19.-(1) Για τη διασφάλιση της καλύτερης ενάσκησης των αρμοδιοτήτων και εξουσιών της, η Αρχή, συμμορφούμενη με την αρχή της αναλογικότητας, με αιτιολογημένο αίτημα, έχει την εξουσία να απαιτεί από-
(α) τους παροχείς ψηφιακών υπηρεσιών να της παρέχουν τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας, και να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης, οι δε ζητούμενες πληροφορίες χρησιμοποιούνται και διατηρούνται από την Αρχή για τη διασφάλιση της συμμόρφωσης των παροχέων ψηφιακών υπηρεσιών με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών που εκδίδονται δυνάμει του παρόντος Νόμου και τις διατάξεις των Αποφάσεων της Αρχής που εκδίδονται για εφαρμογή των διατάξεων του παρόντος Νόμου,
(β) τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και τους φορείς κρίσιμων υποδομών πληροφοριών να παρέχουν τις απαιτούμενες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών, συμπεριλαμβανομένων, μεταξύ άλλων, τεκμηριωμένων πολιτικών ασφάλειας ή/και στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που να έχει διενεργηθεί είτε από την ίδια είτε από εξουσιοδοτημένο επιθεωρητή και στη δεύτερη αυτή περίπτωση να θέτουν τα αποτελέσματά τους, καθώς και τα σχετικά στοιχεία στη διάθεσή της και οι ζητούμενες πληροφορίες χρησιμοποιούνται και διατηρούνται από την ίδια για τη διασφάλιση της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και τους φορείς κρίσιμων υποδομών πληροφοριών με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών που εκδίδονται δυνάμει του παρόντος Νόμου και τις διατάξεις των Αποφάσεων της Αρχής που εκδίδονται για εφαρμογή των διατάξεων του παρόντος Νόμου,
(γ) τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών πληροφορίες που χρησιμοποιούνται και διατηρούνται για τη διασφάλιση της συμμόρφωσής τους με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών και των Αποφάσεων που εκδίδονται προς εφαρμογή των διατάξεων του παρόντος Νόμου και πληροφορίες που είναι απαραίτητες για τη διερεύνηση και διαχείριση περιστατικών παραβίασης ασφάλειας δικτύων και συστημάτων πληροφοριών κυβερνοασφάλειας:
(2)(α) Πρόσωπα από τα οποία ζητείται να υποβάλουν πληροφορίες σύμφωνα με τις διατάξεις του εδαφίου (1) οφείλουν να ανταποκρίνονται έγκαιρα και να παρέχουν τις λεπτομέρειες και πληροφορίες που ζητά η Αρχή.
(β) Κάθε φορέας εκμετάλλευσης βασικών υπηρεσιών ή/και φορέας κρίσιμων υποδομών πληροφοριών, κάθε παροχέας δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών και κάθε παροχέας ψηφιακών υπηρεσιών παρέχει στην Αρχή κάθε πληροφορία, όπως ορίζεται στις διατάξεις του εδαφίου (1), κατόπιν αιτιολογημένου αιτήματος της Αρχής και σύμφωνα με το χρονοδιάγραμμα και το εύρος λεπτομέρειας που ορίζονται στο σχετικό αίτημα.
(γ) Σε περίπτωση μη συμμόρφωσης ενός προσώπου με το σχετικό αίτημα της Αρχής για την παροχή πληροφοριών σύμφωνα με τις διατάξεις του παρόντος άρθρου, επιβάλλεται διοικητικό πρόστιμο ύψους έως πέντε χιλιάδες ευρώ (€5.000)
(δ) Η Αρχή, κατόπιν αιτιολογημένου αιτήματος από την Επιτροπή, παρέχει σε αυτήν τις απαραίτητες πληροφορίες σχετικά με την ενάσκηση των καθηκόντων της και οι απαιτούμενες πληροφορίες είναι ανάλογες προς τον σκοπό υλοποίησης των καθηκόντων αυτών.
