Ο περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμος του 2020 (89(I)/2020)

19.-(1) Για τη διασφάλιση της καλύτερης ενάσκησης των αρμοδιοτήτων και εξουσιών της, η Αρχή, συμμορφούμενη με την αρχή της αναλογικότητας, με αιτιολογημένο αίτημα, έχει την εξουσία να απαιτεί από-

(α) τους παροχείς ψηφιακών υπηρεσιών να της παρέχουν τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας, και να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης, οι δε ζητούμενες πληροφορίες χρησιμοποιούνται και διατηρούνται από την Αρχή για τη διασφάλιση της συμμόρφωσης των παροχέων ψηφιακών υπηρεσιών με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών που εκδίδονται δυνάμει του παρόντος Νόμου και τις διατάξεις των Αποφάσεων της Αρχής που εκδίδονται για εφαρμογή των διατάξεων του παρόντος Νόμου,

(β) τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και τους φορείς κρίσιμων υποδομών πληροφοριών να παρέχουν τις απαιτούμενες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών, συμπεριλαμβανομένων, μεταξύ άλλων, τεκμηριωμένων πολιτικών ασφάλειας ή/και στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που να έχει διενεργηθεί είτε από την ίδια είτε από εξουσιοδοτημένο επιθεωρητή και στη δεύτερη αυτή περίπτωση να θέτουν τα αποτελέσματά τους, καθώς και τα σχετικά στοιχεία στη διάθεσή της και οι ζητούμενες πληροφορίες χρησιμοποιούνται και διατηρούνται από την ίδια για τη διασφάλιση της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και τους φορείς κρίσιμων υποδομών πληροφοριών με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών που εκδίδονται δυνάμει του παρόντος Νόμου και τις διατάξεις των Αποφάσεων της Αρχής που εκδίδονται για εφαρμογή των διατάξεων του παρόντος Νόμου,

(γ) τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών πληροφορίες που χρησιμοποιούνται και διατηρούνται για τη διασφάλιση της συμμόρφωσής τους με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών και των Αποφάσεων που εκδίδονται προς εφαρμογή των διατάξεων του παρόντος Νόμου και πληροφορίες που είναι απαραίτητες για τη διερεύνηση και διαχείριση περιστατικών παραβίασης ασφάλειας δικτύων και συστημάτων πληροφοριών κυβερνοασφάλειας:

Νοείται ότι, πληροφορίες που εξασφαλίζονται από την Αρχή, σύμφωνα με τις διατάξεις του παρόντος εδαφίου, αφορούν την προαγωγή των σκοπών που αναφέρονται στις διατάξεις των άρθρων 15 και 16 και στην εκτέλεση των αρμοδιοτήτων, εξουσιών και καθηκόντων της Αρχής που αναφέρονται στις διατάξεις του άρθρου 17 και δεν δύναται να χρησιμοποιηθούν για οποιοδήποτε σκοπό άλλον από εκείνον για τον οποίο είχαν ζητηθεί.

(2)(α) Πρόσωπα από τα οποία ζητείται να υποβάλουν πληροφορίες σύμφωνα με τις διατάξεις του εδαφίου (1) οφείλουν να ανταποκρίνονται έγκαιρα και να παρέχουν τις λεπτομέρειες και πληροφορίες που ζητά η Αρχή.

(β) Κάθε φορέας εκμετάλλευσης βασικών υπηρεσιών ή/και φορέας κρίσιμων υποδομών πληροφοριών, κάθε παροχέας δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών και κάθε παροχέας ψηφιακών υπηρεσιών παρέχει στην Αρχή κάθε πληροφορία, όπως ορίζεται στις διατάξεις του εδαφίου (1), κατόπιν αιτιολογημένου αιτήματος της Αρχής και σύμφωνα με το χρονοδιάγραμμα και το εύρος λεπτομέρειας που ορίζονται στο σχετικό αίτημα.

(γ) Σε περίπτωση μη συμμόρφωσης ενός προσώπου με το σχετικό αίτημα της Αρχής για την παροχή πληροφοριών σύμφωνα με τις διατάξεις του παρόντος άρθρου, επιβάλλεται διοικητικό πρόστιμο ύψους έως πέντε χιλιάδες ευρώ (€5.000)

(δ) Η Αρχή, κατόπιν αιτιολογημένου αιτήματος από την Επιτροπή, παρέχει σε αυτήν τις απαραίτητες πληροφορίες σχετικά με την ενάσκηση των καθηκόντων της και οι απαιτούμενες πληροφορίες είναι ανάλογες προς τον σκοπό υλοποίησης των καθηκόντων αυτών.

(ε)(i) Με την επιφύλαξη του Άρθρου 346 της Συνθήκης για τη Λειτουργία της ΕΕ, πληροφορίες που είναι απόρρητες, σύμφωνα με ενωσιακούς και εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές μόνο εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή των διατάξεων του παρόντος Νόμου και της Οδηγίας 2016/1148/ΕΕ.

(ii) Οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής.

(iii) Η εν λόγω ανταλλαγή πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παροχέων ψηφιακών υπηρεσιών.

(3)(α) Η Αρχή διαφυλάττει και δέχεται ως εμπιστευτική κάθε πληροφορία που παρέχεται από πρόσωπο που κατηγοριοποιείται από αυτό ως εμπιστευτική, εκτός από τις περιπτώσεις που η Αρχή έχει βάσιμους λόγους να κρίνει διαφορετικά.

(β) Η Αρχή δεν αποκαλύπτει πληροφορίες που καλύπτονται από υποχρέωση επαγγελματικού απορρήτου και συγκεκριμένα πληροφορίες αναφορικά με φορείς κρίσιμων υποδομών πληροφοριών, φορείς εκμετάλλευσης βασικών υπηρεσιών και παροχείς ψηφιακών υπηρεσιών ή και παροχείς δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, τις επαγγελματικές τους σχέσεις ή την τιμολόγησή τους και η απαγόρευση αυτή τελεί υπό την επιφύλαξη του δικαιώματος της Αρχής να αποκαλύπτει πληροφορίες όπου αυτό είναι θεμελιώδες, προς το σκοπόν εκπλήρωσης των καθηκόντων της:

Νοείται ότι, σε μια τέτοια περίπτωση, οποιαδήποτε αποκάλυψη είναι αναλογική και λαμβάνει υπόψη τα νόμιμα συμφέροντα των προσώπων προς διασφάλιση των επιχειρηματικών τους μυστικών.