Προοίμιο

(α)Για σκοπούς εναρμόνισης με την πράξη της Ευρωπαϊκής Ένωσης με τίτλο:

“Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/20214 και της οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS 2)”· και

(β)για σκοπούς μερικής εναρμόνισης με την πράξη της Ευρωπαϊκής Ένωσης με τίτλο:

“Οδηγία 2014/53/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 16ης Απριλίου 2014 σχετικά με την εναρμόνιση των νομοθεσιών των κρατών μελών σχετικά με τη διαθεσιμότητα ραδιοεξοπλισμού στην αγορά και την κατάργηση της οδηγίας 1999/5/ΕΚ”.

Συνοπτικός τίτλος

1. Ο παρών Νόμος θα αναφέρεται ως ο περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμος του 2020.

ΜΕΡΟΣ ΠΡΩΤΟ ΓΕΝΙΚΕΣ – ΕΡΜΗΝΕΥΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Εξαιρέσεις από το πεδίο εφαρμογής

2.-(1) [Διαγράφηκε].

2(α) Ο παρών Νόμος εφαρμόζεται με την επιφύλαξη της ευθύνης της Δημοκρατίας για τη διαφύλαξη της εθνικής ασφάλειας και του κυριαρχικού της δικαιώματος να διαφυλάσσει άλλες ουσιώδεις λειτουργίες της Δημοκρατίας, συμπεριλαμβανομένων της διασφάλισης της εδαφικής της ακεραιότητας και της διατήρησης της δημόσιας τάξης.

(β) Με την επιφύλαξη των διατάξεων του εδαφίου (4), ο παρών Νόμος δεν εφαρμόζεται σε οντότητες δημόσιας διοίκησης οι οποίες ασκούν τις δραστηριότητές τους στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων.

(3) Ο παρών Νόμος εφαρμόζεται με την επιφύλαξη του Κανονισμού (ΕΕ) 2016/679, του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου, του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών Νόμου, του περί της Πρόληψης και της Καταπολέμησης της Σεξουαλικής Κακοποίησης, της Σεξουαλικής Εκμετάλλευσης Παιδιών και της Παιδικής Πορνογραφίας Νόμου, του περί Επιθέσεων κατά Συστημάτων Πληροφοριών Νόμου και των περί Προσδιορισμού και Χαρακτηρισμού των Ευρωπαϊκών Υποδομών Ζωτικής Σημασίας και Αξιολόγησης της Ανάγκης Βελτίωσης της Προστασίας τους Κανονισμών.

(4)(α) Η Αρχή, κατ’ εφαρμογή των διατάξεων του εδαφίου (7) του άρθρου 27, δύναται να εξαιρεί συγκεκριμένες οντότητες οι οποίες ασκούν δραστηριότητες στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων δραστηριοτήτων που σχετίζονται με την πρόληψη, τη διερεύνηση και τη δίωξη ποινικών αδικημάτων ή δραστηριοτήτων που παρέχουν υπηρεσίες αποκλειστικά στους φορείς δημόσιας διοίκησης που αναφέρονται στην παράγραφο (β) του εδαφίου (2) του άρθρου 2, από τις υποχρεώσεις που ορίζονται στο άρθρο 35 ή 35Β του παρόντος Νόμου όσον αφορά τις εν λόγω δραστηριότητες ή υπηρεσίες.

(β) Στις περιπτώσεις αυτές, τα μέτρα εποπτείας και επιβολής που αναφέρονται στον παρόντα Νόμο δεν εφαρμόζονται σε σχέση με τις συγκεκριμένες δραστηριότητες ή υπηρεσίες και σε περίπτωση που οι οντότητες ασκούν δραστηριότητες ή παρέχουν υπηρεσίες αποκλειστικά του τύπου που αναφέρεται στην παρούσα παράγραφο, η Αρχή δύναται επίσης να αποφασίσει να εξαιρέσει τις εν λόγω οντότητες από τις υποχρεώσεις που ορίζονται στα άρθρα 27 και 37A του παρόντος Νόμου.

(5) Ο παρών Νόμος δεν εφαρμόζεται στην ασφάλεια των δικτύων και συστημάτων πληροφοριών, καθώς και στην υποδομή και στις εγκαταστάσεις της Κυπριακής Υπηρεσίας Πληροφοριών.

Πεδίο εφαρμογής

2Α.-(1)(α) Ο παρών Νόμος εφαρμόζεται σε δημόσιες ή ιδιωτικές οντότητες ο τύπος των οποίων αναφέρεται στο Παράρτημα Ι ή ΙΙ, οι οποίες, δυνάμει του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ, χαρακτηρίζονται ως μεσαίες επιχειρήσεις ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που αναφέρονται στο εν λόγω άρθρο και οι οποίες παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της Ένωσης.

(β) Η παράγραφος 4 του άρθρου 3 του Παραρτήματος της Σύστασης 2003/361/ΕΚ δεν εφαρμόζεται για τους σκοπούς του παρόντος Νόμου.

(2) O παρών Νόμος εφαρμόζεται και στο είδος οντοτήτων που αναφέρονται στο Παράρτημα Ι ή ΙΙ, ανεξαρτήτως του μεγέθους τους, εφόσον-

(α) οι υπηρεσίες παρέχονται από-

(i) παροχείς δημόσιων δικτύων ηλεκτρονικών επικοι-νωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρο-νικών επικοινωνιών·

(ii) παροχείς υπηρεσιών εμπιστοσύνης· και

(iii) μητρώα ονομάτων τομέα ανωτάτου επιπέδου (μητρώο ονομάτων TLD) και παροχείς υπηρεσιών συστήματος ονομάτων τομέα (παροχέας υπηρεσιών DNS)·

(β) η οντότητα είναι ο μοναδικός παροχέας στη Δημοκρατία, υπηρεσίας η οποία είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων·

(γ) η διατάραξη της υπηρεσίας που παρέχει η οντότητα θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία·

(δ) η διατάραξη της υπηρεσίας που παρέχεται από την οντότητα θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, ιδίως για τομείς στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο·

(ε) η οντότητα είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη Δημοκρατία∙ και

(στ) η οντότητα είναι φορέας δημόσιας διοίκησης-

(i) της κεντρικής κυβέρνησης, όπως ορίζεται στον παρόντα Νόμο·

(ii) του ευρύτερου δημόσιου τομέα, ο οποίος, μετά από αξιολόγηση κινδύνου, παρέχει υπηρεσίες των οποίων η διατάραξη δύναται να έχει σημαντικό αντίκτυπο σε κρίσιμες κοινωνικές ή οικονομικές δραστηριότητες.

(3) Ανεξαρτήτως του μεγέθους των οντοτήτων, ο παρών Νόμος εφαρμόζεται σε οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων.

(4) Ανεξαρτήτως του μεγέθους των οντοτήτων, ο παρών Νόμος εφαρμόζεται σε οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα (domain name registration services).

(5) Τηρουμένων των διατάξεων του εδαφίου (7) του άρθρου 27, ο παρών Νόμος εφαρμόζεται σε οντότητες δημόσιας διοίκησης σε τοπικό επίπεδο και δύναται να εφαρμόζεται σε εκπαιδευτικά ιδρύματα, ειδικότερα δε όταν διεξάγουν κρίσιμες ερευνητικές δραστηριότητες.

(6) Οι διατάξεις της παραγράφου (β) του εδαφίου (2) του άρθρου 2 και οι διατάξεις του εδαφίου (4) του άρθρου 2 δεν εφαρμόζονται σε περίπτωση κατά την οποία μια οντότητα ενεργεί ως παροχέας υπηρεσιών εμπιστοσύνης.

(7) Οι υποχρεώσεις που προβλέπονται στον παρόντα Νόμο δεν περιλαμβάνουν την παροχή πληροφοριών, η γνωστοποίηση των οποίων δεν συνάδει με τα ουσιώδη συμφέροντα εθνικής ασφάλειας, δημόσιας τάξης ή άμυνας της Δημοκρατίας.

(8) Οι οντότητες και η Αρχή επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στον βαθμό που είναι αναγκαίο για τους σκοπούς του παρόντος Νόμου και σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, και ειδικότερα η εν λόγω επεξεργασία βασίζεται στο άρθρο 6 του εν λόγω Κανονισμού:

Νοείται ότι, η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος Νόμου από παροχείς δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παροχείς διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών πραγματοποιείται σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 σχετικά με την προστασία των δεδομένων, τον περί  της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμο και σχετικά με την προστασία της ιδιωτικότητας τον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο και τον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών Νόμο.

(9) Σε περίπτωση κατά την οποία, οι τομεακές νομικές πράξεις της Ένωσης απαιτούν από βασικές ή σημαντικές οντότητες να εγκρίνουν μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας ή να κοινοποιούν σημαντικά περιστατικά και σε περίπτωση που οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο, οι σχετικές διατάξεις του παρόντος Νόμου, συμπεριλαμβανομένων των διατάξεων για την εποπτεία και την επιβολή που προβλέπονται στα άρθρα 36, 36Α και 36Β, δεν εφαρμόζονται στις εν λόγω οντότητες και όταν οι τομεακές νομικές πράξεις της Ένωσης δεν καλύπτουν όλες τις οντότητες σε συγκεκριμένο τομέα που εμπίπτει στο πεδίο εφαρμογής του παρόντος Νόμου, οι σχετικές διατάξεις του παρόντος Νόμου εξακολουθούν να εφαρμόζονται στις οντότητες που δεν καλύπτονται από τις εν λόγω τομεακές νομικές πράξεις της Ένωσης.

(10) Οι απαιτήσεις που αναφέρονται στο εδάφιο (9) θεωρούνται ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο σε περίπτωση που-

(α) τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνο-ασφάλειας είναι τουλάχιστον ισοδύναμα ως προς το αποτέλεσμα με εκείνα τα μέτρα τα οποία προβλέπονται στα εδάφια (1) και (2) του άρθρου 35· ή

(β) η τομεακή νομική πράξη της Ένωσης προβλέπει άμεση πρόσβαση, κατά περίπτωση αυτόματη και απευθείας, στις κοινοποιήσεις περιστατικών από τις CSIRT, τις αρμόδιες αρχές ή τα ενιαία σημεία επαφής δυνάμει των διατάξεων του παρόντος Νόμου και εάν οι απαιτήσεις για την κοινοποίηση σημαντικών περιστατικών είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με εκείνες τις απαιτήσεις που ορίζονται στα εδάφια (1) έως (6) του άρθρου 35Β.

Ερμηνεία

3.-(1) Στον παρόντα Νόμο, εκτός εάν από το κείμενο προκύπτει διαφορετική έννοια-

«Αρχή» σημαίνει την Αρχή Ψηφιακής Ασφάλειας∙

«ασφάλεια συστημάτων δικτύου και πληροφοριών» σημαίνει την ικανότητα των συστημάτων δικτύου και πληροφοριών να ανθίστανται, σε δεδομένο επίπεδο εμπιστοσύνης, σε κάθε συμβάν που ενδέχεται να θέσει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευ-τικότητα των αποθηκευμένων, διαβιβαζόμενων ή επεξεργασμένων δεδο-μένων ή των υπηρεσιών που προσφέρονται από τα εν λόγω συστήματα δικτύου και πληροφοριών ή είναι προσβάσιμες μέσω αυτών·

«Βοηθός Επίτροπος» σημαίνει τον Βοηθό Επίτροπο Επικοινωνιών, που διορίζεται δυνάμει των διατάξεων του εδαφίου (2) του άρθρου 5 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου και συμβουλεύει και βοηθά τον Επίτροπο στην άσκηση των αρμοδιοτήτων, εξουσιών και καθηκόντων του, που προβλέπονται στον παρόντα Νόμο, και εκτελεί οποιαδήποτε άλλα καθήκοντα του ανατίθενται δυνάμει του παρόντος Νόμου·

«Γραφείο» ή «ΓΕΡΗΕΤ» σημαίνει το Γραφείο του Επιτρόπου Επικοινωνιών που έχει συσταθεί δυνάμει των διατάξεων του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου∙

«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία·

«δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών» έχει την έννοια που αποδίδεται στον όρο αυτό στο άρθρο 5 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών Νόμου∙

«διαδικασία τεχνολογίας πληροφοριών και επικοινωνιών» ή «διαδικασία ΤΠΕ» του Κανονισμού (ΕΕ) 2019/881·

«δίκτυο» σημαίνει το δίκτυο εθνικών κέντρων συντονισμού∙

«Δίκτυο CSIRT» σημαίνει το δίκτυο το οποίο συγκροτείται και λειτουργεί δυνάμει των διατάξεων του άρθρου 15 της Οδηγίας (ΕΕ) 2022/2555·

«δίκτυο διανομής περιεχομένου» σημαίνει το δίκτυο γεωγραφικά κατανεμημένων εξυπηρετητών το οποίο αποσκοπεί στη διασφάλιση υψηλής διαθεσιμότητας και προσβασιμότητας ή ταχείας παράδοσης ψηφιακού περιεχομένου και ψηφιακών υπηρεσιών στους χρήστες του διαδικτύου για λογαριασμό παρόχων περιεχομένου και υπηρεσιών·

«δικτυακό και πληροφοριακό σύστημα» σημαίνει:

(α) ένα δίκτυο ηλεκτρονικών επικοινωνιών όπως αυτό ορίζεται στις διατάξεις του εδαφίου (1) του άρθρου 4 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου, ή

(β) κάθε συσκευή ή ομάδα διασυνδεδεμένων ή σχετιζόμενων συσκευών από τις οποίες μία ή περισσότερες εκτελούν, βάσει προγράμματος, αυτόματη επεξεργασία ψηφιακών δεδομένων, ή

(γ) ψηφιακά δεδομένα που αποθηκεύονται, υποβάλλονται σε επεξεργασία, ανακτώνται ή μεταδίδονται από στοιχεία που καλύπτονται στις διατάξεις των παραγράφων (α) και (β) για τους σκοπούς της λειτουργίας, χρήσης, προστασίας και συντήρησής τους·

«εγκεκριμένη υπηρεσία εμπιστοσύνης» έχει την έννοια που αποδίδει στον όρο αυτό στο σημείο (17) το άρθρο 3 του Κανονισμού (ΕΕ) αριθ. 910/2014·

«εγκεκριμένος παροχέας υπηρεσιών εμπιστοσύνης» έχει την έννοια που αποδίδει στον όρο αυτό στο σημείο (20) του άρθρου 3 του Κανονισμού (ΕΕ) αριθ. 910/2014·

«εθνική στρατηγική κυβερνοασφάλειας» σημαίνει το συνεκτικό πλαίσιο της Δημοκρατίας το οποίο παρέχει στρατηγικούς στόχους και προτεραιότητες στον τομέα της κυβερνοασφάλειας και της διακυβέρνησης για την επίτευξή τους στη Δημοκρατία·

«εθνικό CSIRT» σημαίνει τον εθνικό φορέα άμεσης ανταπόκρισης σε συμβάντα που σχετίζονται με την ασφάλεια δικτύων και συστημάτων πληροφοριών·

«εκπρόσωπος» σημαίνει φυσικό ή νομικό πρόσωπο εγκατεστημένο είτε στη Δημοκρατία είτε σε άλλα κράτη μέλη το οποίο έχει οριστεί ρητά να ενεργεί εξ ονόματος παρόχου υπηρεσιών DNS, μητρώου ονομάτων TLD, οντότητας που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα, παρόχου υπηρεσιών υπολογιστικού νέφους, παρόχου υπηρεσιών κέντρου δεδομένων, παρόχου δικτύου διανομής περιεχομένου, παρόχου διαχειριζομένων υπηρεσιών, παρόχου διαχειριζομένων υπηρεσιών ασφάλειας, παρόχου επιγραμμικής αγοράς, επιγραμμικής μηχανής αναζήτησης ή πλατφόρμας υπηρεσιών κοινωνικής δικτύωσης ο οποίος δεν είναι εγκατεστημένος στη Δημοκρατία ή σε άλλο κράτος μέλος, στον οποίο μπορεί να απευθύνεται η Αρχή ή το εθνικό CSIRT αντί της ίδιας της οντότητας όσον αφορά τις υποχρεώσεις της εν λόγω οντότητας δυνάμει του παρόντος Νόμου·

«ενιαίο σημείο επαφής» έχει την έννοια που αποδίδεται στον όρο αυτό δυνάμει των διατάξεων της παραγράφου (γ) του άρθρου 17 του παρόντος Νόμου∙

«επιγραμμική αγορά» σημαίνει την υπηρεσία η οποία χρησιμοποιεί λογισμικό, συμπεριλαμβανομένου ιστότοπου, μέρους ιστοτόπου ή εφαρμογής, το οποίο διαχειρίζεται έμπορος ή άλλος εξ ονόματος του εμπόρου, και η οποία επιτρέπει στους καταναλωτές να συνάπτουν εξ αποστάσεως συμβάσεις με άλλους εμπόρους ή καταναλωτές χρησιμοποιώντας λογισμικό, συμπεριλαμβα-νομένου ιστότοπου, μέρους ιστότοπου ή εφαρμογής, το οποίο διαχειρίζεται έμπορος ή άλλος εξ ονόματος του εμπόρου·

«επιγραμμική μηχανή αναζήτησης» έχει την έννοια που αποδίδεται στον όρο αυτό στο σημείο 5) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/1150 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20ης Ιουνίου 2019 για την προώθηση της δίκαιης μεταχείρισης και της διαφάνειας για τους επιχειρηματικούς χρήστες επιγραμμικών υπηρεσιών διαμεσολάβησης·

«Επίτροπος» σημαίνει τον Επίτροπο Επικοινωνιών, που διορίζεται δυνάμει των διατάξεων του εδαφίου (1) του άρθρου 5 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου·

«Επιτροπή» σημαίνει την Επιτροπή της Ευρωπαϊκής Ένωσης·

«ερευνητική δραστηριότητα» σημαίνει τη διεξαγωγή εφαρμοσμένης έρευνας ή πειραματικής ανάπτυξης, κατά τα προβλεπόμενα στο εγχειρίδιο Frascati 2015 του Οργανισμού Οικονομικής Συνεργασίας και Ανάπτυξης με τίτλο “Κατευθυντήριες γραμμές για τη συλλογή και την υποβολή δεδομένων σχετικά με την έρευνα και την πειραματική ανάπτυξη, με σκοπό την εκμετάλλευση των αποτελεσμάτων τους για εμπορικούς σκοπούς, όπως η κατασκευή ή η ανάπτυξη ενός προϊόντος ή μιας διαδικασίας ή παροχή μίας υπηρεσίας ή η εμπορία αυτών”∙

«ερευνητικός οργανισμός» σημαίνει το είδος της οντότητας που περιλαμβάνεται στο Παράρτημα ΙΙ η οποία έχει ως πρωταρχικό στόχο τη διεξαγωγή εφαρμοσμένης έρευνας ή πειραματικής ανάπτυξης με σκοπό την εκμετάλλευση των αποτελεσμάτων της εν λόγω έρευνας για εμπορικούς σκοπούς και δεν περιλαμβάνει εκπαιδευτικό ίδρυμα∙

«ευπάθεια» σημαίνει την αδυναμία, την ευαισθησία ή το ελάττωμα προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ που δυνατόν να αποτελέσει αντικείμενο εκμετάλλευσης από κυβερνοαπειλή·

«ευρύτερος δημόσιος τομέας» σημαίνει τις ανεξάρτητες υπηρεσίες που δεν περιλαμβάνονται στον προϋπολογισμό της Δημοκρατίας, τα νομικά πρόσωπα δημοσίου δικαίου και τις οντότητες δημοσίου δικαίου που δεν αποτελούν μέρος της κεντρικής κυβέρνησης∙

«ENISA» σημαίνει τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών·

«EU-CyCLONe» σημαίνει το Ευρωπαϊκό Δίκτυο Οργανώσεων Διασύνδεσης για κρίσεις στον κυβερνοχώρο∙

«ημέρα» σημαίνει ημερολογιακή ημέρα, εκτός εάν καθορίζεται διαφορετικά στον παρόντα Νόμο·

«Κανονισμός (ΕΕ) αριθ. 1025/2012» σημαίνει τον Κανονισμό (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Οκτωβρίου 2012 σχετικά με την ευρωπαϊκή τυποποίηση, την τροποποίηση των οδηγιών του Συμβουλίου 89/686/ΕΟΚ και 93/15/ΕΟΚ και των οδηγιών του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 94/9/ΕΚ, 94/25/ΕΚ, 95/16/ΕΚ, 97/23/ΕΚ, 98/34/ΕΚ, 2004/22/ΕΚ, 2007/23/ΕΚ, 2009/23/ΕΚ και 2009/105/ΕΚ και την κατάργηση της απόφασης 87/95/ΕΟΚ του Συμβουλίου και της απόφασης αριθ. 1673/2006/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου·

«Κανονισμός (ΕΕ)2016/679» σημαίνει τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ·

«Κανονισμός (ΕΕ) 2019/881» σημαίνει τον Κανονισμό (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 17ης Απριλίου 2019 σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του κανονισμού (ΕΕ) αριθ. 526/2013 (πράξη για την κυβερνοασφάλεια), όπως αυτός  εκάστοτε τροποποιείται ή αντικαθίσταται·

«Κανονισμός (ΕΕ) 2022/2554» σημαίνει τον Κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011, όπως αυτός εκάστοτε τροποποιείται ή αντικαθίσταται∙

«Κεντρική Τράπεζα» σημαίνει την Κεντρική Τράπεζα της Κύπρου·

«κίνδυνος» σημαίνει την πιθανότητα απώλειας ή διατάραξης που προκαλείται από περιστατικό και εκφράζεται ως συνδυασμός του μεγέθους της εν λόγω απώλειας ή διατάραξης και της πιθανότητας επέλευσης του εν λόγω περιστατικού·

«κλάση ραδιοεξοπλισμού» σημαίνει την κλάση η οποία προσδιορίζει συγκεκριμένες κατηγορίες ραδιοεξοπλισμού οι οποίες θεωρούνται παρόμοιες δυνάμει των διατάξεων του παρόντος Νόμου και τις ραδιοεπαφές εκείνες για τις οποίες έχει σχεδιαστεί ο ραδιοεξοπλισμός·

«κρατικός φορέας» ή «κεντρική κυβέρνηση» σημαίνει τα Υπουργεία, τα Υφυπουργεία, τα τμήματα τους, τις υπηρεσίες τους, τις διευθύνσεις τους, τους φορείς συνταγματικών εξουσιών και υπηρεσιών, τις ανεξάρτητες υπηρεσίες και τις βασικές ή/και σημαντικές οντότητες που περιλαμβάνονται  στον προϋπολογισμό της Δημοκρατίας∙

«κυβερνοασφάλεια» έχει την έννοια που αποδίδεται στον όρο αυτό στο σημείο (1) του άρθρου 2, του Κανονισμού (ΕΕ) 2019/881∙

«κυβερνοαπειλή» έχει την έννοια που αποδίδει στον όρο αυτό στο σημείο (8) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881·

«Κυπριακή Υπηρεσία Πληροφοριών» σημαίνει την ανεξάρτητη αρχή η οποία θεσπίστηκε δυνάμει των διατάξεων του περί της Κυπριακής Υπηρεσίας Πληροφοριών (ΚΥΠ) Νόμου·

«μητρώο ονομάτων τομέα ανωτάτου επιπέδου» ή «μητρώο ονομάτων TLD (Top-level domain)» ή «μητρώο ονομάτων TLD» σημαίνει οντότητα στην οποία έχει ανατεθεί συγκεκριμένος TLD και είναι υπεύθυνη για τη διαχείριση του TLD, περιλαμβανομένης της καταχώρισης ονομάτων τομέα στο πλαίσιο του TLD και της τεχνικής λειτουργίας του TLD, περιλαμβανομένης της λειτουργίας των εξυπηρετητών ονομάτων του, της συντήρησης των βάσεων δεδομένων του και της διανομής αρχείων ζώνης TLD σε διακομιστές ονομάτων, ανεξάρτητα από το αν οποιαδήποτε από τις εν λόγω πράξεις εκτελείται από την ίδια την οντότητα ή ανατίθεται εξωτερικά, αλλά εξαιρουμένων των περιπτώσεων στις οποίες τα ονόματα TLD χρησιμοποιούνται από μητρώο μόνο για δική της χρήση·

«Οδηγία (ΕΕ) 2022/2555» σημαίνει την Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2), όπως αυτή εκάστοτε τροποποιείται ή αντικαθίσταται∙

«Οδηγία 2014/53/ΕΕ» σημαίνει την Οδηγία 2014/53/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 16ης Απριλίου 2014 σχετικά με την εναρμόνιση των νομοθεσιών των κρατών μελών σχετικά με τη διαθεσιμότητα ραδιοεξοπλισμού στην αγορά και την κατάργηση της οδηγίας 1999/5/ΕΚ», όπως αυτή εκάστοτε τροποποιείται ή αντικαθίσταται∙

«Ομάδα Συνεργασίας» σημαίνει την Ομάδα Συνεργασίας η οποία συστήνεται σύμφωνα με το άρθρο 14 της Οδηγίας (ΕΕ) 2022/2555∙

«οντότητα δημόσιας διοίκησης» σημαίνει οντότητα, μη συμπεριλαμβανομένων της δικαστικής εξουσίας, της Βουλής των Αντιπροσώπων ή της Κεντρικής Τράπεζας της Κύπρου, η οποία πληροί τα ακόλουθα κριτήρια:

(α) Έχει συσταθεί με σκοπό την κάλυψη αναγκών γενικού συμφέροντος και δεν έχει βιομηχανικό ή εμπορικό χαρακτήρα·

(β) έχει νομική προσωπικότητα ή δικαιούται εκ του νόμου να ενεργεί για λογαριασμό άλλης οντότητας με νομική προσωπικότητα·

(γ) χρηματοδοτείται κατά το μεγαλύτερο μέρος από την κεντρική κυβέρνηση ή άλλους οργανισμούς δημοσίου δικαίου, υπόκειται σε έλεγχο διαχείρισης από τις εν λόγω αρχές ή οργανισμούς ή έχει διοικητικό, διευθυντικό ή εποπτικό συμβούλιο, του οποίου περισσότερα από τα μισά μέλη διορίζονται από το κράτος, τον ευρύτερο δημόσιο τομέα ή άλλους οργανισμούς δημοσίου δικαίου· και

(δ) έχει την εξουσία να απευθύνει σε φυσικά ή νομικά πρόσωπα διοικητικές ή κανονιστικές αποφάσεις που επηρεάζουν τα δικαιώματά τους στη διασυνοριακή κυκλοφορία προσώπων, αγαθών, υπηρεσιών ή κεφαλαίων·

«οντότητα που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα» σημαίνει τον καταχωρητή ή τον αντιπρόσωπο που ενεργεί για λογαριασμό καταχωρητών, όπως παροχέας υπηρεσιών καταχώρισης δεδομένων προσωπικού χαρακτήρα ή πληρεξούσιος ή μεταπωλητής·

«οντότητα» σημαίνει το φυσικό ή το νομικό πρόσωπο που έχει συσταθεί και αναγνωρίζεται ως τέτοιο βάσει του εθνικού δικαίου του τόπου εγκατάστασής του, το οποίο μπορεί, ενεργώντας για ίδιο λογαριασμό, να ασκεί δικαιώματα και να υπόκειται σε υποχρεώσεις∙

«παρ’ ολίγον περιστατικό» σημαίνει το περιστατικό το οποίο δυνατόν να έχει θέσει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των αποθηκευμένων, διαβιβαζόμενων ή υφιστάμενων επεξεργασμένων δεδομένων ή των υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριών, αλλά το οποίο εμποδίστηκε ή δεν υλοποιήθηκε επιτυχώς·

«παροχέας» σημαίνει πρόσωπο που παρέχει ή είναι εξουσιοδοτημένο να παρέχει δίκτυο ή/και υπηρεσίες ηλεκτρονικών επικοινωνιών ή/και συναφείς διευκολύνσεις προς το κοινό·

«παροχέας διαχειριζόμενων υπηρεσιών» σημαίνει οντότητα που παρέχει υπηρεσίες σχετικές με την εγκατάσταση, τη διαχείριση, τη λειτουργία ή τη συντήρηση προϊόντων, δικτύων, υποδομών, εφαρμογών ΤΠΕ ή οποιωνδήποτε άλλων συστημάτων δικτύου και πληροφοριών, μέσω συνδρομής ή ενεργού διαχείρισης που εκτελείται είτε στις εγκαταστάσεις των πελατών είτε εξ αποστάσεως·

«παροχέας διαχειριζόμενων υπηρεσιών ασφάλειας» σημαίνει πάροχο διαχειριζόμενων υπηρεσιών που εκτελεί ή παρέχει υποστήριξη για δραστηριότητες που σχετίζονται με τη διαχείριση κινδύνων κυβερνοασφάλειας·

«παροχέας δικτύου ηλεκτρονικών επικοινωνιών» σημαίνει πρόσωπο που είναι εξουσιοδοτημένο από τον Επίτροπο να παρέχει δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών με βάση τον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο·

«παροχέας υπηρεσιών εμπιστοσύνης» σημαίνει πάροχο υπηρεσιών εμπιστοσύνης όπως ορίζεται στο σημείο 19 του άρθρου 3 του Κανονισμού (ΕΕ) αριθ. 910/2014·

«παροχέας υπηρεσιών ηλεκτρονικών επικοινωνιών» σημαίνει πρόσωπο που είναι εξουσιοδοτημένο από τον Επίτροπο να παρέχει διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών με βάση τον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο·

«παροχέας υπηρεσιών συστήματος ονομάτων χώρου» σημαίνει την οντότητα που παρέχει υπηρεσίες συστήματος ονομάτων χώρου στο διαδίκτυο·

«παροχέας υπηρεσιών DNS» σημαίνει οντότητα που παρέχει:

(α) δημόσια διαθέσιμες υπηρεσίες αναδρομικής επίλυσης ονομάτων τομέα (publicly available recursive domain name resolution services) για τελικούς χρήστες του διαδικτύου· ή

(β) έγκυρες υπηρεσίες επίλυσης ονομάτων τομέα για χρήση από τρίτους, με εξαίρεση τους εξυπηρετητές ονομάτων ρίζας (root name servers)·

