35.-(1)(α) Οι βασικές και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες.
(β) Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες (state-of-the-art) και, κατά περίπτωση, τα σχετικά ευρωπαϊκά και διεθνή πρότυπα καθώς και το κόστος εφαρμογής, τα μέτρα που αναφέρονται στην παράγραφο (α) του εδαφίου (1), οι βασικές και σημαντικές οντότητες εξασφαλίζουν ότι το επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριών είναι ανάλογο προς τον εκάστοτε κίνδυνο.
(γ) Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνονται δεόντως υπόψη ο βαθμός έκθεσης της οντότητας σε κινδύνους, το μέγεθος της οντότητας και η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένων των κοινωνικών και οικονομικών επιπτώσεών τους.
(2) Τα μέτρα που αναφέρονται στην παράγραφο (α) του εδαφίου (1), τα οποία δύναται να καθοριστούν σε Απόφαση που εκδίδει η Αρχή, βασίζονται σε ολιστική προσέγγιση του κινδύνου που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά και περιλαμβάνουν τουλάχιστον τα ακόλουθα:
(α) Πολιτικές για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων·
(β) χειρισμό περιστατικών·
(γ) επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων·
(δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών που αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της·
(ε) απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριών, με ασφαλείς τρόπους και μέσα, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών·
(στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας·
(ζ) βασικές πρακτικές κυβερνοϋγιεινής (cyber hygiene) και κατάρτιση στην κυβερνοασφάλεια·
(η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας (cryptography) και, κατά περίπτωση, κρυπτογράφησης (encryption)·
(θ) ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων· και
(ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας (multi-factor authentication) ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.
(3) Αναφορικά με τα μέτρα που αναφέρονται στην παράγραφο (δ) του εδαφίου (2) οι οντότητες λαμβάνουν υπόψη-
(α) τις ευπάθειες που χαρακτηρίζουν κάθε άμεσο προμηθευτή και πάροχο υπηρεσιών και τη συνολική ποιότητα των προϊόντων και των πρακτικών κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους∙ και
(β) τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με την παράγραφο 1 του άρθρου 22 της Οδηγίας (ΕΕ) 2022/2555.
(4) Οντότητα η οποία διαπιστώνει ότι δεν συμμορφώνεται με τα προβλεπόμενα δυνάμει των διατάξεων του εδαφίου (2) μέτρα, υποχρεούται να λαμβάνει αμελλητί όλα τα αναγκαία, κατάλληλα και αναλογικά διορθωτικά μέτρα.
(5) Η Αρχή εφαρμόζει τυχόν εκτελεστικές πράξεις της Επιτροπής για τον καθορισμό των τεχνικών και μεθοδολογικών απαιτήσεων των μέτρων διαχείρισης κινδύνων που αναφέρονται στο εδάφιο (2), σύμφωνα με τις διατάξεις της παραγράφου 5 του άρθρου 21 της Οδηγίας (ΕΕ) 2022/2555.
35Α.-(1) H ανώτατη διοίκηση των βασικών και σημαντικών οντοτήτων υποχρεούται να εγκρίνει τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω οντότητες προκειμένου να συμμορφώνονται με τις διατάξεις του άρθρου 35, να επιβλέπει την εφαρμογή τους και είναι δυνατό να λογοδοτεί για την εκ μέρους των οντοτήτων παράβαση των υποχρεώσεων βάσει του εν λόγω άρθρου.
(2) Η εφαρμογή των διατάξεων του εδαφίου (1), δεν θίγει την οικεία νομοθεσία, όσον αφορά τους κανόνες περί ευθύνης που ισχύουν για τους δημόσιους οργανισμούς, καθώς και την ευθύνη δημοσίων υπαλλήλων και αιρετών ή διορισμένων αξιωματούχων.
(3) Τα μέλη της ανώτατης διοίκησης των βασικών και σημαντικών οντοτήτων υποχρεούνται να παρακολουθούν εκπαιδεύσεις και να προσφέρουν παρόμοια κατάρτιση στους υπαλλήλους τους σε τακτική βάση, προκειμένου να αποκτούν επαρκείς γνώσεις και δεξιότητες που τους επιτρέπουν να εντοπίζουν τους κινδύνους και να αξιολογούν τις πρακτικές διαχείρισης κινδύνων, στον τομέα της κυβερνοασφάλειας και τον αντίκτυπό τους στις υπηρεσίες που παρέχει η οντότητα.
