ΜΕΡΟΣ ΟΓΔΟΟ ΠΛΑΙΣΙO ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ
Εθνική στρατηγική για την ασφάλεια δικτύων και συστημάτων πληροφοριών και την κυβερνο-ασφάλεια

29.-(1) Η Αρχή θεσπίζει εθνική στρατηγική για την ασφάλεια δικτύων και συστημάτων πληροφοριών και την κυβερνοασφάλεια, στην οποία καθορίζονται οι στρατηγικοί στόχοι και τα κατάλληλα μέτρα πολιτικής και κανονιστικής ρύθμισης, με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου ασφάλειας δικτύων και συστημάτων πληροφοριών και καλύπτονται τουλάχιστον οι τομείς και οι υπηρεσίες που αναφέρονται σε Απόφαση που εκδίδει η Αρχή.

(2) Η εθνική στρατηγική για την ασφάλεια δικτύων και συστημάτων πληροφοριών και για την κυβερνοασφάλεια τυγχάνει διαβούλευσης με ενδιαφερόμενα πρόσωπα, πριν από την έγκρισή της από το Υπουργικό Συμβούλιο και καλύπτει κυρίως τα ακόλουθα θέματα:

(α) Τους στόχους και τις προτεραιότητές της·

(β) το πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων της, συμπεριλαμβανομένων του ρόλου και των αρμοδιοτήτων των δημόσιων αρχών και των άλλων αρμόδιων φορέων·

(γ) τον προσδιορισμό των μέτρων ετοιμότητας, παρέμβασης και αποκατάστασης, συμπεριλαμβανομένης της συνεργασίας του δημόσιου και του ιδιωτικού τομέα·

(δ) τα σχετικά προγράμματα εκπαίδευσης, ευαισθητοποίησης και κατάρτισης·

(ε) τα σχετικά σχέδια έρευνας και ανάπτυξης·

(στ) το σχέδιο εκτίμησης κινδύνου για τον προσδιορισμό κινδύνων·

(ζ) τον κατάλογο των διάαφορων φορέων που εμπλέκονται στην υλοποίησή της· και

(η) την καλλιέργεια επίγνωσης και κουλτούρας ασφάλειας (awareness).

(3) Η Αρχή δύναται να ζητήσει τη συνδρομή του ENISA για την ανάπτυξη της εθνικής στρατηγικής ασφάλειας δικτύων και συστημάτων πληροφοριών.

(4) Η Αρχή κοινοποιεί την εθνική στρατηγική της για την ασφάλεια δικτύων και συστημάτων πληροφοριών στην Επιτροπή εντός τριών (3) μηνών από την έγκρισή της και δύναται να εξαιρέσει από την κοινοποίηση αυτή στοιχεία της στρατηγικής που συνδέονται με την εθνική ασφάλεια.

Αρμόδια εθνική αρχή και ενιαίο κέντρο επαφής

30.-(1) Η Αρχή η οποία ορίστηκε ως αρμόδια εθνική αρχή για την ασφάλεια των δικτύων και συστημάτων πληροφοριών, σύμφωνα με τις διατάξεις του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, συνεχίζει να είναι η αρμόδια αρχή για την ασφάλεια των δικτύων και συστημάτων πληροφοριών και ως αρμόδια αρχή καλύπτει τουλάχιστον τους τομείς που αναφέρονται σε Απόφαση και τα είδη ψηφιακών υπηρεσιών που αναφέρονται σε Απόφαση που εκδίδει η Αρχή.

(2) Η Αρχή η οποία ορίστηκε ως αρμόδια εθνική αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας, σύμφωνα με τις διατάξεις του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018, και ως αρμόδια αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας συνεχίζει να είναι η εθνική αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας και η αρμόδια αρχή για τον συντονισμό της υλοποίησης της στρατηγικής κυβερνοασφάλειας.

(3) Η Αρχή παρακολουθεί την εφαρμογή των διατάξεων του παρόντος Νόμου στην Δημοκρατία.