«περιστατικό» σημαίνει κάθε συμβάν που θέτει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριών·

«περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας» σημαίνει περιστατικό το οποίο προκαλεί διατάραξη που υπερβαίνει την ικανότητα της Δημοκρατίας ή άλλου κράτους μέλους να ανταποκριθεί σε αυτή ή το οποίο έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο κράτη μέλη∙

«πλατφόρμα υπηρεσιών κοινωνικής δικτύωσης» σημαίνει πλατφόρμα που επιτρέπει στους τελικούς χρήστες να συνδέονται, να ανταλλάσσουν, να ανακαλύπτουν και να επικοινωνούν μεταξύ τους μέσω πολλαπλών συσκευών, ιδίως μέσω συνομιλιών, αναρτήσεων, βίντεο και συστάσεων·

«προϊόν ΤΠΕ» έχει την έννοια που αποδίδεται στον όρο αυτό στο σημείο (12) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881·

«προϊστάμενος» σημαίνει το πρόσωπο που κατέχει την ιεραρχικά ανώτατη θέση στην Αρχή και ο οποίος είναι υφιστάμενος του Επιτρόπου·

«πρόσωπο» σημαίνει βασική ή/και σημαντική οντότητα, και οποιαδήποτε άλλα νομικά ή φυσικά πρόσωπα ή οργανισμούς που εκάστοτε κρίνει η Αρχή ως πρόσωπο για σκοπούς του παρόντος Νόμου, βάσει των αρμοδιοτήτων της που απορρέουν από τον παρόντα Νόμο∙

«πρότυπο» σημαίνει πρότυπο κατά την έννοια του Άρθρου 2, σημείο 1 του Κανονισμού (ΕΕ) αριθ. 1025/2012·

«ραδιοεξοπλισμός» σημαίνει ηλεκτρικό ή ηλεκτρονικό προϊόν που εκούσια εκπέμπει ή και λαμβάνει ραδιοκύματα για σκοπούς ραδιοεπικοινωνίας ή και ραδιοπροσδιορισμού ή ηλεκτρικό ή ηλεκτρονικό προϊόν που πρέπει να συμπληρωθεί με εξάρτημα, όπως κεραία, ώστε εκούσια να εκπέμπει ή και να λαμβάνει ραδιοκύματα για σκοπούς ραδιοεπικοινωνίας ή και ραδιοπροσδιορισμού∙

«σημαντική κυβερνοαπειλή» σημαίνει κυβερνοαπειλή η οποία, βάσει των τεχνικών χαρακτηριστικών της, μπορεί να θεωρηθεί ότι έχει τη δυνατότητα να επηρεάσει σοβαρά τα συστήματα δικτύου και πληροφοριών μιας οντότητας ή των χρηστών υπηρεσιών της οντότητας προκαλώντας σημαντική υλική ή μη υλική ζημία·

«σημείο ανταλλαγής κίνησης διαδικτύου (Internet Exchange Point)» ή «IXP» σημαίνει τη δικτυακή διευκόλυνση που επιτρέπει τη διασύνδεση περισσότερων από δύο ανεξάρτητων δικτύων (αυτόνομων συστημάτων), κυρίως με σκοπό τη διευκόλυνση της ανταλλαγής κίνησης στο διαδίκτυο, η οποία παρέχει διασύνδεση μόνο για αυτόνομα συστήματα και η οποία ούτε απαιτεί κυκλοφορία στο διαδίκτυο που διέρχεται μεταξύ ζεύγους συμμετεχόντων αυτόνομων συστημάτων να διέρχεται μέσω οποιουδήποτε τρίτου αυτόνομου συστήματος ούτε μεταβάλλει ή επηρεάζει με άλλο τρόπο την εν λόγω κίνηση·

«συμβάν» σημαίνει κάθε γεγονός που έχει μία πραγματική δυσμενή επίπτωση στην ασφάλεια δικτύων και συστημάτων πληροφοριών·

«Συμβουλευτική Επιτροπή» έχει την έννοια που αποδίδουν στον όρο αυτό οι διατάξεις του άρθρου 32 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου·

«Σύσταση 2003/361/ΕΚ» σημαίνει τη Σύσταση της Επιτροπής της 6ης Μαΐου 2003 σχετικά µε τον ορισμό των πολύ µικρών, των µικρών και των µεσαίων επιχειρήσεων∙

«σύστημα ονομάτων χώρου (Domain Name System) ή «DNS» σημαίνει το ιεραρχικό κατανεμημένο σύστημα ονοματοδοσίας που επιτρέπει τον προσδιορισμό των διαδικτυακών υπηρεσιών και πόρων, επιτρέποντας στις συσκευές των τελικών χρηστών να χρησιμοποιούν υπηρεσίες δρομολόγησης και συνδεσιμότητας στο διαδίκτυο για την πρόσβαση στις εν λόγω υπηρεσίες και πόρους·

«τεχνική προδιαγραφή» έχει την έννοια που αποδίδεται στον όρο αυτό στο σημείο 4) του άρθρου 2 του Κανονισμού (ΕΕ) αριθ. 1025/2012·

«ΤΠΕ» σημαίνει τεχνολογία πληροφοριών και επικοινωνιών·

«υπηρεσία εμπιστοσύνης» έχει την έννοια που αποδίδει στον όρο αυτό, το άρθρο 3 σημείο 16) του Κανονισμού (ΕΕ) αριθ. 910/2014∙

«υπηρεσία ηλεκτρονικών επικοινωνιών» σημαίνει υπηρεσία ηλεκτρονικών επικοινωνιών, όπως ορίζεται στο άρθρο 2 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών Νόμου·

«υπηρεσία κέντρου δεδομένων» σημαίνει την υπηρεσία που περιλαμβάνει δομές ή ομάδες δομών, οι οποίες προορίζονται για την κεντρική φιλοξενία, διασύνδεση και λειτουργία εξοπλισμού ΤΠ (ΙΤ) και δικτύων και παρέχουν υπηρεσίες αποθήκευσης, επεξεργασίας και μεταφοράς δεδομένων, καθώς και όλες τις εγκαταστάσεις και υποδομές διανομής ισχύος και περιβαλλοντικού ελέγχου·

«υπηρεσία ΤΠΕ» έχει την έννοια που αποδίδεται στον όρο αυτό, στο σημείο (13) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881·

«υπηρεσία υπολογιστικού νέφους» σημαίνει ψηφιακή υπηρεσία που καθιστά δυνατή τη διαχείριση κατά παραγγελία και την ευρεία εξ αποστάσεως πρόσβαση σε κλιμακούμενη και ελαστική δεξαμενή κοινών υπολογιστικών πόρων, μεταξύ άλλων όταν οι πόροι αυτοί κατανέμονται σε διάφορα σημεία·

«Υφυπουργός» σημαίνει τον Υφυπουργό Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής παρά τω Προέδρω·

«φορέας εκμετάλλευσης βασικών υπηρεσιών» σημαίνει τη δημόσια ή ιδιωτική οντότητα είδους η οποία αναφέρεται σε Απόφαση που εκδίδει η Αρχή·

«φορέας κρίσιμων υποδομών πληροφοριών» σημαίνει τον φορέα που διαχειρίζεται κρίσιμες υποδομές πληροφοριών ο οποίος αναφέρεται σε Απόφαση της Αρχής·

«χειρισμός περιστατικών» σημαίνει κάθε ενέργεια και διαδικασία που αποσκοπεί στην πρόληψη, τη διαπίστωση, την ανάλυση και τον περιορισμό ή την αντίδραση σε περιστατικό και την ανάκαμψη από αυτό·

«ψηφιακή υπηρεσία» σημαίνει την υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 στοιχείο β) της Οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 9ης Σεπτεμβρίου 2015 για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών και η οποία είναι είδος, το οποίο περιλαμβάνεται σε Απόφαση που εκδίδει η Αρχή·

(2) Όροι που χρησιμοποιούνται στον παρόντα Νόμο και δεν ορίζονται διαφορετικά έχουν την έννοια που αποδίδεται σε αυτούς από τον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο.

ΜΕΡΟΣ ΔΕΥΤΕΡΟ ΔΙΟΡΙΣΜΟΣ ΚΑΙ ΠΑΥΣΗ ΕΠΙΤΡΟΠΟΥ ΚΑΙ ΒΟΗΘΟΥ ΕΠΙΤΡΟΠΟΥ ΕΠΙΚΟΙΝΩΝΙΩΝ
Διορισμός και παύση Επιτρόπου και Βοηθού Επιτρόπου Επικοινωνιών

4. Για τον διορισμό και την παύση του Επιτρόπου Επικοινωνιών και του Βοηθού Επιτρόπου Επικοινωνιών, σε σχέση με την άσκηση των καθηκόντων τους με βάση τις διατάξεις του παρόντος Νόμου, εφαρμόζονται οι διατάξεις των άρθρων 5 έως 7 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου.

Απολαβές και υποχρεώσεις του Επιτρόπου Επικοινωνιών και του Βοηθού Επιτρόπου Επικοινωνιών

5. Για τις απολαβές και τις υποχρεώσεις του Επιτρόπου Επικοινωνιών και του Βοηθού Επιτρόπου Επικοινωνιών, καθώς και τις υποχρεώσεις τους μετά την αποχώρησή τους, εφαρμόζονται οι διατάξεις των άρθρων 8 έως 9 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου.

ΜΕΡΟΣ ΤΡΙΤΟ ΑΡΧΗ ΨΗΦΙΑΚΗΣ ΑΣΦΑΛΕΙΑΣ
Αρμόδια εθνική αρχή για την ασφάλεια δικτύων και συστημάτων πληροφοριών και κυβερνοασφάλειας

6.-(1) Ο Επίτροπος ο οποίος ορίστηκε ως ο επικεφαλής της Αρχής και ως εθνική αρχή για την ασφάλεια δικτύων και συστημάτων πληροφοριών και για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας, δυνάμει των διατάξεων του άρθρου 3 του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου, συνεχίζει να είναι ο επικεφαλής της Αρχής και έχει τις αρμοδιότητες που προβλέπονται στις διατάξεις του παρόντος Νόμου.

(2)(α) Ο Επίτροπος επικουρείται στην άσκηση των αρμοδιοτήτων, εξουσιών και καθηκόντων του που προβλέπονται στον παρόντα Νόμο από τον Βοηθό Επίτροπο, ο οποίος συμβουλεύει και βοηθά τον Επίτροπο, όπως ο ίδιος ο Επίτροπος αποφασίσει, και εκτελεί οποιαδήποτε άλλα καθήκοντα του ανατίθεται δυνάμει του παρόντος Νόμου.

(β) Σε περίπτωση παύσης ή παραίτησης του Επιτρόπου, σύμφωνα με τα όσα προβλέπονται στις διατάξεις του άρθρου 6 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου, θανάτου, μόνιμης απουσίας ή άλλου μόνιμου κωλύματος στην άσκηση των αρμοδιοτήτων, εξουσιών και καθηκόντων του δυνάμει των διατάξεων του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου ή/και του παρόντος Νόμου, οι αρμοδιότητες, οι εξουσίες και τα καθήκοντα του Επιτρόπου που του ανατέθηκαν δυνάμει των διατάξεων του παρόντος Νόμου, ασκούνται προσωρινά από τον Βοηθό Επίτροπο μέχρις ότου διοριστεί άλλος Επίτροπος, όπως προβλέπεται στον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο.

(γ) Σε περίπτωση προσωρινής απουσίας, ασθένειας, πνευματικής ή σωματικής ανικανότητας ή αναπηρίας ή άλλου προσωρινού κωλύματος που καθιστά τον Επίτροπο ανίκανο να εκπληρώνει για σύντομο χρονικό διάστημα τις δυνάμει του παρόντος Νόμου αρμοδιότητες, εξουσίες και καθήκοντά του, οι εν λόγω αρμοδιότητες, εξουσίες και καθήκοντα ασκούνται προσωρινά από τον Βοηθό Επίτροπο.

(3) Για την άσκηση των αρμοδιοτήτων του Επιτρόπου σύμφωνα με τις διατάξεις του εδαφίου (1), ως επικεφαλής της εθνικής αρχής για την ασφάλεια δικτύων και συστημάτων πληροφοριών και για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας, η Αρχή η οποία ιδρύθηκε δυνάμει των διατάξεων του εδαφίου (3) του άρθρου 3 του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, ως ανεξάρτητη αρχή με χωριστή νομική προσωπικότητα, συνεχίζει να λειτουργεί ως η αρμόδια εθνική αρχή για την εφαρμογή των διατάξεων του παρόντος Νόμου.

(4) Η Αρχή συνεχίζει να στελεχώνεται και να διοικείται δυνάμει των διατάξεων του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο και δυνάμει των διατάξεων του παρόντα Νόμου και των εκδιδόμενων δυνάμει αυτού Αποφάσεων και Κανονισμών.

(5) Το προσωπικό της Αρχής ενεργεί σύμφωνα με εντολές ή οδηγίες του Επιτρόπου και παρέχει στον Επίτροπο και Βοηθό Επίτροπο κάθε δυνατή διευκόλυνση για εκπλήρωση των αρμοδιοτήτων και εξουσιών της Αρχής δυνάμει των διατάξεων του παρόντος Νόμου.

(6) Ο Επίτροπος ασκεί εποπτεία και έλεγχο επί της Αρχής και του προσωπικού της.

(7) Η Αρχή λαμβάνει κάθε πρόσφορο μέτρο και προβαίνει σε κάθε αναγκαία ενέργεια, ώστε να διασφαλίζει την επάρκεια των οικονομικών και ανθρώπινων πόρων που αυτή διαθέτει για την εκτέλεση των καθηκόντων που της έχουν ανατεθεί.

(8) Η Αρχή κατά την εκτέλεση των καθηκόντων της, εφαρμόζει την οικεία νομοθεσία αναφορικά με απόρρητες και εμπιστευτικές πληροφορίες τις οποίες αυτή χειρίζεται.

(9) Το εθνικό CSIRT, το οποίο αποτελεί μέρος της Αρχής, σύμφωνα με τις διατάξεις του εδαφίου (8) του άρθρου 3 του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, συνεχίζει να λαμβάνει οδηγίες και καθοδήγηση από την Αρχή, και τελεί υπό την εποπτεία της.

(10) Ο Επίτροπος έχει την αρμοδιότητα να συμβουλεύει τον Υφυπουργό επί θεμάτων που αφορούν την ασφάλεια συστημάτων δικτύου και πληροφοριών, την ψηφιακή ασφάλεια και την κυβερνοασφάλεια στη Δημοκρατία.

Εξουσίες της Αρχής σε σχέση με απόκτηση, διάθεση και επένδυση περιουσίας

7. Η Αρχή δύναται να-

(α) αποκτά με αγορά, ανταλλαγή, δωρεά ή οποιονδήποτε άλλο τρόπο ακίνητη ή κινητή περιουσία για τις ανάγκες στέγασης και λειτουργίας της,

(β) αποδέχεται την παροχή χορηγιών, για σκοπούς εφαρμογής των διατάξεων του παρόντος Νόμου, από τη Δημοκρατία, την Ευρωπαϊκή Ένωση, διεθνή οργανισμό ή εταιρεία ή οργανισμό, νοουμένου ότι ο οργανισμός δεν είναι βασική ή σημαντική οντότητα η οποία έχει οικονομικό ή άλλο συμφέρον, άμεσο ή έμμεσο, με την Αρχή και δεν έχει, εν πάση περιπτώσει εμπλοκή σε οποιαδήποτε τέτοια βασική ή σημαντική οντότητα,

(γ) πωλεί, ανταλλάσσει, εκμισθώνει, εκχωρεί ή διαθέτει με οποιονδήποτε άλλο τρόπο οποιαδήποτε κινητή ή ακίνητη περιουσία της Αρχής και να υποθηκεύει ή επιβαρύνει την εν λόγω περιουσία για τις ανάγκες της,

(δ) μισθώνει ή εξασφαλίζει άδεια χρήσης οποιασδήποτε ακίνητης ή κινητής περιουσίας για τις ανάγκες στέγασης και λειτουργίας της Αρχής,

(ε) συνάπτει δάνεια αναγκαία προς υλοποίηση όλων όσων περιλαμβάνονται στις διατάξεις των παραγράφων (α), (γ) και (δ), τηρουμένων των διατάξεων του άρθρου 103 του περί της Δημοσιονομικής Ευθύνης και του Δημοσιονομικού Πλαισίου Νόμου,

(στ)εισπράττει, τηρουμένων των διατάξεων του παρόντος άρθρου και του άρθρου 8, και διαχειρίζεται όλα τα ποσά, που καταβάλλονται δυνάμει των διατάξεων του παρόντος Νόμου ή των δυνάμει αυτού εκδιδόμενων Αποφάσεων ή Κανονισμών,

(ζ) συνάπτει συμβάσεις, και

(η)πράττει οτιδήποτε άλλο απαιτούμενο προς εκπλήρωση των όσων προβλέπονται στο παρόν άρθρο.

Ταμείο της Αρχής

8. Η Αρχή έχει χωριστό Ταμείο, στο οποίο κατατίθενται:

(α) Όλα τα πληρωτέα και εισπραττόμενα από την Αρχή ποσά, τα οποία προβλέπονται από τις διατάξεις του παρόντος Νόμου ή/και των Αποφάσεων ή/και των προνοιών των Κανονισμών, που εκδίδονται δυνάμει αυτού,

(β) κάθε χορηγία που παρέχεται στην Αρχή δυνάμει των διατάξεων της παραγράφου (β) του άρθρου 7 και κάθε άλλο έσοδο που εισπράττεται δυνάμει του παρόντος Νόμου,

(γ) όλα τα έσοδα που προέρχονται από περιουσιακά στοιχεία της Αρχής σύμφωνα με τις διατάξεις του το άρθρου 7,

(δ) όλα τα ποσά μισθών, απολαβών, ωφελημάτων, συντάξεων, αμοιβής και μίσθωσης υπηρεσιών, τα οποία καταβάλλονται από τη Δημοκρατία στην Αρχή, σύμφωνα με τις διατάξεις του εδαφίου (1) του άρθρου 11, για πληρωμή από την Αρχή στα μέλη του προσωπικού της ή σε πρόσωπα με τα οποία έχει συνάψει συμβάσεις παροχής υπηρεσιών, δυνάμει των διατάξεων του άρθρου 14, ανάλογα με την περίπτωση.

Προσωπικό της Αρχής

9. [Διαγράφηκε]
Πειθαρχικός έλεγχος του προσωπικού της Αρχής

10.-(1) Τα θέματα πειθαρχικού ελέγχου των μελών του προσωπικού της Αρχής, τυγχάνουν διαχείρισης από το ΣΕΠΑ, το οποίο ιδρύεται δυνάμει των διατάξεων του εδαφίου (1) του άρθρου 9.

(2) Τα πειθαρχικά παραπτώματα, ο τρόπος λειτουργίας του ΣΕΠΑ για σκοπούς πειθαρχικού ελέγχου, καθώς και οι διατάξεις και οι διαδικασίες με βάση τις οποίες αυτό ασκεί τον πειθαρχικό έλεγχο του προσωπικού της Αρχής καθορίζονται με Κανονισμούς που εκδίδονται σύμφωνα με τις διατάξεις του άρθρου 45.

Χρηματοδότηση των δαπανών της Αρχής

11.-(1)(α) Η Αρχή χρηματοδοτείται από τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τις βασικές και σημαντικές οντότητες, όπως καθορίζεται σε Κανονισμούς που εκδίδονται σύμφωνα με τις διατάξεις του άρθρου 45.

(β) Μέχρις ότου η Αρχή εισπράξει επαρκή ποσά τελών και εσόδων, δυνάμει του παρόντος Νόμου, για πληρωμή των μισθών, απολαβών, ωφελημάτων και συντάξεων των μελών του προσωπικού της Αρχής ή οποιασδήποτε αμοιβής πληρωτέας δυνάμει συμβάσεων παροχής υπηρεσιών που συνάπτονται από την Αρχή δυνάμει των διατάξεων του άρθρου 14, η Δημοκρατία καταβάλλει στην Αρχή τα ποσά μισθών, απολαβών, ωφελημάτων, συντάξεων, αμοιβής και εκπαίδευσης που είναι πληρωτέα από αυτήν στα μέλη του προσωπικού της ή/και στους παροχείς υπηρεσιών προς αυτήν.

(2) Όλα τα ποσά που η Δημοκρατία καταβάλλει στην Αρχή σύμφωνα με τις διατάξεις του εδαφίου (1) είναι επιστρεπτέα σ’ αυτήν και καταβάλλονται αμελλητί από την Αρχή:

Νοείται ότι, η Δημοκρατία δεν προβαίνει σε οποιαδήποτε είσπραξη από την Αρχή οποιουδήποτε εκ των ως άνω από μέρους της καταβληθέντων ποσών, προτού η Αρχή εισπράξει επαρκή προς τούτο ποσά τελών και εσόδων δυνάμει των διατάξεων του παρόντος Νόμου.

Εκπροσώπηση της Αρχής

12.-(1) Η Αρχή δύναται να ενάγει και να ενάγεται και να είναι διάδικος σε οποιαδήποτε αστική διαδικασία.

(2) Σε οποιαδήποτε δικαστική διαδικασία ή σε οποιαδήποτε διαδικασία ενώπιον οποιασδήποτε διοικητικής ή άλλης αρχής, η Αρχή και ο Επίτροπος, ανάλογα με την περίπτωση, εκπροσωπούνται από ασκούντα το επάγγελμα δικηγόρο ή/και από μέλος του προσωπικού της Αρχής και ο Επίτροπος επιλέγει τον δικηγόρο ή το μέλος του προσωπικού.

(3) Η Αρχή έχει τη δική της σφραγίδα.

(4) Κάθε σύμβαση που συνάπτεται από την Αρχή δυνάμει του παρόντος Νόμου υπογράφεται από εξουσιοδοτημένο από τον Επίτροπο μέλος του προσωπικού της Αρχής και φέρει τη σφραγίδα της Αρχής, που πιστοποιείται διά της υπογραφής του Επιτρόπου ή Βοηθού Επιτρόπου.

Πληρωμές από το Ταμείο της Αρχής

13. Από το Ταμείο της Αρχής καταβάλλονται:

(α) Στη Δημοκρατία όλα τα επιστρεπτέα σ’ αυτή, δυνάμει των διατάξεων του εδαφίου (2) του άρθρου 11, ποσά,

(β) όλα τα τρέχοντα έξοδα λειτουργίας της Αρχής,

(γ) όλα τα ποσά μισθών, απολαβών, ωφελημάτων και συντάξεων που είναι πληρωτέα στα μέλη του προσωπικού της Αρχής και όλα τα ποσά ωφελημάτων και συντάξεων που είναι πληρωτέα, σύμφωνα με τις διατάξεις της παραγράφου (β) του εδαφίου (4) του άρθρου 9, στα εξαρτώμενα πρόσωπα και τις οικογένειες αυτών των μελών, όπως και όλα τα ποσά αμοιβής που είναι πληρωτέα δυνάμει συμβάσεων παροχής υπηρεσιών, που έχουν συναφθεί από την Αρχή δυνάμει των διατάξεων του άρθρου 14, καθώς και όλα τα ποσά εισφορών τα οποία είναι καταβλητέα σε ταμεία τα οποία αναφέρονται στις διατάξεις της παραγράφου (γ) του εδαφίου (4) του άρθρου 9, όπως προβλέπεται σε Κανονισμούς που εκδίδονται δυνάμει του άρθρου 45,

(δ)όλα τα έξοδα που συνεπάγεται κάθε διορισμός συμβουλευτικού σώματος δυνάμει των διατάξεων του άρθρου 25,

(ε) το τοκοχρεολύσιο οποιουδήποτε δανείου το οποίο έχει συνάψει η Αρχή δυνάμει των διατάξεων της παραγράφου (ε) του άρθρου 7,

(στ) οποιοδήποτε νομίμως οφειλόμενο ή πληρωτέο ποσό, δυνάμει οποιασδήποτε σύμβασης έχει συναφθεί από την Αρχή δυνάμει του παρόντος Νόμου ή δυνάμει Κανονισμών ή Αποφάσεων, που εκδίδονται δυνάμει του παρόντος Νόμου,

(ζ) οποιαδήποτε νομίμως οφειλόμενα ή πληρωτέα ποσά δικηγορικών εξόδων ή αμοιβής σε σχέση με την εκπροσώπηση της Αρχής ή/και του Επιτρόπου ως επικεφαλής της Αρχής ενώπιον των δικαστηρίων ή οποιασδήποτε διοικητικής ή άλλης αρχής ή σε σχέση με την παροχή νομικών συμβουλών στην Αρχή,

(η) οποιοδήποτε ποσό καθίσταται νομίμως πληρωτέο συνεπεία ασκήσεως οποιασδήποτε αρμοδιότητας, εξουσίας ή καθήκοντος της Αρχής, σύμφωνα με τις διατάξεις του παρόντος Νόμου ή των Κανονισμών, ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,

(θ) στο Πάγιο Ταμείο της Δημοκρατίας όλα τα χρηματικά ποσά που εισπράττονται από την Αρχή, ως διοικητικό πρόστιμο, δυνάμει των διατάξεων του παρόντος Νόμου,

(ι) όλα τα χρηματικά ποσά που η Αρχή έχει υποχρέωση κατά την άσκηση των αρμοδιοτήτων της δυνάμει του παρόντος Νόμου να καταβάλλει ως αποζημιώσεις, δυνάμει οποιωνδήποτε δικαστικών αποφάσεων ή εξώδικων συμβιβασμών, στο Πάγιο Ταμείο της Δημοκρατίας.

Εξασφάλιση υπηρεσιών από την Αρχή

14. Ανεξάρτητα από τις διατάξεις οποιουδήποτε άλλου νόμου, Κανονισμών, Διαταγμάτων και Αποφάσεων που εκδίδονται δυνάμει οποιασδήποτε οικείας νομοθεσίας, η Αρχή δύναται να:

(α) Εξασφαλίζει υπηρεσίες ή/και προμήθεια εξοπλισμού ή/και λογισμικού σε θέματα σχετιζόμενα με την άσκηση των δυνάμει του παρόντος Νόμου αρμοδιοτήτων και εξουσιών της και την εκτέλεση των καθηκόντων της ή με την προς τούτο εκπαίδευση του προσωπικού της Αρχής, σύμφωνα με τις διατάξεις του περί του Συντονισμού των Διαδικασιών Σύναψης Ορισμένων Συμβάσεων Έργων, Προμηθειών και Παροχής Υπηρεσιών που Συνάπτονται από Αναθέτουσες Αρχές ή Αναθέτοντες Φορείς στους Τομείς της Άμυνας, της Ασφάλειας και για Συναφή Θέματα Νόμου,

(β) συνάπτει για τους πιο πάνω σκοπούς συμβάσεις παροχής υπηρεσιών σύμφωνα με τις διατάξεις του περί Συντονισμού των Διαδικασιών Σύναψης Ορισμένων Συμβάσεων Έργων, Προμηθειών και Παροχής Υπηρεσιών που Συνάπτονται από Αναθέτουσες Αρχές ή Αναθέτοντες Φορείς στους Τομείς της Άμυνας, της Ασφάλειας και για Συναφή Θέματα Νόμου,

(γ) εξασφαλίζει μίσθωση υπηρεσιών για ορισμένο χρονικό διάστημα από φυσικά ή νομικά πρόσωπα σύμφωνα με τις διατάξεις του περί της Ρύθμισης των Διαδικασιών Σύναψης Δημοσίων Συμβάσεων και για Συναφή Θέματα Νόμου.

ΜΕΡΟΣ ΤΕΤΑΡΤΟ ΓΕΝΙΚΑ ΚΑΘΗΚΟΝΤΑ ΤΗΣ ΑΡΧΗΣ
Υποχρέωση προαγωγής ορισμένων σκοπών της Αρχής

15.-(1) Κατά την άσκηση των αρμοδιοτήτων και εξουσιών της Αρχής, δυνάμει των διατάξεων του παρόντος Νόμου και κατά την εκτέλεση των καθηκόντων της, η Αρχή ενεργεί κατά τρόπο ο οποίος προάγει τη διατήρηση της ακεραιότητας και ασφάλειας των δικτύων ηλεκτρονικών επικοινωνιών, την επίτευξη επιπέδου ασφάλειας συστημάτων δικτύου και πληροφοριών, περιλαμβανομένης της προστασίας των οντοτήτων που υπάγονται στην αρμοδιότητα της Αρχής.

(2) [Διαγράφηκε].

(3) Αναφορικά με τα ζητήματα που εμπίπτουν στους τομείς της άμυνας, της εθνικής ασφάλειας, της δημόσιας ασφάλειας, της δημόσιας τάξης, της εξωτερικής πολιτικής της Δημοκρατίας καθώς και στους τομείς της αποστολής της Κυπριακής Υπηρεσίας Πληροφοριών, ως αυτή καθορίζεται στον περί της Κυπριακής Υπηρεσίας Πληροφοριών (ΚΥΠ) Νόμο, η Αρχή υποχρεούται να συμμορφώνεται με τις οδηγίες ή/και Αποφάσεις του Υπουργικού Συμβουλίου κατά την άσκηση των εξουσιών της δυνάμει των διατάξεων του παρόντος Νόμου.

Εφαρμογή από την Αρχή του πλαισίου γενικής πολιτικής

16.-(1) Κατά την άσκηση των αρμοδιοτήτων και την εκτέλεση των εξουσιών της, η Αρχή ενεργεί αμερόληπτα και ανεξάρτητα, εφαρμόζοντας το εκάστοτε πλαίσιο γενικής πολιτικής σύμφωνα με τα όσα προβλέπονται στο εδάφιο (2).

(2) Ο Υφυπουργός καθορίζει ή/και αναθεωρεί το πλαίσιο γενικής πολιτικής σε σχέση με την ψηφιακή ασφάλεια.

(3) Ο Υφυπουργός δημοσιεύει το γενικό πλαίσιο πολιτικής σε σχέση με την ψηφιακή ασφάλεια στην Επίσημη Εφημερίδα της Δημοκρατίας.

