Προοίμιο

Για σκοπούς εναρμόνισης με την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 6ης Ιουλίου 2016 σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση»,

Η Βουλή των Αντιπροσώπων ψηφίζει ως ακολούθως:

Συνοπτικός τίτλος

1. Ο παρών Νόμος θα αναφέρεται ως ο περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμος του 2020.

ΜΕΡΟΣ ΠΡΩΤΟ ΓΕΝΙΚΕΣ – ΕΡΜΗΝΕΥΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Εξαιρέσεις από το πεδίο εφαρμογής

2.-(1) Οι απαιτήσεις ασφάλειας και κοινοποίησης που προβλέπονται στον παρόντα Νόμο δεν εφαρμόζονται σε παρόχους υπηρεσιών εμπιστοσύνης που υπόκεινται στις απαιτήσεις του άρθρου 19 του Κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Ιουλίου 2014 σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ.

(2) Ο παρών Νόμος δεν θίγει τα μέτρα που λαμβάνει η Δημοκρατία για τη διαφύλαξη των ουσιωδών κρατικών λειτουργιών της και ιδίως για τη διαφύλαξη της εθνικής ασφάλειας, συμπεριλαμβανομένων μέτρων για την προστασία πληροφοριών των οποίων τη διάδοση θεωρεί αντίθετη προς τα ουσιώδη συμφέροντα ασφάλειάς της, καθώς και για τη διατήρηση του νόμου και της τάξης και ιδίως για τη διευκόλυνση της διερεύνησης, ανίχνευσης και δίωξης ποινικών αδικημάτων.

(3) Ο παρών Νόμος εφαρμόζεται με την επιφύλαξη του περί της Πρόληψης και της Καταπολέμησης της Σεξουαλικής Κακοποίησης, της Σεξουαλικής Εκμετάλλευσης Παιδιών και της Παιδικής Πορνογραφίας Νόμου, του περί Επιθέσεων κατά Συστημάτων Πληροφοριών Νόμου και των περί Προσδιορισμού και Χαρακτηρισμού των Ευρωπαϊκών Υποδομών Ζωτικής Σημασίας και Αξιολόγησης της Ανάγκης Βελτίωσης της Προστασίας τους Κανονισμών.

Ερμηνεία

3.-(1) Στον παρόντα Νόμο, εκτός εάν από το κείμενο προκύπτει διαφορετική έννοια-

«αντιπρόσωπος» σημαίνει κάθε φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ευρωπαϊκή Ένωση και ρητώς ορισθέν να ενεργεί εξ ονόματος παροχέα ψηφιακών υπηρεσιών μη εγκατεστημένου στην Ευρωπαϊκή Ένωση, στο οποίο μπορεί να απευθύνεται η αρμόδια εθνική αρχή ή το CSIRT, αντί του παροχέα ψηφιακών υπηρεσιών, όσον αφορά τις υποχρεώσεις αυτού δυνάμει της Οδηγίας 2016/1148/ΕΕ·

«Αρχή» σημαίνει την Αρχή Ψηφιακής Ασφάλειας∙

«ασφάλεια δικτύων και συστημάτων πληροφοριών» σημαίνει την ικανότητα δικτύων και συστημάτων πληροφοριών να ανθίστανται, σε δεδομένο βαθμό αξιοπιστίας, σε οποιαδήποτε ενέργεια πλήττει τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των συναφών υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω των εν λόγω δικτύων και συστημάτων πληροφοριών·

«Βοηθός Επίτροπος» σημαίνει τον Βοηθό Επίτροπο Επικοινωνιών, που διορίζεται δυνάμει των διατάξεων του εδαφίου (2) του άρθρου 5 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου και συμβουλεύει και βοηθά τον Επίτροπο στην άσκηση των αρμοδιοτήτων, εξουσιών και καθηκόντων του, που προβλέπονται στον παρόντα Νόμο, και εκτελεί οποιαδήποτε άλλα καθήκοντα του ανατίθενται δυνάμει του παρόντος Νόμου·

«Γραφείο» ή «ΓΕΡΗΕΤ» σημαίνει το Γραφείο Επιτρόπου Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομείων, που έχει ιδρυθεί δυνάμει των διατάξεων του εδαφίου (1) του άρθρου 10 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου∙

«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία·

«δίκτυο και σύστημα πληροφοριών» σημαίνει:

(α) ένα δίκτυο ηλεκτρονικών επικοινωνιών όπως αυτό ορίζεται στις διατάξεις του εδαφίου (1) του άρθρου 4 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου, ή

(β) κάθε συσκευή ή ομάδα διασυνδεδεμένων ή σχετιζόμενων συσκευών από τις οποίες μία ή περισσότερες εκτελούν, βάσει προγράμματος, αυτόματη επεξεργασία ψηφιακών δεδομένων, ή

(γ) ψηφιακά δεδομένα που αποθηκεύονται, υποβάλλονται σε επεξεργασία, ανακτώνται ή μεταδίδονται από στοιχεία που καλύπτονται στις διατάξεις των παραγράφων (α) και (β) για τους σκοπούς της λειτουργίας, χρήσης, προστασίας και συντήρησής τους·

«εθνική στρατηγική για την ασφάλεια δικτύων και συστημάτων πληροφοριών και την κυβερνο-ασφάλεια» σημαίνει το πλαίσιο το οποίο παρέχει στρατηγικούς στόχους και προτεραιότητες για την ασφάλεια δικτύων και συστημάτων πληροφοριών και την κυβερνοασφάλεια σε εθνικό επίπεδο·

«εθνικό CSIRT» σημαίνει τον εθνικό φορέα άμεσης ανταπόκρισης σε συμβάντα που σχετίζονται με την ασφάλεια δικτύων και συστημάτων πληροφοριών·

«επιγραμμική αγορά» σημαίνει την ψηφιακή υπηρεσία που επιτρέπει σε καταναλωτές και/ή εμπόρους, όπως ορίζονται, αντιστοίχως, στις διατάξεις του άρθρου 2 του περί της Εναλλακτικής Επίλυσης Καταναλωτικών Διαφορών Νόμου, να συνάπτουν επιγραμμικές συμβάσεις πώλησης ή παροχής υπηρεσιών με εμπόρους είτε στον ιστοχώρο της επιγραμμικής αγοράς είτε σε ιστοχώρο εμπόρου που χρησιμοποιεί υπηρεσίες υπολογιστικής παρεχόμενες από την επιγραμμική αγορά·

«επιγραμμική μηχανή αναζήτησης» σημαίνει την ψηφιακή υπηρεσία που επιτρέπει στους χρήστες να εκτελούν αναζητήσεις καταρχήν σε όλους τους ιστοχώρους ή σε ιστοχώρους συγκεκριμένης γλώσσας βάσει ερωτήματος για οποιοδήποτε θέμα, με τη μορφή λέξης-κλειδιού, φράσης ή άλλων δεδομένων, και επιστρέφει ως αποτέλεσμα συνδέσμους όπου μπορεί κανείς να βρει πληροφορίες σχετικές με το περιεχόμενο που έχει ζητηθεί·

«Επίτροπος» σημαίνει τον Επίτροπο Επικοινωνιών, που διορίζεται δυνάμει των διατάξεων του εδαφίου (1) του άρθρου 5 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου·

«Επιτροπή» σημαίνει την Επιτροπή της Ευρωπαϊκής Ένωσης·

«ENISA» σημαίνει τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών·

«Κανονισμός (ΕΕ) αριθ. 1025/2012» σημαίνει τον Κανονισμό (ΕΕ) αριθ. 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Οκτωβρίου 2012 σχετικά με την ευρωπαϊκή τυποποίηση, την τροποποίηση των οδηγιών του Συμβουλίου 89/686/ΕΟΚ και 93/15/ΕΟΚ και των οδηγιών του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 94/9/ΕΚ, 94/25/ΕΚ, 95/16/ΕΚ, 97/23/ΕΚ, 98/34/ΕΚ, 2004/22/ΕΚ, 2007/23/ΕΚ, 2009/23/ΕΚ και 2009/105/ΕΚ και την κατάργηση της απόφασης 87/95/ΕΟΚ του Συμβουλίου και της απόφασης αριθ. 1673/2006/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου·

«Κανονισμός (ΕΕ)2016/679» σημαίνει τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ·

«Κεντρική Τράπεζα» σημαίνει την Κεντρική Τράπεζα της Κύπρου·

«κίνδυνος» σημαίνει κάθε εύλογα διαπιστώσιμη περίσταση ή γεγονός με δυνητική δυσμενή επίπτωση στην ασφάλεια δικτύων και συστημάτων πληροφοριών·

«κρίσιμες υποδομές» σημαίνει τα περιουσιακά στοιχεία (assets), συστήματα ή μέρη αυτών που βρίσκονται εντός της Δημοκρατίας, τα οποία είναι ουσιώδη για τη διατήρηση των λειτουργιών ζωτικής σημασίας της κοινωνίας, της υγείας, της ασφάλειας, της οικονομικής και κοινωνικής ευημερίας των μελών της και των οποίων η διακοπή λειτουργίας ή η καταστροφή θα είχε σημαντικό αντίκτυπο για τη Δημοκρατία, ως αποτέλεσμα της αδυναμίας διατήρησης των λειτουργιών αυτών·

«κρίσιμες υποδομές πληροφοριών» σημαίνει τα συστήματα δικτύων και πληροφοριών τα οποία είναι εκ της φύσεώς τους κρίσιμες υποδομές ή είναι αναγκαία για τη λειτουργία άλλων κρίσιμων υποδομών∙

«μητρώο ονομάτων χώρου ανώτατου επιπέδου» σημαίνει την οντότητα που διαχειρίζεται και εκμεταλλεύεται την καταχώριση ονομάτων διαδικτυακών χώρων εντός συγκεκριμένου χώρου ανώτατου επιπέδου (Top Level Domain TLD)·

«Οδηγία (ΕΕ) 2016/1148» σημαίνει την Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 6ης Ιουλίου 2016 σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύων και πληροφοριών σε ολόκληρη την Ένωση·

«παροχέας δικτύου ηλεκτρονικών επικοινωνιών» σημαίνει πρόσωπο που είναι εξουσιοδοτημένο από τον Επίτροπο να παρέχει δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών με βάση τον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο·

«παροχέας υπηρεσιών ηλεκτρονικών επικοινωνιών» σημαίνει πρόσωπο που είναι εξουσιοδοτημένο από τον Επίτροπο να παρέχει διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών με βάση τον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο·

«παροχέας υπηρεσιών συστήματος ονομάτων χώρου» σημαίνει την οντότητα που παρέχει υπηρεσίες συστήματος ονομάτων χώρου στο διαδίκτυο·

«παροχέας ψηφιακών υπηρεσιών» σημαίνει το νομικό πρόσωπο που παρέχει ψηφιακή υπηρεσία·

«προδιαγραφή» σημαίνει τεχνική προδιαγραφή κατά την έννοια του άρθρου 2 σημείο 4 του Κανονισμού (ΕΕ) αριθ. 1025/2012·

«προϊστάμενος» σημαίνει το πρόσωπο που κατέχει την ιεραρχικά ανώτατη θέση στην Αρχή και ο οποίος είναι υφιστάμενος του Επιτρόπου·

«πρότυπο» σημαίνει πρότυπο κατά την έννοια του Άρθρου 2, σημείο 1 του Κανονισμού (ΕΕ) αριθ. 1025/2012·

«σημείο ανταλλαγής κίνησης διαδικτύου (Internet Exchange Point)» ή «IXP» σημαίνει δικτυακή υποδομή που επιτρέπει τη διασύνδεση περισσότερων από δύο ανεξάρτητων αυτόνομων συστημάτων, με σκοπό κυρίως τη διευκόλυνση της ανταλλαγής κίνησης διαδικτύου, η οποία διασυνδέει μόνο αυτόνομα συστήματα, το δε IXP δεν αναγκάζει την κίνηση διαδικτύου που διέρχεται μεταξύ ζεύγους συμμετεχόντων αυτόνομων συστημάτων να διέλθει από τρίτο αυτόνομο σύστημα ούτε την τροποποιεί ούτε παρεμβαίνει με άλλον τρόπο σε αυτήν·

«συμβάν» σημαίνει κάθε γεγονός που έχει μία πραγματική δυσμενή επίπτωση στην ασφάλεια δικτύων και συστημάτων πληροφοριών·

«Συμβουλευτική Επιτροπή» έχει την έννοια που αποδίδουν στον όρο αυτό οι διατάξεις του άρθρου 32 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου·

«σύστημα ονομάτων χώρου (Domain Name System) ή «DNS» σημαίνει το ιεραρχικό κατανεμημένο σύστημα ονοματοδοσίας εντός ενός δικτύου το οποίο εκτελεί παραπομπές αιτημάτων για ονόματα χώρου·

«υπηρεσία νεφοϋπολογιστικής» σημαίνει την ψηφιακή υπηρεσία που επιτρέπει την πρόσβαση σε κλιμακοθετήσιμο και ελαστικό σύνολο κοινόχρηστων υπολογιστικών πόρων·

«Υφυπουργός» σημαίνει τον Υφυπουργό Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής παρά τω Προέδρω·

«φορέας εκμετάλλευσης βασικών υπηρεσιών» σημαίνει τη δημόσια ή ιδιωτική οντότητα είδους που αναφέρεται σε Απόφαση που εκδίδει η Αρχή και η οποία οντότητα πληροί τα κριτήρια που ορίζονται στις διατάξεις του εδαφίου (2) του άρθρου 27·

«φορέας κρίσιμων υποδομών πληροφοριών» σημαίνει τον φορέα που διαχειρίζεται κρίσιμες υποδομές πληροφοριών ο οποίος αναφέρεται σε Απόφαση της Αρχής·

«χειρισμός συμβάντων» σημαίνει το σύνολο των διαδικασιών που υποστηρίζουν τον εντοπισμό, την ανάλυση και την ανάσχεση ενός συμβάντος, καθώς και την παρέμβαση για την αντιμετώπισή του·

«ψηφιακή υπηρεσία» σημαίνει την υπηρεσία κατά την έννοια του άρθρου 1 παράγραφος 1 της Οδηγίας (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 9ης Σεπτεμβρίου 2015 για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών και η οποία είναι είδος, το οποίο περιλαμβάνεται σε Απόφαση που εκδίδει η Αρχή·

(2) Όροι που χρησιμοποιούνται στον παρόντα Νόμο και δεν ορίζονται διαφορετικά έχουν την έννοια που αποδίδεται σε αυτούς από τον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο.

ΜΕΡΟΣ ΔΕΥΤΕΡΟ ΔΙΟΡΙΣΜΟΣ ΚΑΙ ΠΑΥΣΗ ΕΠΙΤΡΟΠΟΥ ΚΑΙ ΒΟΗΘΟΥ ΕΠΙΤΡΟΠΟΥ ΕΠΙΚΟΙΝΩΝΙΩΝ
Διορισμός και παύση Επιτρόπου και Βοηθού Επιτρόπου Επικοινωνιών

4. Για τον διορισμό και την παύση του Επιτρόπου Επικοινωνιών και του Βοηθού Επιτρόπου Επικοινωνιών, σε σχέση με την άσκηση των καθηκόντων τους με βάση τις διατάξεις του παρόντος Νόμου, εφαρμόζονται οι διατάξεις των άρθρων 5 έως 7 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου.

Απολαβές και υποχρεώσεις του Επιτρόπου Επικοινωνιών και του Βοηθού Επιτρόπου Επικοινωνιών

5. Για τις απολαβές και τις υποχρεώσεις του Επιτρόπου Επικοινωνιών και του Βοηθού Επιτρόπου Επικοινωνιών, καθώς και τις υποχρεώσεις τους μετά την αποχώρησή τους, εφαρμόζονται οι διατάξεις των άρθρων 8 έως 9 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου.

ΜΕΡΟΣ ΤΡΙΤΟ ΑΡΧΗ ΨΗΦΙΑΚΗΣ ΑΣΦΑΛΕΙΑΣ
Αρμόδια εθνική αρχή για την ασφάλεια δικτύων και συστημάτων πληροφοριών και κυβερνοασφάλειας

6.-(1) Ο Επίτροπος ο οποίος ορίστηκε ως ο επικεφαλής της Αρχής και ως εθνική αρχή για την ασφάλεια δικτύων και συστημάτων πληροφοριών και για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας, δυνάμει των διατάξεων του άρθρου 3 του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου, συνεχίζει να είναι ο επικεφαλής της Αρχής και έχει τις αρμοδιότητες που προβλέπονται στις διατάξεις του παρόντος Νόμου.

(2)(α) Ο Επίτροπος επικουρείται στην άσκηση των αρμοδιοτήτων, εξουσιών και καθηκόντων του που προβλέπονται στον παρόντα Νόμο από τον Βοηθό Επίτροπο, ο οποίος συμβουλεύει και βοηθά τον Επίτροπο, όπως ο ίδιος ο Επίτροπος αποφασίσει, και εκτελεί οποιαδήποτε άλλα καθήκοντα του ανατίθεται δυνάμει του παρόντος Νόμου.

(β) Σε περίπτωση παύσης ή παραίτησης του Επιτρόπου, σύμφωνα με τα όσα προβλέπονται στις διατάξεις του άρθρου 6 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου, θανάτου, μόνιμης απουσίας ή άλλου μόνιμου κωλύματος στην άσκηση των αρμοδιοτήτων, εξουσιών και καθηκόντων του δυνάμει των διατάξεων του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου ή/και του παρόντος Νόμου, οι αρμοδιότητες, οι εξουσίες και τα καθήκοντα του Επιτρόπου που του ανατέθηκαν δυνάμει των διατάξεων του παρόντος Νόμου, ασκούνται προσωρινά από τον Βοηθό Επίτροπο μέχρις ότου διοριστεί άλλος Επίτροπος, όπως προβλέπεται στον περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμο.

(γ) Σε περίπτωση προσωρινής απουσίας, ασθένειας, πνευματικής ή σωματικής ανικανότητας ή αναπηρίας ή άλλου προσωρινού κωλύματος που καθιστά τον Επίτροπο ανίκανο να εκπληρώνει για σύντομο χρονικό διάστημα τις δυνάμει του παρόντος Νόμου αρμοδιότητες, εξουσίες και καθήκοντά του, οι εν λόγω αρμοδιότητες, εξουσίες και καθήκοντα ασκούνται προσωρινά από τον Βοηθό Επίτροπο.