35Β.-(1)(α) Οι βασικές και σημαντικές οντότητες κοινοποιούν αμελλητί στην Αρχή, τηρουμένων των διατάξεων του εδαφίου (4), κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους, όπως αναφέρεται στο εδάφιο (3) (σημαντικό περιστατικό).
(β) Κατά περίπτωση, οι εν λόγω οντότητες κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους αποδέκτες των υπηρεσιών τους σημαντικά περιστατικά που ενδέχεται να επηρεάσουν αρνητικά την παροχή των υπηρεσιών τους.
(γ) Οι εν λόγω οντότητες αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην Αρχή να προσδιορίσει τυχόν διασυνοριακές επιπτώσεις του περιστατικού.
(δ) Η πράξη κοινοποίησης δεν συνεπάγεται αυξημένη ευθύνη στην κοινοποιούσα οντότητα.
(ε) Σε περίπτωση κατά την οποία, οι εν λόγω οντότητες κοινοποιούν στην Αρχή σημαντικό περιστατικό σύμφωνα με τις παραγράφους (α) έως (δ) του εδαφίου (1), η Αρχή διαβιβάζει την κοινοποίηση στο εθνικό CSIRT με την παραλαβή της.
(στ) Η Αρχή, ως ενιαίο σημείο επαφής, σε περίπτωση διασυνοριακού ή διατομεακού σημαντικού περιστατικού, διασφαλίζει ότι λαμβάνει εγκαίρως τις σχετικές πληροφορίες που κοινοποιούνται σύμφωνα με το εδάφιο (4) και, όποτε η Αρχή το κρίνει αναγκαίο, σε συνεννόηση με άλλες αρμόδιες αρχές.
(ζ) Οι διαδικασίες και το περιεχόμενο της κοινοποίησης περιστατικού καθώς και οποιαδήποτε σχετικά στοιχεία, ρυθμίζονται με Απόφαση που εκδίδει η Αρχή, δυνάμει των διατάξεων του παρόντος Νόμου.
(2) Κατά περίπτωση, οι βασικές και σημαντικές οντότητες κοινοποιούν αμελλητί στους αποδέκτες των υπηρεσιών τους, οι οποίοι ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, τυχόν μέτρα ή διορθωτικές ενέργειες που μπορούν να λάβουν για την αντιμετώπιση της συγκεκριμένης απειλής και, κατά περίπτωση, οι εν λόγω οντότητες ενημερώνουν τους αποδέκτες των υπηρεσιών του για τη σημαντική κυβερνοαπειλή:
(3) Περιστατικό θεωρείται σημαντικό εάν-
(α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την εν λόγω οντότητα· ή/και
(β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία.
(4) Για τους σκοπούς της κοινοποίησης δυνάμει του εδαφίου (1), οι βασικές και σημαντικές οντότητες υποβάλλουν στην Αρχή-
(α) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός έξι (6) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, ενημέρωση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή δύναται να έχει διασυνοριακό αντίκτυπο·
(β) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από τη στιγμή που έγινε αντιληπτό το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες που αναφέρονται στην παράγραφο (α) και αναφέρει μία αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης·
(γ) κατόπιν αιτήματος της Αρχής, ενδιάμεση έκθεση σχετικά με τις σχετικές επικαιροποιήσεις της κατάστασης·
(δ) τελική έκθεση το αργότερο μέσα σε ένα μήνα μετά από την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την παράγραφο (β) ή (στ), η οποία περιλαμβάνει τα ακόλουθα:
(i) Λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητάς του και των επιπτώσεών του·
(ii) το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό·
(iii) εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού· και
(iv) κατά περίπτωση, το διασυνοριακό αντίκτυπο του περιστατικού·
(ε) σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στην παράγραφο (δ), οι βασικές και σημαντικές οντότητες υποβάλλουν έκθεση προόδου κάθε δεκαπέντε (15) ημέρες, μετά την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την παράγραφο (β) ή (στ), μέχρι την υποβολή της τελικής έκθεσης η οποία υποβάλλεται εντός δεκαπέντε (15) ημερών από την αποκατάσταση της λειτουργίας του δικτύου ή του πληροφοριακού συστήματος που επηρεάστηκε· και
(στ) κατά παρέκκλιση από τα αναφερόμενα στην παράγραφο (β), ο παροχέας υπηρεσιών εμπιστοσύνης κοινοποιεί στην Αρχή, όσον αφορά σημαντικά περιστατικά που επηρεάζουν την παροχή των υπηρεσιών εμπιστοσύνης του, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που έλαβε γνώση του σημαντικού περιστατικού.
