37.-(1) Τηρουμένων των διατάξεων των άρθρων 38 και 39, οι παροχείς ψηφιακών υπηρεσιών, τα είδη των οποίων αναφέρονται σε Απόφαση που εκδίδει η Αρχή, οφείλουν να προσδιορίζουν και να λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στο πλαίσιο της παροχής υπηρεσιών εντός της Ευρωπαϊκής Ένωσης.
(2) Τα μέτρα αυτά δύναται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.
(3) Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, τα μέτρα αυτά εξασφαλίζουν ένα επίπεδο ασφάλειας δικτύων και συστημάτων πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο και συνεκτιμούν τα ακόλουθα στοιχεία:
(α) Την ασφάλεια των συστημάτων και των εγκαταστάσεων·
(β) τη διαχείριση συμβάντων·
(γ) τη διαχείριση της επιχειρησιακής συνέχειας·
(δ) την παρακολούθηση, τις επιθεωρήσεις και τις δοκιμές και ασκήσεις·
(ε) τη συμμόρφωση με διεθνή πρότυπα.
(4) Οι παροχείς ψηφιακών υπηρεσιών οφείλουν να λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών τους σε σχέση με τις αναφερόμενες σε Απόφαση που εκδίδει η Αρχή υπηρεσίες που προσφέρονται εντός της Ευρωπαϊκής Ένωσης, με σκοπό τη διασφάλιση της επαναφοράς και της συνέχειάς τους, όπως τα μέτρα αυτά δύναται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.
(5)(α) Τηρουμένων των διατάξεων των άρθρων 38 και 39, οι παροχείς ψηφιακών υπηρεσιών, τα είδη των οποίων αναφέρονται σε Απόφαση που εκδίδει η Αρχή κοινοποιούν στην Αρχή χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο στην παροχή της υπηρεσίας που προσφέρουν εντός της Ευρωπαϊκής Ένωσης.
(β) Οι κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην Αρχή ή/και το εθνικό CSIRT να προσδιορίσει τη σοβαρότητα τυχόν διασυνοριακού αντικτύπου.
(γ) Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα και οι διαδικασίες και το περιεχόμενο της κοινοποίησης, καθώς και οποιαδήποτε σχετικά στοιχεία ρυθμίζονται με Απόφαση που εκδίδει ο Επίτροπος.
(6) Για να προσδιοριστεί αν ο αντίκτυπος ενός συμβάντος είναι σημαντικός, λαμβάνονται υπόψη ειδικότερα οι ακόλουθες παράμετροι:
(α) Ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών·
(β) η διάρκεια του συμβάντος·
(γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν·
(δ) η έκταση της διατάραξης της λειτουργίας της υπηρεσίας·
(ε) η έκταση του αντικτύπου στις οικονομικές και κοινωνικές δραστηριότητες.
(7) Η υποχρέωση κοινοποίησης συμβάντος εφαρμόζεται, μόνο σε περίπτωση που ο παροχέας ψηφιακών υπηρεσιών έχει πρόσβαση στις πληροφορίες που απαιτούνται, για να εκτιμηθεί ο αντίκτυπος συμβάντος έναντι των παραμέτρων που αναφέρονται στις διατάξεις του εδαφίου (6).
(8) Όταν ένας φορέας εκμετάλλευσης βασικών υπηρεσιών ή και φορέας κρίσιμων υποδομών πληροφοριών εξαρτάται από τρίτο φορέα παροχής ψηφιακών υπηρεσιών για την παροχή υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων οικονομικών και κοινωνικών δραστηριοτήτων, κάθε σοβαρή επίπτωση επί της συνέχειας των βασικών υπηρεσιών που οφείλεται σε συμβάν το οποίο επηρεάζει τον παροχέα ψηφιακών υπηρεσιών κοινοποιείται από τον εν λόγω φορέα εκμετάλλευσης βασικών υπηρεσιών ή και κρίσιμων υποδομών πληροφοριών.
(9)(α) Κατά περίπτωση, και ιδίως εάν το συμβάν που αναφέρεται στις διατάξεις του εδαφίου (5) αφορά δύο ή περισσότερα κράτη μέλη, η Αρχή ή/και το εθνικό CSIRT ενημερώνουν τα άλλα κράτη μέλη που επηρεάζονται από το συμβάν.