(4) Η Αρχή ορίζεται ως εθνικό ενιαίο κέντρο επαφής για την ασφάλεια των δικτύων και συστημάτων πληροφοριών («ενιαίο κέντρο επαφής»).

(5) Η Αρχή, ως ενιαίο κέντρο επαφής, ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας της Δημοκρατίας με τις αρμόδιες αρχές των άλλων κρατών μελών, την ομάδα συνεργασίας και το δίκτυο CSIRT, που προβλέπεται στις διατάξεις του άρθρου 33.

(6) Ο Επίτροπος και η Αρχή διασφαλίζουν ότι η Αρχή, ως αρμόδια αρχή και ενιαίο κέντρο επαφής, διαθέτει επαρκείς πόρους, για να επιτελεί αποτελεσματικά και αποδοτικά τα καθήκοντα που της ανατίθενται και να επιτυγχάνει, με τον τρόπο αυτόν, τους στόχους των διατάξεων του παρόντος Νόμου και μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία των εκπροσώπων της που ορίζονται στο πλαίσιο της ομάδας συνεργασίας.

(7) Κατά περίπτωση και σύμφωνα με την οικεία νομοθεσία, η Αρχή, ως αρμόδια αρχή και ως ενιαίο κέντρο επαφής, διαβουλεύεται και συνεργάζεται με τις αρμόδιες εθνικές αρχές επιβολής του παρόντος Νόμου και τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Ομάδα απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (εθνικό CSIRT)

31.-(1) Το εθνικό CSIRT, το οποίο καλύπτει τουλάχιστον τους τομείς που αναφέρονται σε Απόφαση που εκδίδει η Αρχή και τα είδη ψηφιακών υπηρεσιών που αναφέρονται σε Απόφαση που εκδίδει η Αρχή, είναι υπεύθυνο για τον χειρισμό κινδύνων και συμβάντων βάσει επακριβώς καθορισμένης διαδικασίας.

(2) Το εθνικό CSIRT πληροί τις ακόλουθες απαιτήσεις:

(α) Εξασφαλίζει υψηλό επίπεδο διαθεσιμότητας των υπηρεσιών επικοινωνιών του, αποφεύγοντας μοναδικά σημεία αστοχίας και διαθέτει διάφορους τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή, οι δίαυλοι επικοινωνίας είναι σαφώς προσδιορισμένοι και ευρύτερα γνωστοί στα μέλη της περιοχής ευθύνης και τους συνεργαζόμενους εταίρους, όπως δύναται να καθοριστεί σε Απόφαση της Αρχής,

(β) εγκαθιστά τα γραφεία και τα υποστηρικτικά συστήματα πληροφοριών σε ασφαλείς χώρους,

(γ) διασφαλίζει τη συνέχεια της επιχειρησιακής δραστηριότητας:

(i) το εθνικό CSIRT είναι εφοδιασμένο με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, προκειμένου να διευκολύνεται η παράδοση καθηκόντων,

(ii) το εθνικό CSIRT είναι επαρκώς στελεχωμένο, ώστε να εξασφαλίζεται η διαθεσιμότητα ανά πάσα στιγμή,

(iii) το εθνικό CSIRT βασίζεται σε υποδομή η συνέχεια της οποίας είναι διασφαλισμένη και για τον σκοπό αυτό, διατίθενται πλεονάζοντα συστήματα και εφεδρικοί χώροι εργασίας,

(δ) έχει τη δυνατότητα να συμμετέχει, εφόσον το επιθυμεί, σε διεθνή δίκτυα συνεργασίας.

(3) Η Αρχή διασφαλίζει ότι το εθνικό CSIRT διαθέτει επαρκείς πόρους για την αποτελεσματική εκτέλεση των ακόλουθων καθηκόντων του στα οποία περιλαμβάνονται τουλάχιστον τα ακόλουθα:

(α) Η παρακολούθηση συμβάντων σε εθνικό επίπεδο·

(β) η παροχή έγκαιρων προειδοποιήσεων, ειδοποιήσεων επαγρύπνησης, καθώς και ανακοινώσεων και διάδοση πληροφοριών σε ενδιαφερόμενους φορείς σχετικά με κινδύνους και συμβάντα·

(γ) η παρέμβαση σε περίπτωση συμβάντος·

(δ) η παροχή δυναμικής ανάλυσης κινδύνων και συμβάντων και επίγνωση της κατάστασης·

(ε) η συμμετοχή στο δίκτυο CSIRT.