(5)(α) Η Αρχή παρέχει στην κοινοποιούσα οντότητα, αμελλητί και ει δυνατόν εντός είκοσι τεσσάρων (24) ωρών από τη λήψη της έγκαιρης προειδοποίησης που αναφέρεται στην παράγραφο (α) του εδαφίου (4), απάντηση που συμπεριλαμβάνει αρχική ανατροφοδότηση (feedback) σχετικά με το σημαντικό περιστατικό και, κατόπιν αιτήματος της οντότητας, καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού.
(β) Το εθνικό CSIRT παρέχει πρόσθετη τεχνική υποστήριξη εφόσον το ζητήσει η κοινοποιούσα οντότητα ή εφόσον το κρίνει απαραίτητο η Αρχή.
(γ) Σε περίπτωση κατά την οποία υπάρχουν υπόνοιες ότι το σημαντικό περιστατικό αφορά διάπραξη ποινικού αδικήματος, η Αρχή παρέχει επίσης καθοδήγηση σχετικά με την κοινοποίηση του σημαντικού περιστατικού στην Αστυνομία.
(6)(α) Κατά περίπτωση, και ιδίως όταν το σημαντικό περιστατικό αφορά δύο ή περισσότερα κράτη μέλη, η Αρχή ενημερώνει αμελλητί τα άλλα επηρεαζόμενα κράτη μέλη και τον ENISA σχετικά με το σημαντικό περιστατικό.
(β) Οι εν λόγω πληροφορίες περιλαμβάνουν το είδος των πληροφοριών που λαμβάνονται σύμφωνα με το εδάφιο (4).
(γ) Στο πιο πάνω πλαίσιο η Αρχή διαφυλάσσει, σύμφωνα με το ενωσιακό δίκαιο ή την κείμενη νομοθεσία, την ασφάλεια και τα εμπορικά συμφέροντα της οντότητας καθώς και την εμπιστευτικότητα των παρεχόμενων πληροφοριών.
(7) Σε περίπτωση κατά την οποία, η ευαισθητοποίηση του κοινού είναι αναγκαία για την πρόληψη σημαντικού περιστατικού ή για την αντιμετώπιση συνεχιζόμενου σημαντικού περιστατικού, ή σε περίπτωση που η γνωστοποίηση του σημαντικού περιστατικού είναι προς το δημόσιο συμφέρον, η Αρχή και κατά περίπτωση οι αρμόδιες αρχές ή οι CSIRTs άλλων ενδιαφερόμενων κρατών μελών, μπορούν, κατόπιν διαβούλευσης με την επηρεαζόμενη οντότητα, να ενημερώσουν το κοινό σχετικά με το σημαντικό περιστατικό ή να απαιτήσουν από την εν λόγω οντότητα να το πράξει.
(8) Η Αρχή, ως ενιαίο σημείο επαφής διαβιβάζει κατά περίπτωση, τις κοινοποιήσεις που λαμβάνονται σύμφωνα με το εδάφιο (1) στα ενιαία σημεία επαφής άλλων επηρεαζόμενων κρατών μελών.
(9)(α) Η Αρχή υποβάλλει στον ENISA ανά τρεις (3) μήνες συνοπτική έκθεση, η οποία περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται δυνάμει των διατάξεων του εδαφίου (1) και των διτάξεων του άρθρου 42 του παρόντος Νόμου.
(β) Η Αρχή λαμβάνει υπόψη τυχόν τεχνικές οδηγίες που εκδίδει ο ENISA σχετικά με τις παραμέτρους των πληροφοριών που πρέπει να περιλαμβάνονται στη συνοπτική έκθεση.
(10) Η Αρχή παρέχει στην αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων πληροφορίες σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται δυνάμει των διατάξεων του εδαφίου (1) και των διατάξεων του άρθρου 42 από οντότητες που προσδιορίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων.
