33.-(1) Εκπρόσωποι της Αρχής, και κατ’ εφαρμογή της παραγράφου (2) του άρθρου 8 της Οδηγίας (ΕΕ) 2022/2555, συμμετέχουν στην ομάδα Συνεργασίας, η οποία έχει συγκροτηθεί και λειτουργεί δυνάμει των διατάξεων του άρθρου 14 της Οδηγίας (ΕΕ) 2022/2555 και συμβάλλουν στις σχετικές εργασίες της Ομάδας Συνεργασίας, συμπεριλαμβανομένων, μεταξύ άλλων, των άρθρων 14 και του άρθρου 22 της Οδηγίας (ΕΕ) 2022/2555.
(2) Εκπρόσωποι της Αρχής ή/και του εθνικού CSIRT συμμετέχουν στο Δίκτυο CSIRT που έχει συγκροτηθεί και λειτουργεί σύμφωνα με το άρθρο 15 της Οδηγίας (ΕΕ) 2022/2555 και συμβάλλουν στην εκτέλεση των καθηκόντων του.
(3) Εκπρόσωποι της Αρχής ή/και του εθνικού CSIRT συνεργάζονται με φορείς σε ευρωπαϊκό επίπεδο και εκπροσωπούν τη Δημοκρατία σε θέματα που άπτονται των αρμοδιοτήτων της.
(4) Τηρουμένων των διατάξεων του άρθρου 32Α, εκπρόσωποι της Αρχής συμμετέχουν στο EU-CyCLONe που έχει συγκροτηθεί δυνάμει των διατάξεων του άρθρου 16 της Οδηγίας (ΕΕ) 2022/2555 και συμβάλλουν ενεργά στις σχετικές εργασίες του.
34. Η Αρχή δύναται-
(α) να συνεργάζεται με φορείς του ιδιωτικού και δημόσιου τομέα, σε εθνικό επίπεδο,
(β) να συνεργάζεται με φορείς του ιδιωτικού και δημόσιου τομέα σε διεθνές επίπεδο και να εκπροσωπεί την Δημοκρατία σε διεθνείς οργανισμούς σε θέματα που άπτονται των αρμοδιοτήτων της, με την επιφύλαξη όσων ορίζονται διαφορετικά σε διεθνείς συμφωνίες.
(γ) να συμμετέχει αποτελεσματικά σε προγράμματα ανταλλαγής λειτουργών από άλλα κράτη μέλη, εντός ειδικού πλαισίου και, κατά περίπτωση, λαμβάνοντας την απαιτούμενη εξουσιοδότηση ασφαλείας των λειτουργών που συμμετέχουν στα εν λόγω προγράμματα ανταλλαγής, με σκοπό τη βελτίωση της συνεργασίας και ενίσχυση της εμπιστοσύνης των κρατών μελών.
34Α.-(1)(α) Η Αρχή συμμετέχει σε αξιολογήσεις από ομότιμους και η συμμετοχή της σε αυτές είναι προαιρετική.
(β) Οι αξιολογήσεις από ομότιμους διενεργούνται δυνάμει των διατάξεων του άρθρου 19 της Οδηγίας (ΕΕ) 2022/2555, από εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας.
(γ) Οι εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας ορίζονται από τουλάχιστον δύο (2) κράτη μέλη, διαφορετικά από το κράτος μέλος που εξετάζεται.
(2) Οι αξιολογήσεις από ομότιμους καλύπτουν τουλάχιστον ένα από τα ακόλουθα:
(α) το επίπεδο εφαρμογής των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και των υποχρεώσεων κοινοποίησης περιστατικών που προβλέπονται στα άρθρα 21 και 23 της Οδηγίας (ΕΕ) 2022/2555·
(β) το επίπεδο των ικανοτήτων, συμπεριλαμβανομένων των διαθέσιμων οικονομικών, τεχνικών και ανθρώπινων πόρων και την αποτελεσματικότητα της άσκησης των καθηκόντων εκ μέρους των αρμόδιων αρχών·
(γ) τις επιχειρησιακές ικανότητες των CSIRT·
(δ) το επίπεδο υλοποίησης της αμοιβαίας συνδρομής που προβλέπεται στο άρθρο 37 της Οδηγίας (ΕΕ) 2022/2555·
(ε) το επίπεδο υλοποίησης των ρυθμίσεων ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας που προβλέπεται στο άρθρο 29 της Οδηγίας (ΕΕ) 2022/2555· και
(στ) ειδικά ζητήματα διασυνοριακού ή διατομεακού χαρακτήρα.
