ΜΕΡΟΣ ΠΕΜΠΤΟ ΑΡΜΟΔΙΟΤΗΤΕΣ, ΕΞΟΥΣΙΕΣ ΚΑΙ ΚΑΘΗΚΟΝΤΑ ΤΗΣ ΑΡΧΗΣ
Αρμοδιότητες, εξουσίες και καθήκοντα της Αρχής

17. Αποτελεί αρμοδιότητα και εξουσία της Αρχής μεταξύ άλλων, όπως-

(α) συμβουλεύει τον Υπουργό επί θεμάτων που αφορούν την ασφάλεια δικτύων και συστημάτων πληροφοριών, την ψηφιακή ασφάλεια και την κυβερνοασφάλεια στη Δημοκρατία,

(β) εφαρμόζει, σε θέματα ασφάλειας δικτύων και συστημάτων πληροφοριών, το εκάστοτε ακολουθητέο πλαίσιο γενικής πολιτικής σύμφωνα με τις διατάξεις του εδαφίου (2) του άρθρου 16,

(γ) αποτελεί εθνικό ενιαίο κέντρο επαφής για την ασφάλεια των δικτύων και συστημάτων πληροφοριών (εφεξής «ενιαίο κέντρο επαφής»),

(δ) ασκεί, ως ενιαίο κέντρο επαφής, καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας με τις αρμόδιες αρχές των άλλων κρατών μελών, τις αρμόδιες αρχές της Δημοκρατίας, την ομάδα συνεργασίας και το δίκτυο CSIRT, όπως προβλέπεται στις διατάξεις του άρθρου 33,

(ε) διαβουλεύεται και συνεργάζεται με τις αρμόδιες αρχές επιβολής του νόμου και τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

(στ) υποβάλλει ως ενιαίο κέντρο επαφής στην ομάδα συνεργασίας ετήσια συνοπτική έκθεση, σε ημερομηνία που καθορίζεται από την Ομάδα Συνεργασίας ή/και την Ευρωπαϊκή Επιτροπή, σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου του αριθμού των κοινοποιήσεων και της φύσης των κοινοποιημένων συμβάντων, καθώς και τα μέτρα που έχουν ληφθεί σύμφωνα με τις διατάξεις των εδαφίων (3) και (5) του άρθρου 35 και των διατάξεων των εδαφίων (3) και (6) του άρθρου 37,

(ζ) διασφαλίζει ότι διαθέτει επαρκείς πόρους για την αποτελεσματική εκτέλεση των καθηκόντων της και για τα καθήκοντα του εθνικού CSIRT που περιγράφονται στις διατάξεις της παραγράφου (α) του εδαφίου (2) του άρθρου 31,

(η) μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία του εθνικού CSIRT, στο πλαίσιο του δικτύου CSIRT, που αναφέρεται στις διατάξεις του άρθρου 33,

(θ) ζητά τη συνδρομή του ENISA ή και άλλων ευρωπαϊκών ή/και διεθνών οργανισμών ή/και άλλων διεθνών φορέων για την ανάπτυξη του εθνικού CSIRT,

(ι) λαμβάνει τις κοινοποιήσεις συμβάντων σε εθνικό επίπεδο και τις κοινοποιήσεις που διαβιβάζονται σε αυτήν από οποιεσδήποτε άλλες αρμόδιες αρχές κρατών μελών της Ευρωπαϊκής Ένωσης σύμφωνα με τις διατάξεις του παρόντος Νόμου,

(ια) ενημερώνει την Επιτροπή σχετικά με την εντολή, καθώς και με τα βασικά στοιχεία της διαδικασίας χειρισμού συμβάντων από το εθνικό CSIRT,

(ιβ) εποπτεύει το εθνικό CSIRT, το κυβερνητικό CSIRT, το ακαδημαϊκό CSIRT ή και άλλα τομεακά CSIRT στη Δημοκρατία:

