ΜΕΡΟΣ ΔΩΔΕΚΑΤΟ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΥΠΗΡΕΣΙΩΝ ΗΛΕΚΤΡΟΝΙΚΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ
Ασφάλεια και ακεραιότητα δικτύων και υπηρεσιών

40.-(1)(α) Οι παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών υποχρεούνται να λαμβάνουν πρόσφορα και αναλογικά τεχνικά και οργανωτικά μέτρα για την κατάλληλη διαχείριση του κινδύνου όσον αφορά την ασφάλεια των δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών.

(β) Λαμβανομένων υπόψη των πλέον προηγμένων τεχνικών δυνατοτήτων, τα μέτρα αυτά πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τον υπάρχοντα κίνδυνο.

(γ) Λαμβάνονται ιδίως μέτρα, συμπεριλαμβανομένης της κρυπτογράφησης όπου κρίνεται σκόπιμο, για την αποτροπή και ελαχιστοποίηση του αντικτύπου συμβάντων που θέτουν σε κίνδυνο την ασφάλεια χρηστών και άλλων δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών.

(2) Η Αρχή μεριμνά, ώστε οι παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών να κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην Αρχή κάθε συμβάν που αφορά την ασφάλεια το οποίο είχε σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών.

(3) Για να προσδιοριστεί η σοβαρότητα του αντικτύπου ενός συμβάντος που αφορά την ασφάλεια, λαμβάνονται υπόψη ιδίως οι ακόλουθες παράμετροι, όπου είναι διαθέσιμες:

(α) Ο αριθμός των χρηστών που επηρεάζονται από το συμβάν ασφάλειας,

(β) η διάρκεια του συμβάντος ασφάλειας,

(γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν ασφάλειας,

(δ) ο βαθμός στον οποίο επηρεάζεται η λειτουργία του δικτύου ή της υπηρεσίας,

(ε) η έκταση του αντικτύπου στις οικονομικές και κοινωνικές δραστηριότητες.

(4)(α) Κατά περίπτωση, η Αρχή ενημερώνει τις αρμόδιες εθνικές αρχές στα άλλα κράτη μέλη, καθώς και τον ENISA.

(β) Η Αρχή δύναται να ενημερώσει το κοινό ή να απαιτήσει την ενημέρωση αυτή από τους παροχείς, εφόσον κρίνει ότι η αποκάλυψη του συμβάντος ασφάλειας είναι προς το δημόσιο συμφέρον.

(γ) Η Αρχή υποβάλλει κάθε έτος στην Επιτροπή και στον ENISA συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει και τη δράση που έχει αναλάβει σύμφωνα με το παρόν εδάφιο.

(δ) Οι διαδικασίες και το περιεχόμενο της κοινοποίησης, καθώς και οποιαδήποτε σχετικά στοιχεία ρυθμίζονται με Απόφαση που εκδίδει η Αρχή.

(5) Η Αρχή μεριμνά, ώστε, όταν υπάρχει ιδιαίτερη και σημαντική απειλή για συμβάν που αφορά την ασφάλεια σε δίκτυα ή υπηρεσίες ηλεκτρονικών επικοινωνιών, οι παροχείς των εν λόγω δικτύων ή υπηρεσιών ηλεκτρονικών επικοινωνιών να ενημερώνουν τους χρήστες τους που θα μπορούσε να επηρεαστούν από μια τέτοια απειλή σχετικά με τυχόν πιθανά προστατευτικά ή διορθωτικά μέτρα τα οποία δυνατόν να ληφθούν από τους χρήστες και, κατά περίπτωση, οι παροχείς ενημερώνουν τους χρήστες τους για την ίδια την απειλή και για όλες τις πιθανές δυνατότητες αποτροπής του, συμπεριλαμβανομένου του σχετικού κόστους:

Νοείται ότι, σε περίπτωση που υπάρχει κίνδυνος παραβίασης της ασφάλειας του δικτύου, οι παροχείς δημόσια διαθέσιμων υπηρεσιών ηλεκτρονικών επικοινωνιών, ενημερώνουν τους συνδρομητές τους για τον εν λόγω κίνδυνο και για όλες τις πιθανές δυνατότητες αποτροπής του, συμπεριλαμβανομένου του σχετικού κόστους.

(6) Οι διατάξεις του παρόντος άρθρου ισχύουν με την επιφύλαξη του Κανονισμού (ΕΕ) αριθ. 2016/679 και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου.

(7) Για την εφαρμογή των διατάξεων των εδαφίων (1) έως (6) η Αρχή δύναται να επιβάλλει συμπληρωματικές απαιτήσεις, πέρα από οποιαδήποτε τεχνικά εκτελεστικά μέτρα λαμβάνει η Επιτροπή, προς την επίτευξη των στόχων του παρόντος άρθρου.

(8) Η Αρχή, προκειμένου να διασφαλίσει την εφαρμογή των διατάξεων των εδαφίων (1) έως (7), έχει την εξουσία έκδοσης δεσμευτικών οδηγιών, συμπεριλαμβανομένων εκείνων που αφορούν τα μέτρα που απαιτούνται για την αντιμετώπιση συμβάντος που αφορά την ασφάλεια ή για την αποτροπή τέτοιου συμβάντος, όταν έχει εντοπιστεί σημαντική απειλή, και τις προθεσμίες εφαρμογής προς τους παροχείς δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών.

(9) Η Αρχή έχει την εξουσία να απαιτεί από τους παροχείς δικτύωνή/και υπηρεσιών ηλεκτρονικών επικοινωνιών-

(α) να παρέχουν πληροφορίες απαραίτητες για την εκτίμηση της ασφάλειας των δικτύων και υπηρεσιών τους, περιλαμβανομένων τεκμηριωμένων πολιτικών ασφαλείας, και

(β) να υποβάλλονται σε έλεγχο ασφάλειας που διενεργείται είτε από την Αρχή είτε από εξουσιοδοτημένο από την ίδια ειδικευμένο ανεξάρτητο φορέα και να θέτουν τα σχετικά πορίσματα στη διάθεση της Αρχής και το κόστος του ελέγχου επιβαρύνει τον παροχέα.

(10) Η Αρχή διαθέτει όλες τις απαραίτητες εξουσίες για τη διερεύνηση περιπτώσεων μη συμμόρφωσης και των επιπτώσεών τους στην ασφάλεια των δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών με βάση διαδικασία που δυνατόν να καθοριστεί με Απόφαση της Αρχής.

(11) Σε περίπτωση που διαπιστωθεί ότι υπάρχει κίνδυνος παραβίασης της ασφάλειας του δικτύου ηλεκτρονικών επικοινωνιών λόγω χρήσης της υπηρεσίας, η Αρχή δύναται να ζητήσει από τους παροχείς υπηρεσιών ηλεκτρονικών επικοινωνιών τη λήψη μέτρων, συμπεριλαμβανομένων προσωρινών μέτρων, όπως η διακοπή της υπηρεσίας.

(12) Για την εφαρμογή των διατάξεων των εδαφίων (1) έως (7), η Αρχή διαθέτει την εξουσία να αξιοποιεί υπηρεσίες από το εθνικό CSIRT, το οποίο αποτελεί μέρος της Αρχής.

(13) Κατά περίπτωση και σύμφωνα με την οικεία νομοθεσία, η Αρχή διαβουλεύεται και συνεργάζεται με τις αρμόδιες εθνικές αρχές επιβολής του νόμου και τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.