(1)(α) Ο Υφυπουργός καθορίζει το γενικό πλαίσιο πολιτικής σε σχέση με την ψηφιακή ασφάλεια δυνάμει των διατάξεων του άρθρου 16 και προωθεί στο Υπουργικό Συμβούλιο για έγκριση τη στρατηγική κυβερνοασφάλειας για την ετοιμασία της οποίας λαμβάνει σοβαρά υπόψη σχετική εισήγηση ή/και κατευθυντηρίες γραμμές της Αρχής.
(β) Το σχέδιο στρατηγικής κυβερνοασφάλειας προβλέπει τους στρατηγικούς στόχους, τους πόρους που απαιτούνται για την επίτευξη των εν λόγω στόχων, κατάλληλα μέτρα πολιτικής και ρυθμιστικά μέτρα με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας και περιλαμβάνει τουλάχιστον τα ακόλουθα:
(i) Στόχους και προτεραιότητες που καλύπτουν ιδίως τους τομείς που αναφέρονται στα Παραρτήματα I και II·
(ii) πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στην παράγραφο (α) του παρόντος εδαφίου, συμπεριλαμβανομένων των πολιτικών που αναφέρονται στο εδάφιο (2)·
(iii) πλαίσιο διακυβέρνησης που αποσαφηνίζει τους ρόλους και τις αρμοδιότητες των σχετικών ενδιαφερόμενων μερών σε εθνικό επίπεδο, το οποίο υποστηρίζει τη συνεργασία και το συντονισμό σε εθνικό επίπεδο με την Αρχή και των CSIRTs στη Δημοκρατία καθώς και τον συντονισμό και τη συνεργασία μεταξύ των εν λόγω φορέων και των αρμόδιων αρχών βάσει τομεακών νομικών πράξεων της Ένωσης·
(iv) μηχανισμό για τον προσδιορισμό των σχετικών πάγιων στοιχείων και εκτίμηση των κινδύνων σε εθνικό επίπεδο·
(v) προσδιορισμό των μέτρων για τη διασφάλιση της ετοιμότητας, της απόκρισης και της αποκατάστασης από περιστατικά, συμπεριλαμβανομένης της συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα·
(vi) κατάλογο των διαφόρων αρχών και ενδιαφερόμενων μερών που συμμετέχουν στην υλοποίηση της εθνικής στρατηγικής κυβερνοασφάλειας·
(vii) πλαίσιο πολιτικής για ενισχυμένο συντονισμό μεταξύ της Αρχής και της αρμόδιας αρχής στη Δημοκρατία για την ανθεκτικότητα των κρίσιμων οντοτήτων, για τον σκοπό της ανταλλαγής πληροφοριών σχετικά με κινδύνους, κυβερνοαπειλές και περιστατικά καθώς και σχετικά με κινδύνους, απειλές και περιστατικά εκτός κυβερνοχώρου και την άσκηση εποπτικών καθηκόντων, κατά περίπτωση· και
(viii) σχέδιο, συμπεριλαμβανομένων των αναγκαίων μέτρων, για την ενίσχυση του γενικού επιπέδου ευαισθητοποίησης και ενημέρωσης των πολιτών στον τομέα της κυβερνοασφάλειας.