(3) Για την άσκηση των αρμοδιοτήτων του Επιτρόπου σύμφωνα με τις διατάξεις του εδαφίου (1), ως επικεφαλής της εθνικής αρχής για την ασφάλεια δικτύων και συστημάτων πληροφοριών και για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας, η Αρχή η οποία ιδρύθηκε δυνάμει των διατάξεων του εδαφίου (3) του άρθρου 3 του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, ως ανεξάρτητη αρχή με χωριστή νομική προσωπικότητα, συνεχίζει να λειτουργεί ως η αρμόδια εθνική αρχή για την εφαρμογή των διατάξεων του παρόντος Νόμου.

(4) Η Αρχή συνεχίζει να στελεχώνεται, λειτουργεί και διοικείται σύμφωνα με τον παρόντα Νόμο και τις Αποφάσεις και Κανονισμούς που εκδίδονται δυνάμει του παρόντος Νόμου.

(5) Το προσωπικό της Αρχής ενεργεί σύμφωνα με εντολές ή οδηγίες του Επιτρόπου και παρέχει στον Επίτροπο και Βοηθό Επίτροπο κάθε δυνατή διευκόλυνση για εκπλήρωση των αρμοδιοτήτων και εξουσιών της Αρχής δυνάμει των διατάξεων του παρόντος Νόμου.

(6) Ο Επίτροπος ασκεί εποπτεία και έλεγχο επί της Αρχής και του προσωπικού της.

(7) Η Αρχή λαμβάνει κάθε πρόσφορο μέτρο και προβαίνει σε κάθε αναγκαία ενέργεια, ώστε να διασφαλίζει την επάρκεια των οικονομικών και ανθρώπινων πόρων που αυτή διαθέτει για την εκτέλεση των καθηκόντων που της έχουν ανατεθεί.

(8) Η Αρχή κατά την εκτέλεση των καθηκόντων της, εφαρμόζει την οικεία νομοθεσία αναφορικά με απόρρητες και εμπιστευτικές πληροφορίες τις οποίες αυτή χειρίζεται.

(9) Το εθνικό CSIRT, το οποίο αποτελεί μέρος της Αρχής, σύμφωνα με τις διατάξεις του εδαφίου (8) του άρθρου 3 του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, συνεχίζει να λαμβάνει οδηγίες και καθοδήγηση από την Αρχή, και τελεί υπό την εποπτεία της.

Εξουσίες της Αρχής σε σχέση με απόκτηση, διάθεση και επένδυση περιουσίας

7. Η Αρχή δύναται να-

(α) αποκτά με αγορά, ανταλλαγή, δωρεά ή οποιονδήποτε άλλο τρόπο ακίνητη ή κινητή περιουσία για τις ανάγκες στέγασης και λειτουργίας της,

(β) αποδέχεται την παροχή χορηγιών, για σκοπούς εφαρμογής των διατάξεων του παρόντος Νόμου, από τη Δημοκρατία, την Ευρωπαϊκή Ένωση, διεθνή οργανισμό ή από εταιρεία ή οργανισμό, νοουμένου ότι ο τελευταίος δεν είναι δημόσιος ή άλλος παροχέας δικτύου ή υπηρεσιών ηλεκτρονικών επικοινωνιών ή φορέας εκμετάλλευσης βασικών υπηρεσιών ή φορέας κρίσιμων υποδομών πληροφοριών ή παροχέας ψηφιακών υπηρεσιών ο οποίος έχει οικονομικό ή άλλο συμφέρον, άμεσο ή έμμεσο, με την Αρχή και δεν έχει εν πάση περιπτώσει εμπλοκή σε οποιοδήποτε τέτοιο παροχέα, φορέα, ή επιχειρήσεις ηλεκτρονικών επικοινωνιών,

(γ) πωλεί, ανταλλάσσει, εκμισθώνει, εκχωρεί ή διαθέτει με οποιονδήποτε άλλο τρόπο οποιαδήποτε κινητή ή ακίνητη περιουσία της Αρχής και να υποθηκεύει ή επιβαρύνει την εν λόγω περιουσία για τις ανάγκες της,

(δ) μισθώνει ή εξασφαλίζει άδεια χρήσης οποιασδήποτε ακίνητης ή κινητής περιουσίας για τις ανάγκες στέγασης και λειτουργίας της Αρχής,

(ε) συνάπτει δάνεια αναγκαία προς υλοποίηση όλων όσων περιλαμβάνονται στις διατάξεις των παραγράφων (α), (γ) και (δ), τηρουμένων των διατάξεων του άρθρου 103 του περί της Δημοσιονομικής Ευθύνης και του Δημοσιονομικού Πλαισίου Νόμου,

(στ)εισπράττει, τηρουμένων των διατάξεων του παρόντος άρθρου και του άρθρου 8, και διαχειρίζεται όλα τα ποσά, που καταβάλλονται δυνάμει των διατάξεων του παρόντος Νόμου ή των δυνάμει αυτού εκδιδόμενων Αποφάσεων ή Κανονισμών,

(ζ) συνάπτει συμβάσεις, και

(η)πράττει οτιδήποτε άλλο απαιτούμενο προς εκπλήρωση των όσων προβλέπονται στο παρόν άρθρο.

Ταμείο της Αρχής

8. Η Αρχή έχει χωριστό Ταμείο, στο οποίο κατατίθενται:

(α) Όλα τα πληρωτέα και εισπραττόμενα από την Αρχή ποσά, τα οποία προβλέπονται από τις διατάξεις του παρόντος Νόμου ή/και των Αποφάσεων ή/και των προνοιών των Κανονισμών, που εκδίδονται δυνάμει αυτού,

(β) κάθε χορηγία που παρέχεται στην Αρχή δυνάμει των διατάξεων της παραγράφου (β) του άρθρου 7 και κάθε άλλο έσοδο που εισπράττεται δυνάμει του παρόντος Νόμου,

(γ) όλα τα έσοδα που προέρχονται από περιουσιακά στοιχεία της Αρχής σύμφωνα με τις διατάξεις του το άρθρου 7,

(δ) όλα τα ποσά μισθών, απολαβών, ωφελημάτων, συντάξεων, αμοιβής και μίσθωσης υπηρεσιών, τα οποία καταβάλλονται από τη Δημοκρατία στην Αρχή, σύμφωνα με τις διατάξεις του εδαφίου (1) του άρθρου 11, για πληρωμή από την Αρχή στα μέλη του προσωπικού της ή σε πρόσωπα με τα οποία έχει συνάψει συμβάσεις παροχής υπηρεσιών, δυνάμει των διατάξεων του άρθρου 14, ανάλογα με την περίπτωση.

Προσωπικό της Αρχής

9.-(1) Για τους διορισμούς και τις προαγωγές του προσωπικού της Αρχής ιδρύεται τριμελές Συμβούλιο, το οποίο καλείται «Συμβούλιο Επιλογής και Προαγωγών της Αρχής Ψηφιακής Ασφάλειας» (εφεξής «ΣΕΠΑ») και αποτελείται από:

(α) Τον Επίτροπο, ως πρόεδρο,

(β) τον Βοηθό Επίτροπο, και

(γ) τον Πρόεδρο της Συμβουλευτικής Επιτροπής, που διορίζεται δυνάμει των διατάξεων της παραγράφου (β) του εδαφίου (1) του άρθρου 32 του περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομικών Υπηρεσιών Νόμου και, σε περίπτωση κωλύματός του αυτόν αναπληροί ο ένας εκ των δύο μελών της Συμβουλευτικής Επιτροπής, που διορίζεται από τον Επίτροπο.

(2) Τα μέλη του προσωπικού της Αρχής διορίζονται από το ΣΕΠΑ είτε μόνιμα είτε με σύμβαση για ορισμένο χρονικό διάστημα σύμφωνα με τις σχετικές διαδικασίες όπως καθορίζονται σε Κανονισμούς που εκδίδονται δυνάμει των διατάξεων του άρθρου 45.

(3) Το ΣΕΠΑ δύναται να εγκρίνει προσαυξήσεις με βάση τα προσόντα, την πείρα και τις εμπειρίες του προσώπου που διορίζεται, κατ’ αναλογία των κριτηρίων που ισχύουν στη δημόσια υπηρεσία, τοποθετώντας το σε οποιοδήποτε σημείο της κλίμακας ή των συνδυασμένων κλιμάκων που προβλέπονται από το σχέδιο υπηρεσίας της θέσης.

(4)(α) Κανονισμοί που εκδίδονται δυνάμει των διατάξεων του άρθρου 45 του παρόντος Νόμου δύναται να καθορίζουν, ρυθμίζουν και προβλέπουν για διαδικασίες και άλλα ζητήματα που αφορούν την πρόσληψη, τη μονιμοποίηση, την προαγωγή, τους όρους υπηρεσίας, κατηγορίες θέσεων, αφυπηρέτηση και ωφελήματα αφυπηρέτησης των μελών του προσωπικού της Αρχής.

(β) Οι διατάξεις του περί Συντάξεων Νόμου, του περί Συνταξιοδοτικών Ωφελημάτων Κρατικών Υπαλλήλων και Υπαλλήλων του Ευρύτερου Δημόσιου Τομέα περιλαμβανομένων και των Αρχών Τοπικής Αυτοδιοίκησης (Διατάξεις Γενικής Εφαρμογής) Νόμου καθώς και οι διατάξεις οποιουδήποτε άλλου νόμου ή Κανονισμών που εκδίδονται δυνάμει αυτού, οι οποίοι καθορίζουν τους κανόνες καταβολής των συνταξιοδοτικών ωφελημάτων των υπαλλήλων της δημόσιας υπηρεσίας, εφαρμόζονται, τηρουμένων των αναλογιών, στα συνταξιοδοτικά ωφελήματα κάθε υπαλλήλου που προσλαμβάνεται στην Αρχή και ο οποίος προηγουμένως κατείχε τα δικαιώματα αυτά ως απασχολούμενος στη δημόσια υπηρεσία ή υπηρεσία ή οργανισμό του ευρύτερου δημόσιου τομέα, έχοντας διοριστεί σε μόνιμη θέση στην κρατική υπηρεσία ή στον ευρύτερο δημόσιο τομέα για πρώτη φορά πριν από την 1η Οκτωβρίου 2011, καθώς και στα ωφελήματα και στις συντάξεις των εξαρτώμενων προσώπων από αυτά τα μέλη και των οικογενειών αυτών των μελών .

(γ) Χωρίς επηρεασμό των διατάξεων της παραγράφου (β), Κανονισμοί που εκδίδονται δυνάμει των διατάξεων του άρθρου 45 δύναται να καθορίζουν, ρυθμίζουν και προβλέπουν για την ίδρυση-

(i) Ταμείου Ιατροφαρμακευτικής Περίθαλψης για την κάλυψη των μελών του προσωπικού της Αρχής κατά και μετά τη διάρκεια της υπηρεσίας τους στην Αρχή καθώς και των εξαρτωμένων προσώπων αυτών των μελών, το οποίο θα λειτουργήσει κατ’ εφαρμογή των προνοιών των περί του Επιτρόπου Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομείων (Ταμείο Ιατρο-φαρμακευτικής Περίθαλψης) Κανονισμών και των διατάξεων του Γενικού Συστήματος Υγείας Νόμου,

(ii) Ταμείου Προνοίας για κάλυψη των υπαλλήλων της Αρχής κατά τη διάρκεια της υπηρεσίας τους στην Αρχή,

(iii) Ταμείου Προνοίας Ωρομίσθιου Προσωπικού για κάλυψη των ωρομίσθιων μελών του προσωπικού της Αρχής κατά τη διάρκεια της υπηρεσίας τους στην Αρχή.

(5) Τα καθήκοντα, οι ευθύνες και τα προσόντα των μελών του μόνιμου προσωπικού της Αρχής καθορίζονται σε σχέδια υπηρεσίας που καταρτίζονται από τον Επίτροπο με Κανονισμούς, οι οποίοι εκδίδονται σύμφωνα με τις διατάξεις του άρθρου 45.

(6) Η οργανική διάρθρωση της Αρχής καθορίζεται στον εκάστοτε ετήσιο προϋπολογισμό της.

(7) Μέχρις ότου η Αρχή στελεχωθεί επαρκώς δυνάμει του παρόντος Νόμου, υποστηρίζεται από προσωπικό του ΓΕΡΗΕΤ, το οποίο ορίζεται από τον Επίτροπο προς αυτό τον σκοπό, σύμφωνα με τις διατάξεις του περί Aπόσπασης Υπαλλήλων της Δημόσιας Υπηρεσίας και των Οργανισμών Δημοσίου Δικαίου Νόμου.

Πειθαρχικός έλεγχος του προσωπικού της Αρχής

10.-(1) Τα θέματα πειθαρχικού ελέγχου των μελών του προσωπικού της Αρχής, τυγχάνουν διαχείρισης από το ΣΕΠΑ, το οποίο ιδρύεται δυνάμει των διατάξεων του εδαφίου (1) του άρθρου 9.

(2) Τα πειθαρχικά παραπτώματα, ο τρόπος λειτουργίας του ΣΕΠΑ για σκοπούς πειθαρχικού ελέγχου, καθώς και οι διατάξεις και οι διαδικασίες με βάση τις οποίες αυτό ασκεί τον πειθαρχικό έλεγχο του προσωπικού της Αρχής καθορίζονται με Κανονισμούς που εκδίδονται σύμφωνα με τις διατάξεις του άρθρου 45.

Χρηματοδότηση των δαπανών της Αρχής

11.-(1)(α) Η Αρχή χρηματοδοτείται από τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους φορείς κρίσιμων υποδομών πληροφοριών, τους παροχείς ψηφιακών υπηρεσιών και τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών, όπως καθορί-ζεται σε Κανονισμούς που εκδίδονται σύμφωνα με τις διατάξεις του άρθρου 45.

(β)Μέχρις ότου η Αρχή εισπράξει επαρκή ποσά τελών και εσόδων, δυνάμει του παρόντος Νόμου, για πληρωμή των μισθών, απολαβών, ωφελημάτων και συντάξεων των μελών του προσωπικού της Αρχής ή οποιασδήποτε αμοιβής πληρωτέας δυνάμει συμβάσεων παροχής υπηρεσιών που συνάπτονται από την Αρχή δυνάμει των διατάξεων του άρθρου 14, η Δημοκρατία καταβάλλει στην Αρχή τα ποσά μισθών, απολαβών, ωφελημάτων, συντάξεων, αμοιβής και εκπαίδευσης που είναι πληρωτέα από αυτήν στα μέλη του προσωπικού της ή/και στους παροχείς υπηρεσιών προς αυτήν.

(2) Όλα τα ποσά που η Δημοκρατία καταβάλλει στην Αρχή σύμφωνα με τις διατάξεις του εδαφίου (1) είναι επιστρεπτέα σ’ αυτήν και καταβάλλονται αμελλητί από την Αρχή:

Νοείται ότι, η Δημοκρατία δεν προβαίνει σε οποιαδήποτε είσπραξη από την Αρχή οποιουδήποτε εκ των ως άνω από μέρους της καταβληθέντων ποσών, προτού η Αρχή εισπράξει επαρκή προς τούτο ποσά τελών και εσόδων δυνάμει των διατάξεων του παρόντος Νόμου.

Εκπροσώπηση της Αρχής

12.-(1) Η Αρχή δύναται να ενάγει και να ενάγεται και να είναι διάδικος σε οποιαδήποτε αστική διαδικασία.

(2) Σε οποιαδήποτε δικαστική διαδικασία ή σε οποιαδήποτε διαδικασία ενώπιον οποιασδήποτε διοικητικής ή άλλης αρχής, η Αρχή και ο Επίτροπος, ανάλογα με την περίπτωση, εκπροσωπούνται από ασκούντα το επάγγελμα δικηγόρο ή/και από μέλος του προσωπικού της Αρχής και ο Επίτροπος επιλέγει τον δικηγόρο ή το μέλος του προσωπικού.

(3) Η Αρχή έχει τη δική της σφραγίδα.

(4) Κάθε σύμβαση που συνάπτεται από την Αρχή δυνάμει του παρόντος Νόμου υπογράφεται από εξουσιοδοτημένο από τον Επίτροπο μέλος του προσωπικού της Αρχής και φέρει τη σφραγίδα της Αρχής, που πιστοποιείται διά της υπογραφής του Επιτρόπου ή Βοηθού Επιτρόπου.

Πληρωμές από το Ταμείο της Αρχής

13. Από το Ταμείο της Αρχής καταβάλλονται:

(α) Στη Δημοκρατία όλα τα επιστρεπτέα σ’ αυτή, δυνάμει των διατάξεων του εδαφίου (2) του άρθρου 11, ποσά,

(β) όλα τα τρέχοντα έξοδα λειτουργίας της Αρχής,

(γ) όλα τα ποσά μισθών, απολαβών, ωφελημάτων και συντάξεων που είναι πληρωτέα στα μέλη του προσωπικού της Αρχής και όλα τα ποσά ωφελημάτων και συντάξεων που είναι πληρωτέα, σύμφωνα με τις διατάξεις της παραγράφου (β) του εδαφίου (4) του άρθρου 9, στα εξαρτώμενα πρόσωπα και τις οικογένειες αυτών των μελών, όπως και όλα τα ποσά αμοιβής που είναι πληρωτέα δυνάμει συμβάσεων παροχής υπηρεσιών, που έχουν συναφθεί από την Αρχή δυνάμει των διατάξεων του άρθρου 14, καθώς και όλα τα ποσά εισφορών τα οποία είναι καταβλητέα σε ταμεία τα οποία αναφέρονται στις διατάξεις της παραγράφου (γ) του εδαφίου (4) του άρθρου 9, όπως προβλέπεται σε Κανονισμούς που εκδίδονται δυνάμει του άρθρου 45,

(δ)όλα τα έξοδα που συνεπάγεται κάθε διορισμός συμβουλευτικού σώματος δυνάμει των διατάξεων του άρθρου 25,

(ε) το τοκοχρεολύσιο οποιουδήποτε δανείου το οποίο έχει συνάψει η Αρχή δυνάμει των διατάξεων της παραγράφου (ε) του άρθρου 7,

(στ) οποιοδήποτε νομίμως οφειλόμενο ή πληρωτέο ποσό, δυνάμει οποιασδήποτε σύμβασης έχει συναφθεί από την Αρχή δυνάμει του παρόντος Νόμου ή δυνάμει Κανονισμών ή Αποφάσεων, που εκδίδονται δυνάμει του παρόντος Νόμου,

(ζ) οποιαδήποτε νομίμως οφειλόμενα ή πληρωτέα ποσά δικηγορικών εξόδων ή αμοιβής σε σχέση με την εκπροσώπηση της Αρχής ή/και του Επιτρόπου ως επικεφαλής της Αρχής ενώπιον των δικαστηρίων ή οποιασδήποτε διοικητικής ή άλλης αρχής ή σε σχέση με την παροχή νομικών συμβουλών στην Αρχή,

(η) οποιοδήποτε ποσό καθίσταται νομίμως πληρωτέο συνεπεία ασκήσεως οποιασδήποτε αρμοδιότητας, εξουσίας ή καθήκοντος της Αρχής, σύμφωνα με τις διατάξεις του παρόντος Νόμου ή των Κανονισμών, ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,

(θ) στο Πάγιο Ταμείο της Δημοκρατίας όλα τα χρηματικά ποσά που εισπράττονται από την Αρχή, ως διοικητικό πρόστιμο, δυνάμει των διατάξεων του παρόντος Νόμου,

(ι) όλα τα χρηματικά ποσά που η Αρχή έχει υποχρέωση κατά την άσκηση των αρμοδιοτήτων της δυνάμει του παρόντος Νόμου να καταβάλλει ως αποζημιώσεις, δυνάμει οποιωνδήποτε δικαστικών αποφάσεων ή εξώδικων συμβιβασμών, στο Πάγιο Ταμείο της Δημοκρατίας.