Νοείται ότι, από τον όρο «τομεακά CSIRT» εξαιρείται η λειτουργία στρατιωτικού CSIRT, το οποίο διασφαλίζει ουσιαστική συνεργασία σε θέματα κυβερνοασφάλειας με την Αρχή, καθώς και την ανταλλαγή επιλεγμένων πληροφοριών με το εθνικό CSIRT,

(ιγ) διασφαλίζει ότι το εθνικό CSIRT έχει πρόσβαση σε μια κατάλληλη, ασφαλή και ανθεκτική υποδομή επικοινωνιών και πληροφοριών σε εθνικό επίπεδο,

(ιδ) προσδιορίζει για κάθε τομέα και υποτομέα που αναφέρεται σε Απόφαση που εκδίδει η Αρχή τους φορείς εκμετάλλευσης βασικών υπηρεσιών που είναι εγκατεστημένοι στη Δημοκρατία,

(ιε) επανεξετάζει και, εφόσον απαιτείται, επικαιροποιεί τον κατάλογο των προσδιορισμένων φορέων εκμετάλλευσης βασικών υπηρεσιών σε τακτική βάση, τουλάχιστον ανά διετία, και επικαιροποιεί τον εκάστοτε πίνακα των φορέων κρίσιμων υποδομών πληροφοριών τουλάχιστον κάθε δύο (2) έτη,

(ιστ) συνεργάζεται στενά με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων,

(ιζ) αξιολογεί τη συμμόρφωση των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών με τις υποχρεώσεις τους δυνάμει των διατάξεων του άρθρου 35 και των επιπτώσεών τους στην ασφάλεια των δικτύων και συστημάτων πληροφοριών τους,

(ιη) εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους,

(ιθ) εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της συνέχειάς τους,

(κ) εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών, κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση σε αυτή συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών που παρέχουν,

(κα) μεριμνά όπως οι παροχείς δημόσιων δικτύων ή δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών κοινοποιούν σε αυτήν κάθε παραβίαση των μέτρων ασφάλειας ή απώλεια της ακεραιότητας των δικτύων τους που είχε σημαντικό αντίκτυπο στη λειτουργία των δικτύων ή των υπηρεσιών τους,

(κβ) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν, στο πλαίσιο της παροχής υπηρεσιών που αναφέρονται σε Απόφαση που εκδίδει η ίδια,

(κγ) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών σε σχέση με τις αναφερόμενες, σε Απόφαση που εκδίδει η ίδια, υπηρεσίες που προσφέρονται εντός της Ευρωπαϊκής Ένωσης, με σκοπό τη διασφάλιση της συνέχειάς τους,

(κδ) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών κοινοποιούν σε αυτή, χωρίς αδικαιολόγητη καθυστέρηση, κάθε συμβάν που έχει σημαντικό αντίκτυπο στην παροχή της υπηρεσίας που προσφέρουν εντός της Ευρωπαϊκής Ένωσης, όπως αναφέρεται σε Απόφαση που εκδίδεται από την ίδια,

(κε) εκδίδει οποιαδήποτε Απόφαση, συμπεριλαμβανομένων προσωρινών μέτρων, αναφορικά με ζητήματα που εμπίπτουν στις αρμοδιότητές της,

(κστ) επιβάλλει διοικητικό πρόστιμο, σύμφωνα με τις διατάξεις του άρθρου 43, σε οποιοδήποτε πρόσωπο παραβιάζει τις διατάξεις του παρόντος Νόμου ή τις πρόνοιες των Κανονισμών ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,

(κζ) είναι μέλος και να συμμετέχει σε συναντήσεις τέτοιων ευρωπαϊκών ή διεθνών οργανισμών ως προς το συμφέρον της Δημοκρατίας,

(κη) αιτείται, στο πλαίσιο συγκεκριμένων δραστηριοτήτων της, της παροχής από τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών, από τους παροχείς ψηφιακών υπηρεσιών και από τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών, κάθε σχετικών τεχνικών, οικονομικών και άλλων πληροφοριών, τηρουμένης της αρχής της αναλογικότητας,

