Εθνική στρατηγική κυβερνοασφάλειας

(1)(α) Ο Υφυπουργός καθορίζει το γενικό πλαίσιο πολιτικής σε σχέση με την ψηφιακή ασφάλεια δυνάμει των διατάξεων του άρθρου 16 και προωθεί στο Υπουργικό Συμβούλιο για έγκριση τη στρατηγική κυβερνοασφάλειας για την ετοιμασία της οποίας λαμβάνει σοβαρά υπόψη σχετική εισήγηση ή/και κατευθυντηρίες γραμμές της Αρχής.

(β) Το σχέδιο στρατηγικής κυβερνοασφάλειας προβλέπει τους στρατηγικούς στόχους, τους πόρους που απαιτούνται για την επίτευξη των εν λόγω στόχων, κατάλληλα μέτρα πολιτικής και ρυθμιστικά μέτρα με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας και περιλαμβάνει τουλάχιστον τα ακόλουθα:

(i) Στόχους και προτεραιότητες που καλύπτουν ιδίως τους τομείς που αναφέρονται στα Παραρτήματα I και II·

(ii) πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στην παράγραφο (α) του παρόντος εδαφίου, συμπεριλαμβανομένων των πολιτικών που αναφέρονται στο εδάφιο (2)·

(iii) πλαίσιο διακυβέρνησης που αποσαφηνίζει τους ρόλους και τις αρμοδιότητες των σχετικών ενδιαφερόμενων μερών σε εθνικό επίπεδο, το οποίο υποστηρίζει τη συνεργασία και το συντονισμό σε εθνικό επίπεδο με την Αρχή και των CSIRTs στη Δημοκρατία καθώς και τον συντονισμό και τη συνεργασία μεταξύ των εν λόγω φορέων και των αρμόδιων αρχών βάσει τομεακών νομικών πράξεων της Ένωσης·

(iv) μηχανισμό για τον προσδιορισμό των σχετικών πάγιων στοιχείων και εκτίμηση των κινδύνων σε εθνικό επίπεδο·

(v) προσδιορισμό των μέτρων για τη διασφάλιση της ετοιμότητας, της απόκρισης και της αποκατάστασης από περιστατικά, συμπεριλαμβανομένης της συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα·

(vi) κατάλογο των διαφόρων αρχών και ενδιαφερόμενων μερών που συμμετέχουν στην υλοποίηση της εθνικής στρατηγικής κυβερνοασφάλειας·

(vii) πλαίσιο πολιτικής για ενισχυμένο συντονισμό μεταξύ της Αρχής και της αρμόδιας αρχής στη Δημοκρατία για την ανθεκτικότητα των κρίσιμων οντοτήτων, για τον σκοπό της ανταλλαγής πληροφοριών σχετικά με κινδύνους, κυβερνοαπειλές και περιστατικά καθώς και σχετικά με κινδύνους, απειλές και περιστατικά εκτός κυβερνοχώρου και την άσκηση εποπτικών καθηκόντων, κατά περίπτωση· και

(viii) σχέδιο, συμπεριλαμβανομένων των αναγκαίων μέτρων, για την ενίσχυση του γενικού επιπέδου ευαισθητοποίησης και ενημέρωσης των πολιτών στον τομέα της κυβερνοασφάλειας.

(2) Στο πλαίσιο της εθνικής στρατηγικής κυβερνοασφάλειας και λαμβάνοντας υπόψη τις διατάξεις του άρθρου 16 η εθνική στρατηγική περιλαμβάνει τουλάχιστον τις ακόλουθες πολιτικές-

(α) αντιμετώπισης της κυβερνοασφάλειας στην αλυσίδα εφοδιασμού προϊόντων ΤΠΕ και υπηρεσιών ΤΠΕ που χρησιμοποιούνται από οντότητες για την παροχή των υπηρεσιών τους·

(β) συμπερίληψης και προσδιορισμού των σχετικών με την κυβερνοασφάλεια απαιτήσεων για τα προϊόντα ΤΠΕ και τις υπηρεσίες ΤΠΕ στις δημόσιες συμβάσεις, συμπεριλαμβανομένων των σχετικών με την πιστοποίηση της κυβερνοασφάλειας, την κρυπτογράφηση και τη χρήση προϊόντων κυβερνοασφάλειας ανοικτού κώδικα·

(γ) διαχείρισης ευπαθειών, συμπεριλαμβανομένης της προώθησης και της διευκόλυνσης της συντονισμένης γνωστοποίησης ευπαθειών δυνάμει των διατάξεων του εδαφίου (1) του άρθρου 31Β·