(β) Στο πλαίσιο της ενημέρωσης αυτής, η Αρχή, ως αρμόδια αρχή και ως ενιαίο κέντρο επαφής, και το εθνικό CSIRT, σύμφωνα με το ενωσιακό δίκαιο ή με την εθνική νομοθεσία η οποία μεταφέρει στην εσωτερική έννομη τάξη το ενωσιακό δίκαιο, διαφυλάσσουν την ασφάλεια και τα εμπορικά συμφέροντα του παροχέα ψηφιακών υπηρεσιών, καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί.
(10) Κατόπιν διαβούλευσης με τον ενδιαφερόμενο παροχέα ψηφιακών υπηρεσιών, η Αρχή ή το εθνικό CSIRT και, κατά περίπτωση, οι αρχές ή οι CSIRT άλλων ενδιαφερόμενων κρατών μελών δυνατόν να ενημερώνουν το κοινό σχετικά με μεμονωμένα συμβάντα ή να απαιτούν από τον παροχέα ψηφιακών υπηρεσιών να το πράξει, όταν η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη ή σε περίπτωση που η αποκάλυψη του συμβάντος είναι προς το δημόσιο συμφέρον.
(11) Η Αρχή λαμβάνει υπόψη και εφαρμόζει εκτελεστικές πράξεις της Επιτροπής για τον περαιτέρω προσδιορισμό των στοιχείων που αναφέρονται στις διατάξεις του εδαφίου (3) και των παραμέτρων που αναφέρονται στις διατάξεις του εδαφίου (5) του παρόντος άρθρου.
(12) Η Αρχή λαμβάνει υπόψη και εφαρμόζει τυχόν εκτελεστικές πράξεις της Επιτροπής για τον καθορισμό των μορφοτύπων και των διαδικασιών που εφαρμόζονται στις απαιτήσεις κοινοποίησης.
(13) Με την επιφύλαξη των διατάξεων του εδαφίου (2) του άρθρου 2, δεν επιβάλλονται οποιεσδήποτε περαιτέρω απαιτήσεις ασφάλειας ή κοινοποίησης στους παροχείς ψηφιακών υπηρεσιών.
(14)(α) Οι παροχείς ψηφιακών υπηρεσιών είδους που αναφέρεται σε Απόφαση που εκδίδει η Αρχή οι οποίοι έχουν την εγκατάστασή τους στη Δημοκρατία ή έχουν, όπως ορίζουν οι διατάξεις του άρθρου 39, αντιπρόσωπο στη Δημοκρατία, οφείλουν να εγγράφονται σε μητρώο που τηρείται από την Αρχή.
(β) Η Αρχή καθορίζει διά Αποφάσεως διαδικασία διά της οποίας οι παροχείς ψηφιακών υπηρεσιών που αναφέρονται στις διατάξεις της παραγράφου (α) δύναται να εγγραφούν στο μητρώο.
(γ) Παροχέας ψηφιακών υπηρεσιών που δεν εγγράφεται στο μητρώο παροχέων ψηφιακών υπηρεσιών που τηρείται από την Αρχή, όπως προβλέπεται στις διατάξεις της παραγράφου (α), διαπράττει ποινικό αδίκημα και, σε περίπτωση καταδίκης του υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή και στις δύο αυτές ποινές.
(15) Οι διατάξεις των άρθρων 37 έως 39 δεν εφαρμόζονται σε πολύ μικρές και μικρές επιχειρήσεις, όπως ορίζονται στη Σύσταση 2003/361/ΕΚ της Επιτροπής της 6ης Μαΐου 2003 σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.
38.-(1) Τηρουμένων των διατάξεων του άρθρου 39, η Αρχή διασφαλίζει την ανάληψη δράσης, εάν είναι αναγκαία, με εκ των υστέρων εποπτικά μέτρα, όταν της παρέχονται στοιχεία που αποδεικνύουν ότι παροχέας ψηφιακών υπηρεσιών δεν πληροί τις απαιτήσεις που ορίζονται στις διατάξεις του άρθρου 37 και τα εν λόγω αποδεικτικά στοιχεία δυνατόν να υποβάλλονται από μια αρμόδια αρχή άλλου κράτους μέλους στο οποίο παρέχεται η υπηρεσία.