ΜΕΡΟΣ ΠΕΜΠΤΟ ΑΡΜΟΔΙΟΤΗΤΕΣ, ΕΞΟΥΣΙΕΣ ΚΑΙ ΚΑΘΗΚΟΝΤΑ ΤΗΣ ΑΡΧΗΣ
Αρμοδιότητες, εξουσίες και καθήκοντα της Αρχής

17. Αποτελεί αρμοδιότητα και εξουσία της Αρχής μεταξύ άλλων, όπως-

(α) [Διαγράφηκε],

(β) εφαρμόζει, σε θέματα ασφάλειας δικτύων και συστημάτων πληροφοριών, το εκάστοτε ακολουθητέο πλαίσιο γενικής πολιτικής σύμφωνα με τις διατάξεις του εδαφίου (2) του άρθρου 16,

(γ) αποτελεί εθνικό ενιαίο σημείο επαφής για την ασφάλεια των δικτύων και συστημάτων πληροφοριών (εφεξής «ενιαίο κέντρο επαφής»),

(δ) ασκεί, ως ενιαίο σημείο επαφής, καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας με τις αρμόδιες αρχές των άλλων κρατών μελών, τις αρμόδιες αρχές της Δημοκρατίας, την ομάδα συνεργασίας το Δίκτυο CSIRT και το EU-CyCLONE,, όπως προβλέπεται στις διατάξεις του άρθρου 33,

(ε) διαβουλεύεται και συνεργάζεται με τις αρμόδιες αρχές επιβολής του νόμου, την Κυπριακή Υπηρεσία Πληροφοριών, τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, το Τμήμα Πολιτικής Αεροπορίας, το Τμήμα Ηλεκτρονικών Επικοινωνιών, τις αρμόδιες αρχές της Δημοκρατίας που έχουν οριστεί για την εφαρμογή του Κανονισμού (ΕΕ) 2022/2554, το ΓΕΡΗΕΤ και την αρμόδια αρχή της Δημοκρατίας για την ανθεκτικότητα  των κρίσιμων οντοτήτων, καθώς και με τις αρμόδιες αρχές που έχουν οριστεί βάσει άλλων τομεακών νομικών πράξεων της Ένωσης∙

(στ) υποβάλλει ως ενιαίο σημείο επαφής στην ομάδα συνεργασίας ετήσια συνοπτική έκθεση, σε ημερομηνία που καθορίζεται από την Ομάδα Συνεργασίας ή/και την Ευρωπαϊκή Επιτροπή, σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου του αριθμού των κοινοποιήσεων και της φύσης των κοινοποιημένων συμβάντων, καθώς και τα μέτρα που έχουν ληφθεί σύμφωνα με τις διατάξεις των εδαφίων (3) και (5) του άρθρου 35 και των διατάξεων των εδαφίων (4) και (6) του άρθρου 35Β,

(ζ) διασφαλίζει,μέσω του Υπουργικού Συμβουλίου, ότι διαθέτει επαρκείς πόρους για την αποτελεσματική εκτέλεση των καθηκόντων της και για τα καθήκοντα του εθνικού CSIRT που περιγράφονται στις διατάξεις του εδαφίου (3) του άρθρου 31 και τις διατάξεις του εδαφίου (3) του άρθρου 31Α,

(η) μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία του εθνικού CSIRT, στο πλαίσιο του δικτύου CSIRT, που αναφέρεται στις διατάξεις του άρθρου 33,

(θ) ζητά τη συνδρομή του ENISA ή και άλλων ευρωπαϊκών ή/και διεθνών οργανισμών ή/και άλλων διεθνών φορέων για την ανάπτυξη του εθνικού CSIRT, εάν το κρίνει απαραίτητο η Αρχή,

(ι) λαμβάνει τις κοινοποιήσεις περιστατικών σε εθνικό επίπεδο και τις κοινοποιήσεις που διαβιβάζονται σε αυτήν από οποιεσδήποτε άλλες αρμόδιες αρχές κρατών μελών της Ευρωπαϊκής Ένωσης σύμφωνα με τις διατάξεις του παρόντος Νόμου,

(ια) [Διαγράφηκε],

(ιβ) εποπτεύει το εθνικό CSIRT και άλλα τομεακά CSIRT στη Δημοκρατία:

Νοείται ότι, από τον όρο «τομεακά CSIRT» εξαιρείται η λειτουργία στρατιωτικού CSIRT, το οποίο διασφαλίζει ουσιαστική συνεργασία σε θέματα κυβερνοασφάλειας με την Αρχή, καθώς και την ανταλλαγή επιλεγμένων πληροφοριών με το εθνικό CSIRT,

(ιγ) διασφαλίζει ότι το εθνικό CSIRT έχει πρόσβαση σε μια κατάλληλη, ασφαλή και ανθεκτική υποδομή επικοινωνιών και πληροφοριών σε εθνικό επίπεδο σύμφωνα με τις διατάξεις του παρόντος Νόμου,

(ιδ) ορίζει, με Απόφαση της, τις βασικές και σημαντικές οντότητες οι οποίες είναι εγκατεστημένες στη Δημοκρατία για κάθε τομέα και υποτομέα που αναφέρονται στο Παράρτημα Ι ή ΙΙ του παρόντος Νόμου καθώς και τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα στη Δημοκρατία,

(ιε) επανεξετάζει και, κατά περίπτωση, επικαιροποιεί τον κατάλογο των προσδιορισμένων βασικών και σημαντικών οντοτήτων και των οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα σε τακτική βάση και τουλάχιστον ανά διετία,

(ιστ) συνεργάζεται στενά με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων,

(ιζ) αξιολογεί τη συμμόρφωση των βασικών ή/και σημαντικών οντοτήτων με τις υποχρεώσεις τους δυνάμει των διατάξεων του άρθρου 35 και των επιπτώσεών τους στην ασφάλεια των δικτύων και συστημάτων πληροφοριών τους,

(ιη) εξασφαλίζει ότι οι βασικές ή/και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους,

(ιθ) εξασφαλίζει ότι οι βασικές ή/και σημαντικές οντότητες λαμβάνουν κατάλληλα μέτρα για την ολιστική προσέγγιση του κινδύνου που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά,

(κ) εξασφαλίζει ότι οι βασικές ή/και σημαντικές οντότητες κοινοποιούν αμελλητί στην Αρχή κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους, όπως αναφέρεται στο εδάφιο (3) του άρθρου 35Β (σημαντικό περιστατικό),

(κα) [Διαγράφηκε],

(κβ) [Διαγράφηκε],

(κγ) [Διαγράφηκε],

(κδ) [Διαγράφηκε],

(κε) εκδίδει οποιαδήποτε Απόφαση, συμπεριλαμβανομένων προσωρινών μέτρων, αναφορικά με ζητήματα που εμπίπτουν στις αρμοδιότητές της,

(κστ) επιβάλλει διοικητικό πρόστιμο, σύμφωνα με τις διατάξεις των άρθρων 43 και 43Α, σε οποιοδήποτε πρόσωπο παραβιάζει τις διατάξεις του παρόντος Νόμου ή τις πρόνοιες των Κανονισμών ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,

(κζ) είναι μέλος και να συμμετέχει σε συναντήσεις τέτοιων ευρωπαϊκών ή διεθνών οργανισμών ως προς το συμφέρον της Δημοκρατίας,

(κη) αιτείται, στο πλαίσιο συγκεκριμένων δραστηριοτήτων της, της παροχής, από τις βασικές ή/και τις σημαντικές οντότητες ή/και τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα,  κάθε σχετικών τεχνικών, οικονομικών και άλλων πληροφοριών, συμπεριλαμβανομένων των αρχείων καταγραφής (logs), για περίοδο τουλάχιστον έξι (6) μηνών καθώς και πληροφορίες για σκοπούς δημοσίας τάξεως και εθνικής ασφάλειας, τηρουμένης της αρχής της αναλογικότητας,

(κθ) ασκεί οποιεσδήποτε άλλες αρμοδιότητες, εξουσίες και καθήκοντα, της παρέχονται δυνάμει των διατάξεων του παρόντος Νόμου ή δυνάμει των προνοιών των Κανονισμών και Αποφάσεων που εκδίδονται δυνάμει αυτού,

(λ) επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, δυνάμει των διατάξεων του παρόντος Νόμου, σύμφωνα με τον περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμο και τον Κανονισμό (ΕΕ) αριθ. 2016/679,

(λα) θεσπίζει ή/και να διατηρεί διατάξεις, με στόχο την επίτευξη υψηλότερου επιπέδου ασφάλειας των δικτύων και συστημάτων πληροφοριών με την επιφύλαξη των υποχρεώσεων της Δημοκρατίας που απορρέουν από το ενωσιακό δίκαιο,

(λβ) τηρουμένων των διατάξεων του εδαφίου (3) του άρθρου 19, προβαίνει στη δημοσίευση πληροφοριών και εγγράφων που αναφέρονται στις διατάξεις του άρθρου 19 όπως κρίνει σκόπιμο, για σκοπούς προαγωγής της ενημέρωσης και κατανόησης από το κοινό επί θεμάτων ασφάλειας δικτύων και συστημάτων πληροφοριών, ψηφιακής ασφάλειας και κυβερνο-ασφάλειας,

(λγ) παρακολουθεί την εφαρμογή των διατάξεων του παρόντος Νόμου στη Δημοκρατία και, κατά την άσκηση της αρμοδιότητάς της αυτής, δύναται να ζητά και λαμβάνει συνδρομή από πρόσωπα τα οποία υπόκεινται σε καθεστώς εποπτείας, δυνάμει οποιασδήποτε οικείας νομοθεσίας, και από τις αντίστοιχες εποπτικές αρχές ή από τις εθνικές αρχές που συνεισφέρουν στην εποπτεία, όταν αυτή ασκείται από υπερεθνικές αρχές:

Νοείται ότι, οι εξουσίες που χορηγούνται στην Αρχή, δυνάμει των διατάξεων του παρόντος Νόμου, απαιτείται να ασκούνται κατά τρόπο που να μη θίγουν τις αρμοδιότητες, τα καθήκοντα και τις εξουσίες των εποπτικών, εθνικών ή υπερεθνικών αρχών που αναφέρονται στις διατάξεις της παρούσας παραγράφου,

(λδ) συνάπτει μνημόνια συνεργασίας με φορείς που διέπονται από τον παρόντα Νόμο ή άλλες αρχές ή οργανισμούς ή εταιρείες που συνεργάζονται με την Αρχή:

Νοείται ότι, η Αρχή δύναται να συνάπτει μνημόνια συνεργασίας με τις εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές, τρίτης χώρας και στο πλαίσιο αυτό, η Αρχή διευκολύνει την αποτελεσματική, αποδοτική και ασφαλή ανταλλαγή πληροφοριών με τις εν λόγω εθνικές ομάδες αντιμετώπισης περιστατικών ασφαλείας σε υπολογιστές τρίτης χώρας, χρησιμοποιώντας σχετικά πρωτόκολλα ανταλλαγής πληροφοριών, συμπεριλαμβανομένου του πρωτοκόλλου φωτεινού σηματοδότη (Traffic Light Protocol – TLP):

Νοείται περαιτέρω ότι, η Αρχή δύναται να ανταλλάσσει σχετικές πληροφορίες με εθνικές ομάδες αντιμετώπισης περιστατικών ασφαλείας σε υπολογιστές τρίτης χώρας, συμπεριλαμβανομένων δεδομένων προσωπικού χαρακτήρα δυνάμει των διατάξεων του περί Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμο και του Κανονισμού (ΕΕ) 2016/679,

(λε) συνάπτει, τηρουμένων των διατάξεων οποιωνδήποτε άλλων νομικών πράξεων εκδίδει η Ευρωπαϊκή Ένωση, μνημόνια συνεργασίας ή/και συμφωνίες, όπου κρίνεται απαραίτητο, με εποπτικές αρχές οι οποίες εποπτεύουν αδειοδοτημένα ιδρύματα για τα οποία εφαρμόζονται οι διατάξεις του παρόντος Νόμου και στα εν λόγω μνημόνια συνεργασίας ή/και συμφωνίες, δύναται να προσδιορίζεται ο τρόπος εφαρμογής των διατάξεων που ενεργοποιούνται με τον καθορισμό των αδειοδοτημένων ιδρυμάτων βασικών ή σημαντικών οντοτήτων ή άλλως πως,

(λστ) εκδίδει, στο πλαίσιο της αποτελεσματικής άσκησης των αρμοδιοτήτων και εξουσιών της, Αποφάσεις για την εφαρμογή ενωσιακών Κανονισμών, την εναρμόνιση με ενωσιακή Οδηγία, Απόφαση, Εκτελεστικό Κανονισμό, κατ’ εξουσιοδότηση Κανονισμό, Σύσταση και κάθε άλλη σχετική πράξη της Ευρωπαϊκής Ένωσης ή/και για την αποσαφήνιση διατάξεων του παρόντος Νόμου∙

(λζ) ενεργεί ως η αρμόδια αρχή για τη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας ως η αρχή διαχείρισης κυβερνοκρίσεων∙

(λη) λαμβάνει κοινοποιήσεις σοβαρών περιστατικών δυνάμει των διατάξεων του άρθρου 35Β καθώς και περιστατικών κυβερνοαπειλών και παρ’ ολίγον περιστατικών δυνάμει των διατάξεων του άρθρου 42 ∙

(λθ) συμμετέχει σε αξιολογήσεις από ομότιμους δυνάμει των διατάξεων του άρθρου 34Α∙

(μ) χρησιμοποιεί τα απαραίτητα μέσα για την άσκηση αποτελεσματικής εποπτείας των οντοτήτων οι οποίες  εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου και λαμβάνει τα αναγκαία μέτρα για να εξασφαλίσει τη συμμόρφωσή τους δυνάμει των διατάξεων του παρόντος Νόμου∙ και

(μα) δημιουργεί και τηρεί μητρώο με παροχείς υπηρεσιών DNS, μητρώα ονομάτων TLD, οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, παροχείς υπηρεσιών υπολογιστικού νέφους, παροχείς υπηρεσιών κέντρων δεδομένων, παροχείς δικτύων διανομής περιεχομένου, παροχείς διαχειριζομένων υπηρεσιών, παροχείς διαχειριζομένων υπηρεσιών ασφάλειας καθώς και παροχείς επιγραμμικών αγορών, παροχείς επιγραμμικών μηχανών αναζήτησης ή παροχείς πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, τηρουμένων των διατάξεων του άρθρου 37Α.

Γενική υποχρέωση

18. Η Αρχή υποχρεούται να διασφαλίζει ότι, κατά την ως άνω άσκηση των αρμοδιοτήτων της, τηρούνται οι αρχές της ίσης μεταχείρισης, της αντικειμενικότητας και της αναλογικότητας.

ΜΕΡΟΣ ΕΚΤΟ ΕΞΑΣΦΑΛΙΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΑΛΛΕΣ ΕΞΟΥΣΙΕΣ, ΔΙΑΤΑΓΜΑΤΑ, ΑΠΟΦΑΣΕΙΣ, ΕΡΕΥΝΕΣ ΚΑΙ ΣΥΜΒΟΥΛΕΥΤΙΚΑ ΣΩΜΑΤΑ
Εξασφάλιση πληροφοριών

19.-(1) Για τη διασφάλιση της καλύτερης ενάσκησης των αρμοδιοτήτων και εξουσιών της, η Αρχή, συμμορφούμενη με την αρχή της αναλογικότητας, με αιτιολογημένο αίτημα, έχει την εξουσία να απαιτεί από-

(α1) τις βασικές ή/και σημαντικές οντότητες ή/και από τους παροχείς σταθερών και κινητών επικοινωνιών, όπως, τηρουμένων των διατάξεων των εδαφίων (2) και (3) του άρθρου 2 και εφόσον η Αρχή κρίνει σκόπιμο κατόπιν αιτήματος της Αστυνομίας ή/και της Κυπριακής Υπηρεσίας Πληροφοριών, παρέχουν στην Αρχή ή/και στην Αστυνομία ή/και στην Κυπριακή Υπηρεσία Πληροφοριών τις απαραίτητες πληροφορίες για σκοπούς δημόσιας τάξης και εθνικής ασφάλειας,

(β) τις βασικές ή/και σημαντικές οντότητες να παρέχουν τις απαιτούμενες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών, συμπεριλαμβανομένων, να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης ή/και να παρέχουν στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που να έχει διενεργηθεί είτε από την ίδια είτε από εξουσιοδοτημένο επιθεωρητή και στη δεύτερη αυτή περίπτωση να θέτουν τα αποτελέσματά τους, καθώς και τα σχετικά στοιχεία στη διάθεσή της και οι ζητούμενες πληροφορίες χρησιμοποιούνται και διατηρούνται από την ίδια για τη διασφάλιση της συμμόρφωσης των βασικών ή/και σημαντικών οντοτήτων με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών που εκδίδονται δυνάμει του παρόντος Νόμου και τις διατάξεις των Αποφάσεων της Αρχής που εκδίδονται για εφαρμογή των διατάξεων του παρόντος Νόμου:

Νοείται ότι, πληροφορίες που εξασφαλίζονται από την Αρχή, σύμφωνα με τις διατάξεις του παρόντος εδαφίου, αφορούν την προαγωγή των σκοπών που αναφέρονται στις διατάξεις των άρθρων 15 και 16 και στην εκτέλεση των αρμοδιοτήτων, εξουσιών και καθηκόντων της Αρχής που αναφέρονται στις διατάξεις του άρθρου 17 και δεν δύναται να χρησιμοποιηθούν για οποιοδήποτε σκοπό άλλον από εκείνον για τον οποίο είχαν ζητηθεί.

(2)(α) Πρόσωπα από τα οποία ζητείται να υποβάλουν πληροφορίες σύμφωνα με τις διατάξεις του παρόντος άρθρου οφείλουν να ανταποκρίνονται εντός καθορισμένης προθεσμίας, τηρουμένων των διατάξεων του άρθρου 18 και του εδαφίου (1) του άρθρου 19, και να παρέχουν τις λεπτομέρειες και πληροφορίες που ζητά η Αρχή.

(β) Κάθε βασική ή/και σημαντική οντότητα παρέχει στην Αρχή κάθε πληροφορία, όπως ορίζεται στις διατάξεις του εδαφίου (1), κατόπιν αιτιολογημένου αιτήματος της Αρχής και σύμφωνα με το χρονοδιάγραμμα και το εύρος λεπτομέρειας που ορίζονται στο σχετικό αίτημα.

(γ) Σε περίπτωση μη συμμόρφωσης ενός προσώπου με το σχετικό αίτημα της Αρχής για την παροχή πληροφοριών σύμφωνα με τις διατάξεις του παρόντος άρθρου, επιβάλλεται διοικητικό πρόστιμο ύψους έως πέντε χιλιάδες ευρώ (€5.000)

(δ) Η Αρχή, κατόπιν αιτιολογημένου αιτήματος από την Επιτροπή, παρέχει σε αυτήν τις απαραίτητες πληροφορίες σχετικά με την ενάσκηση των καθηκόντων της και οι απαιτούμενες πληροφορίες είναι ανάλογες προς τον σκοπό υλοποίησης των καθηκόντων αυτών.

(ε) Με την επιφύλαξη του Άρθρου 346 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, πληροφορίες οι οποίες είναι εμπιστευτικές, σύμφωνα με ενωσιακούς ή εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές σύμφωνα με τον παρόντα Νόμο, μόνον εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή του παρόντος Νόμου και οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής, ώστε να διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των οικείων οντοτήτων.

(3)(α) Η Αρχή διαφυλάττει και δέχεται ως εμπιστευτική κάθε πληροφορία που παρέχεται από πρόσωπο που κατηγοριοποιείται από αυτό ως εμπιστευτική, εκτός από τις περιπτώσεις που η Αρχή για σκοπούς άσκησης των αρμοδιοτήτων της αποφασίζει διαφορετικά και οφείλει να τεκμηριώνει την Απόφασή της για αποκάλυψη της πληροφορίας.

(β) Η Αρχή δεν αποκαλύπτει πληροφορίες που καλύπτονται από υποχρέωση επαγγελματικού απορρήτου και συγκεκριμένα πληροφορίες αναφορικά με βασικές ή/και σημαντικές οντότητες, τις επαγγελματικές τους σχέσεις ή την τιμολόγησή τους και η απαγόρευση αυτή τελεί υπό την επιφύλαξη του δικαιώματος της Αρχής να αποκαλύπτει πληροφορίες όπου αυτό είναι θεμελιώδες, προς το σκοπόν εκπλήρωσης των καθηκόντων της:

Νοείται ότι, σε μια τέτοια περίπτωση, οποιαδήποτε αποκάλυψη είναι αναλογική και λαμβάνει υπόψη τα νόμιμα συμφέροντα των προσώπων προς διασφάλιση των επιχειρηματικών τους μυστικών.

Άλλες εξουσίες

20.-(1) Η Αρχή έχει εξουσία να:

(α) Επιτηρεί τη συμμόρφωση με τις υποχρεώσεις που επιβάλλουν οι διατάξεις του παρόντος Νόμου και/ή οι διατάξεις των Αποφάσεων που εκδίδονται δυνάμει των διατάξεων του παρόντος Νόμου, στις βασικές ή/και σημαντικές οντότητες,

(β) απαιτεί από οποιαδήποτε βασική ή/και σημαντική οντότητα ή άλλο πρόσωπο, οποιαδήποτε πληροφορία, την οποία δυνατό να κρίνει ευλόγως ως αναγκαία, για σκοπούς άσκησης των αρμοδιοτήτων και εξουσιών της και εκτέλεσης των καθηκόντων της, συμπεριλαμβανομένων πληροφοριών που πηγάζουν από την τοποθέτηση αισθητήρων, με σκοπό τον εντοπισμό κακόβουλων λογισμικών, σε εσωτερικά δίκτυα ή/και σε εξωτερικά δίκτυα, χωρίς επηρεασμό των διατάξεων των εδαφίων (4) και (5) του άρθρου 31Α:

Νοείται ότι, η τοποθέτηση αισθητήρων από την Αρχή σε εσωτερικά δίκτυα μπορεί να γίνει μόνο κατόπιν αιτήματος της βασικής ή/και σημαντικής οντότητας ή συναίνεσής της ή/και για λόγους εθνικής ασφάλειας, τηρουμένων των διατάξεων του εδαφίου (3) του άρθρου 15,

(γ) καθορίζει με Απόφασή της τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τις διαδικασίες κοινοποίησης περιστατικών ψηφιακής ασφάλειας  και επιτηρεί τη συμμόρφωση με αυτά και, όπου αυτό είναι αναγκαίο, διατάσσει τη λήψη διορθωτικών μέτρων,

(δ) εκδίδει οποιεσδήποτε Αποφάσεις είναι αναγκαίες για εξασφάλιση συμμόρφωσης με τις διατάξεις του παρόντος Νόμου,

(ε) επιβάλλει διοικητικά πρόστιμα στις βασικές ή/και σημαντικές οντότητες για παράβαση των διατάξεων του παρόντος Νόμου ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,

(στ) κλητεύει και εξαναγκάζει, κατά τον καθορισμένο σε Απόφαση τρόπο, την παρουσία μαρτύρων σε έρευνες.

(2) Ο Επίτροπος εξουσιοδοτεί οποιονδήποτε υπάλληλο της Αρχής όπως αυτός εισέρχεται, επιθεωρεί, ερευνά, διενεργεί έλεγχο, καθ’ οιονδήποτε εύλογο χρόνο, σε οποιονδήποτε χώρο, υποστατικό ή όχημα, εξαιρουμένου οποιουδήποτε χώρου χρησιμοποιείται ως κατοικία, τα οποία χρησιμοποιούνται για την παροχή οποιωνδήποτε υπηρεσιών από βασικές και σημαντικές οντότητες, σύμφωνα με τις διατάξεις του παρόντος Νόμου, και συλλέγει στοιχεία τα οποία ενδεχομένως να χρησιμοποιηθούν για αποδεικτικούς σκοπούς ή οποιαδήποτε δικαστική διαδικασία αναφορικά με οποιαδήποτε παράβαση ή παράλειψη συμμόρφωσης με τις διατάξεις του παρόντος Νόμου ή των προνοιών των Κανονισμών ή των Αποφάσεων που εκδίδονται δυνάμει αυτού.

(3) Πρόσωπο το οποίο, αυτοπροσώπως ή διά υπαλλήλου του ή άλλου εκπροσώπου του, παρακωλύει ή παρεμποδίζει υπάλληλο της Αρχής να ασκήσει οποιοδήποτε από τα καθήκοντά του, σύμφωνα με τις διατάξεις του εδαφίου (2), είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους έξι (6) μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις οκτώ χιλιάδες ευρώ (€8.000) ή/και στις δύο αυτές ποινές.

Έκδοση αποφάσεων

21.-(1) Πριν από την έκδοση Απόφασης δυνάμει των διατάξεων της παραγράφου (δ) του εδαφίου (1) του άρθρου 20, ειδοποιείται οποιοδήποτε πρόσωπο το οποίο κατά τη γνώμη της Αρχής επηρεάζεται ή είναι δυνατό να επηρεαστεί από την Απόφαση και παρέχεται σε αυτό η ευκαιρία να ακουστεί εντός δέκα (10) εργάσιμων ημερών από την ειδοποίηση περί της έκδοσης Απόφασης:

Νοείται ότι, η Αρχή δεν υποχρεούται να δώσει ειδοποίηση προ της έκδοσης Απόφασης σε περίπτωση επείγουσας φύσεως κατ’ απόλυτη κρίση της Αρχής, αλλά σε τέτοιες περιπτώσεις η Αρχή καλεί τον επηρεαζόμενο να εκφράσει απόψεις, εντός δέκα (10) εργάσιμων ημερών από την έκδοση της απόφασης, ως προς το γιατί η Απόφαση πρέπει να ανακληθεί ή τροποποιηθεί.

(2) Μετά από ακρόαση, σύμφωνα με τις διατάξεις του εδαφίου (1), ο Επίτροπος εκδίδει και κοινοποιεί το ταχύτερο δυνατόν σε κάθε ενδιαφερόμενο την τελική του Απόφαση.

Ποινικό αδίκημα

22. Πρόσωπο, το οποίο χωρίς εύλογη αιτία παραλείπει να συμμορφωθεί με τις διατάξεις του άρθρου 21 διαπράττει ποινικό αδίκημα και, σε περίπτωση καταδίκης, τιμωρείται με ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή με χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή και στις δύο αυτές ποινές.

Διεξαγωγή έρευνας

23.-(1) Η Αρχή δύναται αυτεπάγγελτα, να διεξαγάγει έρευνα για τις δραστηριότητες και λειτουργίες οποιασδήποτε βασικής ή/και σημαντικής οντότητας οι οποίες κρίνεται ότι δεν συνάδουν με τις διατάξεις και με την εφαρμογή του παρόντος Νόμου και κατ’ ακολουθία να προβαίνει σε συστάσεις και να εκδίδει Αποφάσεις, όπως κατά τη γνώμη της, είναι πρόσφορο.

(2) Για τους σκοπούς διεξαγωγής έρευνας σύμφωνα με το εδάφιο (1), η Αρχή δύναται να-

(α)κλητεύει μάρτυρες και ενδιαφερόμενα μέρη κατά τον καθορισμένο σε Απόφαση ή Κανονισμούς τρόπο, προσάγει, παρουσιάζει και καταθέτει έγγραφα, βιβλία, σχέδια και αρχεία,

(β) εξετάζει μάρτυρες και ενδιαφερόμενα μέρη.

(3) Πρόσωπο διαπράττει ποινικό αδίκημα, όταν-

(α) χωρίς εύλογη αιτία παραλείπει ή αρνείται συμμόρφωση με κλήση να παραστεί ενώπιον της Αρχής ή να προσαγάγει, παρουσιάσει ή καταθέσει οποιοδήποτε έγγραφο, βιβλίο, σχέδιο ή αρχείο, ή

(β) ενώ είναι μάρτυρας, αρνείται χωρίς εύλογη αιτία να απαντήσει σε οποιοδήποτε εύλογο ερώτημα του υποβάλλεται:

Νοείται ότι εν πάση περιπτώσει ουδείς είναι υπόχρεος να απαντήσει, εάν η απάντηση δυνατό να τον ενοχοποιεί σε σχέση με ποινικό αδίκημα ή εάν συνιστά παραβίαση του απορρήτου της επικοινωνίας δικηγόρου-πελάτη ή/και παρεμποδίζει ή διακόπτει την ενώπιον της Αρχής διαδικασία.

(4) Πρόσωπο το οποίο καταδικάζεται για διάπραξη ποινικού αδικήματος κατά παράβαση των διατάξεων των παραγράφων (α) ή/και (β) του εδαφίου (3), υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή/και στις δύο αυτές ποινές.

(5) Οποιοδήποτε πρόσωπο δύναται να εκπροσωπείται ενώπιον της Αρχής διά δικηγόρου και να καλεί, κατά τον καθορισμένο σε Απόφαση τρόπο, οποιουσδήποτε μάρτυρες.

(6) Ο Επίτροπος ή εξουσιοδοτημένος από αυτόν λειτουργός της Αρχής διεξάγει την οποιαδήποτε ενώπιον της Αρχής διαδικασία και έχει εξουσία περιστολής ή καταστολής καταχρήσεως της διαδικασίας ενώπιόν της.

Διαβουλεύσεις/Ακροάσεις

24.-(α) Η Αρχή δύναται να έχει διαβουλεύσεις με εκπροσώπους της Δημοκρατίας, με βασικές ή/και σημαντικές οντότητες και με οποιαδήποτε άλλα πρόσωπα ή οργανισμούς, όπως η Αρχή εκάστοτε κρίνει σκόπιμο.

(β) Η διαδικασία διενέργειας διαβουλεύσεων δύναται να ρυθμιστεί με σχετική Απόφαση της Αρχής.

(γ) Η Αρχή σε σχέση με την εφαρμογή των αρμοδιοτήτων και εξουσιών της δύναται, όταν κρίνει σκόπιμο, να διεξαγάγει δημόσιες ακροάσεις και η διαδικασία διενέργειας δημόσιων ακροάσεων δύναται να ρυθμιστεί με σχετική Απόφαση της Αρχής.

(δ) Η Αρχή δύναται να εκδώσει Απόφαση με την οποία να καθορίζει τη διαδικασία ακρόασης προσώπων, ιδίως σε περιπτώσεις επιβολής διοικητικών προστίμων ή/και άλλων διοικητικών κυρώσεων.