Εξασφάλιση υπηρεσιών από την Αρχή

14. Ανεξάρτητα από τις διατάξεις οποιουδήποτε άλλου νόμου, Κανονισμών, Διαταγμάτων και Αποφάσεων που εκδίδονται δυνάμει οποιασδήποτε οικείας νομοθεσίας, η Αρχή δύναται να:

(α) Εξασφαλίζει υπηρεσίες ή/και προμήθεια εξοπλισμού ή/και λογισμικού σε θέματα σχετιζόμενα με την άσκηση των δυνάμει του παρόντος Νόμου αρμοδιοτήτων και εξουσιών της και την εκτέλεση των καθηκόντων της ή με την προς τούτο εκπαίδευση του προσωπικού της Αρχής, σύμφωνα με τις διατάξεις του περί του Συντονισμού των Διαδικασιών Σύναψης Ορισμένων Συμβάσεων Έργων, Προμηθειών και Παροχής Υπηρεσιών που Συνάπτονται από Αναθέτουσες Αρχές ή Αναθέτοντες Φορείς στους Τομείς της Άμυνας, της Ασφάλειας και για Συναφή Θέματα Νόμου,

(β) συνάπτει για τους πιο πάνω σκοπούς συμβάσεις παροχής υπηρεσιών σύμφωνα με τις διατάξεις του περί Συντονισμού των Διαδικασιών Σύναψης Ορισμένων Συμβάσεων Έργων, Προμηθειών και Παροχής Υπηρεσιών που Συνάπτονται από Αναθέτουσες Αρχές ή Αναθέτοντες Φορείς στους Τομείς της Άμυνας, της Ασφάλειας και για Συναφή Θέματα Νόμου,

(γ) εξασφαλίζει μίσθωση υπηρεσιών για ορισμένο χρονικό διάστημα από φυσικά ή νομικά πρόσωπα σύμφωνα με τις διατάξεις του περί της Ρύθμισης των Διαδικασιών Σύναψης Δημοσίων Συμβάσεων και για Συναφή Θέματα Νόμου.

ΜΕΡΟΣ ΤΕΤΑΡΤΟ ΓΕΝΙΚΑ ΚΑΘΗΚΟΝΤΑ ΤΗΣ ΑΡΧΗΣ
Υποχρέωση προαγωγής ορισμένων σκοπών της Αρχής

15.-(1) Κατά την άσκηση των δυνάμει των διατάξεων του παρόντος Νόμου αρμοδιοτήτων και εξουσιών και την εκτέλεση των καθηκόντων της, η Αρχή ενεργεί κατά τρόπο ο οποίος προάγει την επίτευξη επιπέδου ασφάλειας δικτύων και συστημάτων πληροφοριών, συμπεριλαμβανομένων όλων των βασικών υπηρεσιών/ κρίσιμων υποδομών πληροφοριών της Δημοκρατίας και των ψηφιακών υπηρεσιών που υπάγονται στην αρμοδιότητα της Αρχής.

(2) Η Αρχή προάγει τη διατήρηση της ακεραιότητας και ασφάλειας των δικτύων ηλεκτρονικών επικοινωνιών και της ασφάλειας των πληροφοριών, συμπεριλαμβανομένης της προστασίας των κρίσιμων υποδομών πληροφοριών.

(3) Αναφορικά με τα ζητήματα που εμπίπτουν στους τομείς της άμυνας και της ασφάλειας της Δημοκρατίας, η Αρχή συμμορφώνεται με οδηγίες ή/και Αποφάσεις του Υπουργικού Συμβουλίου.

Εφαρμογή από την Αρχή του πλαισίου γενικής πολιτικής

16.-(1) Κατά την άσκηση των αρμοδιοτήτων και την εκτέλεση των εξουσιών της, η Αρχή ενεργεί αμερόληπτα και ανεξάρτητα, εφαρμόζοντας το εκάστοτε πλαίσιο γενικής πολιτικής σύμφωνα με τα όσα προβλέπονται στο εδάφιο (2).

(2) Ο Υφυπουργός, μετά από συναντήσεις και διαβουλεύσεις με τον Επίτροπο ως επικεφαλής της Αρχής, καθορίζει ή αναθεωρεί το πλαίσιο γενικής πολιτικής σε σχέση με τη ψηφιακή ασφάλεια.

(3) Ο Υφυπουργός δημοσιεύει το γενικό πλαίσιο πολιτικής σε σχέση με την ψηφιακή ασφάλεια στην Επίσημη Εφημερίδα της Δημοκρατίας.

ΜΕΡΟΣ ΠΕΜΠΤΟ ΑΡΜΟΔΙΟΤΗΤΕΣ, ΕΞΟΥΣΙΕΣ ΚΑΙ ΚΑΘΗΚΟΝΤΑ ΤΗΣ ΑΡΧΗΣ
Αρμοδιότητες, εξουσίες και καθήκοντα της Αρχής

17. Αποτελεί αρμοδιότητα και εξουσία της Αρχής μεταξύ άλλων, όπως-

(α) συμβουλεύει τον Υπουργό επί θεμάτων που αφορούν την ασφάλεια δικτύων και συστημάτων πληροφοριών, την ψηφιακή ασφάλεια και την κυβερνοασφάλεια στη Δημοκρατία,

(β) εφαρμόζει, σε θέματα ασφάλειας δικτύων και συστημάτων πληροφοριών, το εκάστοτε ακολουθητέο πλαίσιο γενικής πολιτικής σύμφωνα με τις διατάξεις του εδαφίου (2) του άρθρου 16,

(γ) αποτελεί εθνικό ενιαίο κέντρο επαφής για την ασφάλεια των δικτύων και συστημάτων πληροφοριών (εφεξής «ενιαίο κέντρο επαφής»),

(δ) ασκεί, ως ενιαίο κέντρο επαφής, καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας με τις αρμόδιες αρχές των άλλων κρατών μελών, τις αρμόδιες αρχές της Δημοκρατίας, την ομάδα συνεργασίας και το δίκτυο CSIRT, όπως προβλέπεται στις διατάξεις του άρθρου 33,

(ε) διαβουλεύεται και συνεργάζεται με τις αρμόδιες αρχές επιβολής του νόμου και τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

(στ) υποβάλλει ως ενιαίο κέντρο επαφής στην ομάδα συνεργασίας ετήσια συνοπτική έκθεση, σε ημερομηνία που καθορίζεται από την Ομάδα Συνεργασίας ή/και την Ευρωπαϊκή Επιτροπή, σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου του αριθμού των κοινοποιήσεων και της φύσης των κοινοποιημένων συμβάντων, καθώς και τα μέτρα που έχουν ληφθεί σύμφωνα με τις διατάξεις των εδαφίων (3) και (5) του άρθρου 35 και των διατάξεων των εδαφίων (3) και (6) του άρθρου 37,

(ζ) διασφαλίζει ότι διαθέτει επαρκείς πόρους για την αποτελεσματική εκτέλεση των καθηκόντων της και για τα καθήκοντα του εθνικού CSIRT που περιγράφονται στις διατάξεις της παραγράφου (α) του εδαφίου (2) του άρθρου 31,

(η) μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία του εθνικού CSIRT, στο πλαίσιο του δικτύου CSIRT, που αναφέρεται στις διατάξεις του άρθρου 33,

(θ) ζητά τη συνδρομή του ENISA ή και άλλων ευρωπαϊκών ή/και διεθνών οργανισμών ή/και άλλων διεθνών φορέων για την ανάπτυξη του εθνικού CSIRT,

(ι) λαμβάνει τις κοινοποιήσεις συμβάντων σε εθνικό επίπεδο και τις κοινοποιήσεις που διαβιβάζονται σε αυτήν από οποιεσδήποτε άλλες αρμόδιες αρχές κρατών μελών της Ευρωπαϊκής Ένωσης σύμφωνα με τις διατάξεις του παρόντος Νόμου,

(ια) ενημερώνει την Επιτροπή σχετικά με την εντολή, καθώς και με τα βασικά στοιχεία της διαδικασίας χειρισμού συμβάντων από το εθνικό CSIRT,

(ιβ) εποπτεύει το εθνικό CSIRT, το κυβερνητικό CSIRT, το ακαδημαϊκό CSIRT ή και άλλα τομεακά CSIRT στη Δημοκρατία:

Νοείται ότι, από τον όρο «τομεακά CSIRT» εξαιρείται η λειτουργία στρατιωτικού CSIRT, το οποίο διασφαλίζει ουσιαστική συνεργασία σε θέματα κυβερνοασφάλειας με την Αρχή, καθώς και την ανταλλαγή επιλεγμένων πληροφοριών με το εθνικό CSIRT,

(ιγ) διασφαλίζει ότι το εθνικό CSIRT έχει πρόσβαση σε μια κατάλληλη, ασφαλή και ανθεκτική υποδομή επικοινωνιών και πληροφοριών σε εθνικό επίπεδο,

(ιδ) προσδιορίζει για κάθε τομέα και υποτομέα που αναφέρεται σε Απόφαση που εκδίδει η Αρχή τους φορείς εκμετάλλευσης βασικών υπηρεσιών που είναι εγκατεστημένοι στη Δημοκρατία,

(ιε) επανεξετάζει και, εφόσον απαιτείται, επικαιροποιεί τον κατάλογο των προσδιορισμένων φορέων εκμετάλλευσης βασικών υπηρεσιών σε τακτική βάση, τουλάχιστον ανά διετία, και επικαιροποιεί τον εκάστοτε πίνακα των φορέων κρίσιμων υποδομών πληροφοριών τουλάχιστον κάθε δύο (2) έτη,

(ιστ) συνεργάζεται στενά με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων,

(ιζ) αξιολογεί τη συμμόρφωση των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών με τις υποχρεώσεις τους δυνάμει των διατάξεων του άρθρου 35 και των επιπτώσεών τους στην ασφάλεια των δικτύων και συστημάτων πληροφοριών τους,

(ιη) εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους,

(ιθ) εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της συνέχειάς τους,

(κ) εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών, κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση σε αυτή συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών που παρέχουν,

(κα) μεριμνά όπως οι παροχείς δημόσιων δικτύων ή δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών κοινοποιούν σε αυτήν κάθε παραβίαση των μέτρων ασφάλειας ή απώλεια της ακεραιότητας των δικτύων τους που είχε σημαντικό αντίκτυπο στη λειτουργία των δικτύων ή των υπηρεσιών τους,

(κβ) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν, στο πλαίσιο της παροχής υπηρεσιών που αναφέρονται σε Απόφαση που εκδίδει η ίδια,

(κγ) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών σε σχέση με τις αναφερόμενες, σε Απόφαση που εκδίδει η ίδια, υπηρεσίες που προσφέρονται εντός της Ευρωπαϊκής Ένωσης, με σκοπό τη διασφάλιση της συνέχειάς τους,

(κδ) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών κοινοποιούν σε αυτή, χωρίς αδικαιολόγητη καθυστέρηση, κάθε συμβάν που έχει σημαντικό αντίκτυπο στην παροχή της υπηρεσίας που προσφέρουν εντός της Ευρωπαϊκής Ένωσης, όπως αναφέρεται σε Απόφαση που εκδίδεται από την ίδια,

(κε) εκδίδει οποιαδήποτε Απόφαση, συμπεριλαμβανομένων προσωρινών μέτρων, αναφορικά με ζητήματα που εμπίπτουν στις αρμοδιότητές της,

(κστ) επιβάλλει διοικητικό πρόστιμο, σύμφωνα με τις διατάξεις του άρθρου 43, σε οποιοδήποτε πρόσωπο παραβιάζει τις διατάξεις του παρόντος Νόμου ή τις πρόνοιες των Κανονισμών ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,

(κζ) είναι μέλος και να συμμετέχει σε συναντήσεις τέτοιων ευρωπαϊκών ή διεθνών οργανισμών ως προς το συμφέρον της Δημοκρατίας,

(κη) αιτείται, στο πλαίσιο συγκεκριμένων δραστηριοτήτων της, της παροχής από τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών, από τους παροχείς ψηφιακών υπηρεσιών και από τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών, κάθε σχετικών τεχνικών, οικονομικών και άλλων πληροφοριών, τηρουμένης της αρχής της αναλογικότητας,

(κθ) ασκεί οποιεσδήποτε άλλες αρμοδιότητες, εξουσίες και καθήκοντα, της παρέχονται δυνάμει των διατάξεων του παρόντος Νόμου ή δυνάμει των προνοιών των Κανονισμών και Αποφάσεων που εκδίδονται δυνάμει αυτού,

(λ) επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, δυνάμει των διατάξεων του παρόντος Νόμου, σύμφωνα με τον περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμο και τον Κανονισμό (ΕΕ) αριθ. 2016/679,

(λα) θεσπίζει ή/και να διατηρεί διατάξεις, με στόχο την επίτευξη υψηλότερου επιπέδου ασφάλειας των δικτύων και συστημάτων πληροφοριών με την επιφύλαξη των διατάξεων του εδαφίου (13) του άρθρου 37 και υποχρεώσεων της Δημοκρατίας που απορρέουν από το ενωσιακό δίκαιο,

(λβ) τηρουμένων των διατάξεων του εδαφίου (3) του άρθρου 19, προβαίνει στη δημοσίευση πληροφοριών και εγγράφων που αναφέρονται στις διατάξεις του άρθρου 19 όπως κρίνει σκόπιμο, για σκοπούς προαγωγής της ενημέρωσης και κατανόησης από το κοινό επί θεμάτων ασφάλειας δικτύων και συστημάτων πληροφοριών, ψηφιακής ασφάλειας και κυβερνο-ασφάλειας,

(λγ) παρακολουθεί την εφαρμογή των διατάξεων του παρόντος Νόμου στη Δημοκρατία και, κατά την άσκηση της αρμοδιότητάς της αυτής, δύναται να ζητά και λαμβάνει συνδρομή από πρόσωπα τα οποία υπόκεινται σε καθεστώς εποπτείας, δυνάμει οποιασδήποτε οικείας νομοθεσίας, και από τις αντίστοιχες εποπτικές αρχές ή από τις εθνικές αρχές που συνεισφέρουν στην εποπτεία, όταν αυτή ασκείται από υπερεθνικές αρχές:

Νοείται ότι, οι εξουσίες που χορηγούνται στην Αρχή, δυνάμει των διατάξεων του παρόντος Νόμου, απαιτείται να ασκούνται κατά τρόπο που να μη θίγουν τις αρμοδιότητες, τα καθήκοντα και τις εξουσίες των εποπτικών, εθνικών ή υπερεθνικών αρχών που αναφέρονται στις διατάξεις της παρούσας παραγράφου,

(λδ) συνάπτει μνημόνια συνεργασίας με φορείς που διέπονται από τον παρόντα Νόμο ή άλλες αρχές ή οργανισμούς ή εταιρείες που συνεργάζονται με την Αρχή,

(λε) συνάπτει, τηρουμένων των διατάξεων οποιωνδήποτε άλλων νομικών πράξεων εκδίδει η Ευρωπαϊκή Ένωση, μνημόνια συνεργασίας ή/και συμφωνίες, όπου κρίνεται απαραίτητο, με εποπτικές αρχές οι οποίες εποπτεύουν αδειοδοτημένα ιδρύματα για τα οποία εφαρμόζονται οι διατάξεις του παρόντος Νόμου και στα εν λόγω μνημόνια συνεργασίας ή/και συμφωνίες, δύναται να προσδιορίζεται ο τρόπος εφαρμογής των διατάξεων που ενεργοποιούνται με τον καθορισμό των αδειοδοτημένων ιδρυμάτων ως φορέων εκμετάλλευσης βασικών υπηρεσιών ή φορέων κρίσιμων υποδομών πληροφοριών ή άλλως πως.

Γενική υποχρέωση

18. Η Αρχή υποχρεούται να διασφαλίζει ότι, κατά την ως άνω άσκηση των αρμοδιοτήτων της, τηρούνται οι αρχές της ίσης μεταχείρισης, της αντικειμενικότητας και της αναλογικότητας.