(2) Στο πλαίσιο της εθνικής στρατηγικής κυβερνοασφάλειας και λαμβάνοντας υπόψη τις διατάξεις του άρθρου 16 η εθνική στρατηγική περιλαμβάνει τουλάχιστον τις ακόλουθες πολιτικές-
(α) αντιμετώπισης της κυβερνοασφάλειας στην αλυσίδα εφοδιασμού προϊόντων ΤΠΕ και υπηρεσιών ΤΠΕ που χρησιμοποιούνται από οντότητες για την παροχή των υπηρεσιών τους·
(β) συμπερίληψης και προσδιορισμού των σχετικών με την κυβερνοασφάλεια απαιτήσεων για τα προϊόντα ΤΠΕ και τις υπηρεσίες ΤΠΕ στις δημόσιες συμβάσεις, συμπεριλαμβανομένων των σχετικών με την πιστοποίηση της κυβερνοασφάλειας, την κρυπτογράφηση και τη χρήση προϊόντων κυβερνοασφάλειας ανοικτού κώδικα·
(γ) διαχείρισης ευπαθειών, συμπεριλαμβανομένης της προώθησης και της διευκόλυνσης της συντονισμένης γνωστοποίησης ευπαθειών δυνάμει των διατάξεων του εδαφίου (1) του άρθρου 31Β·
(δ) διατήρησης της γενικής διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας του δημόσιου πυρήνα του ανοικτού διαδικτύου, συμπεριλαμβανομένης, κατά περίπτωση, της κυβερνοασφάλειας των υποβρύχιων καλωδίων επικοινωνιών·
(ε) προώθησης της ανάπτυξης και της ενσωμάτωσης σχετικών προηγμένων τεχνολογιών με στόχο την εφαρμογή προηγμένων μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας·
(στ) προώθησης και ανάπτυξης της εκπαίδευσης και της κατάρτισης στην κυβερνοασφάλεια, τις δεξιότητες κυβερνοασφάλειας, την ευαισθητοποίηση και τις πρωτοβουλίες έρευνας και ανάπτυξης καθώς και καθοδήγηση σχετικά με ορθές πρακτικές και ελέγχους κυβερνοϋγιεινής (cyber hygiene practices and controls), με στόχο τους πολίτες, τα ενδιαφερόμενα μέρη και τις οντότητες·
(ζ) στήριξης ακαδημαϊκών και ερευνητικών ιδρυμάτων για την ανάπτυξη, την ενίσχυση και την προώθηση της ανάπτυξης εργαλείων κυβερνοασφάλειας και ασφαλών υποδομών δικτύου·
(η) συμπερίληψης σχετικών διαδικασιών και κατάλληλων εργαλείων ανταλλαγής πληροφοριών για τη στήριξη της εθελοντικής ανταλλαγής πληροφοριών για την κυβερνοασφάλεια μεταξύ οντοτήτων σύμφωνα με το ενωσιακό δίκαιο·
(θ) ενίσχυσης της κυβερνοανθεκτικότητας και της βάσης για την κυβερνοϋγιεινή (cyber hygiene baseline) των μικρών και μεσαίων επιχειρήσεων, ιδίως εκείνων που εξαιρούνται από το πεδίο εφαρμογής του παρόντος Νόμου με την παροχή εύκολα προσβάσιμης καθοδήγησης και συνδρομής για τις ειδικές ανάγκες τους· και
(ι) προώθησης της ενεργής κυβερνοπροστασίας (active cyber protection):
(3)(α) Η Αρχή αξιολογεί την εθνική στρατηγική κυβερνοασφάλειας σε τακτική βάση και τουλάχιστον κάθε τέσσερα (4) έτη με βάση βασικούς δείκτες επιδόσεων και εισηγείται την επικαιροποίησή της.
(β) Ο ENISA επικουρεί την Αρχή, κατόπιν αιτήματός της, στην ανάπτυξη ή την επικαιροποίηση της εθνικής στρατηγικής για την ασφάλεια στον κυβερνοχώρο και των βασικών δεικτών επιδόσεων για την αξιολόγηση της εν λόγω στρατηγικής, με σκοπό την ευθυγράμμισή της με τις απαιτήσεις και τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο.
(4)(α) Η Αρχή κοινοποιεί την εθνική στρατηγική κυβερνοασφάλειας στην Επιτροπή εντός τριών (3) μηνών από την έγκρισή της.
(β) Η Αρχή δύναται να εξαιρεί από την εν λόγω κοινοποίηση πληροφορίες που αφορούν εθνική ασφάλεια.