(11) Η Αρχή εφαρμόζει τις εκτελεστικές πράξεις που εκδίδει η Επιτροπή σύμφωνα με τις διατάξεις της παραγράφου (11) του άρθρου 23 της Οδηγίας (ΕΕ) 2022/2555.
(12)(α) Σε περίπτωση κατά την οποία, οι διατάξεις τομεακής νομικής πράξης της Ένωσης απαιτούν από βασικές ή σημαντικές οντότητες να συμμορφωθούν με υποχρεώσεις κοινοποίησης οι οποίες τουλάχιστον ισοδύναμου αποτελέσματος με τις υποχρεώσεις κοινοποίησης που ορίζονται στον παρόντα Νόμο, διασφαλίζεται η συνοχή και η αποτελεσματικότητα του χειρισμού των κοινοποιήσεων περιστατικών.
(β) Για τον σκοπό αυτό, οι διατάξεις της τομεακής νομικής πράξης της Ένωσης για την κοινοποίηση περιστατικών οφείλουν όπως παρέχουν στην Αρχή άμεση πρόσβαση στις κοινοποιήσεις περιστατικών που υποβάλλονται σύμφωνα με την τομεακή νομική πράξη της Ένωσης και ειδικότερα, η εν λόγω άμεση πρόσβαση μπορεί να διασφαλιστεί εάν οι κοινοποιήσεις περιστατικών διαβιβάζονται αμελλητί στην Αρχή.
(γ) Κατά περίπτωση, η Αρχή οφείλει να θεσπίσει μηχανισμό αυτόματης και άμεσης αναφοράς που να διασφαλίζει τη συστηματική και άμεση ανταλλαγή πληροφοριών σχετικά με τον χειρισμό των εν λόγω κοινοποιήσεων περιστατικών.
(δ) Για τους σκοπούς της απλούστευσης της κοινοποίησης και της εφαρμογής του μηχανισμού αυτόματης και άμεσης υποβολής αναφορών, η Αρχή δύναται, σύμφωνα με την τομεακή νομική πράξη της Ένωσης, να χρησιμοποιεί ενιαίο σημείο εισόδου.
36.-(1) H Αρχή χρησιμοποιεί τα απαραίτητα μέσα για την άσκηση αποτελεσματικής εποπτείας των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου και λαμβάνει τα αναγκαία μέτρα για να εξασφαλίσει τη συμμόρφωσή τους σύμφωνα με τον παρόντα Νόμο.
(2)Η Αρχή δύναται να εκδώσει Απόφαση σχετικά με τον τρόπο αξιολόγησης της συμμόρφωσης των βασικών και σημαντικών οντοτήτων οι οποίες εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου σχετικά με τις υποχρεώσεις τους.
(3)(α) Η Αρχή δύναται να ιεραρχεί τα εποπτικά καθήκοντα και η ιεράρχιση αυτή βασίζεται σε προσέγγιση βάσει κινδύνου.
(β) Για τον σκοπό αυτό, κατά την άσκηση των εποπτικών της καθηκόντων, ως αυτά προβλέπονται στα άρθρα 36Α και 36Β, η Αρχή δύναται να θεσπίζει με Απόφασή της, μεθοδολογίες εποπτείας που επιτρέπουν την ιεράρχηση των εν λόγω καθηκόντων με μία προσέγγιση βάσει κινδύνου.
(4) [Διαγράφηκε].
(5) [Διαγράφηκε].
(6) [Διαγράφηκε].
(7) Κατά την αντιμετώπιση περιστατικών τα οποία οδηγούν σε παραβιάσεις προσωπικών δεδομένων, η Αρχή συνεργάζεται στενά με τον Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με την επιφύλαξη της απορρέουσας αρμοδιότητας και των καθηκόντων δυνάμει του Κανονισμού (ΕΕ) 2016/679.
(8)(α) Με την επιφύλαξη του νομοθετικού και θεσμικού πλαισίου της Δημοκρατίας, η Αρχή, κατά την άσκηση των αρμοδιοτήτων της και ιδιαίτερα κατά την εποπτεία της συμμόρφωσης των οντοτήτων δημόσιας διοίκησης και την πρόβλεψη και εφαρμογή μέτρων επιβολής για παραβιάσεις του παρόντος Νόμου, είναι λειτουργικά ανεξάρτητη και ασκεί τις εξουσίες και τα καθήκοντά της με λειτουργική ανεξαρτησία έναντι των εποπτευόμενων οντοτήτων δημόσιας διοίκησης.