ΜΕΡΟΣ ΕΚΤΟ ΕΞΑΣΦΑΛΙΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΑΛΛΕΣ ΕΞΟΥΣΙΕΣ, ΔΙΑΤΑΓΜΑΤΑ, ΑΠΟΦΑΣΕΙΣ, ΕΡΕΥΝΕΣ ΚΑΙ ΣΥΜΒΟΥΛΕΥΤΙΚΑ ΣΩΜΑΤΑ
Εξασφάλιση πληροφοριών

19.-(1) Για τη διασφάλιση της καλύτερης ενάσκησης των αρμοδιοτήτων και εξουσιών της, η Αρχή, συμμορφούμενη με την αρχή της αναλογικότητας, με αιτιολογημένο αίτημα, έχει την εξουσία να απαιτεί από-

(α) τους παροχείς ψηφιακών υπηρεσιών να της παρέχουν τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας, και να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης, οι δε ζητούμενες πληροφορίες χρησιμοποιούνται και διατηρούνται από την Αρχή για τη διασφάλιση της συμμόρφωσης των παροχέων ψηφιακών υπηρεσιών με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών που εκδίδονται δυνάμει του παρόντος Νόμου και τις διατάξεις των Αποφάσεων της Αρχής που εκδίδονται για εφαρμογή των διατάξεων του παρόντος Νόμου,

(β) τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και τους φορείς κρίσιμων υποδομών πληροφοριών να παρέχουν τις απαιτούμενες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών, συμπεριλαμβανομένων, μεταξύ άλλων, τεκμηριωμένων πολιτικών ασφάλειας ή/και στοιχεία που να αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που να έχει διενεργηθεί είτε από την ίδια είτε από εξουσιοδοτημένο επιθεωρητή και στη δεύτερη αυτή περίπτωση να θέτουν τα αποτελέσματά τους, καθώς και τα σχετικά στοιχεία στη διάθεσή της και οι ζητούμενες πληροφορίες χρησιμοποιούνται και διατηρούνται από την ίδια για τη διασφάλιση της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και τους φορείς κρίσιμων υποδομών πληροφοριών με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών που εκδίδονται δυνάμει του παρόντος Νόμου και τις διατάξεις των Αποφάσεων της Αρχής που εκδίδονται για εφαρμογή των διατάξεων του παρόντος Νόμου,

(γ) τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών πληροφορίες που χρησιμοποιούνται και διατηρούνται για τη διασφάλιση της συμμόρφωσής τους με τις υποχρεώσεις τους που απορρέουν από τις διατάξεις του παρόντος Νόμου, τις πρόνοιες των Κανονισμών και των Αποφάσεων που εκδίδονται προς εφαρμογή των διατάξεων του παρόντος Νόμου και πληροφορίες που είναι απαραίτητες για τη διερεύνηση και διαχείριση περιστατικών παραβίασης ασφάλειας δικτύων και συστημάτων πληροφοριών κυβερνοασφάλειας:

Νοείται ότι, πληροφορίες που εξασφαλίζονται από την Αρχή, σύμφωνα με τις διατάξεις του παρόντος εδαφίου, αφορούν την προαγωγή των σκοπών που αναφέρονται στις διατάξεις των άρθρων 15 και 16 και στην εκτέλεση των αρμοδιοτήτων, εξουσιών και καθηκόντων της Αρχής που αναφέρονται στις διατάξεις του άρθρου 17 και δεν δύναται να χρησιμοποιηθούν για οποιοδήποτε σκοπό άλλον από εκείνον για τον οποίο είχαν ζητηθεί.

(2)(α) Πρόσωπα από τα οποία ζητείται να υποβάλουν πληροφορίες σύμφωνα με τις διατάξεις του εδαφίου (1) οφείλουν να ανταποκρίνονται έγκαιρα και να παρέχουν τις λεπτομέρειες και πληροφορίες που ζητά η Αρχή.

(β) Κάθε φορέας εκμετάλλευσης βασικών υπηρεσιών ή/και φορέας κρίσιμων υποδομών πληροφοριών, κάθε παροχέας δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών και κάθε παροχέας ψηφιακών υπηρεσιών παρέχει στην Αρχή κάθε πληροφορία, όπως ορίζεται στις διατάξεις του εδαφίου (1), κατόπιν αιτιολογημένου αιτήματος της Αρχής και σύμφωνα με το χρονοδιάγραμμα και το εύρος λεπτομέρειας που ορίζονται στο σχετικό αίτημα.

(γ) Σε περίπτωση μη συμμόρφωσης ενός προσώπου με το σχετικό αίτημα της Αρχής για την παροχή πληροφοριών σύμφωνα με τις διατάξεις του παρόντος άρθρου, επιβάλλεται διοικητικό πρόστιμο ύψους έως πέντε χιλιάδες ευρώ (€5.000)

(δ) Η Αρχή, κατόπιν αιτιολογημένου αιτήματος από την Επιτροπή, παρέχει σε αυτήν τις απαραίτητες πληροφορίες σχετικά με την ενάσκηση των καθηκόντων της και οι απαιτούμενες πληροφορίες είναι ανάλογες προς τον σκοπό υλοποίησης των καθηκόντων αυτών.

(ε)(i) Με την επιφύλαξη του Άρθρου 346 της Συνθήκης για τη Λειτουργία της ΕΕ, πληροφορίες που είναι απόρρητες, σύμφωνα με ενωσιακούς και εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές μόνο εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή των διατάξεων του παρόντος Νόμου και της Οδηγίας 2016/1148/ΕΕ.

(ii) Οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής.

(iii) Η εν λόγω ανταλλαγή πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των φορέων εκμετάλλευσης βασικών υπηρεσιών και των παροχέων ψηφιακών υπηρεσιών.

(3)(α) Η Αρχή διαφυλάττει και δέχεται ως εμπιστευτική κάθε πληροφορία που παρέχεται από πρόσωπο που κατηγοριοποιείται από αυτό ως εμπιστευτική, εκτός από τις περιπτώσεις που η Αρχή έχει βάσιμους λόγους να κρίνει διαφορετικά.

(β) Η Αρχή δεν αποκαλύπτει πληροφορίες που καλύπτονται από υποχρέωση επαγγελματικού απορρήτου και συγκεκριμένα πληροφορίες αναφορικά με φορείς κρίσιμων υποδομών πληροφοριών, φορείς εκμετάλλευσης βασικών υπηρεσιών και παροχείς ψηφιακών υπηρεσιών ή και παροχείς δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, τις επαγγελματικές τους σχέσεις ή την τιμολόγησή τους και η απαγόρευση αυτή τελεί υπό την επιφύλαξη του δικαιώματος της Αρχής να αποκαλύπτει πληροφορίες όπου αυτό είναι θεμελιώδες, προς το σκοπόν εκπλήρωσης των καθηκόντων της:

Νοείται ότι, σε μια τέτοια περίπτωση, οποιαδήποτε αποκάλυψη είναι αναλογική και λαμβάνει υπόψη τα νόμιμα συμφέροντα των προσώπων προς διασφάλιση των επιχειρηματικών τους μυστικών.

Άλλες εξουσίες

20.-(1) Η Αρχή έχει εξουσία να:

(α) Επιτηρεί τη συμμόρφωση με τις υποχρεώσεις που επιβάλλουν οι διατάξεις του παρόντος Νόμου και/ή οι διατάξεις των Αποφάσεων που εκδίδονται δυνάμει των διατάξεων του παρόντος Νόμου, σε φορείς εκμετάλλευσης βασικών υπηρεσιών, φορείς κρίσιμων υποδομών πληροφοριών, παροχείς ψηφιακών υπηρεσιών και παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών,

(β) απαιτεί από οποιονδήποτε φορέα εκμετάλλευσης βασικών υπηρεσιών, φορέα κρίσιμων υποδομών πληροφοριών, φορέα ψηφιακών υπηρεσιών ή από παροχέα δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών ή άλλο πρόσωπο, οποιαδήποτε πληροφορία, την οποία δυνατό να κρίνει ευλόγως ως αναγκαία, για σκοπούς άσκησης των αρμοδιοτήτων και εξουσιών της και εκτέλεσης των καθηκόντων της, συμπεριλαμβανομένων πληροφοριών που πηγάζουν από την τοποθέτηση αισθητήρων, με σκοπό τον εντοπισμό κακόβουλων λογισμικών, σε εσωτερικά δίκτυα ή/και σε εξωτερικά δίκτυα:

Νοείται ότι, η τοποθέτηση αισθητήρων από την Αρχή σε εσωτερικά δίκτυα μπορεί να γίνει μόνο κατόπιν αιτήματος ή και συναίνεσης του φορέα ή του παροχέα,

(γ) καθορίζει με Απόφασή της μέτρα ψηφιακής ασφάλειας και διαδικασίες κοινοποίησης παραβιάσεων ψηφιακής ασφάλειας και επιτηρεί τη συμμόρφωση με αυτά και, όπου αυτό είναι αναγκαίο, διατάσσει τη λήψη διορθωτικών μέτρων,

(δ) εκδίδει οποιεσδήποτε Αποφάσεις είναι αναγκαίες για εξασφάλιση συμμόρφωσης με τις διατάξεις του παρόντος Νόμου,

(ε) επιβάλλει διοικητικά πρόστιμα σε φορείς εκμετάλλευσης βασικών υπηρεσιών ή κρίσιμων υποδομών πληροφοριών, ή σε παροχείς ψηφιακών υπηρεσιών ή σε παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών για παράβαση των διατάξεων του παρόντος Νόμου ή των Αποφάσεων που εκδίδονται δυνάμει αυτού,

(στ) κλητεύει και εξαναγκάζει, κατά τον καθορισμένο σε Απόφαση τρόπο, την παρουσία μαρτύρων σε έρευνες.

(2) Ο Επίτροπος εξουσιοδοτεί οποιονδήποτε υπάλληλο της Αρχής όπως αυτός εισέρχεται, επιθεωρεί, ερευνά, διενεργεί έλεγχο, καθ’ οιονδήποτε εύλογο χρόνο, σε οποιονδήποτε χώρο, υποστατικό ή όχημα, εξαιρουμένου οποιουδήποτε χώρου χρησιμοποιείται ως κατοικία, τα οποία χρησιμοποιούνται για την παροχή οποιωνδήποτε δικτύων και συστημάτων ηλεκτρονικών επικοινωνιών, την παροχή/διαχείριση κρίσιμων υποδομών πληροφοριών/βασικών υπηρεσιών πληροφοριών ή και ψηφιακών υπηρεσιών, σύμφωνα με τις διατάξεις του παρόντος Νόμου, και συλλέγει στοιχεία τα οποία ενδεχομένως να χρησιμοποιηθούν για αποδεικτικούς σκοπούς ή οποιαδήποτε δικαστική διαδικασία αναφορικά με οποιαδήποτε παράβαση ή παράλειψη συμμόρφωσης με τις διατάξεις του παρόντος Νόμου ή των προνοιών των Κανονισμών ή των Αποφάσεων που εκδίδονται δυνάμει αυτού.

(3) Πρόσωπο το οποίο, αυτοπροσώπως ή διά υπαλλήλου του ή άλλου εκπροσώπου του, παρακωλύει ή παρεμποδίζει υπάλληλο της Αρχής να ασκήσει οποιοδήποτε από τα καθήκοντά του, σύμφωνα με τις διατάξεις του εδαφίου (2), είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους έξι (6) μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις οκτώ χιλιάδες ευρώ (€8.000) ή/και στις δύο αυτές ποινές.

Έκδοση αποφάσεων

21.-(1) Πριν από την έκδοση Απόφασης δυνάμει των διατάξεων της παραγράφου (δ) του εδαφίου (1) του άρθρου 20, ειδοποιείται οποιοδήποτε πρόσωπο το οποίο κατά τη γνώμη της Αρχής επηρεάζεται ή είναι δυνατό να επηρεαστεί από την Απόφαση και παρέχεται σε αυτό η ευκαιρία να ακουστεί εντός δέκα (10) εργάσιμων ημερών από την ειδοποίηση περί της έκδοσης Απόφασης:

Νοείται ότι, η Αρχή δεν υποχρεούται να δώσει ειδοποίηση προ της έκδοσης Απόφασης σε περίπτωση επείγουσας φύσεως κατ’ απόλυτη κρίση της Αρχής, αλλά σε τέτοιες περιπτώσεις η Αρχή καλεί τον επηρεαζόμενο να εκφράσει απόψεις, εντός δέκα (10) εργάσιμων ημερών από την έκδοση της απόφασης, ως προς το γιατί η Απόφαση πρέπει να ανακληθεί ή τροποποιηθεί.

(2) Μετά από ακρόαση, σύμφωνα με τις διατάξεις του εδαφίου (1), ο Επίτροπος εκδίδει και κοινοποιεί το ταχύτερο δυνατόν σε κάθε ενδιαφερόμενο την τελική του Απόφαση.

Ποινικό αδίκημα

22. Πρόσωπο, το οποίο χωρίς εύλογη αιτία παραλείπει να συμμορφωθεί με τις διατάξεις του άρθρου 21 διαπράττει ποινικό αδίκημα και, σε περίπτωση καταδίκης, τιμωρείται με ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή με χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή και στις δύο αυτές ποινές.

Διεξαγωγή έρευνας

23.-(1) Η Αρχή δύναται αυτεπάγγελτα, να διεξαγάγει έρευνα για τις δραστηριότητες και λειτουργίες οποιουδήποτε φορέα εκμετάλλευσης βασικών υπηρεσιών/κρίσιμων υποδομών πληροφοριών, παροχέα ψηφιακών υπηρεσιών και παροχέα δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών οι οποίες κρίνεται ότι δεν συνάδουν με τις διατάξεις και με την εφαρμογή του παρόντος Νόμου και κατ’ ακολουθία να προβαίνει σε συστάσεις και να εκδίδει Αποφάσεις, όπως κατά τη γνώμη της, είναι πρόσφορο.

(2) Για τους σκοπούς διεξαγωγής έρευνας σύμφωνα με το εδάφιο (1), η Αρχή δύναται να-

(α)κλητεύει μάρτυρες και ενδιαφερόμενα μέρη κατά τον καθορισμένο σε Απόφαση ή Κανονισμούς τρόπο, προσάγει, παρουσιάζει και καταθέτει έγγραφα, βιβλία, σχέδια και αρχεία,

(β) εξετάζει μάρτυρες και ενδιαφερόμενα μέρη.

(3) Πρόσωπο διαπράττει ποινικό αδίκημα, όταν-

(α) χωρίς εύλογη αιτία παραλείπει ή αρνείται συμμόρφωση με κλήση να παραστεί ενώπιον της Αρχής ή να προσαγάγει, παρουσιάσει ή καταθέσει οποιοδήποτε έγγραφο, βιβλίο, σχέδιο ή αρχείο, ή

(β) ενώ είναι μάρτυρας, αρνείται χωρίς εύλογη αιτία να απαντήσει σε οποιοδήποτε εύλογο ερώτημα του υποβάλλεται:

Νοείται ότι εν πάση περιπτώσει ουδείς είναι υπόχρεος να απαντήσει, εάν η απάντηση δυνατό να τον ενοχοποιεί σε σχέση με ποινικό αδίκημα ή εάν συνιστά παραβίαση του απορρήτου της επικοινωνίας δικηγόρου-πελάτη ή/και παρεμποδίζει ή διακόπτει την ενώπιον της Αρχής διαδικασία.

(4) Πρόσωπο το οποίο καταδικάζεται για διάπραξη ποινικού αδικήματος κατά παράβαση των διατάξεων των παραγράφων (α) ή/και (β) του εδαφίου (3), υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή/και στις δύο αυτές ποινές.

(5) Οποιοδήποτε πρόσωπο δύναται να εκπροσωπείται ενώπιον της Αρχής διά δικηγόρου και να καλεί, κατά τον καθορισμένο σε Απόφαση τρόπο, οποιουσδήποτε μάρτυρες.

(6) Ο Επίτροπος ή εξουσιοδοτημένος από αυτόν λειτουργός της Αρχής διεξάγει την οποιαδήποτε ενώπιον της Αρχής διαδικασία και έχει εξουσία περιστολής ή καταστολής καταχρήσεως της διαδικασίας ενώπιόν της.

Διαβουλεύσεις/Ακροάσεις

24.-(α) Η Αρχή δύναται να έχει διαβουλεύσεις με εκπροσώπους της Δημοκρατίας, με φορείς εκμετάλλευσης βασικών υπηρεσιών, με παροχείς ψηφιακών υπηρεσιών, με φορείς κρίσιμων υποδομών ή παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών και με οποιαδήποτε άλλα πρόσωπα ή οργανισμούς, όπως η Αρχή εκάστοτε κρίνει σκόπιμο.

(β) Η διαδικασία διενέργειας διαβουλεύσεων δύναται να ρυθμιστεί με σχετική Απόφαση της Αρχής.

(γ) Η Αρχή σε σχέση με την εφαρμογή των αρμοδιοτήτων και εξουσιών της δύναται, όταν κρίνει σκόπιμο, να διεξαγάγει δημόσιες ακροάσεις και η διαδικασία διενέργειας δημόσιων ακροάσεων δύναται να ρυθμιστεί με σχετική Απόφαση της Αρχής.

(δ) Η Αρχή δύναται να εκδώσει Απόφαση με την οποία να καθορίζει τη διαδικασία ακρόασης προσώπων, ιδίως σε περιπτώσεις επιβολής διοικητικών προστίμων ή/και άλλων διοικητικών κυρώσεων.

Διορισμός συμβουλευτικών σωμάτων

25. Η Αρχή δύναται να εγκαθιδρύσει συμβουλευτικά σώματα για να τη συμβουλεύσουν επί τοιούτων ζητημάτων, όπως θέλει εκάστοτε κρίνει σκόπιμο, να διορίζει τα μέλη αυτών και να καταβάλλει τα συνεπαγόμενα έξοδα από το Ταμείο της Αρχής.

Έκδοση προσωρινών μέτρων

26.-(α) Η Αρχή δύναται, δυνάμει των εξουσιών της και ιδίως κατόπιν αιτήματος από ενδιαφερόμενο φορέα/παροχέα ή οργανισμό, να λαμβάνει προσωρινά μέτρα, συμπεριλαμβανομένης της έκδοσης προσωρινής Απόφασης, ιδίως σε περιπτώσεις που υπάρχει ενδεχόμενο κινδύνου για την ασφάλεια δικτύων και συστημάτων πληροφοριών.

(β) Σε αυτές τις περιπτώσεις η Αρχή ζητά από τα επηρεαζόμενα μέρη να διατυπώσουν τις απόψεις τους, εντός δέκα (10) εργάσιμων ημερών από την έκδοση Απόφασης, αναφορικά με το αν η Απόφαση πρέπει να ανακληθεί η τροποποιηθεί.

(γ) Μετά από ακρόαση η Αρχή εκδίδει και κοινοποιεί το ταχύτερο δυνατό την τελική της Απόφαση.

