ΜΕΡΟΣ ΕΚΤΟ ΕΞΑΣΦΑΛΙΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΑΛΛΕΣ ΕΞΟΥΣΙΕΣ, ΔΙΑΤΑΓΜΑΤΑ, ΑΠΟΦΑΣΕΙΣ, ΕΡΕΥΝΕΣ ΚΑΙ ΣΥΜΒΟΥΛΕΥΤΙΚΑ ΣΩΜΑΤΑ
Εξασφάλιση πληροφοριών

19.-(1) Για τη διασφάλιση της καλύτερης ενάσκησης των αρμοδιοτήτων και εξουσιών της, η Αρχή, συμμορφούμενη με την αρχή της αναλογικότητας, με αιτιολογημένο αίτημα, έχει την εξουσία να απαιτεί από-

(α1) τις βασικές ή/και σημαντικές οντότητες ή/και από τους παροχείς σταθερών και κινητών επικοινωνιών, όπως, τηρουμένων των διατάξεων των εδαφίων (2) και (3) του άρθρου 2 και εφόσον η Αρχή κρίνει σκόπιμο κατόπιν αιτήματος της Αστυνομίας ή/και της Κυπριακής Υπηρεσίας Πληροφοριών, παρέχουν στην Αρχή ή/και στην Αστυνομία ή/και στην Κυπριακή Υπηρεσία Πληροφοριών τις απαραίτητες πληροφορίες για σκοπούς δημόσιας τάξης και εθνικής ασφάλειας,

(β) τις βασικές ή/και σημαντικές οντότητες να παρέχουν τις απαιτούμενες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών, συμπεριλαμβανομένων, να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης ή/και να παρέχουν στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που να έχει διενεργηθεί είτε από την ίδια είτε από εξουσιοδοτημένο επιθεωρητή και στη δεύτερη αυτή περίπτωση να θέτουν τα αποτελέσματά τους, καθώς και τα σχετικά στοιχεία στη διάθεσή της και οι ζητούμενες πληροφορίες χρησιμοποιούνται και διατηρούνται από την ίδια για τη διασφάλιση της συμμόρφωσης των βασικών ή/και σημαντικών οντοτήτων με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών που εκδίδονται δυνάμει του παρόντος Νόμου και τις διατάξεις των Αποφάσεων της Αρχής που εκδίδονται για εφαρμογή των διατάξεων του παρόντος Νόμου:

Νοείται ότι, πληροφορίες που εξασφαλίζονται από την Αρχή, σύμφωνα με τις διατάξεις του παρόντος εδαφίου, αφορούν την προαγωγή των σκοπών που αναφέρονται στις διατάξεις των άρθρων 15 και 16 και στην εκτέλεση των αρμοδιοτήτων, εξουσιών και καθηκόντων της Αρχής που αναφέρονται στις διατάξεις του άρθρου 17 και δεν δύναται να χρησιμοποιηθούν για οποιοδήποτε σκοπό άλλον από εκείνον για τον οποίο είχαν ζητηθεί.

(2)(α) Πρόσωπα από τα οποία ζητείται να υποβάλουν πληροφορίες σύμφωνα με τις διατάξεις του παρόντος άρθρου οφείλουν να ανταποκρίνονται εντός καθορισμένης προθεσμίας, τηρουμένων των διατάξεων του άρθρου 18 και του εδαφίου (1) του άρθρου 19, και να παρέχουν τις λεπτομέρειες και πληροφορίες που ζητά η Αρχή.

(β) Κάθε βασική ή/και σημαντική οντότητα παρέχει στην Αρχή κάθε πληροφορία, όπως ορίζεται στις διατάξεις του εδαφίου (1), κατόπιν αιτιολογημένου αιτήματος της Αρχής και σύμφωνα με το χρονοδιάγραμμα και το εύρος λεπτομέρειας που ορίζονται στο σχετικό αίτημα.

(γ) Σε περίπτωση μη συμμόρφωσης ενός προσώπου με το σχετικό αίτημα της Αρχής για την παροχή πληροφοριών σύμφωνα με τις διατάξεις του παρόντος άρθρου, επιβάλλεται διοικητικό πρόστιμο ύψους έως πέντε χιλιάδες ευρώ (€5.000)

(δ) Η Αρχή, κατόπιν αιτιολογημένου αιτήματος από την Επιτροπή, παρέχει σε αυτήν τις απαραίτητες πληροφορίες σχετικά με την ενάσκηση των καθηκόντων της και οι απαιτούμενες πληροφορίες είναι ανάλογες προς τον σκοπό υλοποίησης των καθηκόντων αυτών.

