35Β.-(1)(α) Οι βασικές και σημαντικές οντότητες κοινοποιούν αμελλητί στην Αρχή, τηρουμένων των διατάξεων του εδαφίου (4), κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους, όπως αναφέρεται στο εδάφιο (3) (σημαντικό περιστατικό).
(β) Κατά περίπτωση, οι εν λόγω οντότητες κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους αποδέκτες των υπηρεσιών τους σημαντικά περιστατικά που ενδέχεται να επηρεάσουν αρνητικά την παροχή των υπηρεσιών τους.
(γ) Οι εν λόγω οντότητες αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην Αρχή να προσδιορίσει τυχόν διασυνοριακές επιπτώσεις του περιστατικού.
(δ) Η πράξη κοινοποίησης δεν συνεπάγεται αυξημένη ευθύνη στην κοινοποιούσα οντότητα.
(ε) Σε περίπτωση κατά την οποία, οι εν λόγω οντότητες κοινοποιούν στην Αρχή σημαντικό περιστατικό σύμφωνα με τις παραγράφους (α) έως (δ) του εδαφίου (1), η Αρχή διαβιβάζει την κοινοποίηση στο εθνικό CSIRT με την παραλαβή της.
(στ) Η Αρχή, ως ενιαίο σημείο επαφής, σε περίπτωση διασυνοριακού ή διατομεακού σημαντικού περιστατικού, διασφαλίζει ότι λαμβάνει εγκαίρως τις σχετικές πληροφορίες που κοινοποιούνται σύμφωνα με το εδάφιο (4) και, όποτε η Αρχή το κρίνει αναγκαίο, σε συνεννόηση με άλλες αρμόδιες αρχές.
(ζ) Οι διαδικασίες και το περιεχόμενο της κοινοποίησης περιστατικού καθώς και οποιαδήποτε σχετικά στοιχεία, ρυθμίζονται με Απόφαση που εκδίδει η Αρχή, δυνάμει των διατάξεων του παρόντος Νόμου.
(2) Κατά περίπτωση, οι βασικές και σημαντικές οντότητες κοινοποιούν αμελλητί στους αποδέκτες των υπηρεσιών τους, οι οποίοι ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, τυχόν μέτρα ή διορθωτικές ενέργειες που μπορούν να λάβουν για την αντιμετώπιση της συγκεκριμένης απειλής και, κατά περίπτωση, οι εν λόγω οντότητες ενημερώνουν τους αποδέκτες των υπηρεσιών του για τη σημαντική κυβερνοαπειλή:
(3) Περιστατικό θεωρείται σημαντικό εάν-
(α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την εν λόγω οντότητα· ή/και
(β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία.
(4) Για τους σκοπούς της κοινοποίησης δυνάμει του εδαφίου (1), οι βασικές και σημαντικές οντότητες υποβάλλουν στην Αρχή-
(α) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός έξι (6) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, ενημέρωση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή δύναται να έχει διασυνοριακό αντίκτυπο·
(β) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από τη στιγμή που έγινε αντιληπτό το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες που αναφέρονται στην παράγραφο (α) και αναφέρει μία αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης·
(γ) κατόπιν αιτήματος της Αρχής, ενδιάμεση έκθεση σχετικά με τις σχετικές επικαιροποιήσεις της κατάστασης·
(δ) τελική έκθεση το αργότερο μέσα σε ένα μήνα μετά από την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την παράγραφο (β) ή (στ), η οποία περιλαμβάνει τα ακόλουθα:
(i) Λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητάς του και των επιπτώσεών του·
(ii) το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό·
(iii) εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού· και
(iv) κατά περίπτωση, το διασυνοριακό αντίκτυπο του περιστατικού·
(ε) σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στην παράγραφο (δ), οι βασικές και σημαντικές οντότητες υποβάλλουν έκθεση προόδου κάθε δεκαπέντε (15) ημέρες, μετά την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την παράγραφο (β) ή (στ), μέχρι την υποβολή της τελικής έκθεσης η οποία υποβάλλεται εντός δεκαπέντε (15) ημερών από την αποκατάσταση της λειτουργίας του δικτύου ή του πληροφοριακού συστήματος που επηρεάστηκε· και
(στ) κατά παρέκκλιση από τα αναφερόμενα στην παράγραφο (β), ο παροχέας υπηρεσιών εμπιστοσύνης κοινοποιεί στην Αρχή, όσον αφορά σημαντικά περιστατικά που επηρεάζουν την παροχή των υπηρεσιών εμπιστοσύνης του, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που έλαβε γνώση του σημαντικού περιστατικού.
(5)(α) Η Αρχή παρέχει στην κοινοποιούσα οντότητα, αμελλητί και ει δυνατόν εντός είκοσι τεσσάρων (24) ωρών από τη λήψη της έγκαιρης προειδοποίησης που αναφέρεται στην παράγραφο (α) του εδαφίου (4), απάντηση που συμπεριλαμβάνει αρχική ανατροφοδότηση (feedback) σχετικά με το σημαντικό περιστατικό και, κατόπιν αιτήματος της οντότητας, καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού.
(β) Το εθνικό CSIRT παρέχει πρόσθετη τεχνική υποστήριξη εφόσον το ζητήσει η κοινοποιούσα οντότητα ή εφόσον το κρίνει απαραίτητο η Αρχή.