ΜΕΡΟΣ ΕΒΔΟΜΟ ΠΡΟΣΔΙΟΡΙΣΜΟΣ ΦΟΡΕΩΝ ΕΚΜΕΤΑΛΛΕΥΣΗ ΒΑΣΙΚΩΝ ΥΠΗΡΕΣΙΩΝ ΚΑΙ ΣΟΒΑΡΗ ΔΙΑΤΑΡΑΞΗ
Προσδιορισμός φορέων εκμετάλλευσης βασικών υπηρεσιών

27.-(1) Η Αρχή προσδιορίζει, για κάθε τομέα και υποτομέα που αναφέρεται σε Απόφαση που εκδίδει, τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών που είναι εγκατεστημένοι στη Δημοκρατία.

(2) Τα κριτήρια για τον προσδιορισμό φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών είναι τα ακόλουθα:

(α) Η οντότητα να παρέχει υπηρεσία ουσιώδη για τη διατήρηση κρίσιμων κοινωνικών και/ή οικονομικών δραστηριοτήτων·

(β) η παροχή της υπηρεσίας αυτής να στηρίζεται σε δίκτυα και συστήματα πληροφοριών· και

(γ) τυχόν συμβάν θα προκαλούσε σοβαρή διατάραξη της παροχής της εν λόγω υπηρεσίας.

(3) Για τους σκοπούς των διατάξεων του εδαφίου (1), η Αρχή καταρτίζει κατάλογο των υπηρεσιών που αναφέρονται στις διατάξεις του εδαφίου (2).

(4) Για τους σκοπούς των διατάξεων του εδαφίου (1), όταν οντότητα παρέχει σε δύο ή περισσότερα κράτη μέλη υπηρεσία που αναφέρεται στις διατάξεις του εδαφίου (2), η Αρχή προβαίνει σε διαβούλευση με τις αρμόδιες αρχές άλλων κρατών μελών και η εν λόγω διαβούλευση πραγματοποιείται πριν από τη λήψη απόφασης για τον προσδιορισμό.

(5) Σε τακτική βάση και τουλάχιστον ανά διετία η Αρχή επανεξετάζει και, εφόσον απαιτείται, επικαιροποιεί τον κατάλογο των προσδιορισμένων φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και επικαιροποιεί τον εκάστοτε πίνακα των φορέων κρίσιμων υποδομών πληροφοριών.

(6) Η Αρχή συμμετέχει στην ομάδα συνεργασίας η οποία προβλέπεται στις διατάξεις του άρθρου 33, η οποία παρέχει στήριξη στα κράτη μέλη, ώστε να ακολουθούν συνεκτική προσέγγιση στη διαδικασία προσδιορισμού των φορέων εκμετάλλευσης βασικών υπηρεσιών.

(7) Για τους σκοπούς της επανεξέτασης από την Επιτροπή, όπως προβλέπεται στο άρθρο 23 της Οδηγίας 2016/1148/ΕΕ ανά διετία η Αρχή υποβάλλει στην Επιτροπή τις πληροφορίες που είναι αναγκαίες, για να αξιολογήσει την εφαρμογή της Οδηγίας 2016/1148/EE, ιδίως τη συνοχή των προσεγγίσεων της Δημοκρατίας όσον αφορά τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών.

(8) Στις πληροφορίες αυτές περιλαμβάνονται τουλάχιστον τα εξής:

(α) Τα εθνικά μέτρα που επιτρέπουν τον προσδιορισμό των φορέων εκμετάλλευσης βασικών υπηρεσιών·

(β) ο κατάλογος των υπηρεσιών που αναφέρεται στις διατάξεις του εδαφίου (3)·

(γ) ο αριθμός των φορέων εκμετάλλευσης βασικών υπηρεσιών που έχουν προσδιοριστεί για κάθε τομέα που περιλαμβάνεται σε Απόφαση που εκδίδει η Αρχή και αναφορά της σημασίας τους σε σχέση με τον εν λόγω τομέα·

(δ) τα κατώτατα όρια, εφόσον υπάρχουν, για τον προσδιορισμό του σχετικού επιπέδου παροχής με αναφορά στον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία αυτή, όπως προβλέπεται στην παράγραφο (α) του εδαφίου (1) του άρθρου 28, ή της σημασίας του συγκεκριμένου φορέα εκμετάλλευσης βασικών υπηρεσιών, όπως προβλέπεται στην παράγραφο (στ) του εδαφίου (1) του άρθρου 28:

Νοείται ότι, η Αρχή λαμβάνει υπόψη τυχόν κατάλληλες τεχνικές κατευθυντήριες γραμμές σχετικά με τις παραμέτρους για τις πληροφορίες που αναφέρονται στις διατάξεις του παρόντος εδαφίου που εγκρίνονται από την Επιτροπή.

(9) Τυχόν καθορισμός της Κεντρικής Τράπεζας ως φορέα κρίσιμων υποδομών ή άλλως πως, βάσει των διατάξεων του παρόντος Νόμου, δύναται να διέπεται και από συμφωνία η οποία συνάπτεται μεταξύ της Αρχής και της Κεντρικής Τράπεζας, στην οποία προσδιορίζεται ο τρόπος εφαρμογής των διατάξεων που ενεργοποιούνται με αυτόν τον καθορισμό, τηρουμένης της αρχής της ανεξαρτησίας της Κεντρικής Τράπεζας και των άλλων κεντρικών τραπεζών του Ευρωπαϊκού Συστήματος Κεντρικών Τραπεζών, όπως προβλέπεται στο Άρθρο 130 ΣΛΕΕ και χωρίς να θίγονται οι αρμοδιότητες, τα καθήκοντα και οι εξουσίες της Κεντρικής Τράπεζας:

Νοείται ότι, οι εξουσίες που χορηγούνται στην Αρχή ασκούνται τηρουμένων των απαιτήσεων σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών και την κοινοποίηση συμβάντων οι οποίες προβλέπονται σε οποιαδήποτε διάταξη οποιωνδήποτε άλλων νομικών πράξεων που εκδίδει η Ευρωπαϊκή Ένωση:

Νοείται περαιτέρω ότι, η ανταλλαγή πληροφοριών μεταξύ της Κεντρικής Τράπεζας και της Αρχής, στο πλαίσιο της μεταξύ τους συνεργασίας δυνάμει των διατάξεων του παρόντος εδαφίου ή δυνάμει των διατάξεων του άρθρου 17 και τηρουμένου του ενωσιακού δικαίου, δεν συνιστά παραβίαση καθήκοντος εχεμύθειας που υπέχει η Κεντρική Τράπεζα ή η Αρχή.

(10) Τα αποτελέσματα της εκτίμησης κρισιμότητας των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και των φορέων κρίσιμων υποδομών πληροφοριών, που διενεργεί η Αρχή για σκοπούς εφαρμογής των διατάξεων του παρόντος άρθρου, εγκρίνονται με Απόφαση του Υπουργικού Συμβουλίου η οποία χαρακτηρίζεται ως απόρρητη και δεν δημοσιεύεται στην Επίσημη Εφημερίδα της Δημοκρατίας.

Σοβαρή διατάραξη

28.-(1) Κατά τον προσδιορισμό της σοβαρότητας της διατάραξης παροχής υπηρεσίας που αναφέρεται στις διατάξεις της παραγράφου (γ) του εδαφίου (2) του άρθρου 27, η Αρχή λαμβάνει υπόψη τουλάχιστον τους ακόλουθους διατομεακούς παράγοντες:

(α) Τον αριθμό των χρηστών που εξαρτώνται από την υπηρεσία που παρέχεται από την οικεία οντότητα·

(β) την εξάρτηση άλλων τομέων που αναφέρονται σε Απόφαση που εκδίδει η Αρχή, από την υπηρεσία που παρέχεται από την εν λόγω οντότητα·

(γ) τον αντίκτυπο που δυνατόν να έχουν τα συμβάντα, από άποψη βαθμού και διάρκειας, σε οικονομικές και κοινωνικές δραστηριότητες ή στη δημόσια ασφάλεια·

(δ) το μερίδιο αγοράς της εν λόγω οντότητας·

(ε) το γεωγραφικό εύρος της περιοχής που θα μπορούσε να επηρεαστεί από ένα συμβάν·

(στ) τη σημασία του φορέα για τη διατήρηση επαρκούς επιπέδου της υπηρεσίας, λαμβανομένων υπόψη των διαθέσιμων εναλλακτικών μέσων για την παροχή της εν λόγω υπηρεσίας.

(2) Για να προσδιοριστεί κατά πόσο ένα συμβάν θα μπορούσε να προκαλέσει σοβαρή διατάραξη, η Αρχή λαμβάνει επίσης υπόψη, ανάλογα με την περίπτωση, παράγοντες που αφορούν συγκεκριμένους τομείς.

ΜΕΡΟΣ ΟΓΔΟΟ ΠΛΑΙΣΙO ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ
Εθνική στρατηγική για την ασφάλεια δικτύων και συστημάτων πληροφοριών και την κυβερνο-ασφάλεια

29.-(1) Η Αρχή θεσπίζει εθνική στρατηγική για την ασφάλεια δικτύων και συστημάτων πληροφοριών και την κυβερνοασφάλεια, στην οποία καθορίζονται οι στρατηγικοί στόχοι και τα κατάλληλα μέτρα πολιτικής και κανονιστικής ρύθμισης, με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου ασφάλειας δικτύων και συστημάτων πληροφοριών και καλύπτονται τουλάχιστον οι τομείς και οι υπηρεσίες που αναφέρονται σε Απόφαση που εκδίδει η Αρχή.

(2) Η εθνική στρατηγική για την ασφάλεια δικτύων και συστημάτων πληροφοριών και για την κυβερνοασφάλεια τυγχάνει διαβούλευσης με ενδιαφερόμενα πρόσωπα, πριν από την έγκρισή της από το Υπουργικό Συμβούλιο και καλύπτει κυρίως τα ακόλουθα θέματα:

(α) Τους στόχους και τις προτεραιότητές της·

(β) το πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων της, συμπεριλαμβανομένων του ρόλου και των αρμοδιοτήτων των δημόσιων αρχών και των άλλων αρμόδιων φορέων·

(γ) τον προσδιορισμό των μέτρων ετοιμότητας, παρέμβασης και αποκατάστασης, συμπεριλαμβανομένης της συνεργασίας του δημόσιου και του ιδιωτικού τομέα·

(δ) τα σχετικά προγράμματα εκπαίδευσης, ευαισθητοποίησης και κατάρτισης·

(ε) τα σχετικά σχέδια έρευνας και ανάπτυξης·

(στ) το σχέδιο εκτίμησης κινδύνου για τον προσδιορισμό κινδύνων·

(ζ) τον κατάλογο των διάαφορων φορέων που εμπλέκονται στην υλοποίησή της· και

(η) την καλλιέργεια επίγνωσης και κουλτούρας ασφάλειας (awareness).

(3) Η Αρχή δύναται να ζητήσει τη συνδρομή του ENISA για την ανάπτυξη της εθνικής στρατηγικής ασφάλειας δικτύων και συστημάτων πληροφοριών.

(4) Η Αρχή κοινοποιεί την εθνική στρατηγική της για την ασφάλεια δικτύων και συστημάτων πληροφοριών στην Επιτροπή εντός τριών (3) μηνών από την έγκρισή της και δύναται να εξαιρέσει από την κοινοποίηση αυτή στοιχεία της στρατηγικής που συνδέονται με την εθνική ασφάλεια.

Αρμόδια εθνική αρχή και ενιαίο κέντρο επαφής

30.-(1) Η Αρχή η οποία ορίστηκε ως αρμόδια εθνική αρχή για την ασφάλεια των δικτύων και συστημάτων πληροφοριών, σύμφωνα με τις διατάξεις του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, συνεχίζει να είναι η αρμόδια αρχή για την ασφάλεια των δικτύων και συστημάτων πληροφοριών και ως αρμόδια αρχή καλύπτει τουλάχιστον τους τομείς που αναφέρονται σε Απόφαση και τα είδη ψηφιακών υπηρεσιών που αναφέρονται σε Απόφαση που εκδίδει η Αρχή.

(2) Η Αρχή η οποία ορίστηκε ως αρμόδια εθνική αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας, σύμφωνα με τις διατάξεις του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, και ως αρμόδια αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας συνεχίζει να είναι η εθνική αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας και η αρμόδια αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας.

(3) Η Αρχή παρακολουθεί την εφαρμογή των διατάξεων του παρόντος Νόμου στην Δημοκρατία.

(4) Η Αρχή ορίζεται ως εθνικό ενιαίο κέντρο επαφής για την ασφάλεια των δικτύων και συστημάτων πληροφοριών («ενιαίο κέντρο επαφής»).

(5) Η Αρχή, ως ενιαίο κέντρο επαφής, ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας της Δημοκρατίας με τις αρμόδιες αρχές των άλλων κρατών μελών, την ομάδα συνεργασίας και το δίκτυο CSIRT, που προβλέπεται στις διατάξεις του άρθρου 33.

(6) Ο Επίτροπος και η Αρχή διασφαλίζουν ότι η Αρχή, ως αρμόδια αρχή και ενιαίο κέντρο επαφής, διαθέτει επαρκείς πόρους, για να επιτελεί αποτελεσματικά και αποδοτικά τα καθήκοντα που της ανατίθενται και να επιτυγχάνει, με τον τρόπο αυτόν, τους στόχους των διατάξεων του παρόντος Νόμου και μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία των εκπροσώπων της που ορίζονται στο πλαίσιο της ομάδας συνεργασίας.

(7) Κατά περίπτωση και σύμφωνα με την οικεία νομοθεσία, η Αρχή, ως αρμόδια αρχή και ως ενιαίο κέντρο επαφής, διαβουλεύεται και συνεργάζεται με τις αρμόδιες εθνικές αρχές επιβολής του παρόντος Νόμου και τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Ομάδα απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (εθνικό CSIRT)

31.-(1) Το εθνικό CSIRT, το οποίο καλύπτει τουλάχιστον τους τομείς που αναφέρονται σε Απόφαση που εκδίδει η Αρχή και τα είδη ψηφιακών υπηρεσιών που αναφέρονται σε Απόφαση που εκδίδει η Αρχή, είναι υπεύθυνο για τον χειρισμό κινδύνων και συμβάντων βάσει επακριβώς καθορισμένης διαδικασίας.

(2) Το εθνικό CSIRT πληροί τις ακόλουθες απαιτήσεις:

(α) Εξασφαλίζει υψηλό επίπεδο διαθεσιμότητας των υπηρεσιών επικοινωνιών του, αποφεύγοντας μοναδικά σημεία αστοχίας και διαθέτει διάφορους τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή, οι δίαυλοι επικοινωνίας είναι σαφώς προσδιορισμένοι και ευρύτερα γνωστοί στα μέλη της περιοχής ευθύνης και τους συνεργαζόμενους εταίρους, όπως δύναται να καθοριστεί σε Απόφαση της Αρχής,

(β) εγκαθιστά τα γραφεία και τα υποστηρικτικά συστήματα πληροφοριών σε ασφαλείς χώρους,

(γ) διασφαλίζει τη συνέχεια της επιχειρησιακής δραστηριότητας:

(i) το εθνικό CSIRT είναι εφοδιασμένο με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, προκειμένου να διευκολύνεται η παράδοση καθηκόντων,

(ii) το εθνικό CSIRT είναι επαρκώς στελεχωμένο, ώστε να εξασφαλίζεται η διαθεσιμότητα ανά πάσα στιγμή,

(iii) το εθνικό CSIRT βασίζεται σε υποδομή η συνέχεια της οποίας είναι διασφαλισμένη και για τον σκοπό αυτό, διατίθενται πλεονάζοντα συστήματα και εφεδρικοί χώροι εργασίας,

(δ) έχει τη δυνατότητα να συμμετέχει, εφόσον το επιθυμεί, σε διεθνή δίκτυα συνεργασίας.

(3) Η Αρχή διασφαλίζει ότι το εθνικό CSIRT διαθέτει επαρκείς πόρους για την αποτελεσματική εκτέλεση των ακόλουθων καθηκόντων του στα οποία περιλαμβάνονται τουλάχιστον τα ακόλουθα:

(α) Η παρακολούθηση συμβάντων σε εθνικό επίπεδο·

(β) η παροχή έγκαιρων προειδοποιήσεων, ειδοποιήσεων επαγρύπνησης, καθώς και ανακοινώσεων και διάδοση πληροφοριών σε ενδιαφερόμενους φορείς σχετικά με κινδύνους και συμβάντα·

(γ) η παρέμβαση σε περίπτωση συμβάντος·

(δ) η παροχή δυναμικής ανάλυσης κινδύνων και συμβάντων και επίγνωση της κατάστασης·

(ε) η συμμετοχή στο δίκτυο CSIRT.

(4) Το εθνικό CSIRT εγκαθιδρύει σχέσεις συνεργασίας με τον ιδιωτικό τομέα.

(5) Προς διευκόλυνση της συνεργασίας, το εθνικό CSIRT προωθεί την υιοθέτηση και χρήση κοινών ή τυποποιημένων πρακτικών για-

(α) διαδικασίες χειρισμού συμβάντων και κινδύνων,

(β) συστήματα ταξινόμησης συμβάντων, κινδύνων και πληροφοριών.

(6) Η Αρχή μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία του εθνικού CSIRT στο πλαίσιο του δικτύου CSIRT που αναφέρεται στις διατάξεις του άρθρου 33.

(7) Η Αρχή μεριμνά, ώστε το εθνικό CSIRT να έχει πρόσβαση σε μια κατάλληλη, ασφαλή και ανθεκτική υποδομή επικοινωνιών και πληροφοριών σε εθνικό επίπεδο.

(8) Η Αρχή ενημερώνει την Επιτροπή σχετικά με την εντολή, καθώς και με τα βασικά στοιχεία της διαδικασίας χειρισμού συμβάντων από το εθνικό CSIRT.

(9) Η Αρχή δύναται να ζητά τη συνδρομή του ENISA για την ανάπτυξη του εθνικού και τομεακών CSIRT.

Συνεργασία σε εθνικό επίπεδο

32.-(1) Η Αρχή, ως αρμόδια αρχή και ως ενιαίο κέντρο επαφής, το εθνικό CSIRT και τα τομεακά CSIRT συνεργάζονται ως προς την τήρηση των υποχρεώσεων που προβλέπονται στις διατάξεις του παρόντος Νόμου.