(3)(α) Η Αρχή ορίζει εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας προς επιλογή για τη διενέργεια των αξιολογήσεων από ομότιμους βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων σύμφωνα με τη μεθοδολογία που αναπτύσσεται από την Ομάδα Συνεργασίας, όπως προνοείται στην παράγραφο (1) του άρθρου 19 της Οδηγίας (ΕΕ) 2022/2555.
(β) Η Επιτροπή και ο ENISA συμμετέχουν ως παρατηρητές στις αξιολογήσεις από ομότιμους.
(4) Η Αρχή μπορεί να προσδιορίσει συγκεκριμένα ζητήματα όπως αναφέρεται στην παράγραφο (στ) του εδαφίου (2) για τους σκοπούς της αξιολόγησης από ομότιμους.
(5) Πριν από την έναρξη της αξιολόγησης από ομότιμους, όπως αυτή προβλέπεται στις διατάξεις του εδαφίου (1), η Αρχή κοινοποιεί στα συμμετέχοντα κράτη μέλη το πεδίο εφαρμογής της αξιολόγησης, μεταξύ άλλων και τα συγκεκριμένα ζητήματα που προσδιορίζονται βάσει του εδαφίου (4).
(6)(α) Πριν από την έναρξη της αξιολόγησης από ομότιμους, η Αρχή δύναται να διενεργεί αυτοαξιολόγηση (self-assessment) των αξιολογούμενων πτυχών και να παρέχει την εν λόγω αυτοαξιολόγηση στους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας.
(β) Η Αρχή εφαρμόζει τη μεθοδολογία για την αυτοαξιολόγηση ως αυτή καθορίζεται από την Ομάδα Συνεργασίας, με τη συνδρομή της Επιτροπής και του ENISA.
(7)(α) Οι αξιολογήσεις από ομότιμους περιλαμβάνουν φυσικές ή εικονικές επιτόπιες επισκέψεις και ανταλλαγές πληροφοριών εκτός των εγκαταστάσεων (off-site exchanges of information).
(β) Με γνώμονα την αρχή της καλής συνεργασίας, η Αρχή όταν αξιολογείται από ομότιμους παρέχει στους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας τις πληροφορίες που είναι αναγκαίες για την αξιολόγηση, με την επιφύλαξη του ενωσιακού δικαίου ή της κείμενης νομοθεσίας σχετικά με την προστασία εμπιστευτικών ή διαβαθμισμένων πληροφοριών και τη διασφάλιση ουσιωδών λειτουργιών του κράτους, όπως η εθνική ασφάλεια.
(γ) Κάθε πληροφορία που λαμβάνεται μέσω της αξιολόγησης από ομότιμους χρησιμοποιείται αποκλειστικά για τον σκοπό αυτό.
(δ) Οι εμπειρογνώμονες κυβερνοασφάλειας που συμμετέχουν στην αξιολόγηση από ομότιμους δεν αποκαλύπτουν σε τρίτους τυχόν ευαίσθητες ή εμπιστευτικές πληροφορίες που απέκτησαν κατά τη διάρκεια της εν λόγω αξιολόγησης από ομότιμους:
(8) Τα σημεία που αξιολογήθηκαν από τους ομότιμους δεν υποβάλλονται σε περαιτέρω αξιολόγηση από ομότιμους για διάστημα δύο (2) ετών μετά την ολοκλήρωση της αξιολόγησης, εκτός εάν αποφασιστεί διαφορετικά από τον αξιολογούμενο ή συμφωνηθεί μετά από πρόταση της Ομάδας Συνεργασίας.
(9)(α) Η Αρχή μεριμνά για τη γνωστοποίηση οποιουδήποτε κινδύνου σύγκρουσης συμφερόντων που αφορά τους ορισθέντες εμπειρογνώμονες κυβερνοασφάλειας στα άλλα κράτη μέλη, στην Ομάδα Συνεργασίας, στην Επιτροπή και στον ENISA, πριν από την έναρξη της αξιολόγησης από ομότιμους.
(β) Η Αρχή όταν υπόκειται σε αξιολόγηση από ομότιμους μπορεί να αντιταχθεί στον ορισμό συγκεκριμένων εμπειρογνωμόνων για δεόντως αιτιολογημένους λόγους τους οποίους κοινοποιεί στο κράτος μέλος που ορίζει τον εμπειρογνώμονα.