(ε)(i) Με την επιφύλαξη του Άρθρου 346 της Συνθήκης για τη Λειτουργία της ΕΕ, πληροφορίες που είναι απόρρητες, σύμφωνα με ενωσιακούς και εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές μόνο εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή των διατάξεων του παρόντος Νόμου και της Οδηγίας 2016/1148/ΕΕ.
(ii) Οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής.
(iii) Η εν λόγω ανταλλαγή πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παροχέων ψηφιακών υπηρεσιών.
(3)(α) Η Αρχή διαφυλάττει και δέχεται ως εμπιστευτική κάθε πληροφορία που παρέχεται από πρόσωπο που κατηγοριοποιείται από αυτό ως εμπιστευτική, εκτός από τις περιπτώσεις που η Αρχή έχει βάσιμους λόγους να κρίνει διαφορετικά.
(β) Η Αρχή δεν αποκαλύπτει πληροφορίες που καλύπτονται από υποχρέωση επαγγελματικού απορρήτου και συγκεκριμένα πληροφορίες αναφορικά με φορείς κρίσιμων υποδομών πληροφοριών, φορείς εκμετάλλευσης βασικών υπηρεσιών και παροχείς ψηφιακών υπηρεσιών ή και παροχείς δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, τις επαγγελματικές τους σχέσεις ή την τιμολόγησή τους και η απαγόρευση αυτή τελεί υπό την επιφύλαξη του δικαιώματος της Αρχής να αποκαλύπτει πληροφορίες όπου αυτό είναι θεμελιώδες, προς το σκοπόν εκπλήρωσης των καθηκόντων της:
20.-(1) Η Αρχή έχει εξουσία να:
(α) Επιτηρεί τη συμμόρφωση με τις υποχρεώσεις που επιβάλλουν οι διατάξεις του παρόντος Νόμου και/ή οι διατάξεις των Αποφάσεων που εκδίδονται δυνάμει των διατάξεων του παρόντος Νόμου, σε φορείς εκμετάλλευσης βασικών υπηρεσιών, φορείς κρίσιμων υποδομών πληροφοριών, παροχείς ψηφιακών υπηρεσιών και παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών,
(β) απαιτεί από οποιονδήποτε φορέα εκμετάλλευσης βασικών υπηρεσιών, φορέα κρίσιμων υποδομών πληροφοριών, φορέα ψηφιακών υπηρεσιών ή από παροχέα δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών ή άλλο πρόσωπο, οποιαδήποτε πληροφορία, την οποία δυνατό να κρίνει ευλόγως ως αναγκαία, για σκοπούς άσκησης των αρμοδιοτήτων και εξουσιών της και εκτέλεσης των καθηκόντων της, συμπεριλαμβανομένων πληροφοριών που πηγάζουν από την τοποθέτηση αισθητήρων, με σκοπό τον εντοπισμό κακόβουλων λογισμικών, σε εσωτερικά δίκτυα ή/και σε εξωτερικά δίκτυα:
(γ) καθορίζει με Απόφασή της μέτρα ψηφιακής ασφάλειας και διαδικασίες κοινοποίησης παραβιάσεων ψηφιακής ασφάλειας και επιτηρεί τη συμμόρφωση με αυτά και, όπου αυτό είναι αναγκαίο, διατάσσει τη λήψη διορθωτικών μέτρων,
(δ) εκδίδει οποιεσδήποτε Αποφάσεις είναι αναγκαίες για εξασφάλιση συμμόρφωσης με τις διατάξεις του παρόντος Νόμου,
(ε) επιβάλλει διοικητικά πρόστιμα σε φορείς εκμετάλλευσης βασικών υπηρεσιών ή κρίσιμων υποδομών πληροφοριών, ή σε παροχείς ψηφιακών υπηρεσιών ή σε παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών για παράβαση των διατάξεων του παρόντος Νόμου ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,
(στ) κλητεύει και εξαναγκάζει, κατά τον καθορισμένο σε Απόφαση τρόπο, την παρουσία μαρτύρων σε έρευνες.