(2) Η Αρχή λαμβάνει τις κοινοποιήσεις συμβάντων που υποβάλλονται σύμφωνα με τις διατάξεις του παρόντος Νόμου και το εθνικό CSIRT, στον βαθμό που είναι αναγκαίο για την εκπλήρωση των καθηκόντων του, έχει πρόσβαση σε δεδομένα σχετικά με συμβάντα που κοινοποιούνται από φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών, σύμφωνα με τις διατάξεις των εδαφίων (3) και (5) του άρθρου 35, ή από παροχείς ψηφιακών υπηρεσιών, σύμφωνα με τις διατάξεις των εδαφίων (3) και (6) του άρθρου 37.

(3) Η Αρχή, για την εκπλήρωση των καθηκόντων της, ως ενιαίο κέντρο επαφής, τηρείται ενήμερη σχετικά με κοινοποιήσεις και τη διαχείριση συμβάντων που υποβάλλονται σύμφωνα με τις διατάξεις του παρόντος Νόμου.

(4) Η Αρχή, ως ενιαίο κέντρο επαφής, υποβάλλει ετησίως στην ομάδα συνεργασίας, συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου του αριθμού των κοινοποιήσεων και της φύσης των κοινοποιημένων συμβάντων, καθώς και τα μέτρα που έχουν ληφθεί σύμφωνα με τις διατάξεις των εδαφίων (3) και (5) του άρθρου 35 και των εδαφίων (3) και (6) του άρθρου 37, σε ημερομηνία που καθορίζεται από την ομάδα συνεργασίας ή/και από την Ευρωπαϊκή Επιτροπή.

ΜΕΡΟΣ ΕΝΝΑΤΟ ΣΥΝΕΡΓΑΣΙΑ
Ομάδα συνεργασίας και δίκτυο CSIRT

33.-(1) Εκπρόσωποι της Αρχής συμμετέχουν στην ομάδα συνεργασίας που έχει συγκροτηθεί και λειτουργεί σύμφωνα με το άρθρο 11 της Οδηγίας 2016/1148/ΕΕ και συμβάλλουν στην εκτέλεση των καθηκόντων της.

(2) Εκπρόσωποι της Αρχής ή/και του εθνικού CSIRT συμμετέχουν στο δίκτυο εθνικών CSIRT που έχει συγκροτηθεί και λειτουργεί σύμφωνα με το άρθρο 12 της Οδηγίας 2016/1148/ΕΕ και συμβάλλουν στην εκτέλεση των καθηκόντων του.

(3) Εκπρόσωποι της Αρχής ή/και του εθνικού CSIRT συνεργάζονται με φορείς σε ευρωπαϊκό επίπεδο και εκπροσωπούν τη Δημοκρατία σε θέματα που άπτονται των αρμοδιοτήτων της.

Συνεργασία με εθνικούς και διεθνείς φορείς

34. Η Αρχή δύναται-

(α) να συνεργάζεται με φορείς του ιδιωτικού και δημόσιου τομέα, σε εθνικό επίπεδο,

(β) να συνεργάζεται με φορείς του ιδιωτικού και δημόσιου τομέα σε διεθνές επίπεδο και να εκπροσωπεί την Δημοκρατία σε διεθνείς οργανισμούς σε θέματα που άπτονται των αρμοδιοτήτων της, με την επιφύλαξη όσων ορίζονται διαφορετικά σε διεθνείς συμφωνίες.

ΜΕΡΟΣ ΔΕΚΑΤΟ ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΙΚΤΥΩΝ ΚΑΙ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΤΩΝ ΦΟΡΕΩΝ ΕΚΜΕΤΑΛΛΕΥΣΗΣ ΒΑΣΙΚΩΝ ΥΠΗΡΕΣΙΩΝ Η/ΚΑΙ ΦΟΡΕΩΝ ΚΡΙΣΙΜΩΝ ΥΠΟΔΟΜΩΝ ΠΛΗΡΟΦΟΡΙΩΝ
Απαιτήσεις ασφάλειας

35.-(1)(α) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους όπως τα μέτρα αυτά δύναται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.

(β) Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, τα μέτρα αυτά διασφαλίζουν επίπεδο ασφάλειας των δικτύων και συστημάτων πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο.

(2) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και οι φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν τα κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της επαναφοράς και της συνέχειάς τους, όπως τα μέτρα αυτά δύνανται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.

(3)(α) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και οι φορείς κρίσιμων υποδομών πληροφοριών κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην Αρχή συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών που παρέχουν.

(β) Οι κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην Αρχή ή/και το εθνικό CSIRT να προσδιορίσει τυχόν διασυνοριακό αντίτυπο του συμβάντος.

(γ) Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα, οι δε διαδικασίες και το περιεχόμενο της κοινοποίησης, καθώς και οποιαδήποτε σχετικά στοιχεία ρυθμίζονται με Απόφαση που εκδίδει ο Επίτροπος.

(4) Για να προσδιοριστεί η σοβαρότητα του αντικτύπου ενός συμβάντος, λαμβάνονται υπόψη ειδικότερα οι ακόλουθες παράμετροι:

(α) Ο αριθμός των χρηστών που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας·

(β) η διάρκεια του συμβάντος·

(γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν.

(5) Βάσει των πληροφοριών που παρέχονται στην κοινοποίηση από τον φορέα εκμετάλλευσης βασικών υπηρεσιών, η Αρχή ή το εθνικό CSIRT ενημερώνει το άλλο επηρεαζόμενο κράτος μέλος αν το συμβάν έχει σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών στο εν λόγω κράτος μέλος και, στο πλαίσιο της ενημέρωσης αυτής, η Αρχή ή το εθνικό CSIRT διαφυλάσσει, σύμφωνα με το ενωσιακό δίκαιο ή με την εθνική νομοθεσία η οποία έχει μεταφέρει στην εσωτερική έννομη τάξη το ενωσιακό δίκαιο, την ασφάλεια και τα εμπορικά συμφέροντα του φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών, καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί στην κοινοποίησή του.

(6) Όταν οι περιστάσεις το επιτρέπουν, η Αρχή ή το εθνικό CSIRT παρέχει πληροφορίες στον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών όσον αφορά τις ενέργειες σε συνέχεια της κοινοποίησής του, όπως πληροφορίες που θα μπορούσε να υποστηρίξουν τον αποτελεσματικό χειρισμό του συμβάντος.

(7) Η Αρχή, ως ενιαίο κέντρο επαφής, δύναται, ιδίως εάν υπάρξει αίτημα από το εθνικό CSIRT, να διαβιβάζει τις κοινοποιήσεις που αναφέρονται στις διατάξεις του εδαφίου (5) στα ενιαία κέντρα επαφής άλλων επηρεαζόμενων κρατών μελών.

(8) Κατόπιν διαβούλευσης με τον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών, η Αρχή ή το εθνικό CSIRT μπορεί να ενημερώνει το κοινό σχετικά με μεμονωμένα συμβάντα, σε περίπτωση που η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη.

(9) Η Αρχή, ενεργώντας από κοινού με αρμόδιες αρχές άλλων κρατών μελών εντός της ομάδας συνεργασίας, δύναται να καταρτίζει και να εκδίδει κατευθυντήριες γραμμές σχετικά με τις περιστάσεις υπό τις οποίες οι φορείς εκμετάλλευσης βασικών υπηρεσιών είναι υποχρεωμένοι να κοινοποιούν συμβάντα, συμπεριλαμβανομένων μεταξύ άλλων των παραμέτρων που προσδιορίζουν τη σοβαρότητα του αντικτύπου ενός συμβάντος, όπως προβλέπεται στις διατάξεις του εδαφίου (4).

Εφαρμογή και επιβολή σε φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών

36.-(1) H Αρχή χρησιμοποιεί τα απαραίτητα μέσα για την αξιολόγηση της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών προς τις υποχρεώσεις τους δυνάμει των διατάξεων του άρθρου 35 και των επιπτώσεών τους στην ασφάλεια των δικτύων και συστημάτων πληροφοριών.

(2) Ο Επίτροπος δύναται να εκδώσει Απόφαση σχετικά με ον τρόπο αξιολόγησης της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών προς τις υποχρεώσεις τους.

(3) H Aρχή χρησιμοποιεί τα απαραίτητα μέσα για να ζητά από τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών να παρέχουν:

(α) Τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών τους, συμπεριλαμβανομένων μεταξύ άλλων τεκμηριωμένων πολιτικών ασφάλειας·

(β) στοιχεία που αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που έχει διενεργηθεί είτε από την Αρχή είτε από εξουσιοδοτημένο επιθεωρητή, όπως η εξουσιοδότηση αυτή δύναται να καθοριστεί σε Απόφαση, και στη δεύτερη αυτή περίπτωση, θέτει τα αποτελέσματα του, καθώς και τα σχετικά στοιχεία στη διάθεση της Αρχής.

(4) Το κόστος της επιθεώρησης ασφάλειας επιβαρύνει τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών.

(5) Όταν ζητούνται αυτές οι πληροφορίες ή τα στοιχεία, η Αρχή δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις πληροφορίες που ζητούνται.

(6) Μετά την αξιολόγηση των πληροφοριών ή των αποτελεσμάτων των επιθεωρήσεων ασφάλειας που αναφέρονται στις διατάξεις του εδαφίου (3), η Αρχή μπορεί να εκδίδει δεσμευτικές οδηγίες προς τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών για την αποκατάσταση των εντοπισμένων ελλείψεων.

(7) Κατά την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων, η Αρχή συνεργάζεται στενά με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

ΜΕΡΟΣ ΕΝΔΕΚΑΤΟ ΑΣΦΑΛΕΙΑ ΤΩΝ ΔΙΚΤΥΩΝ ΚΑΙ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΤΩΝ ΠΑΡΟΧΕΩΝ ΨΗΦΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ
Απαιτήσεις ασφάλειας

37.-(1) Τηρουμένων των διατάξεων των άρθρων 38 και 39, οι παροχείς ψηφιακών υπηρεσιών, τα είδη των οποίων αναφέρονται σε Απόφαση που εκδίδει η Αρχή, οφείλουν να προσδιορίζουν και να λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στο πλαίσιο της παροχής υπηρεσιών εντός της Ευρωπαϊκής Ένωσης.

(2) Τα μέτρα αυτά δύναται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.

(3) Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, τα μέτρα αυτά εξασφαλίζουν ένα επίπεδο ασφάλειας δικτύων και συστημάτων πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο και συνεκτιμούν τα ακόλουθα στοιχεία:

(α) Την ασφάλεια των συστημάτων και των εγκαταστάσεων·

(β) τη διαχείριση συμβάντων·

(γ) τη διαχείριση της επιχειρησιακής συνέχειας·

(δ) την παρακολούθηση, τις επιθεωρήσεις και τις δοκιμές και ασκήσεις·

(ε) τη συμμόρφωση με διεθνή πρότυπα.

(4) Οι παροχείς ψηφιακών υπηρεσιών οφείλουν να λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών τους σε σχέση με τις αναφερόμενες σε Απόφαση που εκδίδει η Αρχή υπηρεσίες που προσφέρονται εντός της Ευρωπαϊκής Ένωσης, με σκοπό τη διασφάλιση της επαναφοράς και της συνέχειάς τους, όπως τα μέτρα αυτά δύναται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.

(5)(α) Τηρουμένων των διατάξεων των άρθρων 38 και 39, οι παροχείς ψηφιακών υπηρεσιών, τα είδη των οποίων αναφέρονται σε Απόφαση που εκδίδει η Αρχή κοινοποιούν στην Αρχή χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο στην παροχή της υπηρεσίας που προσφέρουν εντός της Ευρωπαϊκής Ένωσης.

(β) Οι κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην Αρχή ή/και το εθνικό CSIRT να προσδιορίσει τη σοβαρότητα τυχόν διασυνοριακού αντικτύπου.

(γ) Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα και οι διαδικασίες και το περιεχόμενο της κοινοποίησης, καθώς και οποιαδήποτε σχετικά στοιχεία ρυθμίζονται με Απόφαση που εκδίδει ο Επίτροπος.

(6) Για να προσδιοριστεί αν ο αντίκτυπος ενός συμβάντος είναι σημαντικός, λαμβάνονται υπόψη ειδικότερα οι ακόλουθες παράμετροι:

(α) Ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως των χρηστών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών·

(β) η διάρκεια του συμβάντος·

(γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν·

(δ) η έκταση της διατάραξης της λειτουργίας της υπηρεσίας·

(ε) η έκταση του αντικτύπου στις οικονομικές και κοινωνικές δραστηριότητες.

(7) Η υποχρέωση κοινοποίησης συμβάντος εφαρμόζεται, μόνο σε περίπτωση που ο παροχέας ψηφιακών υπηρεσιών έχει πρόσβαση στις πληροφορίες που απαιτούνται, για να εκτιμηθεί ο αντίκτυπος συμβάντος έναντι των παραμέτρων που αναφέρονται στις διατάξεις του εδαφίου (6).

(8) Όταν ένας φορέας εκμετάλλευσης βασικών υπηρεσιών ή και φορέας κρίσιμων υποδομών πληροφοριών εξαρτάται από τρίτο φορέα παροχής ψηφιακών υπηρεσιών για την παροχή υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων οικονομικών και κοινωνικών δραστηριοτήτων, κάθε σοβαρή επίπτωση επί της συνέχειας των βασικών υπηρεσιών που οφείλεται σε συμβάν το οποίο επηρεάζει τον παροχέα ψηφιακών υπηρεσιών κοινοποιείται από τον εν λόγω φορέα εκμετάλλευσης βασικών υπηρεσιών ή και κρίσιμων υποδομών πληροφοριών.

(9)(α) Κατά περίπτωση, και ιδίως εάν το συμβάν που αναφέρεται στις διατάξεις του εδαφίου (5) αφορά δύο ή περισσότερα κράτη μέλη, η Αρχή ή/και το εθνικό CSIRT ενημερώνουν τα άλλα κράτη μέλη που επηρεάζονται από το συμβάν.

(β) Στο πλαίσιο της ενημέρωσης αυτής, η Αρχή, ως αρμόδια αρχή και ως ενιαίο κέντρο επαφής, και το εθνικό CSIRT, σύμφωνα με το ενωσιακό δίκαιο ή με την εθνική νομοθεσία η οποία μεταφέρει στην εσωτερική έννομη τάξη το ενωσιακό δίκαιο, διαφυλάσσουν την ασφάλεια και τα εμπορικά συμφέροντα του παροχέα ψηφιακών υπηρεσιών, καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί.

(10) Κατόπιν διαβούλευσης με τον ενδιαφερόμενο παροχέα ψηφιακών υπηρεσιών, η Αρχή ή το εθνικό CSIRT και, κατά περίπτωση, οι αρχές ή οι CSIRT άλλων ενδιαφερόμενων κρατών μελών δυνατόν να ενημερώνουν το κοινό σχετικά με μεμονωμένα συμβάντα ή να απαιτούν από τον παροχέα ψηφιακών υπηρεσιών να το πράξει, όταν η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη ή σε περίπτωση που η αποκάλυψη του συμβάντος είναι προς το δημόσιο συμφέρον.

(11) Η Αρχή λαμβάνει υπόψη και εφαρμόζει εκτελεστικές πράξεις της Επιτροπής για τον περαιτέρω προσδιορισμό των στοιχείων που αναφέρονται στις διατάξεις του εδαφίου (3) και των παραμέτρων που αναφέρονται στις διατάξεις του εδαφίου (5) του παρόντος άρθρου.

(12) Η Αρχή λαμβάνει υπόψη και εφαρμόζει τυχόν εκτελεστικές πράξεις της Επιτροπής για τον καθορισμό των μορφοτύπων και των διαδικασιών που εφαρμόζονται στις απαιτήσεις κοινοποίησης.

(13) Με την επιφύλαξη των διατάξεων του εδαφίου (2) του άρθρου 2, δεν επιβάλλονται οποιεσδήποτε περαιτέρω απαιτήσεις ασφάλειας ή κοινοποίησης στους παροχείς ψηφιακών υπηρεσιών.

(14)(α) Οι παροχείς ψηφιακών υπηρεσιών είδους που αναφέρεται σε Απόφαση που εκδίδει η Αρχή οι οποίοι έχουν την εγκατάστασή τους στη Δημοκρατία ή έχουν, όπως ορίζουν οι διατάξεις του άρθρου 39, αντιπρόσωπο στη Δημοκρατία, οφείλουν να εγγράφονται σε μητρώο που τηρείται από την Αρχή.

(β) Η Αρχή καθορίζει διά Αποφάσεως διαδικασία διά της οποίας οι παροχείς ψηφιακών υπηρεσιών που αναφέρονται στις διατάξεις της παραγράφου (α) δύναται να εγγραφούν στο μητρώο.

(γ) Παροχέας ψηφιακών υπηρεσιών που δεν εγγράφεται στο μητρώο παροχέων ψηφιακών υπηρεσιών που τηρείται από την Αρχή, όπως προβλέπεται στις διατάξεις της παραγράφου (α), διαπράττει ποινικό αδίκημα και, σε περίπτωση καταδίκης του υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει το ένα έτος ή σε χρηματική ποινή που δεν υπερβαίνει τις πέντε χιλιάδες ευρώ (€5.000) ή και στις δύο αυτές ποινές.

(15) Οι διατάξεις των άρθρων 37 έως 39 δεν εφαρμόζονται σε πολύ μικρές και μικρές επιχειρήσεις, όπως ορίζονται στη Σύσταση 2003/361/ΕΚ της Επιτροπής της 6ης Μαΐου 2003 σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.

Εφαρμογή και επιβολή σε παροχέα ψηφιακών υπηρεσιών

38.-(1) Τηρουμένων των διατάξεων του άρθρου 39, η Αρχή διασφαλίζει την ανάληψη δράσης, εάν είναι αναγκαία, με εκ των υστέρων εποπτικά μέτρα, όταν της παρέχονται στοιχεία που αποδεικνύουν ότι παροχέας ψηφιακών υπηρεσιών δεν πληροί τις απαιτήσεις που ορίζονται στις διατάξεις του άρθρου 37 και τα εν λόγω αποδεικτικά στοιχεία δυνατόν να υποβάλλονται από μια αρμόδια αρχή άλλου κράτους μέλους στο οποίο παρέχεται η υπηρεσία.