30.-(1) Η Αρχή η οποία ορίστηκε ως αρμόδια εθνική αρχή για την ασφάλεια των δικτύων και συστημάτων πληροφοριών, σύμφωνα με τις διατάξεις του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, συνεχίζει να είναι η αρμόδια αρχή για την κυβερνοασφάλεια, υπέχει τα καθήκοντα εποπτείας και επιβολής ως προνοούνται στις διατάξεις του παρόντος Νόμου και υπέχει τα καθήκοντα της αρχής διαχείρισης κυβερνοκρίσεων δυνάμει των διατάξεων του άρθρου 32Α.
(2) Η Αρχή η οποία ορίστηκε ως αρμόδια εθνική αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας, σύμφωνα με τις διατάξεις του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, και ως αρμόδια αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας συνεχίζει να είναι η αρμόδια εθνική αρχή για τον συντονισμό της εθνκής υλοποίησης της στρατηγικής κυβερνοασφάλειας.
(3) Η Αρχή παρακολουθεί την εφαρμογή των διατάξεων του παρόντος Νόμου στην Δημοκρατία.
(4) Η Αρχή ορίζεται ως εθνικό ενιαίο σημείο επαφής για την κυβερνοασφάλεια («ενιαίο σημείο επαφής»).
(5) Η Αρχή, ως ενιαίο σημείο επαφής, ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας της Δημοκρατίας με τις αρμόδιες αρχές των άλλων κρατών μελών, και κατά περίπτωση, με την Επιτροπή και τον ENISA, καθώς και για τη διασφάλιση διατομεακής συνεργασίας με άλλες αρμόδιες αρχές εντός της Δημοκρατίας.
(6) Η Αρχή διασφαλίζει ότι διαθέτει τις απαιτούμενες εξουσίες και επαρκείς πόρους για να επιτελεί αποτελεσματικά και αποδοτικά τα καθήκοντα που της ανατίθενται και να επιτυγχάνει, με τον τρόπο αυτόν, τους στόχους των διατάξεων του παρόντος Νόμου και μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία των εκπροσώπων της που ορίζονται στο πλαίσιο της ομάδας συνεργασίας.
(7) Προκειμένου να διασφαλιστεί η αποτελεσματική εκτέλεση των καθηκόντων και των υποχρεώσεων της Αρχής, ως αρμόδια αρχή και ως ενιαίο σημείο επαφής, η Αρχή διασφαλίζει, στο μέτρο του δυνατού, την κατάλληλη συνεργασία μεταξύ των αρμόδιων εθνικών αρχών επιβολής του νόμου, την Κυπριακή Υπηρεσία Πληροφοριών, τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, το Τμήμα Πολιτικής Αεροπορίας, των αρμοδίων αρχών δυνάμει του “Κανονισμού (ΕΕ) 2018/1139 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 4ης Ιουλίου 2018 για τη θέσπιση κοινών κανόνων στον τομέα της πολιτικής αεροπορίας και στην ίδρυση Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια της Αεροπορίας, και για την τροποποίηση των κανονισμών (ΕΚ) αριθ. 2111/2005, (εκ) αριθ. 1008/2008, (ΕΕ) αριθ. 996/2010, (εε) αριθ. 376/2014 και των οδηγιών 2014/30/ΕΕ και 2014/53/66 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και για την κατάργηση των κανονισμών (εκ) αριθ. 552/2004 και (εκ) αριθ. 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του κανονισμού (ΕΟΚ) αριθ. 3922/91 του Συμβουλίου”, του Τμήματος Ηλεκτρονικών Επικοινωνιών, τις αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554, του ΓΕΡΗΕΤ, την Κεντρική Τράπεζα της Κύπρου ως η εθνική μακροπροληπτική αρχή και της αρμόδιας αρχής της Δημοκρατίας για την ανθεκτικότητα των κρίσιμων οντοτήτων, καθώς και των αρμόδιων αρχών βάσει άλλων τομεακών νομικών πράξεων της Ένωσης, εντός της Δημοκρατίας.