(2) Ο Επίτροπος εξουσιοδοτεί οποιονδήποτε υπάλληλο της Αρχής όπως αυτός εισέρχεται, επιθεωρεί, ερευνά, διενεργεί έλεγχο, καθ’ οιονδήποτε εύλογο χρόνο, σε οποιονδήποτε χώρο, υποστατικό ή όχημα, εξαιρουμένου οποιουδήποτε χώρου χρησιμοποιείται ως κατοικία, τα οποία χρησιμοποιούνται για την παροχή οποιωνδήποτε δικτύων και συστημάτων ηλεκτρονικών επικοινωνιών, την παροχή/διαχείριση κρίσιμων υποδομών πληροφοριών/βασικών υπηρεσιών πληροφοριών ή και ψηφιακών υπηρεσιών, σύμφωνα με τις διατάξεις του παρόντος Νόμου, και συλλέγει στοιχεία τα οποία ενδεχομένως να χρησιμοποιηθούν για αποδεικτικούς σκοπούς ή οποιαδήποτε δικαστική διαδικασία αναφορικά με οποιαδήποτε παράβαση ή παράλειψη συμμόρφωσης με τις διατάξεις του παρόντος Νόμου ή των προνοιών των Κανονισμών ή των Αποφάσεων που εκδίδονται δυνάμει αυτού.
(3) Πρόσωπο το οποίο, αυτοπροσώπως ή διά υπαλλήλου του ή άλλου εκπροσώπου του, παρακωλύει ή παρεμποδίζει υπάλληλο της Αρχής να ασκήσει οποιοδήποτε από τα καθήκοντά του, σύμφωνα με τις διατάξεις του εδαφίου (2), είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους έξι (6) μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις οκτώ χιλιάδες ευρώ (€8.000) ή/και στις δύο αυτές ποινές.
21.-(1) Πριν από την έκδοση Απόφασης δυνάμει των διατάξεων της παραγράφου (δ) του εδαφίου (1) του άρθρου 20, ειδοποιείται οποιοδήποτε πρόσωπο το οποίο κατά τη γνώμη της Αρχής επηρεάζεται ή είναι δυνατό να επηρεαστεί από την Απόφαση και παρέχεται σε αυτό η ευκαιρία να ακουστεί εντός δέκα (10) εργάσιμων ημερών από την ειδοποίηση περί της έκδοσης Απόφασης:
(2) Μετά από ακρόαση, σύμφωνα με τις διατάξεις του εδαφίου (1), ο Επίτροπος εκδίδει και κοινοποιεί το ταχύτερο δυνατόν σε κάθε ενδιαφερόμενο την τελική του Απόφαση.
22. Πρόσωπο, το οποίο χωρίς εύλογη αιτία παραλείπει να συμμορφωθεί με τις διατάξεις του άρθρου 21 διαπράττει ποινικό αδίκημα και, σε περίπτωση καταδίκης, τιμωρείται με ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή με χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή και στις δύο αυτές ποινές.
23.-(1) Η Αρχή δύναται αυτεπάγγελτα, να διεξαγάγει έρευνα για τις δραστηριότητες και λειτουργίες οποιουδήποτε φορέα εκμετάλλευσης βασικών υπηρεσιών/κρίσιμων υποδομών πληροφοριών, παροχέα ψηφιακών υπηρεσιών και παροχέα δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών οι οποίες κρίνεται ότι δεν συνάδουν με τις διατάξεις και με την εφαρμογή του παρόντος Νόμου και κατ’ ακολουθία να προβαίνει σε συστάσεις και να εκδίδει Αποφάσεις, όπως κατά τη γνώμη της, είναι πρόσφορο.
(2) Για τους σκοπούς διεξαγωγής έρευνας σύμφωνα με το εδάφιο (1), η Αρχή δύναται να-
(α)κλητεύει μάρτυρες και ενδιαφερόμενα μέρη κατά τον καθορισμένο σε Απόφαση ή Κανονισμούς τρόπο, προσάγει, παρουσιάζει και καταθέτει έγγραφα, βιβλία, σχέδια και αρχεία,
(β) εξετάζει μάρτυρες και ενδιαφερόμενα μέρη.