(β) Η Αρχή δύναται να αποφασίσει την επιβολή κατάλληλων, αναλογικών και αποτελεσματικών μέτρων εποπτείας και επιβολής σε σχέση με τις εν λόγω οντότητες σύμφωνα με το εθνικό νομοθετικό και θεσμικό πλαίσιο.
36Α.-(1) Τα μέτρα εποπτείας ή επιβολής που επιβάλλονται σε βασικές οντότητες, σε σχέση με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο για τις βασικές οντότητες, είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
(2) Η Αρχή, κατά την άσκηση των εποπτικών της καθηκόντων σε σχέση με βασικές οντότητες, έχει την εξουσία να υποβάλλει τις εν λόγω οντότητες τουλάχιστον σε-
(α) επιτόπιες επιθεωρήσεις και εποπτεία εκτός των εγκαταστάσεων, συμπεριλαμβανομένων δειγματοληπτικών ελέγχων (random checks), που διεξάγονται από καταρτισμένους επαγγελματίες·
(β) τακτικούς και στοχευμένους ελέγχους ασφάλειας (security audits) που διενεργούνται από την Αρχή ή από ειδικευμένο ανεξάρτητο όργανο που εξουσιοδοτείται από την Αρχή:
(γ) έκτακτους ειδικούς ελέγχους, μεταξύ άλλων, όταν αυτό δικαιολογείται, λόγω σημαντικού περιστατικού ή παραβίαση των διατάξεων του παρόντος Νόμου από τη βασική οντότητα·
(δ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της βασικής οντότητας·
(ε) αιτήματα παροχής πληροφοριών αναγκαίων για την αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η εν λόγω οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στις αρμόδιες αρχές δυνάμει των διατάξεων του άρθρου 37Α·
(στ) αιτήματα πρόσβασης σε δεδομένα, έγγραφα και πληροφορίες που απαιτούνται για την εκτέλεση των εποπτικών καθηκόντων τους·
(ζ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο ελεγκτή όπως η εξουσιοδότηση αυτή δύναται να καθοριστεί σε Απόφαση της Αρχής ή/και ανεξάρτητο ελεγκτή, και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.
(3) Η Αρχή κατά την άσκηση των εξουσιών της κατά τα προεβλεπόμενα στις παραγράφους (ε), (στ) ή (ζ) του εδαφίου (2), δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
(4) Η Αρχή, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με τις βασικές οντότητες, έχει την εξουσία τουλάχιστον να-
(α) εκδίδει προειδοποιήσεις σχετικά με παραβιάσεις των διατάξεων του παρόντος Νόμου από τις βασικές οντότητες·
(β) εκδίδει δεσμευτικές οδηγίες, μεταξύ άλλων όσον αφορά τα μέτρα τα οποία είναι αναγκαία για την πρόληψη ή την αποκατάσταση περιστατικού, καθώς και προθεσμίες για την εφαρμογή των εν λόγω μέτρων και για την υποβολή εκθέσεων σχετικά με την εφαρμογή τους ή Απόφαση με την οποία ζητείται από τις εν λόγω οντότητες να αποκαταστήσουν τις ελλείψεις που εντοπίστηκαν ή τις παραβιάσεις των διατάξεων του παρόντος Νόμου·
(γ) απαιτεί από τις εν λόγω οντότητες να τερματίσουν συμπεριφορά που παραβιάζει τις διατάξεις του παρόντος Νόμου και να απέχουν από την επανάληψη της εν λόγω συμπεριφοράς·
(δ) απαιτεί από τις εν λόγω οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με το άρθρο 35 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που προβλέπονται δυνάμει των διατάξεων του άρθρου 35Β, με συγκεκριμένο τρόπο και εντός καθορισμένου χρονικού διαστήματος·
(ε) απαιτεί από τις εν λόγω οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής·
(στ) απαιτεί από τις εν λόγω οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας·
(ζ) ορίζει υπεύθυνο παρακολούθησης με σαφώς καθορισμένα καθήκοντα για καθορισμένο χρονικό διάστημα, προκειμένου να επιβλέπει τη συμμόρφωση των εν λόγω οντοτήτων δυνάμει των διατάξεων των άρθρων 35 και 35Β·
(η) απαιτεί από τις εν λόγω οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων των διατάξεων του παρόντος Νόμου με συγκεκριμένο τρόπο· και
(θ) επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του άρθρου 43Α επιπρόσθετα από οποιαδήποτε από τα μέτρα που αναφέρονται στις παραγράφους (α) έως (η) του παρόντος εδαφίου.