(γ) Σε περίπτωση κατά την οποία υπάρχουν υπόνοιες ότι το σημαντικό περιστατικό αφορά διάπραξη ποινικού αδικήματος, η Αρχή παρέχει επίσης καθοδήγηση σχετικά με την κοινοποίηση του σημαντικού περιστατικού στην Αστυνομία.
(6)(α) Κατά περίπτωση, και ιδίως όταν το σημαντικό περιστατικό αφορά δύο ή περισσότερα κράτη μέλη, η Αρχή ενημερώνει αμελλητί τα άλλα επηρεαζόμενα κράτη μέλη και τον ENISA σχετικά με το σημαντικό περιστατικό.
(β) Οι εν λόγω πληροφορίες περιλαμβάνουν το είδος των πληροφοριών που λαμβάνονται σύμφωνα με το εδάφιο (4).
(γ) Στο πιο πάνω πλαίσιο η Αρχή διαφυλάσσει, σύμφωνα με το ενωσιακό δίκαιο ή την κείμενη νομοθεσία, την ασφάλεια και τα εμπορικά συμφέροντα της οντότητας καθώς και την εμπιστευτικότητα των παρεχόμενων πληροφοριών.
(7) Σε περίπτωση κατά την οποία, η ευαισθητοποίηση του κοινού είναι αναγκαία για την πρόληψη σημαντικού περιστατικού ή για την αντιμετώπιση συνεχιζόμενου σημαντικού περιστατικού, ή σε περίπτωση που η γνωστοποίηση του σημαντικού περιστατικού είναι προς το δημόσιο συμφέρον, η Αρχή και κατά περίπτωση οι αρμόδιες αρχές ή οι CSIRTs άλλων ενδιαφερόμενων κρατών μελών, μπορούν, κατόπιν διαβούλευσης με την επηρεαζόμενη οντότητα, να ενημερώσουν το κοινό σχετικά με το σημαντικό περιστατικό ή να απαιτήσουν από την εν λόγω οντότητα να το πράξει.
(8) Η Αρχή, ως ενιαίο σημείο επαφής διαβιβάζει κατά περίπτωση, τις κοινοποιήσεις που λαμβάνονται σύμφωνα με το εδάφιο (1) στα ενιαία σημεία επαφής άλλων επηρεαζόμενων κρατών μελών.
(9)(α) Η Αρχή υποβάλλει στον ENISA ανά τρεις (3) μήνες συνοπτική έκθεση, η οποία περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται δυνάμει των διατάξεων του εδαφίου (1) και των διτάξεων του άρθρου 42 του παρόντος Νόμου.
(β) Η Αρχή λαμβάνει υπόψη τυχόν τεχνικές οδηγίες που εκδίδει ο ENISA σχετικά με τις παραμέτρους των πληροφοριών που πρέπει να περιλαμβάνονται στη συνοπτική έκθεση.
(10) Η Αρχή παρέχει στην αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων πληροφορίες σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται δυνάμει των διατάξεων του εδαφίου (1) και των διατάξεων του άρθρου 42 από οντότητες που προσδιορίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων.
(11) Η Αρχή εφαρμόζει τις εκτελεστικές πράξεις που εκδίδει η Επιτροπή σύμφωνα με τις διατάξεις της παραγράφου (11) του άρθρου 23 της Οδηγίας (ΕΕ) 2022/2555.
(12)(α) Σε περίπτωση κατά την οποία, οι διατάξεις τομεακής νομικής πράξης της Ένωσης απαιτούν από βασικές ή σημαντικές οντότητες να συμμορφωθούν με υποχρεώσεις κοινοποίησης οι οποίες τουλάχιστον ισοδύναμου αποτελέσματος με τις υποχρεώσεις κοινοποίησης που ορίζονται στον παρόντα Νόμο, διασφαλίζεται η συνοχή και η αποτελεσματικότητα του χειρισμού των κοινοποιήσεων περιστατικών.
(β) Για τον σκοπό αυτό, οι διατάξεις της τομεακής νομικής πράξης της Ένωσης για την κοινοποίηση περιστατικών οφείλουν όπως παρέχουν στην Αρχή άμεση πρόσβαση στις κοινοποιήσεις περιστατικών που υποβάλλονται σύμφωνα με την τομεακή νομική πράξη της Ένωσης και ειδικότερα, η εν λόγω άμεση πρόσβαση μπορεί να διασφαλιστεί εάν οι κοινοποιήσεις περιστατικών διαβιβάζονται αμελλητί στην Αρχή.
(γ) Κατά περίπτωση, η Αρχή οφείλει να θεσπίσει μηχανισμό αυτόματης και άμεσης αναφοράς που να διασφαλίζει τη συστηματική και άμεση ανταλλαγή πληροφοριών σχετικά με τον χειρισμό των εν λόγω κοινοποιήσεων περιστατικών.
(δ) Για τους σκοπούς της απλούστευσης της κοινοποίησης και της εφαρμογής του μηχανισμού αυτόματης και άμεσης υποβολής αναφορών, η Αρχή δύναται, σύμφωνα με την τομεακή νομική πράξη της Ένωσης, να χρησιμοποιεί ενιαίο σημείο εισόδου.