2Α.-(1)(α) Ο παρών Νόμος εφαρμόζεται σε δημόσιες ή ιδιωτικές οντότητες ο τύπος των οποίων αναφέρεται στο Παράρτημα Ι ή ΙΙ, οι οποίες, δυνάμει του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ, χαρακτηρίζονται ως μεσαίες επιχειρήσεις ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που αναφέρονται στο εν λόγω άρθρο και οι οποίες παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της Ένωσης.
(β) Η παράγραφος 4 του άρθρου 3 του Παραρτήματος της Σύστασης 2003/361/ΕΚ δεν εφαρμόζεται για τους σκοπούς του παρόντος Νόμου.
(2) O παρών Νόμος εφαρμόζεται και στο είδος οντοτήτων που αναφέρονται στο Παράρτημα Ι ή ΙΙ, ανεξαρτήτως του μεγέθους τους, εφόσον-
(α) οι υπηρεσίες παρέχονται από-
(i) παροχείς δημόσιων δικτύων ηλεκτρονικών επικοι-νωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρο-νικών επικοινωνιών·
(ii) παροχείς υπηρεσιών εμπιστοσύνης· και
(iii) μητρώα ονομάτων τομέα ανωτάτου επιπέδου (μητρώο ονομάτων TLD) και παροχείς υπηρεσιών συστήματος ονομάτων τομέα (παροχέας υπηρεσιών DNS)·
(β) η οντότητα είναι ο μοναδικός παροχέας στη Δημοκρατία, υπηρεσίας η οποία είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων·
(γ) η διατάραξη της υπηρεσίας που παρέχει η οντότητα θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία·
(δ) η διατάραξη της υπηρεσίας που παρέχεται από την οντότητα θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, ιδίως για τομείς στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο·
(ε) η οντότητα είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη Δημοκρατία∙ και
(στ) η οντότητα είναι φορέας δημόσιας διοίκησης-
(i) της κεντρικής κυβέρνησης, όπως ορίζεται στον παρόντα Νόμο·
(ii) του ευρύτερου δημόσιου τομέα, ο οποίος, μετά από αξιολόγηση κινδύνου, παρέχει υπηρεσίες των οποίων η διατάραξη δύναται να έχει σημαντικό αντίκτυπο σε κρίσιμες κοινωνικές ή οικονομικές δραστηριότητες.
(3) Ανεξαρτήτως του μεγέθους των οντοτήτων, ο παρών Νόμος εφαρμόζεται σε οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων.
(4) Ανεξαρτήτως του μεγέθους των οντοτήτων, ο παρών Νόμος εφαρμόζεται σε οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα (domain name registration services).
(5) Τηρουμένων των διατάξεων του εδαφίου (7) του άρθρου 27, ο παρών Νόμος εφαρμόζεται σε οντότητες δημόσιας διοίκησης σε τοπικό επίπεδο και δύναται να εφαρμόζεται σε εκπαιδευτικά ιδρύματα, ειδικότερα δε όταν διεξάγουν κρίσιμες ερευνητικές δραστηριότητες.
(6) Οι διατάξεις της παραγράφου (β) του εδαφίου (2) του άρθρου 2 και οι διατάξεις του εδαφίου (4) του άρθρου 2 δεν εφαρμόζονται σε περίπτωση κατά την οποία μια οντότητα ενεργεί ως παροχέας υπηρεσιών εμπιστοσύνης.
(7) Οι υποχρεώσεις που προβλέπονται στον παρόντα Νόμο δεν περιλαμβάνουν την παροχή πληροφοριών, η γνωστοποίηση των οποίων δεν συνάδει με τα ουσιώδη συμφέροντα εθνικής ασφάλειας, δημόσιας τάξης ή άμυνας της Δημοκρατίας.
(8) Οι οντότητες και η Αρχή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στον βαθμό που είναι αναγκαίο για τους σκοπούς του παρόντος Νόμου και σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, και ειδικότερα η εν λόγω επεξεργασία βασίζεται στο άρθρο 6 του εν λόγω Κανονισμού:
(9) Σε περίπτωση κατά την οποία, οι τομεακές νομικές πράξεις της Ένωσης απαιτούν από βασικές ή σημαντικές οντότητες να εγκρίνουν μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας ή να κοινοποιούν σημαντικά περιστατικά και σε περίπτωση που οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο, οι σχετικές διατάξεις του παρόντος Νόμου, συμπεριλαμβανομένων των διατάξεων για την εποπτεία και την επιβολή που προβλέπονται στα άρθρα 36, 36Α και 36Β, δεν εφαρμόζονται στις εν λόγω οντότητες και όταν οι τομεακές νομικές πράξεις της Ένωσης δεν καλύπτουν όλες τις οντότητες σε συγκεκριμένο τομέα που εμπίπτει στο πεδίο εφαρμογής του παρόντος Νόμου, οι σχετικές διατάξεις του παρόντος Νόμου εξακολουθούν να εφαρμόζονται στις οντότητες που δεν καλύπτονται από τις εν λόγω τομεακές νομικές πράξεις της Ένωσης.
(10) Οι απαιτήσεις που αναφέρονται στο εδάφιο (9) θεωρούνται ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο σε περίπτωση που-
(α) τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνο-ασφάλειας είναι τουλάχιστον ισοδύναμα ως προς το αποτέλεσμα με εκείνα τα μέτρα τα οποία προβλέπονται στα εδάφια (1) και (2) του άρθρου 35· ή
(β) η τομεακή νομική πράξη της Ένωσης προβλέπει άμεση πρόσβαση, κατά περίπτωση αυτόματη και απευθείας, στις κοινοποιήσεις περιστατικών από τις CSIRT, τις αρμόδιες αρχές ή τα ενιαία σημεία επαφής δυνάμει των διατάξεων του παρόντος Νόμου και εάν οι απαιτήσεις για την κοινοποίηση σημαντικών περιστατικών είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με εκείνες τις απαιτήσεις που ορίζονται στα εδάφια (1) έως (6) του άρθρου 35Β.