35.-(1)(α) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους όπως τα μέτρα αυτά δύναται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.
(β) Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, τα μέτρα αυτά διασφαλίζουν επίπεδο ασφάλειας των δικτύων και συστημάτων πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο.
(2) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και οι φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν τα κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της επαναφοράς και της συνέχειάς τους, όπως τα μέτρα αυτά δύνανται να καθοριστούν σε Απόφαση που εκδίδει ο Επίτροπος.
(3)(α) Οι φορείς εκμετάλλευσης βασικών υπηρεσιών ή/και οι φορείς κρίσιμων υποδομών πληροφοριών κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην Αρχή συμβάντα με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών που παρέχουν.
(β) Οι κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην Αρχή ή/και το εθνικό CSIRT να προσδιορίσει τυχόν διασυνοριακό αντίτυπο του συμβάντος.
(γ) Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα, οι δε διαδικασίες και το περιεχόμενο της κοινοποίησης, καθώς και οποιαδήποτε σχετικά στοιχεία ρυθμίζονται με Απόφαση που εκδίδει ο Επίτροπος.
(4) Για να προσδιοριστεί η σοβαρότητα του αντικτύπου ενός συμβάντος, λαμβάνονται υπόψη ειδικότερα οι ακόλουθες παράμετροι:
(α) Ο αριθμός των χρηστών που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας·
(β) η διάρκεια του συμβάντος·
(γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν.
(5) Βάσει των πληροφοριών που παρέχονται στην κοινοποίηση από τον φορέα εκμετάλλευσης βασικών υπηρεσιών, η Αρχή ή το εθνικό CSIRT ενημερώνει το άλλο επηρεαζόμενο κράτος μέλος αν το συμβάν έχει σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών στο εν λόγω κράτος μέλος και, στο πλαίσιο της ενημέρωσης αυτής, η Αρχή ή το εθνικό CSIRT διαφυλάσσει, σύμφωνα με το ενωσιακό δίκαιο ή με την εθνική νομοθεσία η οποία έχει μεταφέρει στην εσωτερική έννομη τάξη το ενωσιακό δίκαιο, την ασφάλεια και τα εμπορικά συμφέροντα του φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών, καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί στην κοινοποίησή του.
(6) Όταν οι περιστάσεις το επιτρέπουν, η Αρχή ή το εθνικό CSIRT παρέχει πληροφορίες στον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών όσον αφορά τις ενέργειες σε συνέχεια της κοινοποίησής του, όπως πληροφορίες που θα μπορούσε να υποστηρίξουν τον αποτελεσματικό χειρισμό του συμβάντος.
(7) Η Αρχή, ως ενιαίο κέντρο επαφής, δύναται, ιδίως εάν υπάρξει αίτημα από το εθνικό CSIRT, να διαβιβάζει τις κοινοποιήσεις που αναφέρονται στις διατάξεις του εδαφίου (5) στα ενιαία κέντρα επαφής άλλων επηρεαζόμενων κρατών μελών.
(8) Κατόπιν διαβούλευσης με τον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών ή/και φορέα κρίσιμων υποδομών πληροφοριών, η Αρχή ή το εθνικό CSIRT μπορεί να ενημερώνει το κοινό σχετικά με μεμονωμένα συμβάντα, σε περίπτωση που η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη.
(9) Η Αρχή, ενεργώντας από κοινού με αρμόδιες αρχές άλλων κρατών μελών εντός της ομάδας συνεργασίας, δύναται να καταρτίζει και να εκδίδει κατευθυντήριες γραμμές σχετικά με τις περιστάσεις υπό τις οποίες οι φορείς εκμετάλλευσης βασικών υπηρεσιών είναι υποχρεωμένοι να κοινοποιούν συμβάντα, συμπεριλαμβανομένων μεταξύ άλλων των παραμέτρων που προσδιορίζουν τη σοβαρότητα του αντικτύπου ενός συμβάντος, όπως προβλέπεται στις διατάξεις του εδαφίου (4).
36.-(1) H Αρχή χρησιμοποιεί τα απαραίτητα μέσα για την αξιολόγηση της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών προς τις υποχρεώσεις τους δυνάμει των διατάξεων του άρθρου 35 και των επιπτώσεών τους στην ασφάλεια των δικτύων και συστημάτων πληροφοριών.
(2) Ο Επίτροπος δύναται να εκδώσει Απόφαση σχετικά με ον τρόπο αξιολόγησης της συμμόρφωσης των φορέων εκμετάλλευσης βασικών υπηρεσιών ή/και φορέων κρίσιμων υποδομών πληροφοριών προς τις υποχρεώσεις τους.
(3) H Aρχή χρησιμοποιεί τα απαραίτητα μέσα για να ζητά από τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών να παρέχουν:
(α) Τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των δικτύων και συστημάτων πληροφοριών τους, συμπεριλαμβανομένων μεταξύ άλλων τεκμηριωμένων πολιτικών ασφάλειας·
(β) στοιχεία που αποδεικνύουν την ουσιαστική εφαρμογή πολιτικών ασφάλειας, όπως αποτελέσματα επιθεώρησης ασφάλειας που έχει διενεργηθεί είτε από την Αρχή είτε από εξουσιοδοτημένο επιθεωρητή, όπως η εξουσιοδότηση αυτή δύναται να καθοριστεί σε Απόφαση, και στη δεύτερη αυτή περίπτωση, θέτει τα αποτελέσματα του, καθώς και τα σχετικά στοιχεία στη διάθεση της Αρχής.
(4) Το κόστος της επιθεώρησης ασφάλειας επιβαρύνει τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών.
(5) Όταν ζητούνται αυτές οι πληροφορίες ή τα στοιχεία, η Αρχή δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις πληροφορίες που ζητούνται.
(6) Μετά την αξιολόγηση των πληροφοριών ή των αποτελεσμάτων των επιθεωρήσεων ασφάλειας που αναφέρονται στις διατάξεις του εδαφίου (3), η Αρχή μπορεί να εκδίδει δεσμευτικές οδηγίες προς τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών για την αποκατάσταση των εντοπισμένων ελλείψεων.
(7) Κατά την αντιμετώπιση συμβάντων που οδηγούν σε παραβιάσεις προσωπικών δεδομένων, η Αρχή συνεργάζεται στενά με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.