Διορισμός συμβουλευτικών σωμάτων

25. Η Αρχή δύναται να εγκαθιδρύσει συμβουλευτικά σώματα για να τη συμβουλεύσουν επί τοιούτων ζητημάτων, όπως θέλει εκάστοτε κρίνει σκόπιμο, να διορίζει τα μέλη αυτών και να καταβάλλει τα συνεπαγόμενα έξοδα από το Ταμείο της Αρχής.

Έκδοση προσωρινών μέτρων

26.-(α) Η Αρχή δύναται, δυνάμει των εξουσιών της και ιδίως κατόπιν αιτήματος από ενδιαφερόμενη βασική ή/και σημαντική οντότητα ή οργανισμό, να λαμβάνει προσωρινά μέτρα, συμπεριλαμβανομένης της έκδοσης προσωρινής Απόφασης, ιδίως σε περιπτώσεις που υπάρχει ενδεχόμενο κινδύνου για την ασφάλεια δικτύων και συστημάτων πληροφοριών.

(β) Σε αυτές τις περιπτώσεις η Αρχή ζητά από τα επηρεαζόμενα μέρη να διατυπώσουν τις απόψεις τους, εντός δέκα (10) εργάσιμων ημερών από την έκδοση Απόφασης, αναφορικά με το αν η Απόφαση πρέπει να ανακληθεί η τροποποιηθεί.

(γ) Μετά από ακρόαση η Αρχή εκδίδει και κοινοποιεί το ταχύτερο δυνατό την τελική της Απόφαση.

ΜΕΡΟΣ ΕΒΔΟΜΟ ΒΑΣΙΚΕΣ ΚΑΙ ΣΗΜΑΝΤΙΚΕΣ ΟΝΤΟΤΗΤΕΣ
Βασικές και Σημαντικές Οντότητες

(1) (α) Για τους σκοπούς του παρόντος Νόμου, βασικές οντότητες θεωρούνται οι ακόλουθες οντότητες:

(i) οντότητες των τύπων οι οποίες αναφέρονται στο Παράρτημα Ι, οι οποίες υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που προβλέπονται στο άρθρο 2 παράγραφος 1 του παραρτήματος της Σύστασης 2003/361/ΕΚ·

(ii) εγκεκριμένοι παροχείς υπηρεσιών εμπιστοσύνης και μητρώα ονομάτων τομέα ανωτάτου επιπέδου καθώς και παροχείς υπηρεσιών DNS, ανεξάρτητα από το μέγεθός τους·

(iii) παροχείς δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών που χαρακτηρίζονται ως μεσαίες επιχειρήσεις, δυνάμει των διατάξεων του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ·

(iv) οντότητες δημόσιας διοίκησης οι οποίες αναφέρονται στο σημείο (i) της παραγράφου (στ) του εδαφίου (2) του άρθρου 2Α·

(v) οποιεσδήποτε άλλες οντότητες των τύπων οι οποίες αναφέρονται στο Παράρτημα Ι ή ΙΙ, οι οποίες προσδιορίζονται από την Αρχή ως βασικές οντότητες δυνάμει των διατάξεων των παραγράφων (β) έως (ε) του εδαφίου (2) του άρθρου 2Α·

(vi) οντότητες οι οποίες προσδιορίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων, που αναφέρεται στις διατάξεις του εδαφίου (3) του άρθρου 2Α· και

(vii) οντότητες οι οποίες η Αρχή όρισε, πριν από την 16η Ιανουαρίου 2023, ως φορείς εκμετάλλευσης βασικών υπηρεσιών ή ως φορείς κρίσιμων υποδομών πληροφοριών, σύμφωνα με τις Αποφάσεις του Επιτρόπου ημερ. 17/08/2020 και 08/11/2021 που εκδοθήκαν ή αντικαταστάθηκαν δυνάμει των διατάξεων του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2020:

Νοείται ότι, οι Αποφάσεις του Επιτρόπου ημερομηνίας 17/8/2020 και 8/11/2021 συνεχίζουν να είναι σε ισχύ, μέχρι να αντικατασταθούν, κατόπιν έργου αξιολόγησης κρισιμότητας, κατά τα προβλεπόμενα στην παράγραφο (β) του εδαφίου (1) του άρθρου 27· και

(β) Για σκοπούς εφαρμογής των διατάξεων της παραγράφου (α) του εδαφίου (1), και εκτός εάν προβλέπεται διαφορετικά στον παρόντα Νόμο, η Αρχή δύναται να προσδιορίζει οντότητες ως βασικές οντότητες κατόπιν έργου αξιολόγησης κρισιμότητας, βάσει κριτηρίων που καθορίζει η Αρχή μετά από διαβούλευση με τον Υφυπουργό, τηρουμένων των διατάξεων του εδαφίου (7) του παρόντος άρθρου:

Νοείται ότι, τα κριτήρια του έργου αξιολόγησης κρισιμότητας καθορίζονται από την Αρχή και εγκρίνονται με Απόφαση του Υπουργικού Συμβουλίου πριν την εφαρμογή τους και ισχύουν μέχρι να τροποποιηθούν με νέα Απόφαση του Υπουργικού Συμβουλίου.

(2) Για τους σκοπούς του παρόντος Νόμου, οι οντότητες των τύπων που αναφέρονται στο Παράρτημα Ι ή ΙΙ, οι οποίες δεν θεωρούνται βασικές οντότητες σύμφωνα με το εδάφιο (1), θεωρούνται σημαντικές οντότητες και σε αυτές περιλαμβάνονται οντότητες που προσδιορίζονται από την Αρχή ως σημαντικές οντότητες βάσει των παραγράφων (β) έως (ε) του εδαφίου (2) του άρθρου 2Α.

(3) Η Αρχή καταρτίζει κατάλογο βασικών και σημαντικών οντοτήτων καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, τον οποίο επανεξετάζει και, κατά περίπτωση, επικαιροποιεί σε τακτική βάση και τουλάχιστον ανά διετία.

(4) Για τους σκοπούς κατάρτισης του αναφερόμενου στο εδάφιο (3) καταλόγου, η Αρχή απαιτεί από τις οντότητες που αναφέρονται στο εν λόγω εδάφιο να υποβάλλουν τουλάχιστον τις ακόλουθες πληροφορίες σε αυτήν:

(α) Την επωνυμία της οντότητας·

(β) τη διεύθυνση και τα επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των ηλεκτρονικών διευθύνσεων, των πεδίων IP και των αριθμών τηλεφώνου·

(γ) κατά περίπτωση, τον σχετικό τομέα και υποτομέα που αναφέρεται στο Παράρτημα Ι ή ΙΙ· και

(δ) κατά περίπτωση, κατάλογο των κρατών μελών στα οποία παρέχουν υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου:

Νοείται ότι, οντότητες που αναφέρονται στο εδάφιο (3) κοινοποιούν τυχόν αλλαγές στα στοιχεία που υποβάλλονται σύμφωνα με το παρόν εδάφιο, αμελλητί και, σε κάθε περίπτωση, εντός δύο (2) εβδομάδων από την ημερομηνία της αλλαγής:

Νοείται περαιτέρω ότι, η Αρχή δύναται να θεσπίζει εθνικούς μηχανισμούς για να εγγράφονται οι ίδιες οι οντότητες:

Νοείται έτι περαιτέρω ότι, η Αρχή λαμβάνει υπόψη κατευθυντήριες γραμμές και υποδείγματα, τα οποία  θεσπίζονται από την Επιτροπή, σχετικά με τις υποχρεώσεις που καθορίζονται στο εδάφιο (3).

(5) Η Αρχή, ανά διετία, κοινοποιεί:

(α) στην Επιτροπή και στην Ομάδα Συνεργασίας τον αριθμό των βασικών και σημαντικών οντοτήτων που απαριθμούνται σύμφωνα με το εδάφιο (3) για κάθε τομέα και υποτομέα που αναφέρεται στο Παράρτημα Ι ή ΙΙ· και

(β) στην Επιτροπή σχετικές πληροφορίες σχετικά με τον αριθμό των βασικών και σημαντικών οντοτήτων που προσδιορίζονται βάσει των παραγράφων (β) έως (ε) του εδαφίου (2) του άρθρου 2Α, τον τομέα και υποτομέα που αναφέρονται στο Παράρτημα Ι ή ΙΙ στον οποίο ανήκουν, το είδος της υπηρεσίας που παρέχουν και τη διάταξη βάσει της οποίας προσδιορίστηκαν, μεταξύ εκείνων που ορίζονται στις παραγράφους (β) έως (ε) του εδαφίου (2) του άρθρου 2Α.

(6) Η Αρχή δύναται, κατόπιν αιτήματος της Επιτροπής, να κοινοποιεί στην Επιτροπή τα ονόματα των βασικών και σημαντικών οντοτήτων που αναφέρονται στην παράγραφο (β) του εδαφίου (5).

(7) Τα αποτελέσματα του έργου αξιολόγησης που διενεργεί η Αρχή καθώς και ο κατάλογος των βασικών και σημαντικών οντοτήτων, των οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα και των οντοτήτων που εξαιρούνται δυνάμει του εδαφίου (4) του άρθρου 2 του παρόντος Νόμου, τον οποίο καταρτίζει η Αρχή δυνάμει των διατάξεων του παρόντος άρθρου, εγκρίνονται με Απόφαση του Υπουργικού Συμβουλίου, η οποία χαρακτηρίζεται ως απόρρητη και δεν δημοσιεύεται στην Επίσημη Εφημερίδα της Δημοκρατίας:

Νοείται ότι, τα αποτελέσματα του έργου αξιολόγησης και ο κατάλογος των βασικών και σημαντικών οντοτήτων καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα που εγκρίνονται με την Απόφαση του Υπουργικού Συμβουλίου είναι απόρρητα και δεν δημοσιεύονται στην Επίσημη Εφημερίδα της Δημοκρατίας.

(8) Οι βασικές και σημαντικές οντότητες που εγκρίνονται με Απόφαση του Υπουργικού Συμβουλίου κατ’ εφαρμογή των διατάξεων του εδαφίου (7), ορίζονται με Απόφαση που εκδίδει η Αρχή και η οποία επιδίδεται στην εν λόγω βασική ή σημαντική οντότητα.

Ασφάλεια από τον σχεδιασμό (security by design)

27Α. Οι νεοσυσταθείσες οντότητες στη Δημοκρατία, οι οποίες εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου και δύναται να προσδιοριστούν ως βασικές ή σημαντικές οντότητες, δυνάμει των διατάξεων του άρθρου 27, ενημερώνουν και να ζητούν τη γνώμη ή/και καθοδήγηση της Αρχής για τα μέτρα ασφάλειας που πρέπει να λαμβάνουν από τον σχεδιασμό/δημιουργία (security by design) των μηχανογραφικών υποδομών τους καθώς και τις υποχρεώσεις στις οποίες υπόκεινται από την ημέρα έναρξης παροχής των υπηρεσιών τους, τηρουμένων των διατάξεων του άρθρου 39.

Υποχρέωση ενημέρωσης της Αρχής

27Β. Χωρίς επηρεασμό των διατάξεων του άρθρου 27, νεοσυστα-θείσες οντότητες ή/και οντότητες που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 2Α του παρόντος Νόμου και δεν συμπεριλήφθηκαν στον κατάλογο των βασικών και σημαντικών οντότητων που καταρτίζει η Αρχή σύμφωνα με το έδαφιο (3) του άρθρου 27, οφείλουν να ενημερώνουν την Αρχή για σκοπούς αξιολόγησής τους.

Σοβαρή διατάραξη

28. [Διαγράφηκε]
ΜΕΡΟΣ ΟΓΔΟΟ ΠΛΑΙΣΙO ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ
Εθνική στρατηγική κυβερνοασφάλειας

(1)(α) Ο Υφυπουργός καθορίζει το γενικό πλαίσιο πολιτικής σε σχέση με την ψηφιακή ασφάλεια δυνάμει των διατάξεων του άρθρου 16 και προωθεί στο Υπουργικό Συμβούλιο για έγκριση τη στρατηγική κυβερνοασφάλειας για την ετοιμασία της οποίας λαμβάνει σοβαρά υπόψη σχετική εισήγηση ή/και κατευθυντηρίες γραμμές της Αρχής.

(β) Το σχέδιο στρατηγικής κυβερνοασφάλειας προβλέπει τους στρατηγικούς στόχους, τους πόρους που απαιτούνται για την επίτευξη των εν λόγω στόχων, κατάλληλα μέτρα πολιτικής και ρυθμιστικά μέτρα με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας και περιλαμβάνει τουλάχιστον τα ακόλουθα:

(i) Στόχους και προτεραιότητες που καλύπτουν ιδίως τους τομείς που αναφέρονται στα Παραρτήματα I και II·

(ii) πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στην παράγραφο (α) του παρόντος εδαφίου, συμπεριλαμβανομένων των πολιτικών που αναφέρονται στο εδάφιο (2)·

(iii) πλαίσιο διακυβέρνησης που αποσαφηνίζει τους ρόλους και τις αρμοδιότητες των σχετικών ενδιαφερόμενων μερών σε εθνικό επίπεδο, το οποίο υποστηρίζει τη συνεργασία και το συντονισμό σε εθνικό επίπεδο με την Αρχή και των CSIRTs στη Δημοκρατία καθώς και τον συντονισμό και τη συνεργασία μεταξύ των εν λόγω φορέων και των αρμόδιων αρχών βάσει τομεακών νομικών πράξεων της Ένωσης·

(iv) μηχανισμό για τον προσδιορισμό των σχετικών πάγιων στοιχείων και εκτίμηση των κινδύνων σε εθνικό επίπεδο·

(v) προσδιορισμό των μέτρων για τη διασφάλιση της ετοιμότητας, της απόκρισης και της αποκατάστασης από περιστατικά, συμπεριλαμβανομένης της συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα·

(vi) κατάλογο των διαφόρων αρχών και ενδιαφερόμενων μερών που συμμετέχουν στην υλοποίηση της εθνικής στρατηγικής κυβερνοασφάλειας·

(vii) πλαίσιο πολιτικής για ενισχυμένο συντονισμό μεταξύ της Αρχής και της αρμόδιας αρχής στη Δημοκρατία για την ανθεκτικότητα των κρίσιμων οντοτήτων, για τον σκοπό της ανταλλαγής πληροφοριών σχετικά με κινδύνους, κυβερνοαπειλές και περιστατικά καθώς και σχετικά με κινδύνους, απειλές και περιστατικά εκτός κυβερνοχώρου και την άσκηση εποπτικών καθηκόντων, κατά περίπτωση· και

(viii) σχέδιο, συμπεριλαμβανομένων των αναγκαίων μέτρων, για την ενίσχυση του γενικού επιπέδου ευαισθητοποίησης και ενημέρωσης των πολιτών στον τομέα της κυβερνοασφάλειας.

(2) Στο πλαίσιο της εθνικής στρατηγικής κυβερνοασφάλειας και λαμβάνοντας υπόψη τις διατάξεις του άρθρου 16 η εθνική στρατηγική περιλαμβάνει τουλάχιστον τις ακόλουθες πολιτικές-

(α) αντιμετώπισης της κυβερνοασφάλειας στην αλυσίδα εφοδιασμού προϊόντων ΤΠΕ και υπηρεσιών ΤΠΕ που χρησιμοποιούνται από οντότητες για την παροχή των υπηρεσιών τους·

(β) συμπερίληψης και προσδιορισμού των σχετικών με την κυβερνοασφάλεια απαιτήσεων για τα προϊόντα ΤΠΕ και τις υπηρεσίες ΤΠΕ στις δημόσιες συμβάσεις, συμπεριλαμβανομένων των σχετικών με την πιστοποίηση της κυβερνοασφάλειας, την κρυπτογράφηση και τη χρήση προϊόντων κυβερνοασφάλειας ανοικτού κώδικα·

(γ) διαχείρισης ευπαθειών, συμπεριλαμβανομένης της προώθησης και της διευκόλυνσης της συντονισμένης γνωστοποίησης ευπαθειών δυνάμει των διατάξεων του εδαφίου (1) του άρθρου 31Β·

(δ) διατήρησης της γενικής διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας του δημόσιου πυρήνα του ανοικτού διαδικτύου, συμπεριλαμβανομένης, κατά περίπτωση, της κυβερνοασφάλειας των υποβρύχιων καλωδίων επικοινωνιών·

(ε) προώθησης της ανάπτυξης και της ενσωμάτωσης σχετικών προηγμένων τεχνολογιών με στόχο την εφαρμογή προηγμένων μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας·

(στ) προώθησης και ανάπτυξης της εκπαίδευσης και της κατάρτισης στην κυβερνοασφάλεια, τις δεξιότητες κυβερνοασφάλειας, την ευαισθητοποίηση και τις πρωτοβουλίες έρευνας και ανάπτυξης καθώς και καθοδήγηση σχετικά με ορθές πρακτικές και ελέγχους κυβερνοϋγιεινής (cyber hygiene practices and controls), με στόχο τους πολίτες, τα ενδιαφερόμενα μέρη και τις οντότητες·

(ζ) στήριξης ακαδημαϊκών και ερευνητικών ιδρυμάτων για την ανάπτυξη, την ενίσχυση και την προώθηση της ανάπτυξης εργαλείων κυβερνοασφάλειας και ασφαλών υποδομών δικτύου·

(η) συμπερίληψης σχετικών διαδικασιών και κατάλληλων εργαλείων ανταλλαγής πληροφοριών για τη στήριξη της εθελοντικής ανταλλαγής πληροφοριών για την κυβερνοασφάλεια μεταξύ οντοτήτων σύμφωνα με το ενωσιακό δίκαιο·

(θ) ενίσχυσης της κυβερνοανθεκτικότητας και της βάσης για την κυβερνοϋγιεινή (cyber hygiene baseline) των μικρών και μεσαίων επιχειρήσεων, ιδίως εκείνων που εξαιρούνται από το πεδίο εφαρμογής του παρόντος Νόμου με την παροχή εύκολα προσβάσιμης καθοδήγησης και συνδρομής για τις ειδικές ανάγκες τους· και

(ι) προώθησης της ενεργής κυβερνοπροστασίας (active cyber protection):

Νοείται ότι, η ενεργή κυβερνοπροστασία, χωρίς περιορισμό, συνίσταται στην πρόληψη, τον εντοπισμό, την παρακολούθηση, την ανάλυση και τον μετριασμό των παραβιάσεων της ασφάλειας των δικτύων με ενεργό τρόπο, σε συνδυασμό με τη χρήση ικανοτήτων που αναπτύσσονται εντός και εκτός του δικτύου των οντοτήτων:

Νοείται περαιτέρω ότι, οι υπηρεσίες της Αρχής, λαμβάνοντας υπόψη μεταξύ άλλων, τη διαθεσιμότητα πόρων της Αρχής ή/και την κρισιμότητα, δύναται να περιλαμβάνουν κατά την κρίση της, την παροχή δωρεάν υπηρεσιών ή εργαλείων σε ορισμένες οντότητες και για συγκεκριμένη χρονική περίοδο, συμπεριλαμβανομένων των ελέγχων αυτοεξυπηρέτησης, των εργαλείων ανίχνευσης, των υπηρεσιών απόσυρσης (takedown services) και εγκατάστασης αισθητήρων δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1) του άρθρου 20.

(3)(α) Η Αρχή αξιολογεί την εθνική στρατηγική κυβερνοασφάλειας σε τακτική βάση και τουλάχιστον κάθε τέσσερα (4) έτη με βάση βασικούς δείκτες επιδόσεων και εισηγείται την επικαιροποίησή της.

(β) Ο ENISA επικουρεί την Αρχή, κατόπιν αιτήματός της, στην ανάπτυξη ή την επικαιροποίηση της εθνικής στρατηγικής για την ασφάλεια στον κυβερνοχώρο και των βασικών δεικτών επιδόσεων για την αξιολόγηση της εν λόγω στρατηγικής, με σκοπό την ευθυγράμμισή της με τις απαιτήσεις και τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο.

(4)(α) Η Αρχή κοινοποιεί την εθνική στρατηγική κυβερνοασφάλειας στην Επιτροπή εντός τριών (3) μηνών από την έγκρισή της.

(β) Η Αρχή δύναται να εξαιρεί από την εν λόγω κοινοποίηση πληροφορίες που αφορούν εθνική ασφάλεια.

Αρμόδια εθνική αρχή και ενιαίο σημείο επαφής

30.-(1) Η Αρχή η οποία ορίστηκε ως αρμόδια εθνική αρχή για την ασφάλεια των δικτύων και συστημάτων πληροφοριών, σύμφωνα με τις διατάξεις του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, συνεχίζει να είναι η αρμόδια αρχή για την κυβερνοασφάλεια, υπέχει τα καθήκοντα εποπτείας και επιβολής ως προνοούνται στις διατάξεις του παρόντος Νόμου και υπέχει τα καθήκοντα της αρχής διαχείρισης κυβερνοκρίσεων δυνάμει των διατάξεων του άρθρου 32Α.

(2) Η Αρχή η οποία ορίστηκε ως αρμόδια εθνική αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας, σύμφωνα με τις διατάξεις του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, και ως αρμόδια αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας συνεχίζει να είναι η αρμόδια εθνική αρχή για τον συντονισμό της εθνκής υλοποίησης της στρατηγικής κυβερνοασφάλειας.

(3) Η Αρχή παρακολουθεί την εφαρμογή των διατάξεων του παρόντος Νόμου στην Δημοκρατία.

(4) Η Αρχή ορίζεται ως εθνικό ενιαίο σημείο επαφής για την κυβερνοασφάλεια («ενιαίο σημείο επαφής»).

(5) Η Αρχή, ως ενιαίο σημείο επαφής, ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας της Δημοκρατίας με τις αρμόδιες αρχές των άλλων κρατών μελών, και κατά περίπτωση, με την Επιτροπή και τον ENISA, καθώς και για τη διασφάλιση διατομεακής συνεργασίας με άλλες αρμόδιες αρχές εντός της Δημοκρατίας.

(6) Η Αρχή διασφαλίζει ότι διαθέτει τις απαιτούμενες εξουσίες και επαρκείς πόρους για να επιτελεί αποτελεσματικά και αποδοτικά τα καθήκοντα που της ανατίθενται και να επιτυγχάνει, με τον τρόπο αυτόν, τους στόχους των διατάξεων του παρόντος Νόμου και μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία των εκπροσώπων της που ορίζονται στο πλαίσιο της ομάδας συνεργασίας.

(7) Προκειμένου να διασφαλιστεί η αποτελεσματική εκτέλεση των καθηκόντων και των υποχρεώσεων της Αρχής, ως αρμόδια αρχή και ως ενιαίο σημείο επαφής, η Αρχή διασφαλίζει, στο μέτρο του δυνατού, την κατάλληλη συνεργασία μεταξύ των αρμόδιων εθνικών αρχών επιβολής του νόμου, την Κυπριακή Υπηρεσία Πληροφοριών, τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, το Τμήμα Πολιτικής Αεροπορίας, των αρμοδίων αρχών δυνάμει του “Κανονισμού (ΕΕ) 2018/1139 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 4ης Ιουλίου 2018 για τη θέσπιση κοινών κανόνων στον τομέα της πολιτικής αεροπορίας και στην ίδρυση Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια της Αεροπορίας, και για την τροποποίηση των κανονισμών (ΕΚ) αριθ. 2111/2005, (εκ) αριθ. 1008/2008, (ΕΕ) αριθ. 996/2010, (εε) αριθ. 376/2014 και των οδηγιών 2014/30/ΕΕ και 2014/53/66 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και για την κατάργηση των κανονισμών (εκ) αριθ. 552/2004 και (εκ) αριθ. 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του κανονισμού (ΕΟΚ) αριθ. 3922/91 του Συμβουλίου”, του Τμήματος Ηλεκτρονικών Επικοινωνιών, τις αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554, του ΓΕΡΗΕΤ, την Κεντρική Τράπεζα της Κύπρου ως η εθνική μακροπροληπτική αρχή και της αρμόδιας αρχής της Δημοκρατίας για την ανθεκτικότητα των κρίσιμων οντοτήτων, καθώς και των αρμόδιων αρχών βάσει άλλων τομεακών νομικών πράξεων της Ένωσης, εντός της Δημοκρατίας.

Ομάδα αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές (εθνικό CSIRT)

31.-(1) Το εθνικό CSIRT συμμορφώνεται με τις απαιτήσεις που ορίζονται στο εδάφιο (1) του άρθρου 31Α, καλύπτει τουλάχιστον τους τομείς, τους υποτομείς και τους τύπους οντοτήτων που αναφέρονται στα Παραρτήματα Ι και ΙΙ και είναι υπεύθυνο για τον χειρισμό περιστατικών σύμφωνα με σαφώς καθορισμένη διαδικασία.

(2) Το εθνικό CSIRT διαθέτει κατάλληλη, ασφαλή και ανθεκτική υποδομή επικοινωνίας και πληροφοριών μέσω της οποίας ανταλλάσσει πληροφορίες με βασικές και σημαντικές οντότητες και άλλα σχετικά ενδιαφερόμενα μέρη και συμβάλλει στην ανάπτυξη ασφαλών εργαλείων ανταλλαγής πληροφοριών και κυβερνοασφάλειας.

(3) Η Αρχή διασφαλίζει ότι το εθνικό CSIRT διαθέτει επαρκείς πόρους για την αποτελεσματική εκτέλεση των καθηκόντων του, δυνάμει των διατάξεων του εδαφίου (4) του άρθρου 31Α.

(4) Το εθνικό CSIRT συνάπτει μνημόνια συνεργασίας με τα σχετικά ενδιαφερόμενα μέρη του ιδιωτικού τομέα, με σκοπό την επίτευξη των στόχων δυνάμει των διατάξεων του παρόντος Νόμου.

(5) Το εθνικό CSIRT συνεργάζεται και, κατά περίπτωση, ανταλλάσσει σχετικές πληροφορίες δυνάμει των διατάξεων του άρθρου 34Β με τομεακές ή διατομεακές κοινότητες βασικών και σημαντικών οντοτήτων.

(6) Η Αρχή μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία του εθνικού CSIRT στο πλαίσιο του Δικτύου CSIRT.

(7) Το εθνικό CSIRT συμμετέχει σε αξιολογήσεις από ομοτίμους δυνάμει των διατάξεων του άρθρου 34Α.

(8) Το εθνικό CSIRT δύναται να συνεργάζεται με Εθνικές Ομάδες Αντιμετώπισης Περιστατικών Ασφάλειας σε Υπολογιστές (CSIRTs) τρίτης χώρας ή με ισοδύναμους φορείς τρίτης χώρας, και όπου απαιτείται μέσω της Κυπριακής Υπηρεσίας Πληροφοριών ιδίως με σκοπό την παροχή συνδρομής στον τομέα της κυβερνοασφάλειας ή/και την εφαρμογή των διατάξεων της παραγράφου (λδ) του άρθρου 17:

Νοείται ότι, η εν λόγω συνεργασία καθώς και η ανταλλαγή των σχετικών πληροφοριών με Εθνικές Ομάδες Αντιμετώπισης Περιστατικών Ασφάλειας σε Υπολογιστές (CSIRTs) τρίτης χώρας, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα, διενεργείται σύμφωνα με τον περί Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμο και τον Κανονισμό (ΕΕ) 2016/679.

(9) Η Αρχή δύναται να ζητά τη συνδρομή του ENISA για την ανάπτυξη του εθνικού και των τομεακών CSIRT.

(10)(α) Ο Κανονισμός (ΕΕ) 2022/2554 θεωρείται τομεακή νομική πράξη της Ένωσης σε σχέση με τον παρόντα Νόμο όσον αφορά τις οντότητες του χρηματοπιστωτικού τομέα.

(β) Αντί των διατάξεων που θεσπίζονται στον παρόντα Νόμο, εφαρμόζονται οι διατάξεις του Κανονισμού (ΕΕ) 2022/2554 σχετικά με τη διαχείριση κινδύνων της τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ), τη διαχείριση περιστατικών που σχετίζονται με τις ΤΠΕ και ιδίως την αναφορά σοβαρών περιστατικών ΤΠΕ, καθώς και σχετικά με τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, τις ρυθμίσεις ανταλλαγής πληροφοριών και τον κίνδυνο τρίτων παρόχων ΤΠΕ.

(γ) Οι διατάξεις του παρόντος Νόμου σχετικά με τις υποχρεώσεις διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και αναφοράς περιστατικών και την εποπτεία, καθώς και την επιβολή της νομοθεσίας δεν εφαρμόζονται για τις χρηματοπιστωτικές οντότητες που καλύπτονται από τον Κανονισμό (ΕΕ) 2022/2554.

(11) Οι αρμόδιες αρχές της Δημοκρατίας, δυνάμει των διατάξεων του Κανονισμού (ΕΕ) 2022/2554, αναμένεται να συνεργάζονται με το εθνικό CSIRT για ευρείας κλίμακας περιστατικά ή κυβερνοαπειλές που έχουν σημαντικό αντίκτυπο με στόχο να διευκολύνουν τη διατομεακή μάθηση και να συμβάλλουν στην πρόληψη και διαχείριση κυβερνοεπιθέσεων.

(12) Με σκοπό τη διατήρηση στενής σχέσης και ανταλλαγής πληροφοριών με τον χρηματοπιστωτικό τομέα, οι Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) και οι αρμόδιες αρχές δυνάμει των διατάξεων του Κανονισμού (ΕΕ) 2022/2554 δύναται να συμμετέχουν στις δραστηριότητες της Ομάδας Συνεργασίας, να ανταλλάσσουν πληροφορίες και να συνεργάζονται με την Αρχή.