(2) Για την εφαρμογή των διατάξεων του εδαφίου (1), η Αρχή διαθέτει τις αναγκαίες εξουσίες και τα μέσα ώστε να απαιτεί από τους παροχείς ψηφιακών υπηρεσιών-

(α) να παρέχουν τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας·

(β) να αποκαθιστούν οποιαδήποτε παράλειψη συμμόρφωσης προς τις απαιτήσεις που ορίζονται στις διατάξεις του άρθρου 37.

(3) Εάν ένας παροχέας ψηφιακών υπηρεσιών έχει την κύρια εγκατάστασή του ή αντιπρόσωπο στη Δημοκρατία, αλλά τα δίκτυα και συστήματα πληροφοριών βρίσκονται σε ένα ή περισσότερα άλλα κράτη μέλη, η Αρχή και οι αρμόδιες αρχές των άλλων κρατών μελών συνεργάζονται και παρέχουν αμοιβαία συνδρομή, εφόσον απαιτείται, σύμφωνα με τις διατάξεις της Οδηγίας 2016/1148/ΕΕ.

(4) Εάν ένας παροχέας ψηφιακών υπηρεσιών έχει την κύρια εγκατάστασή του ή αντιπρόσωπο σε ένα κράτος μέλος, αλλά τα συστήματα δικτύου και πληροφοριών του βρίσκονται στη Δημοκρατία ή σε άλλα κράτη μέλη, η αρμόδια αρχή του κράτους μέλους της κύριας εγκατάστασης ή του αντιπροσώπου και η Αρχή ή/και οι αρμόδιες αρχές των άλλων κρατών μελών συνεργάζονται και παρέχουν αμοιβαία συνδρομή, εφόσον απαιτείται, σύμφωνα με τις πρόνοιες της Οδηγίας 2016/1148/ΕΕ.

(5) Η συνδρομή και η συνεργασία μπορεί να καλύπτουν ανταλλαγές πληροφοριών μεταξύ των σχετικών αρμόδιων αρχών και αιτήματα για τη λήψη εποπτικών μέτρων που αναφέρονται στις διατάξεις του εδαφίου (2).

Δικαιοδοσία και εδαφικότητα

39.-(1)(α) Για σκοπούς εφαρμογής των διατάξεων του παρόντος Νόμου, ένας παροχέας ψηφιακών υπηρεσιών θεωρείται ότι υπόκειται στη δικαιοδοσία της Δημοκρατίας, όταν έχει σε αυτή την κύρια εγκατάστασή του.

(β) Ένας παροχέας ψηφιακών υπηρεσιών θεωρείται ότι έχει την κύρια εγκατάστασή του στη Δημοκρατία, όταν έχει την έδρα του στη Δημοκρατία.

(2)(α) Ένας παροχέας ψηφιακών υπηρεσιών που δεν είναι εγκατεστημένος στην Ευρωπαϊκή Ένωση, αλλά προσφέρει ψηφιακές υπηρεσίες, σύμφωνα με τις διατάξεις του παρόντος Νόμου και της Οδηγίας 2016/1148/ΕΕ, εντός της Ευρωπαϊκής Ένωσης ορίζει αντιπρόσωπο στην Ευρωπαϊκή Ένωση.

(β) Σε περίπτωση κατά την οποία εφαρμόζεται η παράγραφος (α), ο αντιπρόσωπος θεωρείται ότι είναι εγκατεστημένος στη Δημοκρατία, εάν έχει την έδρα του σε αυτήν.

(γ) Ο παροχέας ψηφιακών υπηρεσιών θεωρείται ότι υπόκειται στη δικαιοδοσία της Δημοκρατίας, εάν σε αυτήν είναι εγκατεστημένος ο αντιπρόσωπος.

(3) Ο ορισμός ενός αντιπροσώπου από τον παροχέα ψηφιακών υπηρεσιών δεν θίγει τις νομικές ενέργειες οι οποίες μπορεί να αναληφθούν κατά του ίδιου του παροχέα ψηφιακών υπηρεσιών.

ΜΕΡΟΣ ΔΩΔΕΚΑΤΟ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΥΠΗΡΕΣΙΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ
Ασφάλεια και ακεραιότητα δικτύων και υπηρεσιών

40.-(1)(α) Οι παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών υποχρεούνται να λαμβάνουν πρόσφορα και αναλογικά τεχνικά και οργανωτικά μέτρα για την κατάλληλη διαχείριση του κινδύνου όσον αφορά την ασφάλεια των δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών.

(β) Λαμβανομένων υπόψη των πλέον προηγμένων τεχνικών δυνατοτήτων, τα μέτρα αυτά πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τον υπάρχοντα κίνδυνο.

(γ) Λαμβάνονται ιδίως μέτρα, συμπεριλαμβανομένης της κρυπτογράφησης όπου κρίνεται σκόπιμο, για την αποτροπή και ελαχιστοποίηση του αντικτύπου συμβάντων που θέτουν σε κίνδυνο την ασφάλεια χρηστών και άλλων δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών.

(2) Η Αρχή μεριμνά, ώστε οι παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών να κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην Αρχή κάθε συμβάν που αφορά την ασφάλεια το οποίο είχε σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών.

(3) Για να προσδιοριστεί η σοβαρότητα του αντικτύπου ενός συμβάντος που αφορά την ασφάλεια, λαμβάνονται υπόψη ιδίως οι ακόλουθες παράμετροι, όπου είναι διαθέσιμες:

(α) Ο αριθμός των χρηστών που επηρεάζονται από το συμβάν ασφάλειας,

(β) η διάρκεια του συμβάντος ασφάλειας,

(γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν ασφάλειας,

(δ) ο βαθμός στον οποίο επηρεάζεται η λειτουργία του δικτύου ή της υπηρεσίας,

(ε) η έκταση του αντικτύπου στις οικονομικές και κοινωνικές δραστηριότητες.

(4)(α) Κατά περίπτωση, η Αρχή ενημερώνει τις αρμόδιες εθνικές αρχές στα άλλα κράτη μέλη, καθώς και τον ENISA.

(β) Η Αρχή δύναται να ενημερώσει το κοινό ή να απαιτήσει την ενημέρωση αυτή από τους παροχείς, εφόσον κρίνει ότι η αποκάλυψη του συμβάντος ασφάλειας είναι προς το δημόσιο συμφέρον.

(γ) Η Αρχή υποβάλλει κάθε έτος στην Επιτροπή και στον ENISA συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει και τη δράση που έχει αναλάβει σύμφωνα με το παρόν εδάφιο.

(δ) Οι διαδικασίες και το περιεχόμενο της κοινοποίησης, καθώς και οποιαδήποτε σχετικά στοιχεία ρυθμίζονται με Απόφαση που εκδίδει η Αρχή.

(5) Η Αρχή μεριμνά, ώστε, όταν υπάρχει ιδιαίτερη και σημαντική απειλή για συμβάν που αφορά την ασφάλεια σε δίκτυα ή υπηρεσίες ηλεκτρονικών επικοινωνιών, οι παροχείς των εν λόγω δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών να ενημερώνουν τους χρήστες τους που θα μπορούσε να επηρεαστούν από μια τέτοια απειλή σχετικά με τυχόν πιθανά προστατευτικά ή διορθωτικά μέτρα τα οποία δυνατόν να ληφθούν από τους χρήστες και, κατά περίπτωση, οι παροχείς ενημερώνουν τους χρήστες τους για την ίδια την απειλή και για όλες τις πιθανές δυνατότητες αποτροπής του, συμπεριλαμβανομένου του σχετικού κόστους:

Νοείται ότι, σε περίπτωση που υπάρχει κίνδυνος παραβίασης της ασφάλειας του δικτύου, οι παροχείς δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών, ενημερώνουν τους συνδρομητές τους για τον εν λόγω κίνδυνο και για όλες τις πιθανές δυνατότητες αποτροπής του, συμπεριλαμβανομένου του σχετικού κόστους.

(6) Οι διατάξεις του παρόντος άρθρου ισχύουν με την επιφύλαξη του Κανονισμού (ΕΕ) αριθ. 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου.

(7) Για την εφαρμογή των διατάξεων των εδαφίων (1) έως (6) η Αρχή δύναται να επιβάλλει συμπληρωματικές απαιτήσεις, πέρα από οποιαδήποτε τεχνικά εκτελεστικά μέτρα λαμβάνει η Επιτροπή, προς την επίτευξη των στόχων του παρόντος άρθρου.

(8) Η Αρχή, προκειμένου να διασφαλίσει την εφαρμογή των διατάξεων των εδαφίων (1) έως (7), έχει την εξουσία έκδοσης δεσμευτικών οδηγιών, συμπεριλαμβανομένων εκείνων που αφορούν τα μέτρα που απαιτούνται για την αντιμετώπιση συμβάντος που αφορά την ασφάλεια ή για την αποτροπή τέτοιου συμβάντος, όταν έχει εντοπιστεί σημαντική απειλή, και τις προθεσμίες εφαρμογής προς τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών.

(9) Η Αρχή έχει την εξουσία να απαιτεί από τους παροχείς δικτύωνή/και υπηρεσιών ηλεκτρονικών επικοινωνιών-

(α) να παρέχουν πληροφορίες απαραίτητες για την εκτίμηση της ασφάλειας των δικτύων και υπηρεσιών τους, περιλαμβανομένων τεκμηριωμένων πολιτικών ασφαλείας, και

(β) να υποβάλλονται σε έλεγχο ασφάλειας που διενεργείται είτε από την Αρχή είτε από εξουσιοδοτημένο από την ίδια ειδικευμένο ανεξάρτητο φορέα και να θέτουν τα σχετικά πορίσματα στη διάθεση της Αρχής και το κόστος του ελέγχου επιβαρύνει τον παροχέα.

(10) Η Αρχή διαθέτει όλες τις απαραίτητες εξουσίες για τη διερεύνηση περιπτώσεων μη συμμόρφωσης και των επιπτώσεών τους στην ασφάλεια των δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών με βάση διαδικασία που δυνατόν να καθοριστεί με Απόφαση της Αρχής.

(11) Σε περίπτωση που διαπιστωθεί ότι υπάρχει κίνδυνος παραβίασης της ασφάλειας του δικτύου ηλεκτρονικών επικοινωνιών λόγω χρήσης της υπηρεσίας, η Αρχή δύναται να ζητήσει από τους παροχείς υπηρεσιών ηλεκτρονικών επικοινωνιών τη λήψη μέτρων, συμπεριλαμβανομένων προσωρινών μέτρων, όπως η διακοπή της υπηρεσίας.

(12) Για την εφαρμογή των διατάξεων των εδαφίων (1) έως (7), η Αρχή διαθέτει την εξουσία να αξιοποιεί υπηρεσίες από το εθνικό CSIRT, το οποίο αποτελεί μέρος της Αρχής.

(13) Κατά περίπτωση και σύμφωνα με την οικεία νομοθεσία, η Αρχή διαβουλεύεται και συνεργάζεται με τις αρμόδιες εθνικές αρχές επιβολής του νόμου και τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

ΜΕΡΟΣ ΔΕΚΑΤΟ ΤΡΙΤΟ ΤΥΠΟΠΟΙΗΣΗ ΚΑΙ ΕΘΕΛΟΥΣΙΑ ΚΟΙΝΟΠΟΙΗΣΗ
Τυποποίηση

41.-(1) Η Αρχή ενθαρρύνει τη χρήση ευρωπαϊκών ή διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια των δικτύων και συστημάτων πληροφοριών.

(2) Η Αρχή συνεργάζεται με τον ENISA και τα άλλα κράτη μέλη, προκείμενου να εκδοθούν συμβουλές και κατευθυντήριες γραμμές όσον αφορά τους τεχνικούς τομείς που πρέπει να εξετάζονται σε σχέση με τις διατάξεις του εδαφίου (1), καθώς και όσον αφορά υφιστάμενα πρότυπα, συμπεριλαμβανομένων των εθνικών προτύπων των άλλων κρατών μελών για την κάλυψη αυτών των τομέων.

Εθελούσια κοινοποίηση

42.-(1) Με την επιφύλαξη των διατάξεων της παραγράφου (λα) του άρθρου 17, οντότητες που δεν έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και φορείς κρίσιμων υποδομών πληροφοριών και δεν είναι παροχείς ψηφιακών υπηρεσιών, δύναται να κοινοποιούν, σε εθελούσια βάση, συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των υπηρεσιών που παρέχουν.

(2) Κατά την επεξεργασία των κοινοποιήσεων, η Αρχή ενεργεί σύμφωνα με τη διαδικασία που προβλέπεται στις διατάξεις του άρθρου 35.

(3) Η Αρχή μπορεί να δίνει προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων.

(4) Οι εθελούσιες κοινοποιήσεις υποβάλλονται σε επεξεργασία, μόνο εφόσον η επεξεργασία αυτή δεν συνιστά δυσανάλογη ή περιττή επιβάρυνση για την Αρχή.

(5) Η εθελούσια κοινοποίηση δεν συνεπάγεται την επιβολή στην κοινοποιούσα οντότητα τυχόν υποχρεώσεων τις οποίες δεν θα είχε, εάν δεν προέβαινε στην εν λόγω κοινοποίηση.

ΜΕΡΟΣ ΔΕΚΑΤΟ ΤΕΤΑΡΤΟ ΚΥΡΩΣΕΙΣ
Διοικητικό πρόστιμο

43.-(1) Σε περίπτωση που η Αρχή διαπιστώσει ότι πρόσωπο διενεργεί πράξη ή τελεί σε παράλειψη κατά παράβαση των διατάξεων του παρόντος Νόμου δύναται να επιβάλει σε αυτό διοικητικό πρόστιμο που δεν υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000), ανάλογα με τη βαρύτητα της παράβασης, και, σε περίπτωση επανάληψης της παράβασης, χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) για κάθε ημέρα συνέχισης της παράβασης:

Νοείται ότι, η διαδικασία επιβολής του διοικητικού προστίμου καθορίζεται με Απόφαση της Αρχής.

(2) Η Αρχή δύναται να επιβάλει διοικητικό πρόστιμο σε οποιοδήποτε πρόσωπο διενεργεί πράξη ή τελεί σε παράλειψη, κατά παράβαση των διατάξεων οποιωνδήποτε Αποφάσεων και/ή Κανονισμών της Ευρωπαϊκής Ένωσης το οποίο δεν υπερβαίνει τις τριακόσιες χιλιάδες τετρακόσια ευρώ (€300.400) και, σε περίπτωση επανάληψης της παράβασης, διοικητικό πρόστιμο που δεν υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000).

(3) Η Αρχή δύναται να εκδώσει Απόφαση για τη διαδικασία επιβολής προστίμου ή/και άλλων διοικητικών κυρώσεων.

(4) Προτού η Αρχή επιβάλει διοικητικό πρόστιμο, ο Επίτροπος ειδοποιεί το επηρεαζόμενο πρόσωπο για την πρόθεσή της να επιβάλει διοικητικό πρόστιμο, ενημερώνοντάς το για τους λόγους για τους οποίους προτίθεται να ενεργήσει τοιουτοτρόπως και παρέχοντας σε αυτό το δικαίωμα υποβολής παραστάσεων, εντός δέκα (10) εργάσιμων ημερών από την ημέρα της ειδοποίησης.

(5) Η Αρχή επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του εδαφίου (1) με γραπτή και αιτιολογημένη Απόφασή της, την οποία διαβιβάζει στο επηρεαζόμενο πρόσωπο με συστημένη επιστολή, η οποία καθορίζει την παράβαση και πληροφορεί το επηρεαζόμενο πρόσωπο-

(α) περί του δικαιώματός του να προσβάλει την απόφαση με προσφυγή στο Διοικητικό Δικαστήριο, σύμφωνα με τις διατάξεις του άρθρου 146 του Συντάγματος και του περί της Ίδρυσης και Λειτουργίας Διοικητικού Δικαστηρίου Νόμου του 2015, και

(β) περί της προθεσμίας εντός της οποίας δύναται να ασκηθεί το προαναφερόμενο δικαίωμα.

(6) Σε περίπτωση άρνησης ή παράλειψης προσώπου στο οποίο υποβλήθηκε διοικητικό πρόστιμο δυνάμει των διατάξεων του παρόντος Νόμου να καταβάλει στην Αρχή τέτοιο πρόστιμο, η Αρχή λαμβάνει δικαστικά μέτρα και εισπράττει τα οφειλόμενα ποσά ως αστικό χρέος οφειλόμενο στη Δημοκρατία.

Ποινικά αδικήματα

44.-(1) Φορέας εκμετάλλευσης βασικών υπηρεσιών ή/και φορέας κρίσιμων υποδομών πληροφοριών ο οποίος δεν κοινοποιεί, χωρίς αδικαιολόγητη καθυστέρηση, στην Αρχή συμβάν με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών του είναι ένοχος αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα δύο (2) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) ή και στις τις δύο αυτές ποινές.

(2) Φορέας ψηφιακών υπηρεσιών ο οποίος δεν κοινοποιεί στην Αρχή, χωρίς αδικαιολόγητη καθυστέρηση, συμβάν που έχει σημαντικό αντίκτυπο στην παροχή της υπηρεσίας που προσφέρει είναι ένοχος αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα δύο (2) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις δέκα χιλιάδες ευρώ (€10.000) ή και στις δύο αυτές ποινές.

(3) Φορέας εκμετάλλευσης βασικών υπηρεσιών ή/και φορέας κρίσιμων υποδομών πληροφοριών ο οποίος δεν λαμβάνει κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιεί στις δραστηριότητές του είναι ένοχος αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει δεκαπέντε χιλιάδες ευρώ (€15.000) ή και στις δύο αυτές ποινές.

(4) Παροχέας ψηφιακών υπηρεσιών ο οποίος δεν λαμβάνει κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιεί στο πλαίσιο της παροχής υπηρεσιών οι οποίες αναφέρονται σε Απόφαση που εκδίδει η Αρχή είναι ένοχος αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις δεκαπέντε χιλιάδες ευρώ (€15.000) ή και στις δύο αυτές ποινές.

(5) Πρόσωπο το οποίο δεν παρέχει οποιαδήποτε πληροφορία του ζητηθεί από την Αρχή, σύμφωνα με τις διατάξεις της παραγράφου (β) του εδαφίου (1) του άρθρου 20, εντός δεκαπέντε (15) ημερών από την ημερομηνία της απαίτησης είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις τρεις χιλιάδες τετρακόσια ευρώ (€3.400).