31.-(1) Το εθνικό CSIRT συμμορφώνεται με τις απαιτήσεις που ορίζονται στο εδάφιο (1) του άρθρου 31Α, καλύπτει τουλάχιστον τους τομείς, τους υποτομείς και τους τύπους οντοτήτων που αναφέρονται στα Παραρτήματα Ι και ΙΙ και είναι υπεύθυνο για τον χειρισμό περιστατικών σύμφωνα με σαφώς καθορισμένη διαδικασία.
(2) Το εθνικό CSIRT διαθέτει κατάλληλη, ασφαλή και ανθεκτική υποδομή επικοινωνίας και πληροφοριών μέσω της οποίας ανταλλάσσει πληροφορίες με βασικές και σημαντικές οντότητες και άλλα σχετικά ενδιαφερόμενα μέρη και συμβάλλει στην ανάπτυξη ασφαλών εργαλείων ανταλλαγής πληροφοριών και κυβερνοασφάλειας.
(3) Η Αρχή διασφαλίζει ότι το εθνικό CSIRT διαθέτει επαρκείς πόρους για την αποτελεσματική εκτέλεση των καθηκόντων του, δυνάμει των διατάξεων του εδαφίου (4) του άρθρου 31Α.
(4) Το εθνικό CSIRT συνάπτει μνημόνια συνεργασίας με τα σχετικά ενδιαφερόμενα μέρη του ιδιωτικού τομέα, με σκοπό την επίτευξη των στόχων δυνάμει των διατάξεων του παρόντος Νόμου.
(5) Το εθνικό CSIRT συνεργάζεται και, κατά περίπτωση, ανταλλάσσει σχετικές πληροφορίες δυνάμει των διατάξεων του άρθρου 34Β με τομεακές ή διατομεακές κοινότητες βασικών και σημαντικών οντοτήτων.
(6) Η Αρχή μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία του εθνικού CSIRT στο πλαίσιο του Δικτύου CSIRT.
(7) Το εθνικό CSIRT συμμετέχει σε αξιολογήσεις από ομοτίμους δυνάμει των διατάξεων του άρθρου 34Α.
(8) Το εθνικό CSIRT δύναται να συνεργάζεται με Εθνικές Ομάδες Αντιμετώπισης Περιστατικών Ασφάλειας σε Υπολογιστές (CSIRTs) τρίτης χώρας ή με ισοδύναμους φορείς τρίτης χώρας, και όπου απαιτείται μέσω της Κυπριακής Υπηρεσίας Πληροφοριών ιδίως με σκοπό την παροχή συνδρομής στον τομέα της κυβερνοασφάλειας ή/και την εφαρμογή των διατάξεων της παραγράφου (λδ) του άρθρου 17:
(9) Η Αρχή δύναται να ζητά τη συνδρομή του ENISA για την ανάπτυξη του εθνικού και των τομεακών CSIRT.
(10)(α) Ο Κανονισμός (ΕΕ) 2022/2554 θεωρείται τομεακή νομική πράξη της Ένωσης σε σχέση με τον παρόντα Νόμο όσον αφορά τις οντότητες του χρηματοπιστωτικού τομέα.
(β) Αντί των διατάξεων που θεσπίζονται στον παρόντα Νόμο, εφαρμόζονται οι διατάξεις του Κανονισμού (ΕΕ) 2022/2554 σχετικά με τη διαχείριση κινδύνων της τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ), τη διαχείριση περιστατικών που σχετίζονται με τις ΤΠΕ και ιδίως την αναφορά σοβαρών περιστατικών ΤΠΕ, καθώς και σχετικά με τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, τις ρυθμίσεις ανταλλαγής πληροφοριών και τον κίνδυνο τρίτων παρόχων ΤΠΕ.
(γ) Οι διατάξεις του παρόντος Νόμου σχετικά με τις υποχρεώσεις διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και αναφοράς περιστατικών και την εποπτεία, καθώς και την επιβολή της νομοθεσίας δεν εφαρμόζονται για τις χρηματοπιστωτικές οντότητες που καλύπτονται από τον Κανονισμό (ΕΕ) 2022/2554.
