ΜΕΡΟΣ IV ΑΡΜΟΔΙΟΤΗΤΕΣ ΤΗΣ ΑΡΧΗΣ
Αρμοδιότητες της Αρχής

13. Η Αρχή έχει τις ακόλουθες αρμοδιότητες:

(α) Συμβουλεύει τον Υπουργό δια του Επιτρόπου επί θεμάτων που αφορούν τη ψηφιακή ασφάλεια στην Δημοκρατία·.

(β)εφαρμόζει σε θέματα ασφάλειας δικτύων και συστημάτων πληροφοριών το εκάστοτε πλαίσιο γενικής πολιτικής σύμφωνα με τις διατάξεις του άρθρου 12·

(γ) αποτελεί εθνικό κέντρο επαφής για την ασφάλεια των δικτύων και συστημάτων πληροφοριών (εφεξής “ενιαίο κέντρο επαφής”)·

(δ) ασκεί, ως ενιαίο κέντρο επαφής, καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας με τις αρμόδιες αρχές των άλλων κρατών μελών και την ομάδα συνεργασίας που αναφέρεται στο άρθρο 11 της Οδηγίας (ΕΕ) 2016/1148 και το δίκτυο CSIRT που αναφέρεται στο άρθρο 12 της Οδηγίας (ΕΕ) 2016/1148·

(ε) διαβουλεύεται και συνεργάζεται με τις αρμόδιες αρχές επιβολής του νόμου και τον Επίτροπο Δεδομένων Προστασίας Προσωπικού Χαρακτήρα·

(στ) υποβάλλει έως τις 9 Αυγούστου του 2018 και στη συνέχεια κάθε έτος, ως ενιαίο κέντρο επαφής, στην Ομάδα Συνεργασίας που προβλέπεται στο άρθρο 11 της Οδηγίας (ΕΕ) 2016/1148 συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου και του αριθμού των κοινοποιήσεων και της φύσης των κοινοποιημένων συμβάντων κατ’ εφαρμογή των σχετικών διατάξεων της Οδηγίας (ΕΕ) 2016/1148·

(ζ) διασφαλίζει ότι διαθέτει επαρκείς πόρους για την αποτελεσματική εκτέλεση των καθηκόντων που περιγράφονται στο παράρτημα Ι σημείο 2, της Οδηγίας (ΕΕ) 2016/1148·

(η) μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία του εθνικού CSIRT στο πλαίσιο του δικτύου CSIRT που αναφέρεται στο άρθρο 12 της Οδηγίας (ΕΕ) 2016/1148·

(θ) ζητά, όταν το κρίνει απαραίτητο, τη συνδρομή του ENISA και άλλων ευρωπαϊκών και διεθνών οργανισμών για την ανάπτυξη του εθνικού CSIRΤ·

(ι) λαμβάνει τις κοινοποιήσεις συμβάντων σε εθνικό επίπεδο και τις κοινοποιήσεις που διαβιβάζονται στην Αρχή από οποιεσδήποτε άλλες αρμόδιες αρχές κρατών μελών·

(ια) ενημερώνει την Ευρωπαϊκή Επιτροπή σχετικά με την εντολή καθώς και τα σχετικά με τα βασικά στοιχεία της διαδικασίας χειρισμού συμβάντων από το εθνικό CSIRT·

(ιβ) εποπτεύει το εθνικό CSIRT, το κυβερνητικό CSIRT, το ακαδημαϊκό CSIRT, ή και άλλα τομεακά CSIRT στη Δημοκρατία·

(ιγ) διασφαλίζει ότι το εθνικό CSIRT έχει πρόσβαση σε μια κατάλληλη ασφαλή και ανθεκτική υποδομή επικοινωνιών και πληροφοριών σε εθνικό επίπεδο·

(ιδ) ορίζει με Αποφάσεις που εκδίδονται δυνάμει των διατάξεων του παρόντος Νόμου για κάθε τομέα και υποτομέα που αναφέρεται στο Παράρτημα II της Οδηγίας (ΕΕ) 2016/1148, τους φορείς εκμετάλλευσης βασικών υπηρεσιών που είναι εγκατεστημένοι στην Δημοκρατία·

(ιε) επανεξετάζει και εφόσον απαιτείται, επικαιροποιεί τον κατάλογο των φορέων εκμετάλλευσης βασικών υπηρεσιών σε τακτική βάση και τουλάχιστον ανά διετία μετά τις 9 Μαΐου του 2018 , και επικαιροποιεί τον εκάστοτε πίνακα των φορέων κρίσιμων υποδομών πληροφοριών τουλάχιστον κάθε δύο (2) έτη·

(ιστ) συνεργάζεται με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, για την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων·

(ιζ) αξιολογεί τη συμμόρφωση των φορέων εκμετάλλευσης βασικών υπηρεσιών προς τις υποχρεώσεις τους και τις επιπτώσεις τους στην ασφάλεια των δικτύων και συστημάτων πληροφοριών, και τη συμμόρφωση των φορέων κρίσιμων υποδομών πληροφοριών σύμφωνα με την οικεία νομοθεσία·

(ιη) εξασφαλίζει ότι, οι φορείς εκμετάλλευσης βασικών υπηρεσιών λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα, για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους·

(ιθ)εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών λαμβάνουν κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των βασικών υπηρεσιών·

(κ) εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση προς αυτήν συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών που παρέχουν·

(κα) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στο πλαίσιο της παροχής υπηρεσιών που αναφέρονται στο Παράρτημα ΙΙΙ της Οδηγίας (ΕΕ) 2016/1148 εντός της Ευρωπαϊκής Ένωσης·

(κβ) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών λαμβάνουν μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών σε σχέση με τις αναφερόμενες στο Παράρτημα ΙΙΙ της Οδηγίας (ΕΕ) 2016/1148 υπηρεσίες που προσφέρονται εντός της Ευρωπαϊκής Ένωσης με σκοπό τη διασφάλιση της συνέχειάς τους·

(κγ) εξασφαλίζει ότι οι παροχείς ψηφιακών υπηρεσιών κοινοποιούν στην ίδια χωρίς αδικαιολόγητη καθυστέρηση κάθε συμβάν που έχει σημαντικό αντίκτυπο στην παροχή της υπηρεσίας που προσφέρουν στη Δημοκρατία ή σε οποιοδήποτε άλλο κράτος μέλος, όπως αναφέρεται στο Παράρτημα ΙΙΙ της Οδηγίας (ΕΕ) 2016/1148·

(κδ) εκδίδει οποιεσδήποτε Αποφάσεις έχει εξουσία να εκδίδει δυνάμει των διατάξεων του παρόντος Νόμου·

(κε) επιβάλλει διοικητικό πρόστιμο σύμφωνα με τις διατάξεις του άρθρου 29, σε οποιοδήποτε πρόσωπο παραβιάζει οποιαδήποτε διάταξη του παρόντος Νόμου ή των Αποφάσεων που εκδίδονται δυνάμει αυτού·

(κστ) εκπροσωπεί τη Δημοκρατία σε οποιοδήποτε διεθνή οργανισμό σχετικό με θέματα ψηφιακής ασφάλειας·

(κζ) ασκεί οποιεσδήποτε άλλες αρμοδιότητες, εξουσίες και καθήκοντα, τα οποία της παρέχονται δυνάμει των διατάξεων του παρόντος Νόμου ή των Κανονισμών ή των Αποφάσεων, που εκδίδονται δυνάμει αυτού.