(δ) διατήρησης της γενικής διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας του δημόσιου πυρήνα του ανοικτού διαδικτύου, συμπεριλαμβανομένης, κατά περίπτωση, της κυβερνοασφάλειας των υποβρύχιων καλωδίων επικοινωνιών·

(ε) προώθησης της ανάπτυξης και της ενσωμάτωσης σχετικών προηγμένων τεχνολογιών με στόχο την εφαρμογή προηγμένων μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας·

(στ) προώθησης και ανάπτυξης της εκπαίδευσης και της κατάρτισης στην κυβερνοασφάλεια, τις δεξιότητες κυβερνοασφάλειας, την ευαισθητοποίηση και τις πρωτοβουλίες έρευνας και ανάπτυξης καθώς και καθοδήγηση σχετικά με ορθές πρακτικές και ελέγχους κυβερνοϋγιεινής (cyber hygiene practices and controls), με στόχο τους πολίτες, τα ενδιαφερόμενα μέρη και τις οντότητες·

(ζ) στήριξης ακαδημαϊκών και ερευνητικών ιδρυμάτων για την ανάπτυξη, την ενίσχυση και την προώθηση της ανάπτυξης εργαλείων κυβερνοασφάλειας και ασφαλών υποδομών δικτύου·

(η) συμπερίληψης σχετικών διαδικασιών και κατάλληλων εργαλείων ανταλλαγής πληροφοριών για τη στήριξη της εθελοντικής ανταλλαγής πληροφοριών για την κυβερνοασφάλεια μεταξύ οντοτήτων σύμφωνα με το ενωσιακό δίκαιο·

(θ) ενίσχυσης της κυβερνοανθεκτικότητας και της βάσης για την κυβερνοϋγιεινή (cyber hygiene baseline) των μικρών και μεσαίων επιχειρήσεων, ιδίως εκείνων που εξαιρούνται από το πεδίο εφαρμογής του παρόντος Νόμου με την παροχή εύκολα προσβάσιμης καθοδήγησης και συνδρομής για τις ειδικές ανάγκες τους· και

(ι) προώθησης της ενεργής κυβερνοπροστασίας (active cyber protection):

Νοείται ότι, η ενεργή κυβερνοπροστασία, χωρίς περιορισμό, συνίσταται στην πρόληψη, τον εντοπισμό, την παρακολούθηση, την ανάλυση και τον μετριασμό των παραβιάσεων της ασφάλειας των δικτύων με ενεργό τρόπο, σε συνδυασμό με τη χρήση ικανοτήτων που αναπτύσσονται εντός και εκτός του δικτύου των οντοτήτων:

Νοείται περαιτέρω ότι, οι υπηρεσίες της Αρχής, λαμβάνοντας υπόψη μεταξύ άλλων, τη διαθεσιμότητα πόρων της Αρχής ή/και την κρισιμότητα, δύναται να περιλαμβάνουν κατά την κρίση της, την παροχή δωρεάν υπηρεσιών ή εργαλείων σε ορισμένες οντότητες και για συγκεκριμένη χρονική περίοδο, συμπεριλαμβανομένων των ελέγχων αυτοεξυπηρέτησης, των εργαλείων ανίχνευσης, των υπηρεσιών απόσυρσης (takedown services) και εγκατάστασης αισθητήρων δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1) του άρθρου 20.

(3)(α) Η Αρχή αξιολογεί την εθνική στρατηγική κυβερνοασφάλειας σε τακτική βάση και τουλάχιστον κάθε τέσσερα (4) έτη με βάση βασικούς δείκτες επιδόσεων και εισηγείται την επικαιροποίησή της.

(β) Ο ENISA επικουρεί την Αρχή, κατόπιν αιτήματός της, στην ανάπτυξη ή την επικαιροποίηση της εθνικής στρατηγικής για την ασφάλεια στον κυβερνοχώρο και των βασικών δεικτών επιδόσεων για την αξιολόγηση της εν λόγω στρατηγικής, με σκοπό την ευθυγράμμισή της με τις απαιτήσεις και τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο.

(4)(α) Η Αρχή κοινοποιεί την εθνική στρατηγική κυβερνοασφάλειας στην Επιτροπή εντός τριών (3) μηνών από την έγκρισή της.

(β) Η Αρχή δύναται να εξαιρεί από την εν λόγω κοινοποίηση πληροφορίες που αφορούν εθνική ασφάλεια.