(11) Οι αρμόδιες αρχές της Δημοκρατίας, δυνάμει των διατάξεων του Κανονισμού (ΕΕ) 2022/2554, αναμένεται να συνεργάζονται με το εθνικό CSIRT για ευρείας κλίμακας περιστατικά ή κυβερνοαπειλές που έχουν σημαντικό αντίκτυπο με στόχο να διευκολύνουν τη διατομεακή μάθηση και να συμβάλλουν στην πρόληψη και διαχείριση κυβερνοεπιθέσεων.
(12) Με σκοπό τη διατήρηση στενής σχέσης και ανταλλαγής πληροφοριών με τον χρηματοπιστωτικό τομέα, οι Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) και οι αρμόδιες αρχές δυνάμει των διατάξεων του Κανονισμού (ΕΕ) 2022/2554 δύναται να συμμετέχουν στις δραστηριότητες της Ομάδας Συνεργασίας, να ανταλλάσσουν πληροφορίες και να συνεργάζονται με την Αρχή.
31Α.-(1) Το εθνικό CSIRT συμμορφώνεται με τις ακόλουθες απαιτήσεις:
(α) εξασφαλίζει υψηλό επίπεδο διαθεσιμότητας των διαύλων επικοινωνίας του, αποφεύγοντας μοναδικά σημεία αστοχίας και διαθέτει διάφορους τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή, προσδιορίζει σαφώς τους διαύλους επικοινωνίας και τους γνωστοποιεί στις οντότητες που εποπτεύει η Αρχή και στους συνεργαζόμενους εταίρους·
(β) οι εγκαταστάσεις του εθνικού CSIRT και τα υποστηρικτικά πληροφοριακά συστήματα βρίσκονται σε ασφαλείς χώρους·
(γ) είναι εφοδιασμένο με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, ιδίως προκειμένου να διευκολύνεται η αποτελεσματική και αποδοτική παράδοση καθηκόντων·
(δ) διασφαλίζει την εμπιστευτικότητα και την αξιοπιστία των δραστηριοτήτων του·
(ε) είναι επαρκώς στελεχωμένο ώστε να διασφαλίζει τη διαθεσιμότητα των υπηρεσιών του ανά πάσα στιγμή και διασφαλίζει ότι το προσωπικό του είναι κατάλληλα καταρτισμένο·
(στ) είναι εξοπλισμένο με πλεονάζοντα συστήματα και εφεδρικό χώρο εργασίας για τη διασφάλιση της συνέχειας των υπηρεσιών του.
(2) Το εθνικό CSIRT δύναται να συμμετέχει σε διεθνή δίκτυα συνεργασίας.
(3)(α) Η Αρχή διασφαλίζει ότι το εθνικό CSIRT διαθέτει τις τεχνικές ικανότητες που απαιτούνται για την εκτέλεση των προβλεπόμενων στο εδάφιο (4) καθηκόντων.
(β) Η Αρχή διασφαλίζει ότι το εθνικό CSIRT διαθέτει επαρκείς πόρους ώστε να εξασφαλίζονται επαρκή επίπεδα στελέχωσης για να μπορεί να αναπτύξει τις τεχνικές του ικανότητες.