(4) Το εθνικό CSIRT εγκαθιδρύει σχέσεις συνεργασίας με τον ιδιωτικό τομέα.

(5) Προς διευκόλυνση της συνεργασίας, το εθνικό CSIRT προωθεί την υιοθέτηση και χρήση κοινών ή τυποποιημένων πρακτικών για-

(α) διαδικασίες χειρισμού συμβάντων και κινδύνων,

(β) συστήματα ταξινόμησης συμβάντων, κινδύνων και πληροφοριών.

(6) Η Αρχή μεριμνά για την αποτελεσματική, αποδοτική και ασφαλή συνεργασία του εθνικού CSIRT στο πλαίσιο του δικτύου CSIRT που αναφέρεται στις διατάξεις του άρθρου 33.

(7) Η Αρχή μεριμνά, ώστε το εθνικό CSIRT να έχει πρόσβαση σε μια κατάλληλη, ασφαλή και ανθεκτική υποδομή επικοινωνιών και πληροφοριών σε εθνικό επίπεδο.

(8) Η Αρχή ενημερώνει την Επιτροπή σχετικά με την εντολή, καθώς και με τα βασικά στοιχεία της διαδικασίας χειρισμού συμβάντων από το εθνικό CSIRT.

(9) Η Αρχή δύναται να ζητά τη συνδρομή του ENISA για την ανάπτυξη του εθνικού και τομεακών CSIRT.

Συνεργασία σε εθνικό επίπεδο

32.-(1) Η Αρχή, ως αρμόδια αρχή και ως ενιαίο κέντρο επαφής, το εθνικό CSIRT και τα τομεακά CSIRT συνεργάζονται ως προς την τήρηση των υποχρεώσεων που προβλέπονται στις διατάξεις του παρόντος Νόμου.

(2) Η Αρχή λαμβάνει τις κοινοποιήσεις συμβάντων που υποβάλλονται σύμφωνα με τις διατάξεις του παρόντος Νόμου και το εθνικό CSIRT, στον βαθμό που είναι αναγκαίο για την εκπλήρωση των καθηκόντων του, έχει πρόσβαση σε δεδομένα σχετικά με συμβάντα που κοινοποιούνται από φορείς εκμετάλλευσης βασικών υπηρεσιών ή και φορείς κρίσιμων υποδομών πληροφοριών, σύμφωνα με τις διατάξεις των εδαφίων (3) και (5) του άρθρου 35, ή από παροχείς ψηφιακών υπηρεσιών, σύμφωνα με τις διατάξεις των εδαφίων (3) και (6) του άρθρου 37.

(3) Η Αρχή, για την εκπλήρωση των καθηκόντων της, ως ενιαίο κέντρο επαφής, τηρείται ενήμερη σχετικά με κοινοποιήσεις και τη διαχείριση συμβάντων που υποβάλλονται σύμφωνα με τις διατάξεις του παρόντος Νόμου.

(4) Η Αρχή, ως ενιαίο κέντρο επαφής, υποβάλλει ετησίως στην ομάδα συνεργασίας, συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει, συμπεριλαμβανομένου του αριθμού των κοινοποιήσεων και της φύσης των κοινοποιημένων συμβάντων, καθώς και τα μέτρα που έχουν ληφθεί σύμφωνα με τις διατάξεις των εδαφίων (3) και (5) του άρθρου 35 και των εδαφίων (3) και (6) του άρθρου 37, σε ημερομηνία που καθορίζεται από την ομάδα συνεργασίας ή/και από την Ευρωπαϊκή Επιτροπή.