(6) Πρόσωπο από το οποίο η Αρχή απαιτεί να παράσχει οποιαδήποτε πληροφορία, σύμφωνα με τις σχετικές διατάξεις Κανονισμών που εκδίδει η Ευρωπαϊκή Ένωση, και παραλείπει να το πράξει εντός της καθορισμένης ημερομηνίας των δεκαπέντε (15) ημερών από την ημερομηνία της απαίτησης είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τους έξι (6) μήνες ή σε χρηματική ποινή που δεν υπερβαίνει τις τρεις χιλιάδες τετρακόσια ευρώ (€3.400) ή και στις δύο αυτές ποινές.

(7) Πρόσωπο το οποίο παραβιάζει οποιαδήποτε διάταξη των Αποφάσεων και/ή Κανονισμών της Ευρωπαϊκής Ένωσης αναφορικά με την ασφάλεια δικτύων και συστημάτων πληροφοριών είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε ποινή φυλάκισης που δεν υπερβαίνει τα τρία (3) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις δεκαπέντε χιλιάδες ευρώ (€15.000) ή και στις δύο αυτές ποινές.

ΜΕΡΟΣ ΔΕΚΑΤΟ ΠΕΜΠΤΟ ΚΑΝΟΝΙΣΜΟΙ, ΑΠΟΦΑΣΕΙΣ, ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΔΙΑΤΑΞΕΙΣ, ΕΚΘΕΣΕΙΣ, ΚΑΙ ΔΙΑΦΟΡΑ ΑΛΛΑ ΘΕΜΑΤΑ
Έκδοση Κανονισμών

45.-(1) Για σκοπούς καλύτερης εφαρμογής των διατάξεων του παρόντος Νόμου, το Υπουργικό Συμβούλιο εκδίδει Κανονισμούς, οι οποίοι κατατίθενται στη Βουλή των Αντιπροσώπων για έγκριση και δημοσιεύονται στην Εφημερίδα της Δημοκρατίας, εκτός εάν προβλέπεται διαφορετικά σε αυτούς.

(2) Χωρίς επηρεασμό της γενικότητας των διατάξεων του εδαφίου (1), οι Κανονισμοί αυτοί δύναται να προβλέπουν μεταξύ άλλων για τα ακόλουθα:

(α) Τη μεθοδολογία υπολογισμού τελών για τη χρηματοδότηση των δαπανών της Αρχής·

(β) τη διαδικασία διορισμού, είτε μόνιμα είτε με σύμβαση για ορισμένο χρονικό διάστημα, προαγωγής, τους όρους υπηρεσίας, τις κατηγορίες θέσεων, την αφυπηρέτηση και τα ωφελήματα αφυπηρέτησης των μελών του προσωπικού της Αρχής, καθώς και τον πειθαρχικό κώδικα και την άσκηση πειθαρχικού ελέγχου·

(γ) τα σχέδια υπηρεσίας για τα καθήκοντα, τις ευθύνες και τα προσόντα των μελών του μόνιμου προσωπικού της Αρχής·

(δ) το Ταμείο Ιατροφαρμακευτικής Περίθαλψης για την κάλυψη των μελών του προσωπικού της Αρχής κατά και μετά τη διάρκεια της υπηρεσίας τους στην Αρχή κατ’ εφαρμογή των προνοιών των περί του Επιτρόπου Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομείων (Ταμείο Ιατροφαρμακευτικής Περίθαλψης) Κανονισμών και των διατάξεων του Γενικού Συστήματος Υγείας Νόμου ·

(ε) το Ταμείο Προνοίας για τους υπαλλήλους της Αρχής κατά τη διάρκεια της υπηρεσίας τους στην Αρχή·

(στ) το Ταμείο Προνοίας Ωρομίσθιου Προσωπικού για τα ωρομίσθια μέλη του προσωπικού της Αρχής.

Έκδοση Αποφάσεων από την Αρχή

46.-(1) Για την καλύτερη εφαρμογή των διατάξεων του παρόντος Νόμου, η Αρχή εκδίδει Αποφάσεις κατά την άσκηση των αρμοδιοτήτων της βάσει των διατάξεων του παρόντος Νόμου.

(2) Χωρίς επηρεασμό της γενικότητας των διατάξεων του εδαφίου (1), η Αρχή δύναται να εκδίδει Αποφάσεις που αποσκοπούν πρωτίστως στην αποσαφήνιση και ρύθμιση των διαδικασιών, των μεθόδων, των χρονοδιαγραμμάτων και ιδίως της διαδικασίας και του τρόπου είσπραξης όλων των πληρωτέων δυνάμει των διατάξεων του παρόντος Νόμου και των Αποφάσεων που εκδίδονται δυνάμει αυτού ποσών, τελών και δικαιωμάτων, της διαδικασίας και του τρόπου είσπραξης όλων των πληρωτέων ποσών διοικητικών προστίμων και οποιωνδήποτε άλλων πληρωτέων εσόδων ή ποσών που εισπράττονται δυνάμει των διατάξεων του παρόντος Νόμου και των Αποφάσεων που εκδίδονται δυνάμει αυτού, του καθορισμού τελών και δικαιωμάτων που είναι πληρωτέα σε σχέση με την εφαρμογή των διατάξεων του παρόντος Νόμου και των Αποφάσεων που εκδίδονται δυνάμει αυτού και του καθορισμού διαδικασίας επιβολής διοικητικού προστίμου.

(3) Η Αρχή δύναται να εκδίδει Αποφάσεις αναφορικά με την εφαρμογή των βέλτιστων πρακτικών ή των κατευθυντήριων γραμμών που εκδίδονται από την Επιτροπή σχετικά με την εφαρμογή του ενωσιακού δικαίου.

(4) Η Αρχή δύναται να εκδίδει Αποφάσεις αναφορικά με οποιοδήποτε άλλο ζήτημα προβλέπουν οι διατάξεις του παρόντος Νόμου ή χρήζει ή είναι δεκτικό καθορισμού.

(5) Αποφάσεις της Αρχής που εκδίδονται δυνάμει του παρόντος Νόμου δημοσιεύονται στην Επίσημη Εφημερίδα της Δημοκρατίας και τίθενται σε ισχύ σε καθορισμένο στη σχετική Απόφαση χρόνο ή, σε περίπτωση μη καθορισμού χρόνου έναρξης ισχύος, από την ημερομηνία της εν λόγω δημοσίευσης της σχετικής Απόφασης:

Νοείται ότι, δεν δημοσιεύονται στην Επίσημη Εφημερίδα της Δημοκρατίας Αποφάσεις που αφορούν ευαίσθητες ή/και εμπιστευτικές πληροφορίες ή/και διαβαθμισμένα έγγραφα.

(6) Η Αρχή έχει εξουσία να εφαρμόζει με Απόφαση, Κανονισμούς της Ευρωπαϊκής Ένωσης που αφορούν θέματα ασφάλειας δικτύων και συστημάτων πληροφοριών και κυβερνοασφάλειας.

Προϋπολογισμός

47.-(1) Η Αρχή καταρτίζει για κάθε οικονομικό έτος, το οποίο αρχίζει την 1η Ιανουαρίου και λήγει την 31η Δεκεμβρίου, προϋπολογισμό εσόδων και δαπανών.

(2) Ο προϋπολογισμός υποβάλλεται από τον Υπουργό στο Υπουργικό Συμβούλιο μέχρι την 1η Ιουλίου εκάστου έτους και υπόκειται στην έγκριση του Υπουργικού Συμβουλίου και της Βουλής των Αντιπροσώπων, τηρουμένων των διατάξεων του άρθρου 104 του περί της Δημοσιονομικής Ευθύνης και του Δημοσιονομικού Πλαισίου Νόμου.

(3) Ο προϋπολογισμός, μετά τις τυχόν τροποποιήσεις του από το Υπουργικό Συμβούλιο, κατατίθεται ενώπιον της Βουλής των Αντιπροσώπων προ της 30ής Σεπτεμβρίου εκάστου έτους.

(4) Ο προϋπολογισμός καλύπτει το οικονομικό πρόγραμμα της Αρχής για κάθε οικονομικό έτος, το οποίο αρχίζει την 1η Ιανουαρίου και λήγει την 31η Δεκεμβρίου:

Νοείται ότι, το πρώτο οικονομικό πρόγραμμα της Αρχής αρχίζει από την ημερομηνία λειτουργίας της Αρχής και λήγει την 31η Δεκεμβρίου του ίδιου έτους.

(5) Ο τρόπος με τον οποίο καταρτίζεται ο προϋπολογισμός και εμφανίζεται η ανάλυση των κονδυλίων στον πίνακα εσόδων και εξόδων είναι όμοιος με τον τρόπο καταρτισμού του κρατικού προϋπολογισμού.

(6) Η Αρχή μεριμνά για την αναφερόμενη στις διατάξεις του εδαφίου (1) κατάρτιση προϋπολογισμού και για την κατάρτιση του αναφερόμενου στις διατάξεις του εδαφίου (4) οικονομικού προγράμματος.

(7) Σε περίπτωση μη έγκαιρης ψήφισης του προϋπολογισμού, η Αρχή λειτουργεί κατ’ ανάλογη εφαρμογή των περί δωδεκατημορίων διατάξεων της παραγράφου 3 του Άρθρου 168 του Συντάγματος για τον κρατικό προϋπολογισμό.

Τήρηση βιβλίων

48.-(1) Η Αρχή τηρεί κατάλληλα βιβλία και λογαριασμούς για τις δραστηριότητές της, όπως ορίζει εκάστοτε ο Γενικός Ελεγκτής της Δημοκρατίας.

(2) Σχετικά με την οικονομική διαχείριση κάθε οικονομικού έτους, συντάσσεται, με μέριμνα της Αρχής, απολογισμός κατά τρόπο που ορίζει εκάστοτε ο Γενικός Ελεγκτής της Δημοκρατίας.

(3) Οι λογαριασμοί της Αρχής ελέγχονται από τον Γενικό Ελεγκτή της Δημοκρατίας.

(4) Μέσα σε έναν μήνα από τον έλεγχο των λογαριασμών η Αρχή υποβάλλει στο Υπουργικό Συμβούλιο και στη Βουλή των Αντιπροσώπων για ενημέρωση τον απολογισμό οικονομικής διαχείρισης.

(5) Η Αρχή μεριμνά για την αναφερόμενη στις διατάξεις του εδαφίου (1), (2) και (4) τήρηση βιβλίων και λογαριασμών και σύνταξη απολογισμού.

Έκθεση

49.-(1) Η Αρχή υποβάλλει στον Πρόεδρο της Δημοκρατίας ετησίως, εντός έξι (6) μηνών από την ημερομηνία λήξης εκάστου οικονομικού έτους, έκθεση για τις δραστηριότητές της.

(2) Η Αρχή κοινοποιεί την έκθεσή της, στο Υπουργικό Συμβούλιο και στη Βουλή των Αντιπροσώπων και δύναται να τη δημοσιεύει.

Εργοδότηση προσωπικού, σε περίπτωση που παύει να υφίσταται η Αρχή

50. Σε περίπτωση που η Αρχή παύει για οποιονδήποτε λόγο να υφίσταται, οι θέσεις του μόνιμου προσωπικού και οι κάτοχοί τους, καθώς και οι κενές θέσεις μεταφέρονται σε κατάλληλο υπουργείο, τμήμα ή υπηρεσία της κυβέρνησης, σε περίπτωση δε που οι δυνάμει των διατάξεων του παρόντος Νόμου αρμοδιότητες, εξουσίες και καθήκοντα της Αρχής περιέρχονται για οποιονδήποτε λόγο σε άλλο νομικό πρόσωπο, αρχή, ή οργανισμό, το προσωπικό της Αρχής παρέχει υπηρεσίες στο εν λόγω νομικό πρόσωπο, αρχή ή οργανισμό χωρίς οποιαδήποτε αλλαγή του καθεστώτος ή των όρων υπηρεσίας του.

Περιουσιακά στοιχεία της Αρχής, σε περίπτωση που παύει να υφίσταται

51. Σε περίπτωση που παύει για οποιονδήποτε λόγο να υφίσταται η Αρχή, όλα τα περιουσιακά στοιχεία της Αρχής, περιέρχονται στη Δημοκρατία.

Προσφυγή στο Διοικητικό Δικαστήριο κατά Αποφάσεων της Αρχής

52.-(1) Οποιαδήποτε Απόφαση της Αρχής υπόκειται σε δικαστικό έλεγχο με προσφυγή στο Διοικητικό Δικαστήριο σύμφωνα με το Άρθρο 146 του Συντάγματος και του περί της Ίδρυσης και Λειτουργίας Διοικητικού Δικαστηρίου Νόμου.

(2) Η Αρχή διατηρεί αρχείο σχετικά με τις προσφυγές, τη διάρκεια των διαδικασιών προσφυγής και τον αριθμό των αποφάσεων για λήψη προσωρινών μέτρων και παρέχει τις πληροφορίες αυτές στην Επιτροπή ή άλλο θεσμικό όργανο της Ευρωπαϊκής Ένωσης κατόπιν αιτιολογημένου αιτήματος.

Ευθύνη Επιτρόπου, Βοηθού Επιτρόπου και προσωπικού της Αρχής

53. Τηρουμένων των διατάξεων του παρόντος Νόμου, και των δυνάμει αυτού εκδιδομένων Κανονισμών και Αποφάσεων, ο Επίτροπος, Βοηθός Επίτροπος και τα μέλη του προσωπικού της Αρχής δεν υπέχουν ευθύνη για οτιδήποτε έγινε ή παραλείφθηκε ή λέχθηκε ή για οποιαδήποτε γνώμη εξέφρασαν ή έκθεση ή άλλο έγγραφο ετοίμασαν κατά την καλόπιστη άσκηση των αντίστοιχων καθηκόντων τους και των αρμοδιοτήτων και εξουσιών τους δυνάμει των διατάξεων του παρόντος Νόμου.

Ευθύνη νομικών προσώπων

54.-(1) Νομικό πρόσωπο είναι ένοχο για τη διάπραξη αδικήματος που προβλέπεται στις διατάξεις των άρθρων 22 και 43, όταν το αδίκημα διαπράττεται προς όφελος του νομικού προσώπου από οποιοδήποτε πρόσωπο ενεργεί είτε ατομικά, είτε ως μέλος οργάνου του νομικού αυτού προσώπου και κατέχει στο νομικό αυτό πρόσωπο ιθύνουσα θέση υπό την ιδιότητα-

(α) εντολοδόχου εκπροσώπησης του νομικού προσώπου,

(β) πληρεξούσιου λήψης αποφάσεων εξ ονόματος του νομικού προσώπου, ή

(γ) πληρεξούσιου άσκησης ελέγχου εντός του νομικού προσώπου.

(2) Νομικό πρόσωπο είναι ένοχο για τη διάπραξη αδικήματος που προβλέπεται στις διατάξεις των άρθρων 22 και 43, όταν η έλλειψη εποπτείας ή ελέγχου από πρόσωπο που καθορίζεται στις διατάξεις του εδαφίου (1) έχει καταστήσει δυνατή τη διάπραξη του εν λόγω αδικήματος προς όφελος του νομικού προσώπου από πρόσωπο το οποίο τελεί υπό την εξουσία του προσώπου που καθορίζεται στις διατάξεις του εδαφίου (1).

(3) Άνευ επηρεασμού των όσων αναφέρονται στις διατάξεις των εδαφίων (1) και (2), η ευθύνη του νομικού προσώπου δεν αποκλείει την άσκηση ποινικής δίωξης εναντίον των φυσικών προσώπων που διαπράττουν τα αδικήματα και ή των προσώπων που συμμετέχουν στη διάπραξη των αδικημάτων που προβλέπονται στις διατάξεις των άρθρων 22 και 43.

(4) Άνευ επηρεασμού των διατάξεων των εδαφίων (1) και (2), πρόσωπο το οποίο συμβουλεύει, προάγει ή παρακινεί άλλο πρόσωπο να συμμετέχει στη διάπραξη ή απόπειρα διάπραξης αδικήματος που προβλέπεται στις διατάξεις των άρθρων 22 και 43 είναι ένοχο αδικήματος του ίδιου είδους υπόκειται στην ίδια ποινή και δύναται να διωχτεί, ως εάν είχε διενεργήσει ο ίδιος τέτοια πράξη.

(5) Σε περίπτωση κατά την οποία πράξη ή παράλειψη νομικού προσώπου που επιφέρει κατά τα οριζόμενα στον παρόντα Νόμο ή/και Αποφάσεων που εκδίδονται δυνάμει του παρόντος Νόμου επιβολή διοικητικού προστίμου ή άλλου χρηματικού προστίμου από την Αρχή, την ευθύνη για την πράξη ή παράλειψη για την καταβολή του διοικητικού προστίμου φέρουν τα νομικά πρόσωπα, καθώς και τα φυσικά πρόσωπα που αναφέρονται στις διατάξεις του εδαφίου (1).

ΜΕΡΟΣ ΔΕΚΑΤΟ ΕΚΤΟ ΜΕΤΑΒΑΤΙΚΕΣ ΚΑΙ ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Μεταβατική διάταξη

55.-(1) Αποφάσεις ή Κανονισμοί που εκδόθηκαν δυνάμει του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, ο οποίος καταργείται με τον παρόντα Νόμο καθώς και οι κοινοποιήσεις που έγιναν στην Επιτροπή λογίζεται ότι έχουν γίνει δυνάμει των διατάξεων του παρόντος Νόμου και θα εξακολουθήσουν να ισχύουν μέχρι την κατάργηση ή αντικατάστασή αυτών από Αποφάσεις, Κανονισμούς ή κοινοποιήσεις στην Επιτροπή, ανάλογα με την περίπτωση, που θα εκδοθούν δυνάμει των διατάξεων του παρόντος Νόμου.

(2) Αναφορά σε οικεία νομοθεσία ή Κανονισμούς ή Διατάγματα που εκδίδονται δυνάμει αυτής ή σε συναφή δημόσια έγγραφα τα οποία αφορούν θέματα ασφάλειας δικτύων και συστημάτων πληροφοριών σε «ΓΕΡΗΕΤ», αυτή λογίζεται ως αναφορά σε «Αρχή».

Κατάργηση

56. Από την ημερομηνία δημοσίευσης στην Επίσημη Εφημερίδα της Δημοκρατίας του παρόντος Νόμου, ο περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμος του 2018 καταργείται.