Απαιτήσεις, τεχνικές ικανότητες και καθήκοντα του εθνικού CSIRT

31Α.-(1) Το εθνικό CSIRT συμμορφώνεται με τις ακόλουθες απαιτήσεις:

(α) εξασφαλίζει υψηλό επίπεδο διαθεσιμότητας των διαύλων επικοινωνίας του, αποφεύγοντας μοναδικά σημεία αστοχίας και διαθέτει διάφορους τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή, προσδιορίζει σαφώς τους διαύλους επικοινωνίας και τους γνωστοποιεί στις οντότητες που εποπτεύει η Αρχή και στους συνεργαζόμενους εταίρους·

(β) οι εγκαταστάσεις του εθνικού CSIRT και τα υποστηρικτικά πληροφοριακά συστήματα βρίσκονται σε ασφαλείς χώρους·

(γ) είναι εφοδιασμένο με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, ιδίως προκειμένου να διευκολύνεται η αποτελεσματική και αποδοτική παράδοση καθηκόντων·

(δ) διασφαλίζει την εμπιστευτικότητα και την αξιοπιστία των δραστηριοτήτων του·

(ε) είναι επαρκώς στελεχωμένο ώστε να διασφαλίζει τη διαθεσιμότητα των υπηρεσιών του ανά πάσα στιγμή και διασφαλίζει ότι το προσωπικό του είναι κατάλληλα καταρτισμένο·

(στ) είναι εξοπλισμένο με πλεονάζοντα συστήματα και εφεδρικό χώρο εργασίας για τη διασφάλιση της συνέχειας των υπηρεσιών του.

(2) Το εθνικό CSIRT δύναται να συμμετέχει σε διεθνή δίκτυα συνεργασίας.

(3)(α) Η Αρχή διασφαλίζει ότι το εθνικό CSIRT διαθέτει τις τεχνικές ικανότητες που απαιτούνται για την εκτέλεση των προβλεπόμενων στο εδάφιο (4) καθηκόντων.

(β) Η Αρχή διασφαλίζει ότι το εθνικό CSIRT διαθέτει επαρκείς πόρους ώστε να εξασφαλίζονται επαρκή επίπεδα στελέχωσης για να μπορεί να αναπτύξει τις τεχνικές του ικανότητες.

(4) Το εθνικό CSIRT είναι επιφορτισμένο με τα ακόλουθα καθήκοντα:

(α) Παρακολούθηση και ανάλυση κυβερνοαπειλών, ευπαθειών και περιστατικών σε εθνικό επίπεδο και, κατόπιν αιτήματος ή/και κατ’ εφαρμογή των διατάξεων του εδαφίου (3) άρθρου 15, παροχή συνδρομής σε επηρεαζόμενες βασικές και σημαντικές οντότητες σχετικά με την παρακολούθηση των συστημάτων δικτύου και πληροφοριών τους σε πραγματικό χρόνο ή σχεδόν σε πραγματικό χρόνο·

(β) παροχή έγκαιρων προειδοποιήσεων, ειδοποιήσεων, ανακοινώσεων και διάδοσης πληροφοριών σε εμπλεκό-μενες βασικές και σημαντικές οντότητες, καθώς και σε αρμόδιες αρχές, άλλα σχετικά ενδιαφερόμενα μέρη και άλλους ενδιαφερόμενους κατά την κρίση της Αρχής, σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά, εάν είναι δυνατόν, σε σχεδόν πραγματικό χρόνο·

(γ) αντιμετώπιση περιστατικών και παροχή συνδρομής στις επηρεαζόμενες βασικές και σημαντικές οντότητες, κατά περίπτωση·

(δ) συλλογή και ανάλυση δικανικών δεδομένων (forensic data) και δυναμική ανάλυση κινδύνων και περιστατικών και επίγνωση της κατάστασης σε θέματα κυβερνοασφάλειας·

(ε) παροχή, κατόπιν αιτήματος βασικής ή σημαντικής οντότητας, προληπτικής σάρωσης (proactive scanning) ή/και δοκιμών παρείσδυσης (penetration testing) των συστημάτων δικτύου και πληροφοριών της εν λόγω οντότητας για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο·

(στ) συμμετοχή στο Δίκτυο CSIRT και παροχή αμοιβαίας συνδρομής σύμφωνα με τις ικανότητες και τις αρμοδιότητές του σε άλλα μέλη του Δικτύου CSIRT κατόπιν αιτήματός τους·

(ζ) ανάληψη συντονιστικού ρόλου για τους σκοπούς της συντονισμένης διαδικασίας γνωστοποίησης ευπαθειών δυνάμει των εδαφίων (1) και (2) του άρθρου 31Β·

(η) συμβολή στην ανάπτυξη ασφαλών εργαλείων ανταλλαγής πληροφοριών και κυβερνοασφάλειας σύμφωνα με το εδάφιο (2) του άρθρου 31:

Νοείται ότι, κατά την εκτέλεση των καθηκόντων που αναφέρονται στο παρόν εδάφιο, το εθνικό CSIRT μπορεί να δίνει προτεραιότητα σε συγκεκριμένα καθήκοντα στο πλαίσιο προσέγγισης βάσει κινδύνου.

(5)(α) Το εθνικό CSIRT δύναται να διενεργεί προληπτική μη παρεμβατική σάρωση των δημοσίως προσβάσιμων συστημάτων δικτύου και πληροφοριών βασικών και σημαντικών οντοτήτων.

(β) Η εν λόγω σάρωση διενεργείται για τον εντοπισμό ευπαθών ή επισφαλώς διαμορφωμένων συστημάτων δικτύου και πληροφοριών και για την ενημέρωση των εν λόγω οντοτήτων.

(γ) Η εν λόγω σάρωση δεν έχει αρνητικές συνέπειες για τη λειτουργία των υπηρεσιών των οντοτήτων.

(6) Προκειμένου να διευκολυνθεί η συνεργασία που αναφέρεται στο εδάφιο (4) του άρθρου 31, το εθνικό CSIRT προωθεί την υιοθέτηση και τη χρήση κοινών ή τυποποιημένων πρακτικών, συστημάτων αξινόμησης (classification schemes) και ταξινομιών σε σχέση με-

(α) διαδικασίες χειρισμού περιστατικών·

(β) διαχείριση κρίσεων· και

(γ) συντονισμένη γνωστοποίηση ευπαθειών δυνάμει των διατάξεων των εδαφίων (1) και (2) του άρθρου 31Β .

Συντονισμένη γνωστοποίηση ευπαθειών και Ευρωπαϊκή βάση δεδομένων ευπαθειών

31Β.-(1) Για σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών, το εθνικό CSIRT ενεργεί ως συντονιστής, και, κατ’ εφαρμογή των συντονιστικών του καθηκόντων, ενεργεί ως αξιόπιστος διαμεσολαβητής, διευκολύνοντας, όπου απαιτείται, την αλληλεπίδραση μεταξύ του φυσικού ή νομικού προσώπου που αναφέρει την ευπάθεια και του κατασκευαστή ή του παροχέα των δυνητικά ευπαθών προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ, κατόπιν αιτήματος ενός εκ των μερών.

(2) Τα καθήκοντα του εθνικού CSIRT περιλαμβάνουν:

(α) Τον προσδιορισμό των εμπλεκόμενων οντοτήτων και την επικοινωνία με αυτές·

(β) την παροχή συνδρομής στα φυσικά ή νομικά πρόσωπα που αναφέρουν ευπάθειες· και

(γ) τη διαπραγμάτευση χρονοδιαγραμμάτων γνωστοποίησης και τη διαχείριση ευπαθειών που επηρεάζουν πολλαπλές οντότητες.

(3)(α) Η Αρχή διασφαλίζει ότι τα φυσικά ή νομικά πρόσωπα μπορούν να αναφέρουν ανώνυμα, εφόσον το ζητήσουν, ευπάθειες στο εθνικό CSIRT.

(β) Το εθνικό CSIRT διασφαλίζει ότι εκτελούνται επιμελείς ενέργειες παρακολούθησης όσον αφορά την αναφερθείσα ευπάθεια και διασφαλίζει την ανωνυμία του φυσικού ή νομικού προσώπου που αναφέρει την ευπάθεια.

(γ) Στις περιπτώσεις όπου μια αναφερόμενη ευπάθεια δύναται να έχει σημαντικό αντίκτυπο σε οντότητες σε περισσότερα από ένα κράτη μέλη, το εθνικό CSIRT συνεργάζεται, κατά περίπτωση, με άλλα CSIRT στα οποία έχει ανατεθεί συντονιστικός ρόλος στο πλαίσιο του δικτύου CSIRT.

(4) Η Αρχή δύναται να δημοσιοποιεί και να καταχωρεί σε εθελοντική βάση στην ευρωπαϊκή βάση δεδομένων που αναπτύσσει και διατηρεί ο ENISA δυνάμει των διατάξεων του άρθρου 12 της Οδηγίας (ΕΕ) 2022/2555, δημόσια γνωστές ευπάθειες σε προϊόντα ΤΠΕ ή υπηρεσίες ΤΠΕ.

Συνεργασία σε εθνικό επίπεδο

32.-(1) Η Αρχή, ως αρμόδια αρχή και ως ενιαίο σημείο επαφής και ως το εθνικό CSIRT, συνεργάζεται με τα τομεακά CSIRT και άλλες αρμόδιες αρχές για σκοπούς της τήρησης των υποχρεώσεων που προβλέπονται στις διατάξεις του παρόντος Νόμου.

(2) Η Αρχή λαμβάνει κοινοποιήσεις σοβαρών περιστατικών δυνάμει των διατάξεων του άρθρου 35Β καθώς και περιστατικών κυβερνοαπειλών και παρ’ ολίγον περιστατικών, δυνάμει των διατάξεων του άρθρου 42.

(3) Η Αρχή, ως ενιαίο σημείο επαφής, για την εκπλήρωση των καθηκόντων της,  τηρείται ενήμερη  σχετικά με κοινοποιήσεις περιστατικών, κυβερνοαπειλών και παρ’ ολίγον περιστατικών που υποβάλλονται δυνάμει των διατάξεων του παρόντος Νόμου και τηρουμένων των διατάξεων του εδαφίου (ιβ) του άρθρου 17, του εδαφίου (7) του άρθρου 30 και του εδαφίου (10) του άρθρου 31.

(4)(α) Η Αρχή και η αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων συνεργάζονται και ανταλλάζουν πληροφορίες σε τακτική βάση όσον αφορά τον προσδιορισμό των κρίσιμων οντοτήτων, τους κινδύνους, τις κυβερνοαπειλές και τα περιστατικά, καθώς και τους κινδύνους, τις απειλές και τα περιστατικά εκτός του κυβερνοχώρου, που επηρεάζουν βασικές οντότητες που προσδιορίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων και τα μέτρα που λαμβάνονται για την αντιμετώπιση των εν λόγω κινδύνων, απειλών και περιστατικών.

(β) Οι αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554, το ΓΕΡΗΕΤ και το Τμήμα Ηλεκτρονικών Επικοινωνιών η Κεντρική Τράπεζα της Κύπρου ως η εθνική μακροπροληπτική αρχής και άλλες αρμόδιες αρχές, ανταλλάζουν με την Αρχή σχετικές πληροφορίες σε τακτική βάση, μεταξύ άλλων όσον αφορά συναφή περιστατικά και κυβερνοαπειλές.

(5) Η Αρχή απλοποιεί με τεχνικά μέσα την υποβολή κοινοποιήσεων που αναφέρονται στα άρθρα 35Β και 42 του παρόντος Νόμου.

Εθνικό πλαίσιο διαχείρισης κυβερνοκρίσεων

32Α.-(1) Η Αρχή ως η αρμόδια αρχή για τη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας (αρχή διαχείρισης κυβερνοκρίσεων), διασφαλίζει ότι διαθέτει επαρκείς πόρους για την αποτελεσματική και αποδοτική εκτέλεση των καθηκόντων της δυνάμει του παρόντος Νόμου και ότι υπάρχει συνοχή με τα υφιστάμενα πλαίσια για τη γενική εθνική διαχείριση κρίσεων στον τομέα της κυβερνοασφάλειας.

(2) Η Αρχή λειτουργεί ως συντονιστής στη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας, σε συνεργασία με τις αρμόδιες αρχές της Δημοκρατίας δυνάμει των εκάστοτε νόμων της Δημοκρατίας ή τομεακών νομικών πράξεων της Ένωσης:

Νοείται ότι, στις περιπτώσεις που εμπλέκεται ο χρηματοοικονομικός τομέας, η Αρχή λειτουργεί ως συντονιστής σε συνεργασία με την Κεντρική Τράπεζα της Κύπρου ως η Εθνική μακροπροληπτική αρχή.

(3) Η Αρχή προσδιορίζει τις ικανότητες, τα πάγια στοιχεία και τις διαδικασίες που μπορούν να χρησιμοποιηθούν στην περίπτωση κρίσης για τους σκοπούς του παρόντος Νόμου.

(4) Η Αρχή θεσπίζει εθνικό σχέδιο αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας, στον οποίο καθορίζονται οι στόχοι και οι ρυθμίσεις για τη διαχείριση περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας.

(5) Το εθνικό σχέδιο αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας εγκρίνεται με Απόφαση του Υπουργικού Συμβουλίου, η οποία χαρακτηρίζεται ως απόρρητη και δεν δημοσιεύεται στην Επίσημη Εφημερίδα της Δημοκρατίας.

(6) Το εν λόγω σχέδιο καθορίζει ιδίως-

(α) τους στόχους των εθνικών μέτρων και δραστηριοτήτων ετοιμότητας·

(β) τα καθήκοντα και τις αρμοδιότητες της Αρχής, ως αρχής διαχείρισης κυβερνοκρίσεων·

(γ) τις διαδικασίες διαχείρισης κυβερνοκρίσεων, συμπεριλαμβανομένης της ενσωμάτωσής τους στο γενικό εθνικό πλαίσιο διαχείρισης κρίσεων και στους διαύλους ανταλλαγής πληροφοριών·

(δ) τα εθνικά μέτρα ετοιμότητας, συμπεριλαμβανομένων ασκήσεων και δραστηριοτήτων κατάρτισης·

(ε) τα σχετικά ενδιαφερόμενα μέρη δημόσιου και ιδιωτικού τομέα και τις σχετικές υποδομές· και

(στ) τις εθνικές διαδικασίες και ρυθμίσεις μεταξύ των αρμόδιων εθνικών αρχών και φορέων για να διασφαλίζεται η αποτελεσματική συμμετοχή και η παροχή υποστήριξης εκ μέρους της Δημοκρατίας στη συντονισμένη διαχείριση περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας σε επίπεδο Ένωσης.

(7) Η Αρχή υποβάλλει στην Επιτροπή και στο ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για κυβερνοκρίσεις (EU-CyCLONe) σχετικές πληροφορίες σχετικά με τις διατάξεις του εδαφίου (4) του παρόντος άρθρου όσον αφορά το εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας, εντός τριών μηνών από την έγκριση του εν λόγω σχεδίου.

(8) Η Αρχή δύναται, κατόπιν έγκρισης του Υπουργικού Συμβουλίου, να εξαιρεί συγκεκριμένες πληροφορίες όταν και στον βαθμό που η εξαίρεση αυτή είναι αναγκαία για σκοπούς εθνικής ασφάλειας.

(9) Η Αρχή δύναται να αιτείται συμβολή στο εθνικό σχέδιο αντιμετώπισης περιστατικών και κρίσεων μεγάλης κλίμακας από το ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για κυβερνοκρίσεις (EU-CyCLONe), σύμφωνα με το στοιχείο (ε) της παραγράφου (3) του άρθρου 16 της Οδηγίας (ΕΕ) 2022/2555.

ΜΕΡΟΣ ΕΝΝΑΤΟ ΣΥΝΕΡΓΑΣΙΑ ΚΑΙ ΑΞΙΟΛΟΓΗΣΕΙΣ ΑΠΟ ΟΜΟΤΙΜΟΥΣ
Ομάδα Συνεργασίας, Δίκτυο CSIRT και Ευρωπαϊκό δίκτυο οργανώσεων διασύνδεσης για κρίσεις στον κυβερνοχώρο (EU-CyCLONe)

33.-(1) Εκπρόσωποι της Αρχής, και κατ’ εφαρμογή της παραγράφου (2) του άρθρου 8 της Οδηγίας (ΕΕ) 2022/2555, συμμετέχουν στην ομάδα Συνεργασίας, η οποία έχει συγκροτηθεί και λειτουργεί δυνάμει των διατάξεων του άρθρου 14 της Οδηγίας (ΕΕ) 2022/2555 και συμβάλλουν στις σχετικές εργασίες της Ομάδας Συνεργασίας, συμπεριλαμβανομένων, μεταξύ άλλων, των άρθρων 14 και του άρθρου 22 της Οδηγίας (ΕΕ) 2022/2555.

(2) Εκπρόσωποι της Αρχής ή/και του εθνικού CSIRT συμμετέχουν στο Δίκτυο CSIRT που έχει συγκροτηθεί και λειτουργεί σύμφωνα με το άρθρο 15 της Οδηγίας (ΕΕ) 2022/2555 και συμβάλλουν στην εκτέλεση των καθηκόντων του.

(3) Εκπρόσωποι της Αρχής ή/και του εθνικού CSIRT συνεργάζονται με φορείς σε ευρωπαϊκό επίπεδο και εκπροσωπούν τη Δημοκρατία σε θέματα που άπτονται των αρμοδιοτήτων της.

(4) Τηρουμένων των διατάξεων του άρθρου 32Α, εκπρόσωποι της Αρχής συμμετέχουν στο EU-CyCLONe που έχει συγκροτηθεί δυνάμει των διατάξεων του άρθρου 16 της Οδηγίας (ΕΕ) 2022/2555 και συμβάλλουν ενεργά στις σχετικές εργασίες του.

Συνεργασία με εθνικούς και διεθνείς φορείς

34. Η Αρχή δύναται-

(α) να συνεργάζεται με φορείς του ιδιωτικού και δημόσιου τομέα, σε εθνικό επίπεδο,

(β) να συνεργάζεται με φορείς του ιδιωτικού και δημόσιου τομέα σε διεθνές επίπεδο και να εκπροσωπεί την Δημοκρατία σε διεθνείς οργανισμούς σε θέματα που άπτονται των αρμοδιοτήτων της, με την επιφύλαξη όσων ορίζονται διαφορετικά σε διεθνείς συμφωνίες.

(γ) να συμμετέχει αποτελεσματικά σε προγράμματα ανταλλαγής λειτουργών από άλλα κράτη μέλη, εντός ειδικού πλαισίου και, κατά περίπτωση, λαμβάνοντας την απαιτούμενη εξουσιοδότηση ασφαλείας των λειτουργών που συμμετέχουν στα εν λόγω προγράμματα ανταλλαγής, με σκοπό τη βελτίωση της συνεργασίας και ενίσχυση της εμπιστοσύνης των κρατών μελών.

Αξιολογήσεις από ομότιμους

34Α.-(1)(α) Η Αρχή συμμετέχει σε αξιολογήσεις από ομότιμους και η συμμετοχή της σε αυτές είναι προαιρετική.

(β) Οι αξιολογήσεις από ομότιμους διενεργούνται δυνάμει των διατάξεων του άρθρου 19 της Οδηγίας (ΕΕ) 2022/2555, από εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας.

(γ) Οι εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας ορίζονται από τουλάχιστον δύο (2) κράτη μέλη, διαφορετικά από το κράτος μέλος που εξετάζεται.

(2) Οι αξιολογήσεις από ομότιμους καλύπτουν τουλάχιστον ένα από τα ακόλουθα:

(α) το επίπεδο εφαρμογής των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και των υποχρεώσεων κοινοποίησης περιστατικών που προβλέπονται στα άρθρα 21 και 23 της Οδηγίας (ΕΕ) 2022/2555·

(β) το επίπεδο των ικανοτήτων, συμπεριλαμβανομένων των διαθέσιμων οικονομικών, τεχνικών και ανθρώπινων πόρων και την αποτελεσματικότητα της άσκησης των καθηκόντων εκ μέρους των αρμόδιων αρχών·

(γ) τις επιχειρησιακές ικανότητες των CSIRT·

(δ) το επίπεδο υλοποίησης της αμοιβαίας συνδρομής που προβλέπεται στο άρθρο 37 της Οδηγίας (ΕΕ) 2022/2555·

(ε) το επίπεδο υλοποίησης των ρυθμίσεων ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας που προβλέπεται στο άρθρο 29 της Οδηγίας (ΕΕ) 2022/2555· και

(στ) ειδικά ζητήματα διασυνοριακού ή διατομεακού χαρακτήρα.

(3)(α) Η Αρχή ορίζει εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας προς επιλογή για τη διενέργεια των αξιολογήσεων από ομότιμους βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων σύμφωνα με τη μεθοδολογία που αναπτύσσεται από την Ομάδα Συνεργασίας, όπως προνοείται στην παράγραφο (1) του άρθρου 19 της Οδηγίας (ΕΕ) 2022/2555.

(β) Η Επιτροπή και ο ENISA συμμετέχουν ως παρατηρητές στις αξιολογήσεις από ομότιμους.

(4) Η Αρχή μπορεί να προσδιορίσει συγκεκριμένα ζητήματα όπως αναφέρεται στην παράγραφο (στ) του εδαφίου (2) για τους σκοπούς της αξιολόγησης από ομότιμους.

(5) Πριν από την έναρξη της αξιολόγησης από ομότιμους, όπως αυτή προβλέπεται στις διατάξεις του εδαφίου (1), η Αρχή κοινοποιεί στα συμμετέχοντα κράτη μέλη το πεδίο εφαρμογής της αξιολόγησης, μεταξύ άλλων και τα συγκεκριμένα ζητήματα που προσδιορίζονται βάσει του εδαφίου (4).

(6)(α) Πριν από την έναρξη της αξιολόγησης από ομότιμους, η Αρχή δύναται να διενεργεί αυτοαξιολόγηση (self-assessment) των αξιολογούμενων πτυχών και να παρέχει την εν λόγω αυτοαξιολόγηση στους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας.

(β) Η Αρχή εφαρμόζει τη μεθοδολογία για την αυτοαξιολόγηση ως αυτή καθορίζεται από την Ομάδα Συνεργασίας, με τη συνδρομή της Επιτροπής και του ENISA.

(7)(α) Οι αξιολογήσεις από ομότιμους περιλαμβάνουν φυσικές ή εικονικές επιτόπιες επισκέψεις και ανταλλαγές πληροφοριών εκτός των εγκαταστάσεων (off-site exchanges of information).

(β) Με γνώμονα την αρχή της καλής συνεργασίας, η Αρχή όταν αξιολογείται από ομότιμους παρέχει στους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας τις πληροφορίες που είναι αναγκαίες για την αξιολόγηση, με την επιφύλαξη του ενωσιακού δικαίου ή της κείμενης νομοθεσίας σχετικά με την προστασία εμπιστευτικών ή διαβαθμισμένων πληροφοριών και τη διασφάλιση ουσιωδών λειτουργιών του κράτους, όπως η εθνική ασφάλεια.

(γ) Κάθε πληροφορία που λαμβάνεται μέσω της αξιολόγησης από ομότιμους χρησιμοποιείται αποκλειστικά για τον σκοπό αυτό.

(δ) Οι εμπειρογνώμονες κυβερνοασφάλειας που συμμετέχουν στην αξιολόγηση από ομότιμους δεν αποκαλύπτουν σε τρίτους τυχόν ευαίσθητες ή εμπιστευτικές πληροφορίες που απέκτησαν κατά τη διάρκεια της εν λόγω αξιολόγησης από ομότιμους:

Νοείται ότι, οι ορισθέντες από την Αρχή εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας λαμβάνουν υπόψη τους κώδικες δεοντολογίας που εκδίδονται από την Ομάδα Συνεργασίας σε συνεργασία με την Επιτροπή και τον ENISA.

(8) Τα σημεία που αξιολογήθηκαν από τους ομότιμους δεν υποβάλλονται σε περαιτέρω αξιολόγηση από ομότιμους για διάστημα δύο (2) ετών μετά την ολοκλήρωση της αξιολόγησης, εκτός εάν αποφασιστεί διαφορετικά από τον αξιολογούμενο ή συμφωνηθεί μετά από πρόταση της Ομάδας Συνεργασίας.

(9)(α) Η Αρχή μεριμνά για τη γνωστοποίηση οποιουδήποτε κινδύνου σύγκρουσης συμφερόντων που αφορά τους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας στα άλλα κράτη μέλη, στην Ομάδα Συνεργασίας, στην Επιτροπή και στον ENISA, πριν από την έναρξη της αξιολόγησης από ομότιμους.

(β) Η Αρχή όταν υπόκειται σε αξιολόγηση από ομότιμους μπορεί να αντιταχθεί στον ορισμό συγκεκριμένων εμπειρογνωμόνων για δεόντως αιτιολογημένους λόγους τους οποίους κοινοποιεί στο κράτος μέλος που ορίζει τον εμπειρογνώμονα.

(10)(α) Οι εμπειρογνώμονες κυβερνοασφάλειας που συμμετέχουν σε αξιολογήσεις από ομότιμους συντάσσουν εκθέσεις με τα ευρήματα και τα συμπεράσματα των αξιολογήσεων, οι οποίες περιλαμβάνουν συστάσεις που επιτρέπουν τη βελτίωση των πτυχών που καλύπτονται από την αξιολόγηση από ομότιμους.

(β) Η Αρχή δύναται να υποβάλλει παρατηρήσεις σχετικά με τα σχέδια εκθέσεων που την αφορούν και τα σχόλια αυτά επισυνάπτονται στις εκθέσεις.

(γ) Οι εκθέσεις υποβάλλονται στην Ομάδα Συνεργασίας και στο Δίκτυο CSIRT, κατά περίπτωση.

(δ) Η Αρχή δύναται να δημοσιοποιήσει την έκθεσή που την αφορά ή μια αναδιατυπωμένη έκδοσή της.

Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας

34Β.-(1) Οι βασικές και σημαντικές οντότητες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου και, κατά περίπτωση, άλλες οντότητες που δεν εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου δύναται να ανταλλάσσουν μεταξύ τους, σε εθελοντική βάση, πληροφορίες σχετικές με την κυβερνοασφάλεια, συμπεριλαμβανομένων πληροφοριών που αφορούν κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες, τεχνικές και διαδικασίες, ενδείξεις της παραβίασης (indicators of compromise), εχθρικές τακτικές, πληροφορίες που αφορούν συγκεκριμένους παράγοντες απειλής (threat actor specific information), προειδοποιήσεις για την κυβερνοασφάλεια και συστάσεις σχετικά με την παραμετροποίηση εργαλείων κυβερνοασφάλειας για τον εντοπισμό κυβερνοεπιθέσεων, στον βαθμό που η εν λόγω ανταλλαγή πληροφοριών-

(α) αποσκοπεί στην πρόληψη, τον εντοπισμό, την αντιμετώπιση ή την ανάκαμψη από περιστατικά ή στον μετριασμό των επιπτώσεών τους·

(β) ενισχύει το επίπεδο της κυβερνοασφάλειας, ιδίως μέσω της ευαισθητοποίησης σχετικά με τις κυβερνοαπειλές, του περιορισμού ή της παρεμπόδισης της ικανότητας διάδοσης των εν λόγω απειλών, της στήριξης μιας σειράς αμυντικών ικανοτήτων, της αποκατάστασης και της γνωστοποίησης ευπαθειών, της ανίχνευσης απειλών, των τεχνικών περιορισμού και πρόληψης, των στρατηγικών μετριασμού ή των σταδίων αντίδρασης και ανάκαμψης ή της προώθησης της συνεργατικής έρευνας για τις κυβερνοαπειλές μεταξύ δημόσιων και ιδιωτικών φορέων.

(2)(α) Η ανταλλαγή πληροφοριών πραγματοποιείται στο πλαίσιο κοινοτήτων βασικών και σημαντικών οντοτήτων και, κατά περίπτωση, των προμηθευτών ή των παροχέων υπηρεσιών τους.

(β) Η ανταλλαγή πληροφοριών πραγματοποιείται μέσω ρυθμίσεων για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας όσον αφορά τον δυνητικά ευαίσθητο χαρακτήρα των ανταλλασσόμενων πληροφοριών.

(3)(α) Η Αρχή θεσπίζει ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας που αναφέρονται στις διατάξεις του εδαφίου (2).

(β) Οι εν λόγω ρυθμίσεις δύναται να προσδιορίζουν επιχειρησιακά στοιχεία, συμπεριλαμβανομένων της χρήσης ειδικών πλατφορμών ΤΠΕ και εργαλείων αυτοματισμού, του περιεχομένου και των όρων των ρυθμίσεων ανταλλαγής πληροφοριών.

(γ) Κατά τον καθορισμό των λεπτομερειών της συμμετοχής των δημόσιων αρχών στις εν λόγω ρυθμίσεις, η Αρχή δύναται να επιβάλλει όρους όσον αφορά τις πληροφορίες που διατίθενται από αυτή.

(δ) Η Αρχή παρέχει βοήθεια για την εφαρμογή των εν λόγω ρυθμίσεων σύμφωνα με τις πολιτικές που αναφέρονται στην παράγραφο (η) του εδαφίου (2) του άρθρου 29.

(4) Οι βασικές και σημαντικές οντότητες γνωστοποιούν στην Αρχή τη συμμετοχή τους στις ρυθμίσεις ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας που αναφέρονται στο εδάφιο (2), αμέσως μετά τη σύναψη των εν λόγω ρυθμίσεων ή, κατά περίπτωση, την ανάκληση της συμμετοχής τους στις ρυθμίσεις αυτές, μόλις αυτή πραγματοποιηθεί.

(5) Η Αρχή λαμβάνει υπόψη τις βέλτιστες πρακτικές και καθοδήγηση που δύναται να παρέχει ο ENISA δυνάμει των διατάξεων της παραγράφου 5 του άρθρου 29 της Οδηγίας (ΕΕ) 2022/2555.

Αμοιβαία συνδρομή

34Γ.-(1)(α) Όταν μια οντότητα παρέχει υπηρεσίες σε περισσότερα του ενός κράτη μέλη ή παρέχει υπηρεσίες σε ένα ή περισσότερα κράτη μέλη και τα συστήματα δικτύου και πληροφοριών της βρίσκονται σε ένα ή περισσότερα άλλα κράτη μέλη, η Αρχή συνεργάζεται με τις αρμόδιες αρχές των ενδιαφερόμενων κρατών μελών και παρέχει αμοιβαία συνδρομή, ανάλογα με τις ανάγκες.