(ε) Με την επιφύλαξη του Άρθρου 346 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, πληροφορίες οι οποίες είναι εμπιστευτικές, σύμφωνα με ενωσιακούς ή εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές σύμφωνα με τον παρόντα Νόμο, μόνον εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή του παρόντος Νόμου και οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής, ώστε να διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των οικείων οντοτήτων.

(3)(α) Η Αρχή διαφυλάττει και δέχεται ως εμπιστευτική κάθε πληροφορία που παρέχεται από πρόσωπο που κατηγοριοποιείται από αυτό ως εμπιστευτική, εκτός από τις περιπτώσεις που η Αρχή για σκοπούς άσκησης των αρμοδιοτήτων της αποφασίζει διαφορετικά και οφείλει να τεκμηριώνει την Απόφασή της για αποκάλυψη της πληροφορίας.

(β) Η Αρχή δεν αποκαλύπτει πληροφορίες που καλύπτονται από υποχρέωση επαγγελματικού απορρήτου και συγκεκριμένα πληροφορίες αναφορικά με βασικές ή/και σημαντικές οντότητες, τις επαγγελματικές τους σχέσεις ή την τιμολόγησή τους και η απαγόρευση αυτή τελεί υπό την επιφύλαξη του δικαιώματος της Αρχής να αποκαλύπτει πληροφορίες όπου αυτό είναι θεμελιώδες, προς το σκοπόν εκπλήρωσης των καθηκόντων της:

Νοείται ότι, σε μια τέτοια περίπτωση, οποιαδήποτε αποκάλυψη είναι αναλογική και λαμβάνει υπόψη τα νόμιμα συμφέροντα των προσώπων προς διασφάλιση των επιχειρηματικών τους μυστικών.

Άλλες εξουσίες

20.-(1) Η Αρχή έχει εξουσία να:

(α) Επιτηρεί τη συμμόρφωση με τις υποχρεώσεις που επιβάλλουν οι διατάξεις του παρόντος Νόμου και/ή οι διατάξεις των Αποφάσεων που εκδίδονται δυνάμει των διατάξεων του παρόντος Νόμου, στις βασικές ή/και σημαντικές οντότητες,

(β) απαιτεί από οποιαδήποτε βασική ή/και σημαντική οντότητα ή άλλο πρόσωπο, οποιαδήποτε πληροφορία, την οποία δυνατό να κρίνει ευλόγως ως αναγκαία, για σκοπούς άσκησης των αρμοδιοτήτων και εξουσιών της και εκτέλεσης των καθηκόντων της, συμπεριλαμβανομένων πληροφοριών που πηγάζουν από την τοποθέτηση αισθητήρων, με σκοπό τον εντοπισμό κακόβουλων λογισμικών, σε εσωτερικά δίκτυα ή/και σε εξωτερικά δίκτυα, χωρίς επηρεασμό των διατάξεων των εδαφίων (4) και (5) του άρθρου 31Α:

Νοείται ότι, η τοποθέτηση αισθητήρων από την Αρχή σε εσωτερικά δίκτυα μπορεί να γίνει μόνο κατόπιν αιτήματος της βασικής ή/και σημαντικής οντότητας ή συναίνεσής της ή/και για λόγους εθνικής ασφάλειας, τηρουμένων των διατάξεων του εδαφίου (3) του άρθρου 15,

(γ) καθορίζει με Απόφασή της τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τις διαδικασίες κοινοποίησης περιστατικών ψηφιακής ασφάλειας  και επιτηρεί τη συμμόρφωση με αυτά και, όπου αυτό είναι αναγκαίο, διατάσσει τη λήψη διορθωτικών μέτρων,

(δ) εκδίδει οποιεσδήποτε Αποφάσεις είναι αναγκαίες για εξασφάλιση συμμόρφωσης με τις διατάξεις του παρόντος Νόμου,

(ε) επιβάλλει διοικητικά πρόστιμα στις βασικές ή/και σημαντικές οντότητες για παράβαση των διατάξεων του παρόντος Νόμου ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,

(στ) κλητεύει και εξαναγκάζει, κατά τον καθορισμένο σε Απόφαση τρόπο, την παρουσία μαρτύρων σε έρευνες.

