισμό του συμβάντος.
(7) Η Αρχή, ως ενιαίο κέντρο επαφής, δύναται, ιδίως εάν υπάρξει αίτημα από το εθνικό CSIRT, να διαβιβάζει τις κοινοποιήσεις που αναφέρονται στις διατάξεις του εδαφίου (5) στα ενιαία κέντρα επαφής άλλων επηρεαζόμενων κρατών μελών.
(8) Κατόπιν διαβούλευσης με τον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών, η Αρχή ή το εθνικό CSIRT μπορεί να ενημερώνει το κοινό σχετικά με μεμονωμένα συμβάντα, σε περίπτωση που η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη.
(9) Η Αρχή, ενεργώντας από κοινού με αρμόδιες αρχές άλλων κρατών μελών εντός της ομάδας συνεργασίας, δύναται να καταρτίζει και να εκδίδει κατευθυντήριες γραμμές σχετικά με τις περιστάσεις υπό τις οποίες οι φορείς εκμετάλλευσης βασικών υπηρεσιών είναι υποχρεωμένοι να κοινοποιούν συμβάντα, συμπεριλαμβανομένων μεταξύ άλλων των παραμέτρων που προσδιορίζουν τη σοβαρότητα του αντικτύπου ενός συμβάντος, όπως προβλέπεται στις διατάξεις του εδαφίου (4).