(10)(α) Οι εμπειρογνώμονες κυβερνοασφάλειας που συμμετέχουν σε αξιολογήσεις από ομότιμους συντάσσουν εκθέσεις με τα ευρήματα και τα συμπεράσματα των αξιολογήσεων, οι οποίες περιλαμβάνουν συστάσεις που επιτρέπουν τη βελτίωση των πτυχών που καλύπτονται από την αξιολόγηση από ομότιμους.
(β) Η Αρχή δύναται να υποβάλλει παρατηρήσεις σχετικά με τα σχέδια εκθέσεων που την αφορούν και τα σχόλια αυτά επισυνάπτονται στις εκθέσεις.
(γ) Οι εκθέσεις υποβάλλονται στην Ομάδα Συνεργασίας και στο Δίκτυο CSIRT, κατά περίπτωση.
(δ) Η Αρχή δύναται να δημοσιοποιήσει την έκθεσή που την αφορά ή μια αναδιατυπωμένη έκδοσή της.
34Β.-(1) Οι βασικές και σημαντικές οντότητες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου και, κατά περίπτωση, άλλες οντότητες που δεν εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου δύναται να ανταλλάσσουν μεταξύ τους, σε εθελοντική βάση, πληροφορίες σχετικές με την κυβερνοασφάλεια, συμπεριλαμβανομένων πληροφοριών που αφορούν κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες, τεχνικές και διαδικασίες, ενδείξεις της παραβίασης (indicators of compromise), εχθρικές τακτικές, πληροφορίες που αφορούν συγκεκριμένους παράγοντες απειλής (threat actor specific information), προειδοποιήσεις για την κυβερνοασφάλεια και συστάσεις σχετικά με την παραμετροποίηση εργαλείων κυβερνοασφάλειας για τον εντοπισμό κυβερνοεπιθέσεων, στον βαθμό που η εν λόγω ανταλλαγή πληροφοριών-
(α) αποσκοπεί στην πρόληψη, τον εντοπισμό, την αντιμετώπιση ή την ανάκαμψη από περιστατικά ή στον μετριασμό των επιπτώσεών τους·
(β) ενισχύει το επίπεδο της κυβερνοασφάλειας, ιδίως μέσω της ευαισθητοποίησης σχετικά με τις κυβερνοαπειλές, του περιορισμού ή της παρεμπόδισης της ικανότητας διάδοσης των εν λόγω απειλών, της στήριξης μιας σειράς αμυντικών ικανοτήτων, της αποκατάστασης και της γνωστοποίησης ευπαθειών, της ανίχνευσης απειλών, των τεχνικών περιορισμού και πρόληψης, των στρατηγικών μετριασμού ή των σταδίων αντίδρασης και ανάκαμψης ή της προώθησης της συνεργατικής έρευνας για τις κυβερνοαπειλές μεταξύ δημόσιων και ιδιωτικών φορέων.
(2)(α) Η ανταλλαγή πληροφοριών πραγματοποιείται στο πλαίσιο κοινοτήτων βασικών και σημαντικών οντοτήτων και, κατά περίπτωση, των προμηθευτών ή των παροχέων υπηρεσιών τους.
(β) Η ανταλλαγή πληροφοριών πραγματοποιείται μέσω ρυθμίσεων για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας όσον αφορά τον δυνητικά ευαίσθητο χαρακτήρα των ανταλλασσόμενων πληροφοριών.
(3)(α) Η Αρχή θεσπίζει ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας που αναφέρονται στις διατάξεις του εδαφίου (2).
(β) Οι εν λόγω ρυθμίσεις δύναται να προσδιορίζουν επιχειρησιακά στοιχεία, συμπεριλαμβανομένων της χρήσης ειδικών πλατφορμών ΤΠΕ και εργαλείων αυτοματισμού, του περιεχομένου και των όρων των ρυθμίσεων ανταλλαγής πληροφοριών.
(γ) Κατά τον καθορισμό των λεπτομερειών της συμμετοχής των δημόσιων αρχών στις εν λόγω ρυθμίσεις, η Αρχή δύναται να επιβάλλει όρους όσον αφορά τις πληροφορίες που διατίθενται από αυτή.