(2) Ο Επίτροπος εξουσιοδοτεί οποιονδήποτε υπάλληλο της Αρχής όπως αυτός εισέρχεται, επιθεωρεί, ερευνά, διενεργεί έλεγχο, καθ’ οιονδήποτε εύλογο χρόνο, σε οποιονδήποτε χώρο, υποστατικό ή όχημα, εξαιρουμένου οποιουδήποτε χώρου χρησιμοποιείται ως κατοικία, τα οποία χρησιμοποιούνται για την παροχή οποιωνδήποτε υπηρεσιών από βασικές και σημαντικές οντότητες, σύμφωνα με τις διατάξεις του παρόντος Νόμου, και συλλέγει στοιχεία τα οποία ενδεχομένως να χρησιμοποιηθούν για αποδεικτικούς σκοπούς ή οποιαδήποτε δικαστική διαδικασία αναφορικά με οποιαδήποτε παράβαση ή παράλειψη συμμόρφωσης με τις διατάξεις του παρόντος Νόμου ή των προνοιών των Κανονισμών ή των Αποφάσεων που εκδίδονται δυνάμει αυτού.

(3) Πρόσωπο το οποίο, αυτοπροσώπως ή διά υπαλλήλου του ή άλλου εκπροσώπου του, παρακωλύει ή παρεμποδίζει υπάλληλο της Αρχής να ασκήσει οποιοδήποτε από τα καθήκοντά του, σύμφωνα με τις διατάξεις του εδαφίου (2), είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους έξι (6) μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις οκτώ χιλιάδες ευρώ (€8.000) ή/και στις δύο αυτές ποινές.

Έκδοση αποφάσεων

21.-(1) Πριν από την έκδοση Απόφασης δυνάμει των διατάξεων της παραγράφου (δ) του εδαφίου (1) του άρθρου 20, ειδοποιείται οποιοδήποτε πρόσωπο το οποίο κατά τη γνώμη της Αρχής επηρεάζεται ή είναι δυνατό να επηρεαστεί από την Απόφαση και παρέχεται σε αυτό η ευκαιρία να ακουστεί εντός δέκα (10) εργάσιμων ημερών από την ειδοποίηση περί της έκδοσης Απόφασης:

Νοείται ότι, η Αρχή δεν υποχρεούται να δώσει ειδοποίηση προ της έκδοσης Απόφασης σε περίπτωση επείγουσας φύσεως κατ’ απόλυτη κρίση της Αρχής, αλλά σε τέτοιες περιπτώσεις η Αρχή καλεί τον επηρεαζόμενο να εκφράσει απόψεις, εντός δέκα (10) εργάσιμων ημερών από την έκδοση της απόφασης, ως προς το γιατί η Απόφαση πρέπει να ανακληθεί ή τροποποιηθεί.

(2) Μετά από ακρόαση, σύμφωνα με τις διατάξεις του εδαφίου (1), ο Επίτροπος εκδίδει και κοινοποιεί το ταχύτερο δυνατόν σε κάθε ενδιαφερόμενο την τελική του Απόφαση.

Ποινικό αδίκημα

22. Πρόσωπο, το οποίο χωρίς εύλογη αιτία παραλείπει να συμμορφωθεί με τις διατάξεις του άρθρου 21 διαπράττει ποινικό αδίκημα και, σε περίπτωση καταδίκης, τιμωρείται με ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή με χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή και στις δύο αυτές ποινές.

Διεξαγωγή έρευνας

23.-(1) Η Αρχή δύναται αυτεπάγγελτα, να διεξαγάγει έρευνα για τις δραστηριότητες και λειτουργίες οποιασδήποτε βασικής ή/και σημαντικής οντότητας οι οποίες κρίνεται ότι δεν συνάδουν με τις διατάξεις και με την εφαρμογή του παρόντος Νόμου και κατ’ ακολουθία να προβαίνει σε συστάσεις και να εκδίδει Αποφάσεις, όπως κατά τη γνώμη της, είναι πρόσφορο.

(2) Για τους σκοπούς διεξαγωγής έρευνας σύμφωνα με το εδάφιο (1), η Αρχή δύναται να-

(α)κλητεύει μάρτυρες και ενδιαφερόμενα μέρη κατά τον καθορισμένο σε Απόφαση ή Κανονισμούς τρόπο, προσάγει, παρουσιάζει και καταθέτει έγγραφα, βιβλία, σχέδια και αρχεία,

(β) εξετάζει μάρτυρες και ενδιαφερόμενα μέρη.