(4) Το εθνικό CSIRT είναι επιφορτισμένο με τα ακόλουθα καθήκοντα:
(α) Παρακολούθηση και ανάλυση κυβερνοαπειλών, ευπαθειών και περιστατικών σε εθνικό επίπεδο και, κατόπιν αιτήματος ή/και κατ’ εφαρμογή των διατάξεων του εδαφίου (3) άρθρου 15, παροχή συνδρομής σε επηρεαζόμενες βασικές και σημαντικές οντότητες σχετικά με την παρακολούθηση των συστημάτων δικτύου και πληροφοριών τους σε πραγματικό χρόνο ή σχεδόν σε πραγματικό χρόνο·
(β) παροχή έγκαιρων προειδοποιήσεων, ειδοποιήσεων, ανακοινώσεων και διάδοσης πληροφοριών σε εμπλεκό-μενες βασικές και σημαντικές οντότητες, καθώς και σε αρμόδιες αρχές, άλλα σχετικά ενδιαφερόμενα μέρη και άλλους ενδιαφερόμενους κατά την κρίση της Αρχής, σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά, εάν είναι δυνατόν, σε σχεδόν πραγματικό χρόνο·
(γ) αντιμετώπιση περιστατικών και παροχή συνδρομής στις επηρεαζόμενες βασικές και σημαντικές οντότητες, κατά περίπτωση·
(δ) συλλογή και ανάλυση δικανικών δεδομένων (forensic data) και δυναμική ανάλυση κινδύνων και περιστατικών και επίγνωση της κατάστασης σε θέματα κυβερνοασφάλειας·
(ε) παροχή, κατόπιν αιτήματος βασικής ή σημαντικής οντότητας, προληπτικής σάρωσης (proactive scanning) ή/και δοκιμών παρείσδυσης (penetration testing) των συστημάτων δικτύου και πληροφοριών της εν λόγω οντότητας για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο·
(στ) συμμετοχή στο Δίκτυο CSIRT και παροχή αμοιβαίας συνδρομής σύμφωνα με τις ικανότητες και τις αρμοδιότητές του σε άλλα μέλη του Δικτύου CSIRT κατόπιν αιτήματός τους·
(ζ) ανάληψη συντονιστικού ρόλου για τους σκοπούς της συντονισμένης διαδικασίας γνωστοποίησης ευπαθειών δυνάμει των εδαφίων (1) και (2) του άρθρου 31Β·
(η) συμβολή στην ανάπτυξη ασφαλών εργαλείων ανταλλαγής πληροφοριών και κυβερνοασφάλειας σύμφωνα με το εδάφιο (2) του άρθρου 31:
(5)(α) Το εθνικό CSIRT δύναται να διενεργεί προληπτική μη παρεμβατική σάρωση των δημοσίως προσβάσιμων συστημάτων δικτύου και πληροφοριών βασικών και σημαντικών οντοτήτων.
(β) Η εν λόγω σάρωση διενεργείται για τον εντοπισμό ευπαθών ή επισφαλώς διαμορφωμένων συστημάτων δικτύου και πληροφοριών και για την ενημέρωση των εν λόγω οντοτήτων.
(γ) Η εν λόγω σάρωση δεν έχει αρνητικές συνέπειες για τη λειτουργία των υπηρεσιών των οντοτήτων.
(6) Προκειμένου να διευκολυνθεί η συνεργασία που αναφέρεται στο εδάφιο (4) του άρθρου 31, το εθνικό CSIRT προωθεί την υιοθέτηση και τη χρήση κοινών ή τυποποιημένων πρακτικών, συστημάτων αξινόμησης (classification schemes) και ταξινομιών σε σχέση με-
(α) διαδικασίες χειρισμού περιστατικών·
(β) διαχείριση κρίσεων· και
(γ) συντονισμένη γνωστοποίηση ευπαθειών δυνάμει των διατάξεων των εδαφίων (1) και (2) του άρθρου 31Β .
31Β.-(1) Για σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών, το εθνικό CSIRT ενεργεί ως συντονιστής, και, κατ’ εφαρμογή των συντονιστικών του καθηκόντων, ενεργεί ως αξιόπιστος διαμεσολαβητής, διευκολύνοντας, όπου απαιτείται, την αλληλεπίδραση μεταξύ του φυσικού ή νομικού προσώπου που αναφέρει την ευπάθεια και του κατασκευαστή ή του παροχέα των δυνητικά ευπαθών προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ, κατόπιν αιτήματος ενός εκ των μερών.
(2) Τα καθήκοντα του εθνικού CSIRT περιλαμβάνουν:
(α) Τον προσδιορισμό των εμπλεκόμενων οντοτήτων και την επικοινωνία με αυτές·
(β) την παροχή συνδρομής στα φυσικά ή νομικά πρόσωπα που αναφέρουν ευπάθειες· και
(γ) τη διαπραγμάτευση χρονοδιαγραμμάτων γνωστοποίησης και τη διαχείριση ευπαθειών που επηρεάζουν πολλαπλές οντότητες.