(κθ) ασκεί οποιεσδήποτε άλλες αρμοδιότητες, εξουσίες και καθήκοντα, της παρέχονται δυνάμει των διατάξεων του παρόντος Νόμου ή δυνάμει των προνοιών των Κανονισμών και Αποφάσεων που εκδίδονται δυνάμει αυτού,

(λ) επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, δυνάμει των διατάξεων του παρόντος Νόμου, σύμφωνα με τον περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμο και τον Κανονισμό (ΕΕ) αριθ. 2016/679,

(λα) θεσπίζει ή/και να διατηρεί διατάξεις, με στόχο την επίτευξη υψηλότερου επιπέδου ασφάλειας των δικτύων και συστημάτων πληροφοριών με την επιφύλαξη των διατάξεων του εδαφίου (13) του άρθρου 37 και υποχρεώσεων της Δημοκρατίας που απορρέουν από το ενωσιακό δίκαιο,

(λβ) τηρουμένων των διατάξεων του εδαφίου (3) του άρθρου 19, προβαίνει στη δημοσίευση πληροφοριών και εγγράφων που αναφέρονται στις διατάξεις του άρθρου 19 όπως κρίνει σκόπιμο, για σκοπούς προαγωγής της ενημέρωσης και κατανόησης από το κοινό επί θεμάτων ασφάλειας δικτύων και συστημάτων πληροφοριών, ψηφιακής ασφάλειας και κυβερνο-ασφάλειας,

(λγ) παρακολουθεί την εφαρμογή των διατάξεων του παρόντος Νόμου στη Δημοκρατία και, κατά την άσκηση της αρμοδιότητάς της αυτής, δύναται να ζητά και λαμβάνει συνδρομή από πρόσωπα τα οποία υπόκεινται σε καθεστώς εποπτείας, δυνάμει οποιασδήποτε οικείας νομοθεσίας, και από τις αντίστοιχες εποπτικές αρχές ή από τις εθνικές αρχές που συνεισφέρουν στην εποπτεία, όταν αυτή ασκείται από υπερεθνικές αρχές:

Νοείται ότι, οι εξουσίες που χορηγούνται στην Αρχή, δυνάμει των διατάξεων του παρόντος Νόμου, απαιτείται να ασκούνται κατά τρόπο που να μη θίγουν τις αρμοδιότητες, τα καθήκοντα και τις εξουσίες των εποπτικών, εθνικών ή υπερεθνικών αρχών που αναφέρονται στις διατάξεις της παρούσας παραγράφου,

(λδ) συνάπτει μνημόνια συνεργασίας με φορείς που διέπονται από τον παρόντα Νόμο ή άλλες αρχές ή οργανισμούς ή εταιρείες που συνεργάζονται με την Αρχή,

(λε) συνάπτει, τηρουμένων των διατάξεων οποιωνδήποτε άλλων νομικών πράξεων εκδίδει η Ευρωπαϊκή Ένωση, μνημόνια συνεργασίας ή/και συμφωνίες, όπου κρίνεται απαραίτητο, με εποπτικές αρχές οι οποίες εποπτεύουν αδειοδοτημένα ιδρύματα για τα οποία εφαρμόζονται οι διατάξεις του παρόντος Νόμου και στα εν λόγω μνημόνια συνεργασίας ή/και συμφωνίες, δύναται να προσδιορίζεται ο τρόπος εφαρμογής των διατάξεων που ενεργοποιούνται με τον καθορισμό των αδειοδοτημένων ιδρυμάτων ως φορέων εκμετάλλευσης βασικών υπηρεσιών ή φορέων κρίσιμων υποδομών πληροφοριών ή άλλως πως.

Γενική υποχρέωση

18. Η Αρχή υποχρεούται να διασφαλίζει ότι, κατά την ως άνω άσκηση των αρμοδιοτήτων της, τηρούνται οι αρχές της ίσης μεταχείρισης, της αντικειμενικότητας και της αναλογικότητας.