(3) Πρόσωπο διαπράττει ποινικό αδίκημα, όταν-

(α) χωρίς εύλογη αιτία παραλείπει ή αρνείται συμμόρφωση με κλήση να παραστεί ενώπιον της Αρχής ή να προσαγάγει, παρουσιάσει ή καταθέσει οποιοδήποτε έγγραφο, βιβλίο, σχέδιο ή αρχείο, ή

(β) ενώ είναι μάρτυρας, αρνείται χωρίς εύλογη αιτία να απαντήσει σε οποιοδήποτε εύλογο ερώτημα του υποβάλλεται:

Νοείται ότι εν πάση περιπτώσει ουδείς είναι υπόχρεος να απαντήσει, εάν η απάντηση δυνατό να τον ενοχοποιεί σε σχέση με ποινικό αδίκημα ή εάν συνιστά παραβίαση του απορρήτου της επικοινωνίας δικηγόρου-πελάτη ή/και παρεμποδίζει ή διακόπτει την ενώπιον της Αρχής διαδικασία.

(4) Πρόσωπο το οποίο καταδικάζεται για διάπραξη ποινικού αδικήματος κατά παράβαση των διατάξεων των παραγράφων (α) ή/και (β) του εδαφίου (3), υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή/και στις δύο αυτές ποινές.

(5) Οποιοδήποτε πρόσωπο δύναται να εκπροσωπείται ενώπιον της Αρχής διά δικηγόρου και να καλεί, κατά τον καθορισμένο σε Απόφαση τρόπο, οποιουσδήποτε μάρτυρες.

(6) Ο Επίτροπος ή εξουσιοδοτημένος από αυτόν λειτουργός της Αρχής διεξάγει την οποιαδήποτε ενώπιον της Αρχής διαδικασία και έχει εξουσία περιστολής ή καταστολής καταχρήσεως της διαδικασίας ενώπιόν της.

Διαβουλεύσεις/Ακροάσεις

24.-(α) Η Αρχή δύναται να έχει διαβουλεύσεις με εκπροσώπους της Δημοκρατίας, με βασικές ή/και σημαντικές οντότητες και με οποιαδήποτε άλλα πρόσωπα ή οργανισμούς, όπως η Αρχή εκάστοτε κρίνει σκόπιμο.

(β) Η διαδικασία διενέργειας διαβουλεύσεων δύναται να ρυθμιστεί με σχετική Απόφαση της Αρχής.

(γ) Η Αρχή σε σχέση με την εφαρμογή των αρμοδιοτήτων και εξουσιών της δύναται, όταν κρίνει σκόπιμο, να διεξαγάγει δημόσιες ακροάσεις και η διαδικασία διενέργειας δημόσιων ακροάσεων δύναται να ρυθμιστεί με σχετική Απόφαση της Αρχής.

(δ) Η Αρχή δύναται να εκδώσει Απόφαση με την οποία να καθορίζει τη διαδικασία ακρόασης προσώπων, ιδίως σε περιπτώσεις επιβολής διοικητικών προστίμων ή/και άλλων διοικητικών κυρώσεων.

Διορισμός συμβουλευτικών σωμάτων

25. Η Αρχή δύναται να εγκαθιδρύσει συμβουλευτικά σώματα για να τη συμβουλεύσουν επί τοιούτων ζητημάτων, όπως θέλει εκάστοτε κρίνει σκόπιμο, να διορίζει τα μέλη αυτών και να καταβάλλει τα συνεπαγόμενα έξοδα από το Ταμείο της Αρχής.

Έκδοση προσωρινών μέτρων

26.-(α) Η Αρχή δύναται, δυνάμει των εξουσιών της και ιδίως κατόπιν αιτήματος από ενδιαφερόμενη βασική ή/και σημαντική οντότητα ή οργανισμό, να λαμβάνει προσωρινά μέτρα, συμπεριλαμβανομένης της έκδοσης προσωρινής Απόφασης, ιδίως σε περιπτώσεις που υπάρχει ενδεχόμενο κινδύνου για την ασφάλεια δικτύων και συστημάτων πληροφοριών.

(β) Σε αυτές τις περιπτώσεις η Αρχή ζητά από τα επηρεαζόμενα μέρη να διατυπώσουν τις απόψεις τους, εντός δέκα (10) εργάσιμων ημερών από την έκδοση Απόφασης, αναφορικά με το αν η Απόφαση πρέπει να ανακληθεί η τροποποιηθεί.

(γ) Μετά από ακρόαση η Αρχή εκδίδει και κοινοποιεί το ταχύτερο δυνατό την τελική της Απόφαση.