(β) Η συνεργασία αυτή συνεπάγεται, τουλάχιστον, ότι:

(i) Σε περίπτωση που η Αρχή εφαρμόζει μέτρα εποπτείας ή επιβολής στη Δημοκρατία ενημερώνει και διαβουλεύεται με τις αρμόδιες αρχές των άλλων ενδιαφερόμενων κρατών μελών σχετικά με τα μέτρα εποπτείας και επιβολής που λαμβάνει και το αντίστροφο·

(ii) η Αρχή δύναται να ζητήσει από άλλη αρμόδια αρχή να λάβει τα μέτρα εποπτείας ή επιβολής και το αντίστροφο·

(iii) η Αρχή, μόλις λάβει τεκμηριωμένο αίτημα από άλλη αρμόδια αρχή, παρέχει στην άλλη αρμόδια αρχή αμοιβαία συνδρομή ανάλογη προς τους πόρους που διαθέτει η ίδια, ώστε τα μέτρα εποπτείας ή επιβολής να μπορούν να εφαρμοστούν με αποτελεσματικό, αποδοτικό και συνεπή τρόπο και το αντίστροφο:

Νοείται ότι, η αμοιβαία συνδρομή που αναφέρεται στην υποπαράγραφο (iii) δύναται να καλύπτει αιτήματα παροχής πληροφοριών και εποπτικά μέτρα,  συμπεριλαμβανομένων αιτημάτων για τη διενέργεια επιτόπιων επιθεωρήσεων ή μη επιτόπιας εποπτείας ή στοχευμένων ελέγχων ασφάλειας:

Νοείται περαιτέρω ότι, η Αρχή όταν λαμβάνει αίτημα συνδρομής δεν απορρίπτει την αίτηση αυτή, εκτός εάν διαπιστωθεί ότι δεν είναι αρμόδια να παράσχει τη ζητούμενη συνδρομή, ότι η ζητούμενη συνδρομή δεν είναι ανάλογη προς τα εποπτικά της καθήκοντα ή ότι η αίτηση αφορά πληροφορίες ή συνεπάγεται δραστηριότητες οι οποίες, εάν κοινοποιηθούν ή εκτελεστούν, αντιτίθενται προς τα βασικά συμφέροντα εθνικής ασφάλειας, δημόσιας ασφάλειας ή άμυνας της Δημοκρατίας:

Νοείται έτι περαιτέρω ότι, η Αρχή πριν απορρίψει το εν λόγω αίτημα, διαβουλεύεται με τις άλλες οικείες αρμόδιες αρχές, καθώς και, κατόπιν αιτήματος ενός από τα ενδιαφερόμενα κράτη μέλη, με την Επιτροπή και τον ENISA.

(2) Κατά περίπτωση και με κοινή συμφωνία, η Αρχή δύναται να αναλάβει κοινές εποπτικές ενέργειες με άλλες αρμόδιες αρχές διαφόρων κρατών μελών.

ΜΕΡΟΣ ΔΕΚΑΤΟ ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ, ΥΠΟΧΡΕΩΣΕΙΣ ΚΟΙΝΟΠΟΙΗΣΗΣ ΠΕΡΙΣΤΑΤΙΚΩΝ, ΕΠΟΠΤΕΙΑ ΚΑΙ ΕΠΙΒΟΛΗ
Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας

35.-(1)(α) Οι βασικές και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες.

(β) Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες (state-of-the-art) και, κατά περίπτωση, τα σχετικά ευρωπαϊκά και διεθνή πρότυπα καθώς και το κόστος εφαρμογής, τα μέτρα που αναφέρονται στην παράγραφο (α) του εδαφίου (1), οι βασικές και σημαντικές οντότητες εξασφαλίζουν ότι το επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριών είναι ανάλογο προς τον εκάστοτε κίνδυνο.

(γ) Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνονται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας σε κινδύνους, το μέγεθος της οντότητας και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένων των κοινωνικών και οικονομικών επιπτώσεών τους.

(2) Τα μέτρα που αναφέρονται στην παράγραφο (α) του εδαφίου (1), τα οποία δύναται να καθοριστούν σε Απόφαση που εκδίδει η Αρχή, βασίζονται σε ολιστική προσέγγιση του κινδύνου που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά και περιλαμβάνουν τουλάχιστον τα ακόλουθα:

(α) Πολιτικές για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων·

(β) χειρισμό περιστατικών·

(γ) επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων·

(δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών που αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της·

(ε) απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριών, με ασφαλείς τρόπους και μέσα, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών·

(στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας·

(ζ) βασικές πρακτικές κυβερνοϋγιεινής (cyber hygiene) και κατάρτιση στην κυβερνοασφάλεια·

(η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας (cryptography) και, κατά περίπτωση, κρυπτογράφησης (encryption)·

(θ) ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων· και

(ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας (multi-factor authentication) ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.

(3) Αναφορικά με τα μέτρα που αναφέρονται στην παράγραφο (δ) του εδαφίου (2) οι οντότητες λαμβάνουν υπόψη-

(α) τις ευπάθειες που χαρακτηρίζουν κάθε άμεσο προμηθευτή και πάροχο υπηρεσιών και τη συνολική ποιότητα των προϊόντων και των πρακτικών κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους∙ και

(β) τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με την παράγραφο 1 του άρθρου 22 της Οδηγίας (ΕΕ) 2022/2555.

(4) Οντότητα η οποία διαπιστώνει ότι δεν συμμορφώνεται με τα προβλεπόμενα δυνάμει των διατάξεων του εδαφίου (2) μέτρα, υποχρεούται να λαμβάνει αμελλητί όλα τα αναγκαία, κατάλληλα και αναλογικά διορθωτικά μέτρα.

(5) Η Αρχή εφαρμόζει τυχόν εκτελεστικές πράξεις της Επιτροπής για τον καθορισμό των τεχνικών και μεθοδολογικών απαιτήσεων των μέτρων διαχείρισης κινδύνων που αναφέρονται στο εδάφιο (2), σύμφωνα με τις διατάξεις της παραγράφου 5 του άρθρου 21 της Οδηγίας (ΕΕ) 2022/2555.

Διακυβέρνηση (Governance)

35Α.-(1) H ανώτατη διοίκηση των βασικών και σημαντικών οντοτήτων υποχρεούται να εγκρίνει τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω οντότητες προκειμένου να συμμορφώνονται με τις διατάξεις του άρθρου 35, να επιβλέπει την εφαρμογή τους και είναι δυνατό να λογοδοτεί για την εκ μέρους των οντοτήτων παράβαση των υποχρεώσεων βάσει του εν λόγω άρθρου.

(2) Η εφαρμογή των διατάξεων του εδαφίου (1), δεν θίγει την οικεία νομοθεσία, όσον αφορά τους κανόνες περί ευθύνης που ισχύουν για τους δημόσιους οργανισμούς, καθώς και την ευθύνη δημοσίων υπαλλήλων και αιρετών ή διορισμένων αξιωματούχων.

(3) Τα μέλη της ανώτατης διοίκησης των βασικών και σημαντικών οντοτήτων υποχρεούνται να παρακολουθούν εκπαιδεύσεις και να προσφέρουν παρόμοια κατάρτιση στους υπαλλήλους τους σε τακτική βάση, προκειμένου να αποκτούν επαρκείς γνώσεις και δεξιότητες που τους επιτρέπουν να εντοπίζουν τους κινδύνους και να αξιολογούν τις πρακτικές διαχείρισης κινδύνων, στον τομέα της κυβερνοασφάλειας και τον αντίκτυπό τους στις υπηρεσίες που παρέχει η οντότητα.

Υποχρεώσεις κοινοποίησης περιστατικών

35Β.-(1)(α) Οι βασικές και σημαντικές οντότητες κοινοποιούν αμελλητί στην Αρχή, τηρουμένων των διατάξεων του εδαφίου (4), κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους, όπως αναφέρεται στο εδάφιο (3) (σημαντικό περιστατικό).

(β) Κατά περίπτωση, οι εν λόγω οντότητες κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους αποδέκτες των υπηρεσιών τους σημαντικά περιστατικά που ενδέχεται να επηρεάσουν αρνητικά την παροχή των υπηρεσιών τους.

(γ) Οι εν λόγω οντότητες αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην Αρχή να προσδιορίσει τυχόν διασυνοριακές επιπτώσεις του περιστατικού.

(δ) Η πράξη κοινοποίησης δεν συνεπάγεται αυξημένη ευθύνη στην κοινοποιούσα οντότητα.

(ε) Σε περίπτωση κατά την οποία, οι εν λόγω οντότητες κοινοποιούν στην Αρχή σημαντικό περιστατικό σύμφωνα με τις παραγράφους (α) έως (δ) του εδαφίου (1), η Αρχή διαβιβάζει την κοινοποίηση στο εθνικό CSIRT με την παραλαβή της.

(στ) Η Αρχή, ως ενιαίο σημείο επαφής, σε περίπτωση διασυνοριακού ή διατομεακού σημαντικού περιστατικού, διασφαλίζει ότι λαμβάνει εγκαίρως τις σχετικές πληροφορίες που κοινοποιούνται σύμφωνα με το εδάφιο (4) και, όποτε η Αρχή το κρίνει αναγκαίο, σε συνεννόηση με άλλες αρμόδιες αρχές.

(ζ) Οι διαδικασίες και το περιεχόμενο της κοινοποίησης περιστατικού καθώς και οποιαδήποτε σχετικά στοιχεία, ρυθμίζονται με Απόφαση που εκδίδει η Αρχή, δυνάμει των διατάξεων του παρόντος Νόμου.

(2) Κατά περίπτωση, οι βασικές και σημαντικές οντότητες κοινοποιούν αμελλητί στους αποδέκτες των υπηρεσιών τους, οι οποίοι ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, τυχόν μέτρα ή διορθωτικές ενέργειες που μπορούν να λάβουν για την αντιμετώπιση της συγκεκριμένης απειλής και, κατά περίπτωση, οι εν λόγω οντότητες ενημερώνουν τους αποδέκτες των υπηρεσιών του για τη σημαντική κυβερνοαπειλή:

Νοείται ότι, χωρίς επηρεασμό του εδαφίου (7), σε περίπτωση που υπάρχει σοβαρός λόγος μη ενημέρωσης των αποδεκτών, η οντότητα οφείλει να ενημερώνει, να διαβουλεύεται και να λαμβάνει έγκριση από την Αρχή.

(3) Περιστατικό θεωρείται σημαντικό εάν-

(α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την εν λόγω οντότητα· ή/και

(β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία.

(4) Για τους σκοπούς της κοινοποίησης δυνάμει του εδαφίου (1), οι βασικές και σημαντικές οντότητες υποβάλλουν στην Αρχή-

(α) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός έξι (6) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, ενημέρωση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή δύναται να έχει διασυνοριακό αντίκτυπο·

(β) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από τη στιγμή που έγινε αντιληπτό το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες που αναφέρονται στην παράγραφο (α) και αναφέρει μία αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης·

(γ) κατόπιν αιτήματος της Αρχής, ενδιάμεση έκθεση σχετικά με τις σχετικές επικαιροποιήσεις της κατάστασης·

(δ) τελική έκθεση το αργότερο μέσα σε ένα μήνα μετά από την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την παράγραφο (β) ή (στ), η οποία περιλαμβάνει τα ακόλουθα:

(i) Λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητάς του και των επιπτώσεών του·

(ii) το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό·

(iii) εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού· και

(iv) κατά περίπτωση, το διασυνοριακό αντίκτυπο του περιστατικού·

(ε) σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στην παράγραφο (δ), οι βασικές και σημαντικές οντότητες υποβάλλουν έκθεση προόδου  κάθε δεκαπέντε (15) ημέρες, μετά την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την παράγραφο (β) ή (στ), μέχρι την υποβολή της τελικής έκθεσης η οποία υποβάλλεται εντός δεκαπέντε (15) ημερών από την αποκατάσταση της λειτουργίας του δικτύου ή του πληροφοριακού συστήματος που επηρεάστηκε· και

(στ) κατά παρέκκλιση από τα αναφερόμενα στην παράγραφο (β), ο παροχέας υπηρεσιών εμπιστοσύνης κοινοποιεί στην Αρχή, όσον αφορά σημαντικά περιστατικά που επηρεάζουν την παροχή των υπηρεσιών εμπιστοσύνης του, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που έλαβε γνώση του σημαντικού περιστατικού.

(5)(α) Η Αρχή παρέχει στην κοινοποιούσα οντότητα, αμελλητί και ει δυνατόν εντός είκοσι τεσσάρων (24) ωρών από τη λήψη της έγκαιρης προειδοποίησης που αναφέρεται στην παράγραφο (α) του εδαφίου (4), απάντηση που συμπεριλαμβάνει αρχική ανατροφοδότηση (feedback) σχετικά με το σημαντικό περιστατικό και, κατόπιν αιτήματος της οντότητας, καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού.

(β) Το εθνικό CSIRT παρέχει πρόσθετη τεχνική υποστήριξη εφόσον το ζητήσει η κοινοποιούσα οντότητα ή εφόσον το κρίνει απαραίτητο η Αρχή.

(γ) Σε περίπτωση κατά την οποία υπάρχουν υπόνοιες ότι το σημαντικό περιστατικό αφορά διάπραξη ποινικού αδικήματος, η Αρχή παρέχει επίσης καθοδήγηση σχετικά με την κοινοποίηση του σημαντικού περιστατικού στην Αστυνομία.

(6)(α) Κατά περίπτωση, και ιδίως όταν το σημαντικό περιστατικό αφορά δύο ή περισσότερα κράτη μέλη, η Αρχή ενημερώνει αμελλητί τα άλλα επηρεαζόμενα κράτη μέλη και τον ENISA σχετικά με το σημαντικό περιστατικό.

(β) Οι εν λόγω πληροφορίες περιλαμβάνουν το είδος των πληροφοριών που λαμβάνονται σύμφωνα με το εδάφιο (4).

(γ) Στο πιο πάνω πλαίσιο η Αρχή διαφυλάσσει, σύμφωνα με το ενωσιακό δίκαιο ή την κείμενη νομοθεσία, την ασφάλεια και τα εμπορικά συμφέροντα της οντότητας καθώς και την εμπιστευτικότητα των παρεχόμενων πληροφοριών.

(7) Σε περίπτωση κατά την οποία, η ευαισθητοποίηση του κοινού είναι αναγκαία για την πρόληψη σημαντικού περιστατικού ή για την αντιμετώπιση συνεχιζόμενου σημαντικού περιστατικού, ή σε περίπτωση που η γνωστοποίηση του σημαντικού περιστατικού είναι προς το δημόσιο συμφέρον, η Αρχή και κατά περίπτωση οι αρμόδιες αρχές ή οι CSIRTs άλλων ενδιαφερόμενων κρατών μελών, μπορούν, κατόπιν διαβούλευσης με την επηρεαζόμενη οντότητα, να ενημερώσουν το κοινό σχετικά με το σημαντικό περιστατικό ή να απαιτήσουν από την εν λόγω οντότητα να το πράξει.

(8) Η Αρχή, ως ενιαίο σημείο επαφής διαβιβάζει κατά περίπτωση, τις κοινοποιήσεις που λαμβάνονται σύμφωνα με το εδάφιο (1) στα ενιαία σημεία επαφής άλλων επηρεαζόμενων κρατών μελών.

(9)(α) Η Αρχή υποβάλλει στον ENISA ανά τρεις (3) μήνες συνοπτική έκθεση, η οποία περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται δυνάμει των διατάξεων του εδαφίου (1) και των διτάξεων του άρθρου 42 του παρόντος Νόμου.

(β) Η Αρχή λαμβάνει υπόψη τυχόν τεχνικές οδηγίες που εκδίδει ο ENISA σχετικά με τις παραμέτρους των πληροφοριών που πρέπει να περιλαμβάνονται στη συνοπτική έκθεση.

(10) Η Αρχή παρέχει στην αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων πληροφορίες σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται δυνάμει των διατάξεων του εδαφίου (1) και των διατάξεων του άρθρου 42 από οντότητες που προσδιορίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων.

(11) Η Αρχή εφαρμόζει τις εκτελεστικές πράξεις που εκδίδει η Επιτροπή σύμφωνα με τις διατάξεις της παραγράφου (11) του άρθρου 23 της Οδηγίας (ΕΕ) 2022/2555.

(12)(α) Σε περίπτωση κατά την οποία, οι διατάξεις τομεακής νομικής πράξης της Ένωσης απαιτούν από βασικές ή σημαντικές οντότητες να συμμορφωθούν με υποχρεώσεις κοινοποίησης οι οποίες τουλάχιστον ισοδύναμου αποτελέσματος με τις υποχρεώσεις κοινοποίησης που ορίζονται στον παρόντα Νόμο, διασφαλίζεται η συνοχή και η αποτελεσματικότητα του χειρισμού των κοινοποιήσεων περιστατικών.

(β) Για τον σκοπό αυτό, οι διατάξεις της τομεακής νομικής πράξης της Ένωσης για την κοινοποίηση περιστατικών οφείλουν όπως παρέχουν στην Αρχή άμεση πρόσβαση στις κοινοποιήσεις περιστατικών που υποβάλλονται σύμφωνα με την τομεακή νομική πράξη της Ένωσης και ειδικότερα, η εν λόγω άμεση πρόσβαση μπορεί να διασφαλιστεί εάν οι κοινοποιήσεις περιστατικών διαβιβάζονται αμελλητί στην Αρχή.

(γ) Κατά περίπτωση, η Αρχή οφείλει να θεσπίσει μηχανισμό αυτόματης και άμεσης αναφοράς που να διασφαλίζει τη συστηματική και άμεση ανταλλαγή πληροφοριών σχετικά με τον χειρισμό των εν λόγω κοινοποιήσεων περιστατικών.

(δ) Για τους σκοπούς της απλούστευσης της κοινοποίησης και της εφαρμογής του μηχανισμού αυτόματης και άμεσης υποβολής αναφορών, η Αρχή δύναται, σύμφωνα με την τομεακή νομική πράξη της Ένωσης, να χρησιμοποιεί ενιαίο σημείο εισόδου.

Εποπτεία και επιβολή

36.-(1) H Αρχή χρησιμοποιεί τα απαραίτητα μέσα για την άσκηση αποτελεσματικής εποπτείας των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου και λαμβάνει τα αναγκαία μέτρα για να εξασφαλίσει τη συμμόρφωσή τους σύμφωνα με τον παρόντα Νόμο.

(2)Η Αρχή δύναται να εκδώσει Απόφαση σχετικά με τον τρόπο αξιολόγησης της συμμόρφωσης των βασικών και σημαντικών οντοτήτων οι οποίες εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου σχετικά με τις υποχρεώσεις τους.

(3)(α) Η Αρχή δύναται να ιεραρχεί τα εποπτικά καθήκοντα και η ιεράρχιση αυτή βασίζεται σε προσέγγιση βάσει κινδύνου.

(β) Για τον σκοπό αυτό, κατά την άσκηση των εποπτικών της καθηκόντων, ως αυτά προβλέπονται στα άρθρα 36Α και 36Β, η Αρχή δύναται να θεσπίζει με Απόφασή της, μεθοδολογίες εποπτείας που επιτρέπουν την ιεράρχηση των εν λόγω καθηκόντων με μία προσέγγιση βάσει κινδύνου.

(4) [Διαγράφηκε].

(5) [Διαγράφηκε].

(6) [Διαγράφηκε].

(7) Κατά την αντιμετώπιση περιστατικών τα οποία οδηγούν σε παραβιάσεις προσωπικών δεδομένων, η Αρχή συνεργάζεται στενά με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με την επιφύλαξη της απορρέουσας αρμοδιότητας και των καθηκόντων δυνάμει του Κανονισμού (ΕΕ) 2016/679.

(8)(α) Με την επιφύλαξη του νομοθετικού και θεσμικού πλαισίου της Δημοκρατίας, η Αρχή, κατά την άσκηση των αρμοδιοτήτων της και ιδιαίτερα κατά την εποπτεία της συμμόρφωσης των οντοτήτων δημόσιας διοίκησης και την πρόβλεψη και εφαρμογή μέτρων επιβολής για παραβιάσεις του παρόντος Νόμου, είναι λειτουργικά ανεξάρτητη και ασκεί τις εξουσίες και τα καθήκοντά της με λειτουργική ανεξαρτησία έναντι των εποπτευόμενων οντοτήτων δημόσιας διοίκησης.

(β) Η Αρχή δύναται να αποφασίσει την επιβολή κατάλληλων, αναλογικών και αποτελεσματικών μέτρων εποπτείας και επιβολής σε σχέση με τις εν λόγω οντότητες σύμφωνα με το εθνικό νομοθετικό και θεσμικό πλαίσιο.

Μέτρα εποπτείας και επιβολής βασικών οντοτήτων

36Α.-(1) Τα μέτρα εποπτείας ή επιβολής που επιβάλλονται σε βασικές οντότητες, σε σχέση με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο για τις βασικές οντότητες, είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.

(2) Η Αρχή, κατά την άσκηση των εποπτικών της καθηκόντων σε σχέση με βασικές οντότητες, έχει την εξουσία να υποβάλλει τις εν λόγω οντότητες τουλάχιστον σε-

(α) επιτόπιες επιθεωρήσεις και εποπτεία εκτός των εγκαταστάσεων, συμπεριλαμβανομένων δειγματοληπτικών ελέγχων (random checks), που διεξάγονται από καταρτισμένους επαγγελματίες·

(β) τακτικούς και στοχευμένους ελέγχους ασφάλειας (security audits) που διενεργούνται από την Αρχή ή από ειδικευμένο ανεξάρτητο όργανο που εξουσιοδοτείται από την Αρχή:

Νοείται ότι, oι στοχευμένοι έλεγχοι ασφάλειας και η συχνότητά τους που αναφέρονται στην παρούσα παράγραφο, βασίζονται σε εκτιμήσεις κινδύνου που διενεργούνται από την Aρχή ή την ελεγχόμενη οντότητα ή σε άλλες σχετικές με κινδύνους διαθέσιμες πληροφορίες:

Νοείται περαιτέρω ότι, τα αποτελέσματα κάθε στοχευμένου ελέγχου ασφάλειας τίθενται στη διάθεση της Αρχής και το κόστος του εν λόγω στοχευμένου ελέγχου ασφάλειας, ο οποίος διενεργείται από ανεξάρτητο όργανο, καλύπτεται από την ελεγχόμενη οντότητα, εκτός από δεόντως αιτιολογημένες περιπτώσεις για τις οποίες η Αρχή αποφασίζει διαφορετικά∙

(γ) έκτακτους ειδικούς ελέγχους, μεταξύ άλλων, όταν αυτό δικαιολογείται, λόγω σημαντικού περιστατικού ή παραβίαση των διατάξεων του παρόντος Νόμου από τη βασική οντότητα·

(δ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της βασικής οντότητας·

(ε) αιτήματα παροχής πληροφοριών αναγκαίων για την αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η εν λόγω οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στις αρμόδιες αρχές δυνάμει των διατάξεων του άρθρου 37Α·

(στ) αιτήματα πρόσβασης σε δεδομένα, έγγραφα και πληροφορίες που απαιτούνται για την εκτέλεση των εποπτικών καθηκόντων τους·

(ζ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο ελεγκτή όπως η εξουσιοδότηση αυτή δύναται να καθοριστεί σε Απόφαση της Αρχής ή/και ανεξάρτητο ελεγκτή, και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.

(3) Η Αρχή κατά την άσκηση των εξουσιών της κατά τα προεβλεπόμενα στις παραγράφους (ε), (στ) ή (ζ) του εδαφίου (2), δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.

(4) Η Αρχή, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με τις βασικές οντότητες, έχει την εξουσία τουλάχιστον να-

(α) εκδίδει προειδοποιήσεις σχετικά με παραβιάσεις των διατάξεων του παρόντος Νόμου από τις βασικές οντότητες·

(β) εκδίδει δεσμευτικές οδηγίες, μεταξύ άλλων όσον αφορά τα μέτρα τα οποία είναι αναγκαία για την πρόληψη ή την αποκατάσταση περιστατικού, καθώς και προθεσμίες για την εφαρμογή των εν λόγω μέτρων και για την υποβολή εκθέσεων σχετικά με την εφαρμογή τους ή Απόφαση με την οποία ζητείται από τις εν λόγω οντότητες να αποκαταστήσουν τις ελλείψεις που εντοπίστηκαν ή τις παραβιάσεις των διατάξεων του παρόντος Νόμου·

(γ) απαιτεί από τις εν λόγω οντότητες να τερματίσουν συμπεριφορά που παραβιάζει τις διατάξεις του παρόντος Νόμου και να απέχουν από την επανάληψη της εν λόγω συμπεριφοράς·

(δ) απαιτεί από τις εν λόγω οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με το άρθρο 35 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που προβλέπονται δυνάμει των διατάξεων του άρθρου 35Β, με συγκεκριμένο τρόπο και εντός καθορισμένου χρονικού διαστήματος·

(ε) απαιτεί από τις εν λόγω οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής·

(στ) απαιτεί από τις εν λόγω οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας·

(ζ) ορίζει υπεύθυνο παρακολούθησης με σαφώς καθορισμένα καθήκοντα για καθορισμένο χρονικό διάστημα, προκειμένου να επιβλέπει τη συμμόρφωση των εν λόγω οντοτήτων δυνάμει των διατάξεων των άρθρων 35 και 35Β·

(η) απαιτεί από τις εν λόγω οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων των διατάξεων του παρόντος Νόμου με συγκεκριμένο τρόπο· και

(θ) επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του άρθρου 43Α επιπρόσθετα από οποιαδήποτε από τα μέτρα που αναφέρονται στις παραγράφους (α) έως (η) του παρόντος εδαφίου.

(5) Σε περίπτωση κατά την οποία τα μέτρα επιβολής που θεσπίζονται σύμφωνα με τις παραγράφους (α) έως (δ) και (στ) του εδαφίου (4) είναι αναποτελεσματικά, η Αρχή έχει την εξουσία να ορίζει προθεσμία εντός της οποίας η βασική οντότητα καλείται να λάβει τα αναγκαία μέτρα για την αποκατάσταση των ελλείψεων ή για τη συμμόρφωση με τις απαιτήσεις της Αρχής και εάν τα ζητούμενα μέτρα δεν ληφθούν εντός της καθορισμένης προθεσμίας, η Αρχή έχει την εξουσία να-

(α) αναστείλει προσωρινά ή να ζητήσει από φορέα πιστοποίησης ή εξουσιοδότησης ή από δικαστήριο, σύμφωνα με την κείμενη νομοθεσία, την προσωρινή αναστολή πιστοποίησης ή εξουσιοδότησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών που παρέχονται ή των δραστηριοτήτων που εκτελούνται από τη βασική οντότητα· και

(β) ζητά από τα αρμόδια όργανα, σύμφωνα με τη κείμενη νομοθεσία, να απαγορεύουν προσωρινά σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νομικού εκπροσώπου στη βασική οντότητα να ασκεί διευθυντικά καθήκοντα στην εν λόγω οντότητα:

Νοείται ότι, οι προσωρινές αναστολές ή απαγορεύσεις που επιβάλλονται σύμφωνα με το παρόν εδάφιο εφαρμόζονται μόνο έως ότου η εν λόγω οντότητα λάβει τα αναγκαία μέτρα για να διορθώσει τις ελλείψεις ή να συμμορφωθεί με τις απαιτήσεις της Αρχής για τις οποίες εφαρμόστηκαν τέτοια μέτρα επιβολής:

Νοείται περαιτέρω ότι, η επιβολή τέτοιων προσωρινών αναστολών ή απαγορεύσεων υπόκειται σε κατάλληλες διαδικαστικές εγγυήσεις σύμφωνα με τις γενικές αρχές του ενωσιακού δικαίου και του Χάρτη Θεμελιωδών Δικαιωμάτων της Ε.Ε. όπου αυτός εφαρμόζεται, συμπεριλαμβανομένου του δικαιώματος αποτελεσματικής δικαστικής προστασίας και δίκαιης δίκης, του τεκμηρίου αθωότητας και των δικαιωμάτων υπεράσπισης:

Νοείται έτι περαιτέρω ότι, τα μέτρα επιβολής που προβλέπονται στο παρόν εδάφιο δεν εφαρμόζονται σε φορείς δημόσιας διοίκησης που υπόκεινται στον παρόντα Νόμο.

(6) Κάθε φυσικό πρόσωπο το οποίο είναι υπεύθυνο ή ενεργεί ως νόμιμος εκπρόσωπος βασικής οντότητας με βάση την εξουσία εκπροσώπησής της, την αρμοδιότητα να λαμβάνει αποφάσεις εξ ονόματός της ή να ασκεί τον έλεγχό της, έχει την εξουσία να διασφαλίζει τη συμμόρφωσή της με τις διατάξεις του παρόντος Νόμου και το εν λόγω φυσικό πρόσωπο δύναται να θεωρηθεί υπεύθυνο για παράβαση των υποχρεώσεών του, ώστε να εξασφαλίζεται η συμμόρφωση με τον παρόντα Νόμο:

Νοείται ότι, η εφαρμογή του παρόντος εδαφίου, δεν θίγει την κείμενη νομοθεσία, όσον αφορά τους κανόνες περί ευθύνης που ισχύουν για τους δημόσιους οργανισμούς καθώς και την ευθύνη δημοσίων υπαλλήλων και αιρετών ή διορισμένων αξιωματούχων.

(7) Σε περίπτωση κατά την οποία, η Αρχή λαμβάνει οποιοδήποτε από τα μέτρα επιβολής που αναφέρονται στα εδάφια (4) ή (5), σέβεται τα δικαιώματα υπεράσπισης και λαμβάνει υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης και, τουλάχιστον, λαμβάνει δεόντως υπόψη-

(α) τη σοβαρότητα της παράβασης και τη σημασία των διατάξεων που παραβιάζονται, ενώ σε κάθε περίπτωση τα ακόλουθα, μεταξύ άλλων, θεωρούνται σοβαρές παραβάσεις:

(i) Η ύπαρξη επανειλημμένων παραβάσεων·

(ii) η μη κοινοποίηση ή η μη αποκατάσταση σημαντικών περιστατικών·

(iii) η μη αποκατάσταση ελλείψεων σύμφωνα με δεσμευτικές οδηγίες της Αρχής·

(iv) η παρεμπόδιση των ελέγχων ή των δραστηριοτήτων παρακολούθησης που διατάσσονται από την Αρχή μετά τη διαπίστωση παράβασης· και

(v) η παροχή ψευδών ή κατάφωρα ανακριβών πληροφοριών σε σχέση με τα μέτρα διαχείρισης κινδύνου ή τις υποχρεώσεις υποβολής κοινοποιήσεων που ορίζονται στις διατάξεις των άρθρων 35 και 35Β·

(β) τη διάρκεια της παράβασης·

(γ) τυχόν σχετικές προηγούμενες παραβάσεις από την εν λόγω οντότητα·

(δ) οποιαδήποτε υλική ή μη υλική ζημία που προκλήθηκε, συμπεριλαμβανομένης της χρηματοοικονομικής ή οικονομικής ζημίας, τις επιπτώσεις σε άλλες υπηρεσίες και τον αριθμό των θιγόμενων χρηστών·

(ε) οποιαδήποτε πρόθεση ή αμέλεια εκ μέρους του δράστη της παράβασης·

(στ) οποιαδήποτε μέτρα που λαμβάνει η οντότητα για την πρόληψη ή τον μετριασμό της υλικής ή μη υλικής ζημίας·

(ζ) οποιαδήποτε τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης· και

(η) τον βαθμό συνεργασίας των υπαίτιων φυσικών ή νομικών προσώπων με την Αρχή.