(3)(α) Η Αρχή διασφαλίζει ότι τα φυσικά ή νομικά πρόσωπα μπορούν να αναφέρουν ανώνυμα, εφόσον το ζητήσουν, ευπάθειες στο εθνικό CSIRT.
(β) Το εθνικό CSIRT διασφαλίζει ότι εκτελούνται επιμελείς ενέργειες παρακολούθησης όσον αφορά την αναφερθείσα ευπάθεια και διασφαλίζει την ανωνυμία του φυσικού ή νομικού προσώπου που αναφέρει την ευπάθεια.
(γ) Στις περιπτώσεις όπου μια αναφερόμενη ευπάθεια δύναται να έχει σημαντικό αντίκτυπο σε οντότητες σε περισσότερα από ένα κράτη μέλη, το εθνικό CSIRT συνεργάζεται, κατά περίπτωση, με άλλα CSIRT στα οποία έχει ανατεθεί συντονιστικός ρόλος στο πλαίσιο του δικτύου CSIRT.
(4) Η Αρχή δύναται να δημοσιοποιεί και να καταχωρεί σε εθελοντική βάση στην ευρωπαϊκή βάση δεδομένων που αναπτύσσει και διατηρεί ο ENISA δυνάμει των διατάξεων του άρθρου 12 της Οδηγίας (ΕΕ) 2022/2555, δημόσια γνωστές ευπάθειες σε προϊόντα ΤΠΕ ή υπηρεσίες ΤΠΕ.
32.-(1) Η Αρχή, ως αρμόδια αρχή και ως ενιαίο σημείο επαφής και ως το εθνικό CSIRT, συνεργάζεται με τα τομεακά CSIRT και άλλες αρμόδιες αρχές για σκοπούς της τήρησης των υποχρεώσεων που προβλέπονται στις διατάξεις του παρόντος Νόμου.
(2) Η Αρχή λαμβάνει κοινοποιήσεις σοβαρών περιστατικών δυνάμει των διατάξεων του άρθρου 35Β καθώς και περιστατικών κυβερνοαπειλών και παρ’ ολίγον περιστατικών, δυνάμει των διατάξεων του άρθρου 42.
(3) Η Αρχή, ως ενιαίο σημείο επαφής, για την εκπλήρωση των καθηκόντων της, τηρείται ενήμερη σχετικά με κοινοποιήσεις περιστατικών, κυβερνοαπειλών και παρ’ ολίγον περιστατικών που υποβάλλονται δυνάμει των διατάξεων του παρόντος Νόμου και τηρουμένων των διατάξεων του εδαφίου (ιβ) του άρθρου 17, του εδαφίου (7) του άρθρου 30 και του εδαφίου (10) του άρθρου 31.
(4)(α) Η Αρχή και η αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων συνεργάζονται και ανταλλάζουν πληροφορίες σε τακτική βάση όσον αφορά τον προσδιορισμό των κρίσιμων οντοτήτων, τους κινδύνους, τις κυβερνοαπειλές και τα περιστατικά, καθώς και τους κινδύνους, τις απειλές και τα περιστατικά εκτός του κυβερνοχώρου, που επηρεάζουν βασικές οντότητες που προσδιορίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων και τα μέτρα που λαμβάνονται για την αντιμετώπιση των εν λόγω κινδύνων, απειλών και περιστατικών.
(β) Οι αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554, το ΓΕΡΗΕΤ και το Τμήμα Ηλεκτρονικών Επικοινωνιών η Κεντρική Τράπεζα της Κύπρου ως η εθνική μακροπροληπτική αρχής και άλλες αρμόδιες αρχές, ανταλλάζουν με την Αρχή σχετικές πληροφορίες σε τακτική βάση, μεταξύ άλλων όσον αφορά συναφή περιστατικά και κυβερνοαπειλές.