(2) Για την εφαρμογή των διατάξεων του εδαφίου (1), η Αρχή διαθέτει τις αναγκαίες εξουσίες και τα μέσα ώστε να απαιτεί από τους παροχείς ψηφιακών υπηρεσιών-
(α) να παρέχουν τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας·
(β) να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης προς τις απαιτήσεις που ορίζονται στις διατάξεις του άρθρου 37.
(3) Εάν ένας παροχέας ψηφιακών υπηρεσιών έχει την κύρια εγκατάστασή του ή αντιπρόσωπο στη Δημοκρατία, αλλά τα δίκτυα και συστήματα πληροφοριών βρίσκονται σε ένα ή περισσότερα άλλα κράτη μέλη, η Αρχή και οι αρμόδιες αρχές των άλλων κρατών μελών συνεργάζονται και παρέχουν αμοιβαία συνδρομή, εφόσον απαιτείται, σύμφωνα με τις διατάξεις της Οδηγίας 2016/1148/ΕΕ.
(4) Εάν ένας παροχέας ψηφιακών υπηρεσιών έχει την κύρια εγκατάστασή του ή αντιπρόσωπο σε ένα κράτος μέλος, αλλά τα συστήματα δικτύου και πληροφοριών του βρίσκονται στη Δημοκρατία ή σε άλλα κράτη μέλη, η αρμόδια αρχή του κράτους μέλους της κύριας εγκατάστασης ή του αντιπροσώπου και η Αρχή ή/και οι αρμόδιες αρχές των άλλων κρατών μελών συνεργάζονται και παρέχουν αμοιβαία συνδρομή, εφόσον απαιτείται, σύμφωνα με τις πρόνοιες της Οδηγίας 2016/1148/ΕΕ.
(5) Η συνδρομή και η συνεργασία μπορεί να καλύπτουν ανταλλαγές πληροφοριών μεταξύ των σχετικών αρμόδιων αρχών και αιτήματα για τη λήψη εποπτικών μέτρων που αναφέρονται στις διατάξεις του εδαφίου (2).
39.-(1)(α) Για σκοπούς εφαρμογής των διατάξεων του παρόντος Νόμου, ένας παροχέας ψηφιακών υπηρεσιών θεωρείται ότι υπόκειται στη δικαιοδοσία της Δημοκρατίας, όταν έχει σε αυτή την κύρια εγκατάστασή του.
(β) Ένας παροχέας ψηφιακών υπηρεσιών θεωρείται ότι έχει την κύρια εγκατάστασή του στη Δημοκρατία, όταν έχει την έδρα του στη Δημοκρατία.
(2)(α) Ένας παροχέας ψηφιακών υπηρεσιών που δεν είναι εγκατεστημένος στην Ευρωπαϊκή Ένωση, αλλά προσφέρει ψηφιακές υπηρεσίες, σύμφωνα με τις διατάξεις του παρόντος Νόμου και της Οδηγίας 2016/1148/ΕΕ, εντός της Ευρωπαϊκής Ένωσης ορίζει αντιπρόσωπο στην Ευρωπαϊκή Ένωση.
(β) Σε περίπτωση κατά την οποία εφαρμόζεται η παράγραφος (α), ο αντιπρόσωπος θεωρείται ότι είναι εγκατεστημένος στη Δημοκρατία, εάν έχει την έδρα του σε αυτήν.
(γ) Ο παροχέας ψηφιακών υπηρεσιών θεωρείται ότι υπόκειται στη δικαιοδοσία της Δημοκρατίας, εάν σε αυτήν είναι εγκατεστημένος ο αντιπρόσωπος.
(3) Ο ορισμός ενός αντιπροσώπου από τον παροχέα ψηφιακών υπηρεσιών δεν θίγει τις νομικές ενέργειες οι οποίες μπορεί να αναληφθούν κατά του ίδιου του παροχέα ψηφιακών υπηρεσιών.