(8)(α) Η Αρχή αιτιολογεί λεπτομερώς τα μέτρα επιβολής της και πριν από τη λήψη των μέτρων αυτών, κοινοποιεί στις ενδιαφερόμενες οντότητες τα προκαταρκτικά πορίσματά της, με την επιφύλαξη των διατάξεων του άρθρου 21.

(β) Η Αρχή παρέχει επίσης εύλογο χρονικό διάστημα στις ενδιαφερόμενες οντότητες για να υποβάλουν παρατηρήσεις, εκτός από δεόντως αιτιολογημένες περιπτώσεις όπου διαφορετικά θα παρεμποδιζόταν η ανάληψη άμεσης δράσης για την πρόληψη ή την αντιμετώπιση περιστατικών.

(9) Η Αρχή δυνάμει του παρόντος Νόμου ενημερώνει τη σχετική αρμόδια αρχή στη Δημοκρατία για την ανθεκτικότητα των κρίσιμων οντοτήτων κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της με στόχο τη διασφάλιση της συμμόρφωσης μίας οντότητας που προσδιορίζεται ως κρίσιμη οντότητα από την αρμοδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων με τις υποχρεώσεις του παρόντος Νόμου, και κατά περίπτωση, η αρμόδια αρχή στη Δημοκρατία δύναται να ζητεί από την Αρχή να ασκεί τις εποπτικές και εκτελεστικές εξουσίες της σε σχέση με οντότητα η οποία προσδιορίζεται ως κρίσιμη οντότητα δυνάμει της Οδηγίας (ΕΕ) 2022/2557.

(10) Η Αρχή συνεργάζεται με τις αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554 και ειδικότερα, ενημερώνει το φόρουμ εποπτείας που συστάθηκε σύμφωνα με το άρθρο 32 παράγραφος 1 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης βασικής οντότητας που έχει οριστεί ως κρίσιμος τρίτος παροχέας υπηρεσιών ΤΠΕ σύμφωνα με το άρθρο 31 του Κανονισμού (ΕΕ) 2022/2554 με τις υποχρεώσεις των διατάξεων του παρόντος Νόμου:

Νοείται ότι, η Αρχή δύναται να ενημερώνεται για τον ορισμό των κρίσιμων τρίτων παροχέων υπηρεσιών ΤΠΕ που ορίζονται στη Δημοκρατία δυνάμει της παραγράφου 9 του άρθρου 31 του Κανονισμού (ΕΕ) 2022/2554.

Μέτρα εποπτείας και επιβολής σημαντικών οντοτήτων

36Β.-(1) Η Αρχή λαμβάνει μέτρα, εφόσον απαιτείται, μέσω κατασταλτικών εποπτικών μέτρων (ex post supervisory measures) σε περίπτωση που της παρέχονται αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες ότι μια σημαντική οντότητα εικάζεται ότι δεν συμμορφώνεται με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο για τις σημαντικές οντότητες, ιδίως με τις διατάξεις των άρθρων 35 και 35Β του παρόντος Νόμου και τα μέτρα αυτά είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.

(2) Η Αρχή, κατά την άσκηση των εξουσιών επιβολής σε σχέση με σημαντικές οντότητες, έχει την εξουσία να υποβάλλει τις εν λόγω οντότητες τουλάχιστον σε-

(α) επιτόπιες επιθεωρήσεις και κατασταλτική εποπτεία (ex post supervision) εκτός των εγκαταστάσεων, που διενεργούνται από καταρτισμένους επαγγελματίες·

(β) στοχευμένους ελέγχους ασφάλειας (security audits) που διενεργούνται από ανεξάρτητο όργανο ή αρμόδια αρχή:

Νοείται ότι, οι στοχευμένοι έλεγχοι ασφάλειας που αναφέρονται στην παράγραφο (β), βασίζονται σε εκτιμήσεις κινδύνου που διενεργούνται από την Αρχή ή την ελεγχόμενη οντότητα ή σε άλλες διαθέσιμες πληροφορίες σχετικά με κινδύνους:

Νοείται περαιτέρω ότι, τα αποτελέσματα κάθε στοχευμένου ελέγχου ασφάλειας τίθενται στη διάθεση της Αρχής και το κόστος του εν λόγω στοχευμένου ελέγχου ασφάλειας, ο οποίος διενεργείται από ανεξάρτητο όργανο καλύπτεται από την ελεγχόμενη οντότητα, εκτός από δεόντως αιτιολογημένες περιπτώσεις για τις οποίες η Αρχή αποφασίζει διαφορετικά∙

(γ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της εν λόγω οντότητας·

(δ) αιτήματα παροχής πληροφοριών αναγκαίων για την εκ των υστερών αξιολόγηση (ex post) των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η εν λόγω οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στην Αρχή δυνάμει των διατάξεων του άρθρου 37Α·

(ε) αιτήματα για πρόσβαση σε δεδομένα, έγγραφα ή πληροφορίες που είναι αναγκαία για την εκτέλεση των εποπτικών της καθηκόντων·

(στ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο ελεγκτή και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.

(3) Η Αρχή κατά την άσκηση των εξουσιών της σύμφωνα κατά τα προβλεπόμενα στις παραγράφους (δ), (ε) ή (στ) του εδάφιου (2), δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.

(4) Η Αρχή, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με σημαντικές οντότητες, έχει την εξουσία τουλάχιστον να-

(α) εκδίδει προειδοποιήσεις σχετικά με τις παραβιάσεις των διατάξεων του παρόντος Νόμου από τις εν λόγω οντότητες·

(β) εκδίδει δεσμευτικές οδηγίες ή Απόφαση προς τις εν λόγω οντότητες για να αποκαταστήσουν τις διαπιστωθείσες ελλείψεις ή την παράβαση των υποχρεώσεων του παρόντος Νόμου·

(γ) απαιτεί από τις εν λόγω οντότητες να παύσουν συμπεριφορά που παραβιάζει τις διατάξεις του παρόντος Νόμου και να απέχουν από επανάληψη της εν λόγω συμπεριφοράς παραβίασης·

(δ) απαιτεί από τις εν λόγω οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με τις διατάξεις του άρθρου 35 ή να εκπληρώσουν τις υποχρεώσεις υποβολής κοινοποιήσεων που ορίζονται στις διατάξεις του άρθρου 35Β, με συγκεκριμένο τρόπο και εντός καθορισμένου χρονικού διαστήματος·

(ε) απαιτεί από τις εν λόγω οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες τα οποία ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής·

(στ) απαιτεί από τις εν λόγω οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας·

(ζ) απαιτεί από τις εν λόγω οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων των διατάξεων του παρόντος Νόμου με συγκεκριμένο τρόπο·

(η) επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του άρθρου 43Α επιπρόσθετα από οποιαδήποτε από τα μέτρα που αναφέρονται στις παραγράφους (α) έως (ζ) του παρόντος εδαφίου.

(5) Τα εδάφια (6), (7) και (8) του άρθρου 36Α εφαρμόζονται κατ’ αναλογία στα μέτρα εποπτείας και επιβολής που προβλέπονται στο παρόν άρθρο για τις σημαντικές οντότητες.

(6) Η Αρχή συνεργάζεται με τις αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554 και ειδικότερα ενημερώνει το φόρουμ εποπτείας που συστάθηκε δυνάμει των διατάξεων της παραγράφου 1 του άρθρου 32 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης σημαντικής οντότητας που έχει οριστεί ως κρίσιμος τρίτος παροχέας υπηρεσιών ΤΠΕ, δυνάμει των διατάξεων του άρθρου 31 του Κανονισμού (ΕΕ) 2022/2554 με τις υποχρεώσεις των διατάξεων του παρόντος Νόμου:

Νοείται ότι, η Αρχή δύναται να ενημερώνεται για τον ορισμό των κρίσιμων τρίτων παροχέων υπηρεσιών ΤΠΕ που ορίζονται στη Δημοκρατία δυνάμει των διατάξεων του άρθρου 31 της παραγράφου 9) του Κανονισμού (ΕΕ) 2022/2554.

ΜΕΡΟΣ ΕΝΔΕΚΑΤΟ ΜΗΤΡΩΟ ΟΝΤΟΤΗΤΩΝ ΚΑΙ ΒΑΣΗ ΔΕΔΟΜΕΝΩΝ ΚΑΤΑΧΩΡΙΣΗΣ ΟΝΟΜΑΤΩΝ ΤΟΜΕΑ
Απαιτήσεις ασφάλειας

37. [Διαγράφηκε]
Μητρώο Οντοτήτων

37Α.-(1) Η Αρχή δύναται να υποβάλει αίτημα στον ENISA για πρόσβαση στο μητρώο που διατηρεί ο ENISA δυνάμει των διατάξεων της παραγράφου 1 του άρθρου 27 της Οδηγίας (ΕΕ) 2022/2555.

(2) Η Αρχή, στα πλαίσια εφαρμογής του εδαφίου (4), απαιτεί από τους παροχείς υπηρεσιών DNS, τα μητρώα ονομάτων TLD, τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, τους παροχείς υπηρεσιών υπολογιστικού νέφους, τους παροχείς υπηρεσιών κέντρων δεδομένων, τους παροχείς δικτύων διανομής περιεχομένου, τους παροχείς διαχειριζομένων υπηρεσιών, τους παροχείς διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και τους παροχείς επιγραμμικών αγορών, τους παροχείς επιγραμμικών μηχανών αναζήτησης ή πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, να υποβάλουν τις ακόλουθες πληροφορίες:

(α) Την επωνυμία της οντότητας·

(β) τον σχετικό τομέα, υποτομέα και τύπο οντότητας που αναφέρεται στα Παραρτήματα I και II, κατά περίπτωση·

(γ) τη διεύθυνση της κύριας εγκατάστασης της οντότητας και των άλλων νομικών εγκαταστάσεών της στη Δημοκρατία ή σε άλλο κράτος μέλος της Ε.Ε ή, εάν δεν είναι εγκατεστημένη εντός της επικρατείας της Ε.Ε., της διεύθυνσης του εκπροσώπου της που έχει οριστεί δυνάμει των διατάξεων του εδαφίου (3) του άρθρου 39·

(δ) επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου της οντότητας και, κατά περίπτωση, του εκπροσώπου της ο οποίος έχει οριστεί σύμφωνα με το εδάφιο (3) του άρθρου 39·

(ε) τα άλλα κράτη μέλη στα οποία η οντότητα παρέχει υπηρεσίες· και

(στ) το εύρος IPs (IP ranges) της οντότητας.

(3) Οι οντότητες που αναφέρονται στις διατάξεις του εδαφίου (2) κοινοποιούν στην Αρχή τυχόν αλλαγές στις πληροφορίες που υπέβαλαν δυνάμει του εδαφίου (2) αμελλητί και, σε κάθε περίπτωση, εντός τριών (3) μηνών από την ημερομηνία πραγματοποίησης της αλλαγής.

(4) Με την παραλαβή των πληροφοριών που αναφέρονται στα εδάφια (2) και (3), εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο (στ) του εδαφίου (2), η Αρχή ως ενιαίο σημείο επαφής τις διαβιβάζει στον ENISA χωρίς αδικαιολόγητη καθυστέρηση.

(5) Κατά περίπτωση, οι πληροφορίες που αναφέρονται στα εδάφια (2) και (3) υποβάλλονται μέσω του εθνικού μηχανισμού που αναφέρεται στο εδάφιο (4) του άρθρου 27.

Εφαρμογή και επιβολή σε παροχέα ψηφιακών υπηρεσιών

38. [Διαγράφηκε]
Βάση δεδομένων καταχώρισης ονομάτων τομέα

38Α.-(1) Για τους σκοπούς της συμβολής στην ασφάλεια, τη σταθερότητα και την ανθεκτικότητα του DNS, η Αρχή απαιτεί από τα μητρώα ονομάτων TLD και τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα να συλλέγουν και να διατηρούν ακριβή και πλήρη δεδομένα καταχώρισης ονομάτων τομέα σε ειδική βάση δεδομένων με τη δέουσα επιμέλεια, σύμφωνα με τον περί Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμο και τον Κανονισμό (ΕΕ) 2016/679.

(2)(α) Για τους σκοπούς του εδαφίου (1) η Αρχή απαιτεί η βάση δεδομένων καταχώρισης ονομάτων τομέα να περιέχει τις αναγκαίες πληροφορίες για την ταυτοποίηση και την επικοινωνία με τους κατόχους των ονομάτων τομέα και τα σημεία επαφής που διαχειρίζονται τα ονόματα τομέα στο πλαίσιο των TLD.

(β) Οι πληροφορίες αυτές περιλαμβάνουν-

(α)το όνομα τομέα·

(β)την ημερομηνία καταχώρισης·

(γ)το όνομα, την ηλεκτρονική διεύθυνση επικοινωνίας και τον αριθμό τηλεφώνου του καταχωρίζοντος· και

(δ)τη διεύθυνση ηλεκτρονικού ταχυδρομείου επικοινωνίας και τον αριθμό τηλεφώνου του σημείου επαφής που διαχειρίζεται το όνομα τομέα σε περίπτωση που διαφέρουν από εκείνα του καταχωρίζοντος.

(3)(α) Η Αρχή απαιτεί από τα μητρώα ονομάτων TLD και τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα να διαθέτουν πολιτικές και διαδικασίες, συμπεριλαμβανομένων διαδικασιών επαλήθευσης, ώστε να διασφαλίζεται ότι οι βάσεις δεδομένων που αναφέρονται στις διατάξεις του εδαφίου (1) περιλαμβάνουν ακριβείς και πλήρεις πληροφορίες.

(β) Η Αρχή απαιτεί να δημοσιοποιούνται οι εν λόγω πολιτικές και διαδικασίες.

(4)Η Αρχή απαιτεί από τα μητρώα ονομάτων TLD και από τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα να δημοσιοποιούν αμελλητί, μετά από την καταχώριση ονόματος τομέα, τα δεδομένα καταχώρισης ονομάτων τομέα που δεν είναι δεδομένα προσωπικού χαρακτήρα.

(5)(α) Η Αρχή απαιτεί από τα μητρώα ονομάτων TLD και τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα να παρέχουν πρόσβαση σε συγκεκριμένα δεδομένα καταχώρισης ονομάτων τομέα κατόπιν νόμιμων και δεόντως αιτιολογημένων αιτημάτων από νόμιμους αιτούντες πρόσβαση, σύμφωνα με τον περί Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμο και τον Κανονισμό (ΕΕ) 2016/679.

(β) Η Αρχή απαιτεί από τα μητρώα ονομάτων TLD και τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα να απαντούν χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από την παραλαβή τυχόν αιτημάτων πρόσβασης.(γ) Η Αρχή απαιτεί να δημοσιοποιούνται οι πολιτικές και οι διαδικασίες γνωστοποίησης των εν λόγω δεδομένων.

(6)Η συμμόρφωση με τις υποχρεώσεις που ορίζονται στα εδάφια (1) έως (5) δεν οδηγεί σε επικάλυψη της συλλογής δεδομένων καταχώρισης ονομάτων τομέα και για τον σκοπό αυτό, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα συνεργάζονται μεταξύ τους.

Δικαιοδοσία και εδαφικότητα

39.-(1) Οι οντότητες οι οποίες εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου θεωρούνται ότι εμπίπτουν στη δικαιοδοσία της Δημοκρατίας, εκτός εάν πρόκειται για:

(α) παροχείς δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παροχείς διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, οι οποίοι θεωρείται ότι εμπίπτουν στη δικαιοδοσία του κράτους μέλους στο οποίο παρέχουν τις υπηρεσίες τους·

(β) παροχείς υπηρεσιών DNS, μητρώα ονομάτων TLD, οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, παροχείς υπηρεσιών υπολογιστικού νέφους, παροχείς υπηρεσιών κέντρων δεδομένων, παροχείς δικτύων διανομής περιεχομένου, παροχείς διαχειριζομένων υπηρεσιών, παροχείς διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και παροχείς επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης ή πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, που θεωρείται ότι εμπίπτουν στη δικαιοδοσία του κράτους μέλους στο οποίο έχουν την κύρια εγκατάστασή τους στην Ένωση σύμφωνα με το εδάφιο (2)·

(γ) οντότητες δημόσιας διοίκησης, που θεωρείται ότι υπάγονται στη δικαιοδοσία του κράτους μέλους που τις έχει συστήσει.

(2)(α) Για τους σκοπούς του παρόντος Νόμου, οντότητα που αναφέρεται στην παράγραφο (β) του εδαφίου (1) θεωρείται ότι έχει την κύρια εγκατάστασή της στην Ένωση στο κράτος μέλος στο οποίο λαμβάνονται κυρίως οι αποφάσεις που σχετίζονται με τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας.

(β) Σε περίπτωση που το εν λόγω κράτος μέλος δεν μπορεί να προσδιοριστεί ή σε περίπτωση που οι αποφάσεις αυτές δεν λαμβάνονται στην Ένωση, η κύρια εγκατάσταση θεωρείται ότι βρίσκεται στο κράτος μέλος στο οποίο διεξάγονται οι επιχειρήσεις κυβερνοασφάλειας.

(γ) Σε περίπτωση που το εν λόγω κράτος μέλος δεν μπορεί να προσδιοριστεί, η κύρια εγκατάσταση οφείλει να θεωρείται ότι βρίσκεται στο κράτος μέλος στο οποίο η εν λόγω οντότητα έχει την εγκατάσταση με τον μεγαλύτερο αριθμό εργαζομένων στην Ένωση.

(3)(α) Σε περίπτωση που μια οντότητα η οποία αναφέρεται στην παράγραφο (β) του εδαφίου (1) δεν είναι εγκατεστημένη στη Δημοκρατία ή σε άλλο κράτος μέλος, αλλά προσφέρει υπηρεσίες εντός της Ένωσης, ορίζει εκπρόσωπο στην Ένωση, ο οποίος είναι εγκατεστημένος σε ένα από τα κράτη μέλη στα οποία προσφέρονται οι υπηρεσίες.

(β) Μια τέτοια οντότητα θεωρείται ότι υπόκειται στη δικαιοδοσία του κράτους μέλους στο οποίο είναι εγκατεστημένος ο εκπρόσωπος.

(γ) Ελλείψει εκπροσώπου στην Ένωση που ορίζεται σύμφωνα με το παρόν εδάφιο, η Δημοκρατία και κάθε άλλο κράτος μέλος στο οποίο η οντότητα παρέχει υπηρεσίες μπορεί να κινήσει νομικές διαδικασίες κατά της οντότητας για παραβίαση των υποχρεώσεων των διατάξεων του παρόντος Νόμου.

(4) Ο ορισμός εκπροσώπου από οντότητα που αναφέρεται στην παράγραφο (β) του εδαφίου (1) δεν θίγει τις νομικές διαδικασίες, οι οποίες δύνανται να κινηθούν κατά της ίδιας της οντότητας.

(5) Όταν η Αρχή λάβει αίτημα αμοιβαίας συνδρομής σε σχέση με οντότητα που αναφέρεται στο εδάφιο (1) μπορεί, εντός των ορίων του εν λόγω αιτήματος, να λαμβάνει κατάλληλα μέτρα εποπτείας και επιβολής σε σχέση με την οικεία οντότητα η οποία παρέχει υπηρεσίες ή διαθέτει το σύστημα δικτύου και πληροφοριών στην επικράτειά της Δημοκρατίας.

ΜΕΡΟΣ ΔΩΔΕΚΑΤΟ ΠΑΡΟΧΕΙΣ ΔΙΚΤΥΩΝ Ή/ΚΑΙ ΥΠΗΡΕΣΙΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ
Παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών

40.-(1)[Διαγράφηκε].

(2) [Διαγράφηκε].

(3) [Διαγράφηκε].

(4)[Διαγράφηκε].

(5) [Διαγράφηκε].

(6) Οι διατάξεις του παρόντος άρθρου ισχύουν με την επιφύλαξη του Κανονισμού (ΕΕ) αριθ. 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου.

(7) [Διαγράφηκε].

(8) [Διαγράφηκε].

(9) [Διαγράφηκε].

(10) [Διαγράφηκε].

(11)Σε περίπτωση που διαπιστωθεί ότι υπάρχει κίνδυνος παραβίασης της ασφάλειας του δικτύου ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών λόγω χρήσης της υπηρεσίας ή/και σε περίπτωση που διαπιστωθεί ότι υπάρχει κίνδυνος παραβίασης της ασφάλειας του δικτύου βασικής ή/και σημαντικής οντότητας, η Αρχή δύναται να ζητήσει από τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών τη λήψη μέτρων, συμπεριλαμβανομένων προσωρινών ή/και αναγκαίων μέτρων, όπως τη διακοπή της υπηρεσίας ή/και τη διακοπή πρόσβασης των διαδικτυακών ονομάτων χώρου (Domain name) ή/και τη διακοπή πρόσβασης διευθύνσεων IP (Internet Protocol addresses) σε περίπτωση που χρησιμοποιούνται για σκοπούς κυβερνοεπίθεσης:

Νοείται ότι, η Αρχή, σε περίπτωση κατά την οποία ο κίνδυνος που αναφέρεται στο παρόν εδάφιο παύσει να υφίσταται ή διαφοροποιηθεί, δύναται όπως αποφασίσει, ανάλογα με την περίπτωση, την άρση των προσωρινών ή/και αναγκαίων μέτρων ή την τροποποίηση των μέτρων αυτών.

(12) [Διαγράφηκε].

(13) [Διαγράφηκε].

ΜΕΡΟΣ ΔΕΚΑΤΟ ΤΡΙΤΟ ΤΥΠΟΠΟΙΗΣΗ, ΕΘΕΛΟΥΣΙΑ ΚΟΙΝΟΠΟΙΗΣΗ ΚΑΙ ΡΑΔΙΟΕΞΟΠΛΙΣΜΟΣ
Τυποποίηση

41.-(1)Η Αρχή, προκειμένου να προωθηθεί η συγκλίνουσα εφαρμογή των εδαφίων (1) και (2) του άρθρου 35, χωρίς να επιβάλλει ή να ευνοεί τη χρήση συγκεκριμένου είδους τεχνολογίας, ενθαρρύνει τη χρήση ευρωπαϊκών και αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια συστημάτων δικτύου και πληροφοριών.

(2) Η Αρχή, στα πλαίσια υλοποίησης του εδαφίου (1), λαμβάνει υπόψη  τυχόν συμβουλές και κατευθυντήριες γραμμές που εκδίδονται από τον ENISA δυνάμει των διατάξεων της παραγράφου 2 του άρθρου 25 της Οδηγίας (ΕΕ) 2022/2555.

Χρήση των ευρωπαϊκών συστημάτων πιστοποίησης της κυβερνοασφάλειας

41Α.-(1)(α) Προκειμένου να αποδειχθεί η συμμόρφωση με τις ειδικές απαιτήσεις του άρθρου 35, η Αρχή δύναται να απαιτεί από βασικές και σημαντικές οντότητες να χρησιμοποιούν συγκεκριμένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ, που αναπτύσσονται από τη βασική ή σημαντική οντότητα ή που προμηθεύονται από τρίτους, και πιστοποιούνται στο πλαίσιο ευρωπαϊκών συστημάτων πιστοποίησης κυβερνοασφάλειας που θεσπίζονται σύμφωνα με το άρθρο 49 του Κανονισμού (ΕΕ) 2019/881.

(β) Επιπλέον, η Αρχή ενθαρρύνει τις βασικές και σημαντικές οντότητες να χρησιμοποιούν εγκεκριμένες υπηρεσίες εμπιστοσύνης.

(2) Η Αρχή εφαρμόζει τις κατ’ εξουσιοδότηση πράξεις που εκδίδει η Επιτροπή δυνάμει της παραγράφου 2 του άρθρου 24 της Οδηγίας (ΕΕ) 2022/2555.

Εθελούσια κοινοποίηση

42.-(1) Η Αρχή διασφαλίζει ότι, επιπλέον της υποχρέωσης κοινοποίησης που προβλέπεται στο άρθρο 35Β, οι κοινοποιήσεις μπορούν να υποβάλλονται στην Αρχή, σε εθελοντική βάση, από-

(α) βασικές και σημαντικές οντότητες όσον αφορά περιστατικά, κυβερνοαπειλές (cyber threats) και παρ’ ολίγον περιστατικά· και

(β) οντότητες διαφορετικές από εκείνες που αναφέρονται στην παράγραφο (α), ανεξαρτήτως του αν εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου, όσον αφορά σημαντικά περιστατικά, κυβερνοαπειλές (cyber threats) και παρ’ ολίγον περιστατικά.

(2) Η Αρχή επεξεργάζεται τις κοινοποιήσεις που αναφέρονται στο εδάφιο (1) σύμφωνα με τη διαδικασία που προβλέπεται στις διατάξεις του άρθρου 35Β, μόνο εφόσον η επεξεργασία αυτή δεν συνιστά δυσανάλογη ή περιττή επιβάρυνση για την Αρχή.

(3) Η Αρχή δύναται να ιεραρχεί, την επεξεργασία των υποχρεωτικών, έναντι των εθελούσιων κοινοποιήσεων.

(4) Όπου είναι αναγκαίο, η Αρχή ως ενιαίο σημείο επαφής, παρέχει πληροφορίες σχετικά με τις κοινοποιήσεις που λαμβάνει σύμφωνα με το παρόν άρθρο, διασφαλίζοντας παράλληλα την εμπιστευτικότητα και την κατάλληλη προστασία των πληροφοριών που παρέχονται από την κοινοποιούσα οντότητα.

(5) Με την επιφύλαξη της πρόληψης, της διερεύνησης και της δίωξης ποινικών αδικημάτων, η εθελούσια κοινοποίηση δεν δημιουργεί την επιβολή πρόσθετων υποχρεώσεων στην κοινοποιούσα οντότητα, τις οποίες δεν θα υπείχε αν δεν είχε υποβάλει την κοινοποίηση.

Ραδιοεξοπλισμός

42Α.-(1) Η Αρχή διασφαλίζει ότι ο ραδιοεξοπλισμός ορισμένων κατηγοριών ή κλάσεων κατασκευάζεται κατά τρόπο, ώστε να πληροί, τις ουσιώδεις απαιτήσεις που εκάστοτε καθορίζονται από την Επιτροπή, και ιδιαίτερα ότι-

(α)δεν βλάπτει το δίκτυο, ούτε η λειτουργία του κάνει κατάχρηση των πόρων του δικτύου με αποτέλεσμα τη μη αποδεκτή υποβάθμιση της υπηρεσίας·

(β)ενσωματώνει διασφαλίσεις για την εξασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικότητας των χρηστών και του συνδρομητή·

(γ)υποστηρίζει ορισμένες λειτουργίες που εξασφαλίζουν την προστασία από απάτη·

(δ)υποστηρίζει ορισμένες λειτουργίες για να εξασφαλίζεται ότι η εγκατάσταση του λογισμικού στο ραδιοεξοπλισμό, είναι δυνατή μόνο όταν έχει αποδειχθεί η συμμόρφωση του συνδυασμού του ραδιοεξοπλισμού και του λογισμικού.

(2)(α) Η Αρχή καθορίζει με σχετική Απόφασή της, τις απαιτήσεις που πρέπει να πληροί ο ραδιοεξοπλισμός, για να μπορεί να διατεθεί στην Κυπριακή αγορά, να τεθεί σε λειτουργία και χρήση, λοιπές παραμέτρους και διαδικασίες αξιολόγησης της συμμόρφωσής του, καθώς και τα κριτήρια και διαδικασία έγκρισης κοινοποιημένων οργανισμών και επιτήρησης της αγοράς, περιλαμβανομένης της εξουσίας κατάσχεσης·

(β) Η Αρχή εκδίδει οποιεσδήποτε Αποφάσεις, είναι αναγκαίες για τη διασφάλιση του ραδιοεξοπλισμού  και την εξασφάλιση συμμόρφωσης με τις διατάξεις του παρόντος Νόμου.

(3)(α) Στην περίπτωση που ραδιοεξοπλισμός παρουσιάζει κίνδυνο για την υγεία, ασφάλεια προσώπων, ασφάλεια δικτύων, πληροφοριών και συστημάτων πληροφοριών ή για άλλα ζητήματα προστασίας του δημοσίου συμφέροντος, διενεργείται αξιολόγηση και λαμβάνονται όλα τα αναγκαία μέτρα προς συμμόρφωση του εξοπλισμού ή και εξάλειψη του κινδύνου και η  Αρχή καθορίζει σε σχετική Απόφασή της, τη διαδικασία αξιολόγησης καθώς και τα μέτρα που δύναται να ληφθούν.

(β) Η Αρχή κοινοποιεί στην Επιτροπή οποιαδήποτε απόφασή της, σχετικά με ραδιοεξοπλισμό που δεν συμμορφώνεται, με τις σχετικές πρόνοιες της κείμενης νομοθεσίας.