(5) Η Αρχή απλοποιεί με τεχνικά μέσα την υποβολή κοινοποιήσεων που αναφέρονται στα άρθρα 35Β και 42 του παρόντος Νόμου.
32Α.-(1) Η Αρχή ως η αρμόδια αρχή για τη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας (αρχή διαχείρισης κυβερνοκρίσεων), διασφαλίζει ότι διαθέτει επαρκείς πόρους για την αποτελεσματική και αποδοτική εκτέλεση των καθηκόντων της δυνάμει του παρόντος Νόμου και ότι υπάρχει συνοχή με τα υφιστάμενα πλαίσια για τη γενική εθνική διαχείριση κρίσεων στον τομέα της κυβερνοασφάλειας.
(2) Η Αρχή λειτουργεί ως συντονιστής στη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας, σε συνεργασία με τις αρμόδιες αρχές της Δημοκρατίας δυνάμει των εκάστοτε νόμων της Δημοκρατίας ή τομεακών νομικών πράξεων της Ένωσης:
(3) Η Αρχή προσδιορίζει τις ικανότητες, τα πάγια στοιχεία και τις διαδικασίες που μπορούν να χρησιμοποιηθούν στην περίπτωση κρίσης για τους σκοπούς του παρόντος Νόμου.
(4) Η Αρχή θεσπίζει εθνικό σχέδιο αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας, στον οποίο καθορίζονται οι στόχοι και οι ρυθμίσεις για τη διαχείριση περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας.
(5) Το εθνικό σχέδιο αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας εγκρίνεται με Απόφαση του Υπουργικού Συμβουλίου, η οποία χαρακτηρίζεται ως απόρρητη και δεν δημοσιεύεται στην Επίσημη Εφημερίδα της Δημοκρατίας.
(6) Το εν λόγω σχέδιο καθορίζει ιδίως-
(α) τους στόχους των εθνικών μέτρων και δραστηριοτήτων ετοιμότητας·
(β) τα καθήκοντα και τις αρμοδιότητες της Αρχής, ως αρχής διαχείρισης κυβερνοκρίσεων·
(γ) τις διαδικασίες διαχείρισης κυβερνοκρίσεων, συμπεριλαμβανομένης της ενσωμάτωσής τους στο γενικό εθνικό πλαίσιο διαχείρισης κρίσεων και στους διαύλους ανταλλαγής πληροφοριών·
(δ) τα εθνικά μέτρα ετοιμότητας, συμπεριλαμβανομένων ασκήσεων και δραστηριοτήτων κατάρτισης·
(ε) τα σχετικά ενδιαφερόμενα μέρη δημόσιου και ιδιωτικού τομέα και τις σχετικές υποδομές· και
(στ) τις εθνικές διαδικασίες και ρυθμίσεις μεταξύ των αρμόδιων εθνικών αρχών και φορέων για να διασφαλίζεται η αποτελεσματική συμμετοχή και η παροχή υποστήριξης εκ μέρους της Δημοκρατίας στη συντονισμένη διαχείριση περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας σε επίπεδο Ένωσης.
(7) Η Αρχή υποβάλλει στην Επιτροπή και στο ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για κυβερνοκρίσεις (EU-CyCLONe) σχετικές πληροφορίες σχετικά με τις διατάξεις του εδαφίου (4) του παρόντος άρθρου όσον αφορά το εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας, εντός τριών μηνών από την έγκριση του εν λόγω σχεδίου.
(8) Η Αρχή δύναται, κατόπιν έγκρισης του Υπουργικού Συμβουλίου, να εξαιρεί συγκεκριμένες πληροφορίες όταν και στον βαθμό που η εξαίρεση αυτή είναι αναγκαία για σκοπούς εθνικής ασφάλειας.
(9) Η Αρχή δύναται να αιτείται συμβολή στο εθνικό σχέδιο αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας από το ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για κυβερνοκρίσεις (EU-CyCLONe), σύμφωνα με το στοιχείο (ε) της παραγράφου (3) του άρθρου 16 της Οδηγίας (ΕΕ) 2022/2555.