(δ) Η Αρχή παρέχει βοήθεια για την εφαρμογή των εν λόγω ρυθμίσεων σύμφωνα με τις πολιτικές που αναφέρονται στην παράγραφο (η) του εδαφίου (2) του άρθρου 29.
(4) Οι βασικές και σημαντικές οντότητες γνωστοποιούν στην Αρχή τη συμμετοχή τους στις ρυθμίσεις ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας που αναφέρονται στο εδάφιο (2), αμέσως μετά τη σύναψη των εν λόγω ρυθμίσεων ή, κατά περίπτωση, την ανάκληση της συμμετοχής τους στις ρυθμίσεις αυτές, μόλις αυτή πραγματοποιηθεί.
(5) Η Αρχή λαμβάνει υπόψη τις βέλτιστες πρακτικές και καθοδήγηση που δύναται να παρέχει ο ENISA δυνάμει των διατάξεων της παραγράφου 5 του άρθρου 29 της Οδηγίας (ΕΕ) 2022/2555.
34Γ.-(1)(α) Όταν μια οντότητα παρέχει υπηρεσίες σε περισσότερα του ενός κράτη μέλη ή παρέχει υπηρεσίες σε ένα ή περισσότερα κράτη μέλη και τα συστήματα δικτύου και πληροφοριών της βρίσκονται σε ένα ή περισσότερα άλλα κράτη μέλη, η Αρχή συνεργάζεται με τις αρμόδιες αρχές των ενδιαφερόμενων κρατών μελών και παρέχει αμοιβαία συνδρομή, ανάλογα με τις ανάγκες.
(β) Η συνεργασία αυτή συνεπάγεται, τουλάχιστον, ότι:
(i) Σε περίπτωση που η Αρχή εφαρμόζει μέτρα εποπτείας ή επιβολής στη Δημοκρατία ενημερώνει και διαβουλεύεται με τις αρμόδιες αρχές των άλλων ενδιαφερόμενων κρατών μελών σχετικά με τα μέτρα εποπτείας και επιβολής που λαμβάνει και το αντίστροφο·
(ii) η Αρχή δύναται να ζητήσει από άλλη αρμόδια αρχή να λάβει τα μέτρα εποπτείας ή επιβολής και το αντίστροφο·
(iii) η Αρχή, μόλις λάβει τεκμηριωμένο αίτημα από άλλη αρμόδια αρχή, παρέχει στην άλλη αρμόδια αρχή αμοιβαία συνδρομή ανάλογη προς τους πόρους που διαθέτει η ίδια, ώστε τα μέτρα εποπτείας ή επιβολής να μπορούν να εφαρμοστούν με αποτελεσματικό, αποδοτικό και συνεπή τρόπο και το αντίστροφο:
Νοείται ότι, η αμοιβαία συνδρομή που αναφέρεται στην υποπαράγραφο (iii) δύναται να καλύπτει αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, συμπεριλαμβανομένων αιτημάτων για τη διενέργεια επιτόπιων επιθεωρήσεων ή μη επιτόπιας εποπτείας ή στοχευμένων ελέγχων ασφάλειας:
Νοείται περαιτέρω ότι, η Αρχή όταν λαμβάνει αίτημα συνδρομής δεν απορρίπτει την αίτηση αυτή, εκτός εάν διαπιστωθεί ότι δεν είναι αρμόδια να παράσχει τη ζητούμενη συνδρομή, ότι η ζητούμενη συνδρομή δεν είναι ανάλογη προς τα εποπτικά της καθήκοντα ή ότι η αίτηση αφορά πληροφορίες ή συνεπάγεται δραστηριότητες οι οποίες, εάν κοινοποιηθούν ή εκτελεστούν, αντιτίθενται προς τα βασικά συμφέροντα εθνικής ασφάλειας, δημόσιας ασφάλειας ή άμυνας της Δημοκρατίας:
Νοείται έτι περαιτέρω ότι, η Αρχή πριν απορρίψει το εν λόγω αίτημα, διαβουλεύεται με τις άλλες οικείες αρμόδιες αρχές, καθώς και, κατόπιν αιτήματος ενός από τα ενδιαφερόμενα κράτη μέλη, με την Επιτροπή και τον ENISA.
(2) Κατά περίπτωση και με κοινή συμφωνία, η Αρχή δύναται να αναλάβει κοινές εποπτικές ενέργειες με άλλες αρμόδιες αρχές διαφόρων κρατών μελών.