(3) Πρόσωπο διαπράττει ποινικό αδίκημα, όταν-
(α) χωρίς εύλογη αιτία παραλείπει ή αρνείται συμμόρφωση με κλήση να παραστεί ενώπιον της Αρχής ή να προσαγάγει, παρουσιάσει ή καταθέσει οποιοδήποτε έγγραφο, βιβλίο, σχέδιο ή αρχείο, ή
(β) ενώ είναι μάρτυρας, αρνείται χωρίς εύλογη αιτία να απαντήσει σε οποιοδήποτε εύλογο ερώτημα του υποβάλλεται:
(4) Πρόσωπο το οποίο καταδικάζεται για διάπραξη ποινικού αδικήματος κατά παράβαση των διατάξεων των παραγράφων (α) ή/και (β) του εδαφίου (3), υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή/και στις δύο αυτές ποινές.
(5) Οποιοδήποτε πρόσωπο δύναται να εκπροσωπείται ενώπιον της Αρχής διά δικηγόρου και να καλεί, κατά τον καθορισμένο σε Απόφαση τρόπο, οποιουσδήποτε μάρτυρες.
(6) Ο Επίτροπος ή εξουσιοδοτημένος από αυτόν λειτουργός της Αρχής διεξάγει την οποιαδήποτε ενώπιον της Αρχής διαδικασία και έχει εξουσία περιστολής ή καταστολής καταχρήσεως της διαδικασίας ενώπιόν της.
24.-(α) Η Αρχή δύναται να έχει διαβουλεύσεις με εκπροσώπους της Δημοκρατίας, με φορείς εκμετάλλευσης βασικών υπηρεσιών, με παροχείς ψηφιακών υπηρεσιών, με φορείς κρίσιμων υποδομών ή παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών και με οποιαδήποτε άλλα πρόσωπα ή οργανισμούς, όπως η Αρχή εκάστοτε κρίνει σκόπιμο.
(β) Η διαδικασία διενέργειας διαβουλεύσεων δύναται να ρυθμιστεί με σχετική Απόφαση της Αρχής.
(γ) Η Αρχή σε σχέση με την εφαρμογή των αρμοδιοτήτων και εξουσιών της δύναται, όταν κρίνει σκόπιμο, να διεξαγάγει δημόσιες ακροάσεις και η διαδικασία διενέργειας δημόσιων ακροάσεων δύναται να ρυθμιστεί με σχετική Απόφαση της Αρχής.
(δ) Η Αρχή δύναται να εκδώσει Απόφαση με την οποία να καθορίζει τη διαδικασία ακρόασης προσώπων, ιδίως σε περιπτώσεις επιβολής διοικητικών προστίμων ή/και άλλων διοικητικών κυρώσεων.
25. Η Αρχή δύναται να εγκαθιδρύσει συμβουλευτικά σώματα για να τη συμβουλεύσουν επί τοιούτων ζητημάτων, όπως θέλει εκάστοτε κρίνει σκόπιμο, να διορίζει τα μέλη αυτών και να καταβάλλει τα συνεπαγόμενα έξοδα από το Ταμείο της Αρχής.
26.-(α) Η Αρχή δύναται, δυνάμει των εξουσιών της και ιδίως κατόπιν αιτήματος από ενδιαφερόμενο φορέα/παροχέα ή οργανισμό, να λαμβάνει προσωρινά μέτρα, συμπεριλαμβανομένης της έκδοσης προσωρινής Απόφασης, ιδίως σε περιπτώσεις που υπάρχει ενδεχόμενο κινδύνου για την ασφάλεια δικτύων και συστημάτων πληροφοριών.
(β) Σε αυτές τις περιπτώσεις η Αρχή ζητά από τα επηρεαζόμενα μέρη να διατυπώσουν τις απόψεις τους, εντός δέκα (10) εργάσιμων ημερών από την έκδοση Απόφασης, αναφορικά με το αν η Απόφαση πρέπει να ανακληθεί η τροποποιηθεί.
(γ) Μετά από ακρόαση η Αρχή εκδίδει και κοινοποιεί το ταχύτερο δυνατό την τελική της Απόφαση.