ΜΕΡΟΣ ΔΕΚΑΤΟ ΤΕΤΑΡΤΟ ΚΥΡΩΣΕΙΣ
Διοικητικό πρόστιμο

43.-(1) Με την επιφύλαξη του άρθρου 43Α, σε περίπτωση που η Αρχή διαπιστώσει ότι πρόσωπο διενεργεί πράξη ή τελεί σε παράλειψη κατά παράβαση των διατάξεων του παρόντος Νόμου δύναται να επιβάλει σε αυτό διοικητικό πρόστιμο που δεν υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000), ανάλογα με τη βαρύτητα της παράβασης, και, σε περίπτωση επανάληψης της παράβασης, χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) για κάθε ημέρα συνέχισης της παράβασης:

Νοείται ότι, η διαδικασία επιβολής του διοικητικού προστίμου καθορίζεται με Απόφαση της Αρχής.

(2) Η Αρχή δύναται να επιβάλει διοικητικό πρόστιμο σε οποιοδήποτε πρόσωπο διενεργεί πράξη ή τελεί σε παράλειψη, κατά παράβαση των διατάξεων οποιωνδήποτε Αποφάσεων και/ή Κανονισμών της Ευρωπαϊκής Ένωσης το οποίο δεν υπερβαίνει τις τριακόσιες χιλιάδες τετρακόσια ευρώ (€300.400) και, σε περίπτωση επανάληψης της παράβασης, διοικητικό πρόστιμο που δεν υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000).

(3) Η Αρχή δύναται να εκδίδει Αποφάσεις, για τη διαδικασία επιβολής διοικητικού προστίμου ή/και άλλων διοικητικών κυρώσεων σε σχέση με τη μη συμμόρφωση προς τις διατάξεις του παρόντος Νόμου ή/και Αποφάσεων της ή/και Κανονισμών της Ευρωπαϊκής Ένωσης, κατά την έννοια που αποδίδει στους όρους ο περί Εφαρμογής των Κοινοτικών Κανονισμών και Κοινοτικών Αποφάσεων Νόμος του 2007 και να καθορίζει με Απόφασή της το ύψος αυτών των προστίμων και κυρώσεων και τη διαδικασία επιβολής τους.

(4) Προτού η Αρχή επιβάλει διοικητικό πρόστιμο, η Αρχή ειδοποιεί το επηρεαζόμενο πρόσωπο για την πρόθεσή της να επιβάλει διοικητικό πρόστιμο, ενημερώνοντάς το για τους λόγους για τους οποίους προτίθεται να ενεργήσει τοιουτοτρόπως και παρέχοντας σε αυτό το δικαίωμα υποβολής παραστάσεων, εντός δέκα (10) εργάσιμων ημερών από την ημέρα της ειδοποίησης.

(5) Η Αρχή επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του εδαφίου (1) με γραπτή και αιτιολογημένη Απόφασή της, την οποία διαβιβάζει στο επηρεαζόμενο πρόσωπο με συστημένη επιστολή ή/και ηλεκτρονικά, με τρόπο που καθορίζει η Αρχή, η οποία καθορίζει την παράβαση και πληροφορεί το επηρεαζόμενο πρόσωπο-

(α) περί του δικαιώματός του να προσβάλει την απόφαση με προσφυγή στο Διοικητικό Δικαστήριο, σύμφωνα με τις διατάξεις του άρθρου 146 του Συντάγματος και του περί της Ίδρυσης και Λειτουργίας Διοικητικού Δικαστηρίου Νόμου του 2015, και

(β) περί της προθεσμίας εντός της οποίας δύναται να ασκηθεί το προαναφερόμενο δικαίωμα.

(6) Σε περίπτωση άρνησης ή παράλειψης προσώπου στο οποίο υποβλήθηκε διοικητικό πρόστιμο δυνάμει των διατάξεων του παρόντος Νόμου να καταβάλει στην Αρχή τέτοιο πρόστιμο, η Αρχή λαμβάνει δικαστικά μέτρα και εισπράττει τα οφειλόμενα ποσά ως αστικό χρέος οφειλόμενο στη Δημοκρατία.

Επιβολή διοικητικών προστίμων σε βασικές και σημαντικές οντότητες

43Α.-(1) Τα διοικητικά πρόστιμα που επιβάλλονται δυνάμει του παρόντος άρθρου, σε βασικές και σημαντικές οντότητες σε σχέση με την παράβαση των διατάξεων του παρόντος Νόμου, είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.

(2) Διοικητικά πρόστιμα επιβάλλονται επιπρόσθετα από οποιαδήποτε από τα μέτρα που αναφέρονται στις παραγράφους (α) έως (η) του εδαφίου (4) του άρθρου 36Α, στο εδάφιο (5) του άρθρου 36Α και στις παραγράφους (α) έως (ζ) του εδαφίου (4) του άρθρου 36Β.

(3) Η Αρχή κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου και τη λήψη απόφασης σχετικά με το ύψος του σε κάθε μεμονωμένη περίπτωση, λαμβάνει δεόντως υπόψη, κατ’ ελάχιστον, τις πρόνοιες του εδαφίου (7) του άρθρου 36Α.

(4) Σε περίπτωση παραβίασης των άρθρων 35 και 35Β του παρόντος Νόμου, οι βασικές οντότητες υπόκεινται, σύμφωνα με τα εδάφια (2) και (3), σε διοικητικά πρόστιμα ύψους κατ’ ανώτατο όριο τουλάχιστον δέκα εκατομμύριων ευρώ (€10.000.000) ή κατ’ ανώτατο όριο τουλάχιστον 2% του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η βασική οντότητα, ανάλογα με το ποιο είναι υψηλότερο.

(5) Σε περίπτωση παραβίασης των άρθρων 35 και 35Β του παρόντος Νόμου, οι σημαντικές οντότητες υπόκεινται, σύμφωνα με τα εδάφια (2) και (3), σε διοικητικά πρόστιμα ύψους κατ’ ανώτατο όριο τουλάχιστον επτά εκατομμύριων ευρώ (€7.000.000) ή κατ’ ανώτατο όριο τουλάχιστον 1,4% του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η σημαντική οντότητα, ανάλογα με το ποιο είναι υψηλότερο.

(6) Η Αρχή, δύναται με Απόφασή της, να προβλέψει, την επιβολή άλλων διοικητικών κυρώσεων, προκειμένου να υποχρεώσει βασική ή σημαντική οντότητα να παύσει μια παράβαση των διατάξεων του παρόντος Νόμου σύμφωνα με προηγούμενη Απόφασή της.

Ποινικά αδικήματα

44.-(1) Βασική ή/και σημαντική οντότητα η οποία δεν κοινοποιεί, χωρίς αδικαιολόγητη καθυστέρηση, στην Αρχή συμβάν με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών της είναι ένοχη αδικήματος και, σε περίπτωση καταδίκης της, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα δύο (2) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) ή και στις δύο αυτές ποινές.

(2) [Διαγράφηκε].

(3) Βασική ή/και σημαντική οντότητα η οποία δεν λαμβάνει κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιεί στις δραστηριότητές της είναι ένοχη αδικήματος και, σε περίπτωση καταδίκης της, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει δεκαπέντε χιλιάδες ευρώ (€15.000) ή και στις δύο αυτές ποινές.

(4) [Διαγράφηκε].

(5) Πρόσωπο το οποίο δεν παρέχει οποιαδήποτε πληροφορία του ζητηθεί από την Αρχή, σύμφωνα με τις διατάξεις της παραγράφου (β) του εδαφίου (1) του άρθρου 20, εντός δεκαπέντε (15) ημερών από την ημερομηνία της απαίτησης είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις τρεις χιλιάδες τετρακόσια ευρώ (€3.400).

(6) Πρόσωπο από το οποίο η Αρχή απαιτεί να παράσχει οποιαδήποτε πληροφορία, σύμφωνα με τις σχετικές διατάξεις Κανονισμών που εκδίδει η Ευρωπαϊκή Ένωση, και παραλείπει να το πράξει εντός της καθορισμένης ημερομηνίας των δεκαπέντε (15) ημερών από την ημερομηνία της απαίτησης είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους έξι (6) μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις τρεις χιλιάδες τετρακόσια ευρώ (€3.400) ή και στις δύο αυτές ποινές.

(7) Πρόσωπο το οποίο παραβιάζει οποιαδήποτε διάταξη των Αποφάσεων και/ή Κανονισμών της Ευρωπαϊκής Ένωσης αναφορικά με την ασφάλεια δικτύων και συστημάτων πληροφοριών είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις δεκαπέντε χιλιάδες ευρώ (€15.000) ή και στις δύο αυτές ποινές.

Παραβάσεις που συνεπάγονται παραβίαση δεδομένων προσωπικού χαρακτήρα

44Α.-(1) Σε περίπτωση κατά την οποία, η Αρχή αντιληφθεί, στο πλαίσιο της εποπτείας ή της επιβολής, ότι η παράβαση από βασική ή σημαντική οντότητα των υποχρεώσεων που ορίζονται στις διατάξεις των άρθρων 35 και 35Β δύναται να συνεπάγεται σε παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως ορίζεται στο σημείο 12 του άρθρου 4 του Κανονισμού (ΕΕ) 2016/679, η οποία πρέπει να κοινοποιείται σύμφωνα με το άρθρο 33 του εν λόγω Κανονισμού, ενημερώνουν χωρίς αδικαιολόγητη καθυστέρηση τις εποπτικές αρχές που αναφέρονται στο άρθρο 55 ή 56 του εν λόγω Κανονισμού.

(2)(α) Σε περίπτωση που οι εποπτικές αρχές οι οποίες αναφέρονται στο άρθρο 55 ή 56 του Κανονισμού (ΕΕ) 2016/679 επιβάλλουν διοικητικό πρόστιμο σύμφωνα με το άρθρο 58 παράγραφος 2 στοιχείο θ) του εν λόγω Κανονισμού, η Αρχή δεν επιβάλλει διοικητικό πρόστιμο σύμφωνα με τις διατάξεις του άρθρου 43Α για την παράβαση που αναφέρεται στο εδάφιο (1) και η οποία απορρέει από την ίδια συμπεριφορά που αποτέλεσε το αντικείμενο του διοικητικού προστίμου σύμφωνα με το άρθρο 58 παράγραφος 2 στοιχείο θ) του Κανονισμού (ΕΕ) 2016/679.

(β) Η Αρχή δύναται, ωστόσο, να εφαρμόσει τα μέτρα επιβολής που αναφέρονται στις παραγράφους (α) έως (η) του εδαφίου (4) του άρθρου 36Α, στο εδάφιο (5) του άρθρου 36Α και στις παραγράφους (α) έως (ζ) του εδαφίου (4) του άρθρου 36Β.

(3) Σε περίπτωση κατά την οποία, η εποπτική αρχή που είναι αρμόδια δυνάμει του Κανονισμού (ΕΕ) 2016/679 είναι εγκατεστημένη σε κράτος μέλος διαφορετικό από την Αρχή, η Αρχή ενημερώνει τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την ενδεχόμενη παραβίαση των στοιχείων που αναφέρονται στο εδάφιο (1).

ΜΕΡΟΣ ΔΕΚΑΤΟ ΠΕΜΠΤΟ ΚΑΝΟΝΙΣΜΟΙ, ΑΠΟΦΑΣΕΙΣ, ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΔΙΑΤΑΞΕΙΣ, ΕΚΘΕΣΕΙΣ, ΚΑΙ ΔΙΑΦΟΡΑ ΑΛΛΑ ΘΕΜΑΤΑ
Έκδοση Κανονισμών

45.-(1) Για σκοπούς καλύτερης εφαρμογής των διατάξεων του παρόντος Νόμου, το Υπουργικό Συμβούλιο εκδίδει Κανονισμούς, οι οποίοι κατατίθενται στη Βουλή των Αντιπροσώπων για έγκριση και δημοσιεύονται στην Εφημερίδα της Δημοκρατίας, εκτός εάν προβλέπεται διαφορετικά σε αυτούς.

(2) Χωρίς επηρεασμό της γενικότητας των διατάξεων του εδαφίου (1), οι Κανονισμοί αυτοί δύναται να προβλέπουν μεταξύ άλλων για τα ακόλουθα:

(α) Τη μεθοδολογία υπολογισμού τελών για τη χρηματοδότηση των δαπανών της Αρχής·

(β) τη διαδικασία διορισμού, είτε μόνιμα είτε με σύμβαση για ορισμένο χρονικό διάστημα, προαγωγής, τους όρους υπηρεσίας, τις κατηγορίες θέσεων, την αφυπηρέτηση και τα ωφελήματα αφυπηρέτησης των μελών του προσωπικού της Αρχής, καθώς και τον πειθαρχικό κώδικα και την άσκηση πειθαρχικού ελέγχου·

(γ) τα σχέδια υπηρεσίας για τα καθήκοντα, τις ευθύνες και τα προσόντα των μελών του μόνιμου προσωπικού της Αρχής·

(δ) το Ταμείο Ιατροφαρμακευτικής Περίθαλψης για την κάλυψη των μελών του προσωπικού της Αρχής κατά και μετά τη διάρκεια της υπηρεσίας τους στην Αρχή κατ’ εφαρμογή των προνοιών των περί του Επιτρόπου Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομείων (Ταμείο Ιατροφαρμακευτικής Περίθαλψης) Κανονισμών και των διατάξεων του Γενικού Συστήματος Υγείας Νόμου ·

(ε) το Ταμείο Προνοίας για τους υπαλλήλους της Αρχής κατά τη διάρκεια της υπηρεσίας τους στην Αρχή·

(στ) το Ταμείο Προνοίας Ωρομίσθιου Προσωπικού για τα ωρομίσθια μέλη του προσωπικού της Αρχής.

Έκδοση Αποφάσεων από την Αρχή

46.-(1) Για την καλύτερη εφαρμογή των διατάξεων του παρόντος Νόμου, η Αρχή εκδίδει Αποφάσεις κατά την άσκηση των αρμοδιοτήτων της βάσει των διατάξεων του παρόντος Νόμου.

(2) Χωρίς επηρεασμό της γενικότητας των διατάξεων του εδαφίου (1), η Αρχή δύναται να εκδίδει Αποφάσεις που αποσκοπούν πρωτίστως στην αποσαφήνιση και ρύθμιση των διαδικασιών, των μεθόδων, των χρονοδιαγραμμάτων και ιδίως της διαδικασίας και του τρόπου είσπραξης όλων των πληρωτέων δυνάμει των διατάξεων του παρόντος Νόμου και των Αποφάσεων που εκδίδονται δυνάμει αυτού ποσών, τελών και δικαιωμάτων, της διαδικασίας και του τρόπου είσπραξης όλων των πληρωτέων ποσών διοικητικών προστίμων και οποιωνδήποτε άλλων πληρωτέων εσόδων ή ποσών που εισπράττονται δυνάμει των διατάξεων του παρόντος Νόμου και των Αποφάσεων που εκδίδονται δυνάμει αυτού, του καθορισμού τελών και δικαιωμάτων που είναι πληρωτέα σε σχέση με την εφαρμογή των διατάξεων του παρόντος Νόμου και των Αποφάσεων που εκδίδονται δυνάμει αυτού και του καθορισμού διαδικασίας επιβολής διοικητικού προστίμου.

(3) Η Αρχή δύναται να εκδίδει Αποφάσεις αναφορικά με την εφαρμογή των βέλτιστων πρακτικών ή των κατευθυντήριων γραμμών που εκδίδονται από την Επιτροπή σχετικά με την εφαρμογή του ενωσιακού δικαίου.

(4) Η Αρχή δύναται να εκδίδει Αποφάσεις αναφορικά με οποιοδήποτε άλλο ζήτημα προβλέπουν οι διατάξεις του παρόντος Νόμου ή χρήζει ή είναι δεκτικό καθορισμού.

(5) Αποφάσεις της Αρχής που εκδίδονται δυνάμει του παρόντος Νόμου δημοσιεύονται στην Επίσημη Εφημερίδα της Δημοκρατίας και τίθενται σε ισχύ σε καθορισμένο στη σχετική Απόφαση χρόνο ή, σε περίπτωση μη καθορισμού χρόνου έναρξης ισχύος, από την ημερομηνία της εν λόγω δημοσίευσης της σχετικής Απόφασης:

Νοείται ότι, δεν δημοσιεύονται στην Επίσημη Εφημερίδα της Δημοκρατίας Αποφάσεις που αφορούν ευαίσθητες ή/και εμπιστευτικές πληροφορίες ή/και διαβαθμισμένα έγγραφα.

(6) Η Αρχή έχει εξουσία να εφαρμόζει με Απόφαση, Κανονισμούς της Ευρωπαϊκής Ένωσης που αφορούν θέματα ασφάλειας δικτύων και συστημάτων πληροφοριών και κυβερνοασφάλειας.

Προϋπολογισμός

47.-(1) Η Αρχή καταρτίζει για κάθε οικονομικό έτος, το οποίο αρχίζει την 1η Ιανουαρίου και λήγει την 31η Δεκεμβρίου, προϋπολογισμό εσόδων και δαπανών.

(2)(α) Ο προϋπολογισμός υποβάλλεται από τον Επίτροπο, μέσω του Υφυπουργού, για έγκριση στον Υπουργό Οικονομικών, ο οποίος τον καταθέτει στο Υπουργικό Συμβούλιο.

(β) Μετά από την έγκριση του προϋπολογισμού από το Υπουργικό Συμβούλιο, αυτός κατατίθεται στη Βουλή των Αντιπροσώπων για έγκριση σύμφωνα με τις διατάξεις του άρθρου 104 του περί Δημοσιονομικής Ευθύνης και Δημοσιονομικού Πλαισίου Νόμου.

(3) Ο προϋπολογισμός, μετά τις τυχόν τροποποιήσεις του από το Υπουργικό Συμβούλιο, κατατίθεται ενώπιον της Βουλής των Αντιπροσώπων προ της 30ής Σεπτεμβρίου εκάστου έτους.

(4) Ο προϋπολογισμός καλύπτει το οικονομικό πρόγραμμα της Αρχής για κάθε οικονομικό έτος, το οποίο αρχίζει την 1η Ιανουαρίου και λήγει την 31η Δεκεμβρίου:

Νοείται ότι, το πρώτο οικονομικό πρόγραμμα της Αρχής αρχίζει από την ημερομηνία λειτουργίας της Αρχής και λήγει την 31η Δεκεμβρίου του ίδιου έτους.

(5) Ο τρόπος με τον οποίο καταρτίζεται ο προϋπολογισμός και εμφανίζεται η ανάλυση των κονδυλίων στον πίνακα εσόδων και εξόδων είναι όμοιος με τον τρόπο καταρτισμού του κρατικού προϋπολογισμού.

(6) Η Αρχή μεριμνά για την αναφερόμενη στις διατάξεις του εδαφίου (1) κατάρτιση προϋπολογισμού και για την κατάρτιση του αναφερόμενου στις διατάξεις του εδαφίου (4) οικονομικού προγράμματος.

(7) Σε περίπτωση μη έγκαιρης ψήφισης του προϋπολογισμού, η Αρχή λειτουργεί κατ’ ανάλογη εφαρμογή των περί δωδεκατημορίων διατάξεων της παραγράφου 3 του Άρθρου 168 του Συντάγματος για τον κρατικό προϋπολογισμό.

Τήρηση βιβλίων

48.-(1) Η Αρχή τηρεί κατάλληλα βιβλία και λογαριασμούς για τις δραστηριότητές της, όπως ορίζει εκάστοτε ο Γενικός Ελεγκτής της Δημοκρατίας.

(2) Σχετικά με την οικονομική διαχείριση κάθε οικονομικού έτους, συντάσσεται, με μέριμνα της Αρχής, απολογισμός κατά τρόπο που ορίζει εκάστοτε ο Γενικός Ελεγκτής της Δημοκρατίας.

(3) Οι λογαριασμοί της Αρχής ελέγχονται από τον Γενικό Ελεγκτή της Δημοκρατίας.

(4) Μέσα σε έναν μήνα από τον έλεγχο των λογαριασμών η Αρχή υποβάλλει στο Υπουργικό Συμβούλιο και στη Βουλή των Αντιπροσώπων για ενημέρωση τον απολογισμό οικονομικής διαχείρισης.

(5) Η Αρχή μεριμνά για την αναφερόμενη στις διατάξεις του εδαφίου (1), (2) και (4) τήρηση βιβλίων και λογαριασμών και σύνταξη απολογισμού.

Έκθεση

49.-(1) Η Αρχή υποβάλλει στον Πρόεδρο της Δημοκρατίας ετησίως, εντός έξι (6) μηνών από την ημερομηνία λήξης εκάστου οικονομικού έτους, έκθεση για τις δραστηριότητές της.

(2) Η Αρχή κοινοποιεί την έκθεσή της, στο Υπουργικό Συμβούλιο και στη Βουλή των Αντιπροσώπων και δύναται να τη δημοσιεύει.

Εργοδότηση προσωπικού, σε περίπτωση που παύει να υφίσταται η Αρχή

50. Σε περίπτωση που η Αρχή παύει για οποιονδήποτε λόγο να υφίσταται, οι θέσεις του μόνιμου προσωπικού και οι κάτοχοί τους, καθώς και οι κενές θέσεις μεταφέρονται σε κατάλληλο υπουργείο, τμήμα ή υπηρεσία της κυβέρνησης, σε περίπτωση δε που οι δυνάμει των διατάξεων του παρόντος Νόμου αρμοδιότητες, εξουσίες και καθήκοντα της Αρχής περιέρχονται για οποιονδήποτε λόγο σε άλλο νομικό πρόσωπο, αρχή, ή οργανισμό, το προσωπικό της Αρχής παρέχει υπηρεσίες στο εν λόγω νομικό πρόσωπο, αρχή ή οργανισμό χωρίς οποιαδήποτε αλλαγή του καθεστώτος ή των όρων υπηρεσίας του.

Περιουσιακά στοιχεία της Αρχής, σε περίπτωση που παύει να υφίσταται

51. Σε περίπτωση που παύει για οποιονδήποτε λόγο να υφίσταται η Αρχή, όλα τα περιουσιακά στοιχεία της Αρχής, περιέρχονται στη Δημοκρατία.

Προσφυγή στο Διοικητικό Δικαστήριο κατά Αποφάσεων της Αρχής

52.-(1) Οποιαδήποτε Απόφαση της Αρχής υπόκειται σε δικαστικό έλεγχο με προσφυγή στο Διοικητικό Δικαστήριο σύμφωνα με το Άρθρο 146 του Συντάγματος και του περί της Ίδρυσης και Λειτουργίας Διοικητικού Δικαστηρίου Νόμου.

(2) Η Αρχή διατηρεί αρχείο σχετικά με τις προσφυγές, τη διάρκεια των διαδικασιών προσφυγής και τον αριθμό των αποφάσεων για λήψη προσωρινών μέτρων και παρέχει τις πληροφορίες αυτές στην Επιτροπή ή άλλο θεσμικό όργανο της Ευρωπαϊκής Ένωσης κατόπιν αιτιολογημένου αιτήματος.

Ευθύνη Επιτρόπου, Βοηθού Επιτρόπου και προσωπικού της Αρχής

53. Τηρουμένων των διατάξεων του παρόντος Νόμου, και των δυνάμει αυτού εκδιδομένων Κανονισμών και Αποφάσεων, ο Επίτροπος, Βοηθός Επίτροπος και τα μέλη του προσωπικού της Αρχής δεν υπέχουν ευθύνη για οτιδήποτε έγινε ή παραλείφθηκε ή λέχθηκε ή για οποιαδήποτε γνώμη εξέφρασαν ή έκθεση ή άλλο έγγραφο ετοίμασαν κατά την καλόπιστη άσκηση των αντίστοιχων καθηκόντων τους και των αρμοδιοτήτων και εξουσιών τους δυνάμει των διατάξεων του παρόντος Νόμου.

Ευθύνη νομικών προσώπων

54.-(1) Νομικό πρόσωπο είναι ένοχο για τη διάπραξη αδικήματος που προβλέπεται στις διατάξεις των άρθρων 22 και 43, όταν το αδίκημα διαπράττεται προς όφελος του νομικού προσώπου από οποιοδήποτε πρόσωπο ενεργεί είτε ατομικά, είτε ως μέλος οργάνου του νομικού αυτού προσώπου και κατέχει στο νομικό αυτό πρόσωπο ιθύνουσα θέση υπό την ιδιότητα-

(α) εντολοδόχου εκπροσώπησης του νομικού προσώπου,

(β) πληρεξούσιου λήψης αποφάσεων εξ ονόματος του νομικού προσώπου, ή

(γ) πληρεξούσιου άσκησης ελέγχου εντός του νομικού προσώπου.

(2) Νομικό πρόσωπο είναι ένοχο για τη διάπραξη αδικήματος που προβλέπεται στις διατάξεις των άρθρων 22 και 43, όταν η έλλειψη εποπτείας ή ελέγχου από πρόσωπο που καθορίζεται στις διατάξεις του εδαφίου (1) έχει καταστήσει δυνατή τη διάπραξη του εν λόγω αδικήματος προς όφελος του νομικού προσώπου από πρόσωπο το οποίο τελεί υπό την εξουσία του προσώπου που καθορίζεται στις διατάξεις του εδαφίου (1).

(3) Άνευ επηρεασμού των όσων αναφέρονται στις διατάξεις των εδαφίων (1) και (2), η ευθύνη του νομικού προσώπου δεν αποκλείει την άσκηση ποινικής δίωξης εναντίον των φυσικών προσώπων που διαπράττουν τα αδικήματα και ή των προσώπων που συμμετέχουν στη διάπραξη των αδικημάτων που προβλέπονται στις διατάξεις των άρθρων 22 και 43.

(4) Άνευ επηρεασμού των διατάξεων των εδαφίων (1) και (2), πρόσωπο το οποίο συμβουλεύει, προάγει ή παρακινεί άλλο πρόσωπο να συμμετέχει στη διάπραξη ή απόπειρα διάπραξης αδικήματος που προβλέπεται στις διατάξεις των άρθρων 22 και 43 είναι ένοχο αδικήματος του ίδιου είδους υπόκειται στην ίδια ποινή και δύναται να διωχτεί, ως εάν είχε διενεργήσει ο ίδιος τέτοια πράξη.

(5) Σε περίπτωση κατά την οποία πράξη ή παράλειψη νομικού προσώπου που επιφέρει κατά τα οριζόμενα στον παρόντα Νόμο ή/και Αποφάσεων που εκδίδονται δυνάμει του παρόντος Νόμου επιβολή διοικητικού προστίμου ή άλλου χρηματικού προστίμου από την Αρχή, την ευθύνη για την πράξη ή παράλειψη για την καταβολή του διοικητικού προστίμου φέρουν τα νομικά πρόσωπα, καθώς και τα φυσικά πρόσωπα που αναφέρονται στις διατάξεις του εδαφίου (1).

ΜΕΡΟΣ ΔΕΚΑΤΟ ΕΚΤΟ ΜΕΤΑΒΑΤΙΚΕΣ ΚΑΙ ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Μεταβατική διάταξη

55.-(1) Αποφάσεις ή Κανονισμοί που εκδόθηκαν δυνάμει του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, ο οποίος καταργείται με τον παρόντα Νόμο καθώς και οι κοινοποιήσεις που έγιναν στην Επιτροπή λογίζεται ότι έχουν γίνει δυνάμει των διατάξεων του παρόντος Νόμου και θα εξακολουθήσουν να ισχύουν μέχρι την κατάργηση ή αντικατάστασή αυτών από Αποφάσεις, Κανονισμούς ή κοινοποιήσεις στην Επιτροπή, ανάλογα με την περίπτωση, που θα εκδοθούν δυνάμει των διατάξεων του παρόντος Νόμου.

(2) Αναφορά σε οικεία νομοθεσία ή Κανονισμούς ή Διατάγματα που εκδίδονται δυνάμει αυτής ή σε συναφή δημόσια έγγραφα τα οποία αφορούν θέματα ασφάλειας δικτύων και συστημάτων πληροφοριών σε «ΓΕΡΗΕΤ», αυτή λογίζεται ως αναφορά σε «Αρχή».

(3) Αποφάσεις ή Κανονισμοί που έχουν εκδοθεί δυνάμει του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2020 εξακολουθούν να ισχύουν μέχρι την κατάργηση ή αντικατάσταση αυτών από Αποφάσεις, Κανονισμούς οι οποίοι εκδίδονται δυνάμει των διατάξεων του παρόντος Νόμου ή στο πλαίσιο εκπλήρωσης ενωσιακών υποχρεώσεων, ανάλογα με την περίπτωση.

(4) Με την έναρξη ισχύος νόμου, σύμφωνα με τις διατάξεις του οποίου, η δομή, η διοίκηση, η λειτουργία, τα θέματα προσωπικού, η οικονομική διαχείριση και ο προϋπολογισμός της Αρχής θα τροποποιηθούν με την ενοποίηση της Αρχής με το ΓΕΡΗΕΤ, και συγκεκριμένα τα άρθρα 4 έως 14, οι παράγραφοι (β) μέχρι (στ) του εδαφίου (2) του άρθρου 45, το άρθρο 47, το άρθρο 50 και το άρθρο 53 του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου αναμένεται ότι θα τροποποιηθούν ή καταργηθούν αναλόγως.

Κατάργηση

56. Από την ημερομηνία δημοσίευσης στην Επίσημη Εφημερίδα της Δημοκρατίας του παρόντος Νόμου, ο περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμος του 2018 καταργείται.

ΠΑΡΑΡΤΗΜΑΤΑ
ΠΑΡΑΡΤΗΜΑ Ι

Πατήστε εδώ για το ΠΑΡΑΡΤΗΜΑ Ι.

ΠΑΡΑΡΤΗΜΑ ΙΙ

Πατήστε εδώ για το ΠΑΡΑΡΤΗΜΑ ΙΙ.

Σημείωση
57 του Ν. 60(Ι)/2025Έναρξη της ισχύος του Ν. 60(Ι)/2025

57.-(1)Με την επιφύλαξη του εδαφίου (2), ο παρών Νόμος [Σ.Σ.: δηλαδή ο Ν. 60(Ι)/2025], τίθεται σε ισχύ, από την ημερομηνία της δημοσίευσής του στην Επίσημη Εφημερίδα της Δημοκρατίας.

(2) Οι διατάξεις του άρθρου 7 του παρόντος Νόμου [Σ.Σ.: δηλαδή του Ν. 60(Ι)/2025] τίθενται σε ισχύ, σε ημερομηνία που καθορίζεται από το Υπουργικό Συμβούλιο με γνωστοποίησή του, η οποία δημοσιεύεται στην Επίσημη Εφημερίδα της Δημοκρατίας.