(5) Σε περίπτωση κατά την οποία τα μέτρα επιβολής που θεσπίζονται σύμφωνα με τις παραγράφους (α) έως (δ) και (στ) του εδαφίου (4) είναι αναποτελεσματικά, η Αρχή έχει την εξουσία να ορίζει προθεσμία εντός της οποίας η βασική οντότητα καλείται να λάβει τα αναγκαία μέτρα για την αποκατάσταση των ελλείψεων ή για τη συμμόρφωση με τις απαιτήσεις της Αρχής και εάν τα ζητούμενα μέτρα δεν ληφθούν εντός της καθορισμένης προθεσμίας, η Αρχή έχει την εξουσία να-
(α) αναστείλει προσωρινά ή να ζητήσει από φορέα πιστοποίησης ή εξουσιοδότησης ή από δικαστήριο, σύμφωνα με την κείμενη νομοθεσία, την προσωρινή αναστολή πιστοποίησης ή εξουσιοδότησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών που παρέχονται ή των δραστηριοτήτων που εκτελούνται από τη βασική οντότητα· και
(β) ζητά από τα αρμόδια όργανα, σύμφωνα με τη κείμενη νομοθεσία, να απαγορεύουν προσωρινά σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νομικού εκπροσώπου στη βασική οντότητα να ασκεί διευθυντικά καθήκοντα στην εν λόγω οντότητα:
(6) Κάθε φυσικό πρόσωπο το οποίο είναι υπεύθυνο ή ενεργεί ως νόμιμος εκπρόσωπος βασικής οντότητας με βάση την εξουσία εκπροσώπησής της, την αρμοδιότητα να λαμβάνει αποφάσεις εξ ονόματός της ή να ασκεί τον έλεγχό της, έχει την εξουσία να διασφαλίζει τη συμμόρφωσή της με τις διατάξεις του παρόντος Νόμου και το εν λόγω φυσικό πρόσωπο δύναται να θεωρηθεί υπεύθυνο για παράβαση των υποχρεώσεών του, ώστε να εξασφαλίζεται η συμμόρφωση με τον παρόντα Νόμο:
(7) Σε περίπτωση κατά την οποία, η Αρχή λαμβάνει οποιοδήποτε από τα μέτρα επιβολής που αναφέρονται στα εδάφια (4) ή (5), σέβεται τα δικαιώματα υπεράσπισης και λαμβάνει υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης και, τουλάχιστον, λαμβάνει δεόντως υπόψη-
(α) τη σοβαρότητα της παράβασης και τη σημασία των διατάξεων που παραβιάζονται, ενώ σε κάθε περίπτωση τα ακόλουθα, μεταξύ άλλων, θεωρούνται σοβαρές παραβάσεις:
(i) Η ύπαρξη επανειλημμένων παραβάσεων·
(ii) η μη κοινοποίηση ή η μη αποκατάσταση σημαντικών περιστατικών·
(iii) η μη αποκατάσταση ελλείψεων σύμφωνα με δεσμευτικές οδηγίες της Αρχής·
(iv) η παρεμπόδιση των ελέγχων ή των δραστηριοτήτων παρακολούθησης που διατάσσονται από την Αρχή μετά τη διαπίστωση παράβασης· και
(v) η παροχή ψευδών ή κατάφωρα ανακριβών πληροφοριών σε σχέση με τα μέτρα διαχείρισης κινδύνου ή τις υποχρεώσεις υποβολής κοινοποιήσεων που ορίζονται στις διατάξεις των άρθρων 35 και 35Β·
(β) τη διάρκεια της παράβασης·
(γ) τυχόν σχετικές προηγούμενες παραβάσεις από την εν λόγω οντότητα·
(δ) οποιαδήποτε υλική ή μη υλική ζημία που προκλήθηκε, συμπεριλαμβανομένης της χρηματοοικονομικής ή οικονομικής ζημίας, τις επιπτώσεις σε άλλες υπηρεσίες και τον αριθμό των θιγόμενων χρηστών·
(ε) οποιαδήποτε πρόθεση ή αμέλεια εκ μέρους του δράστη της παράβασης·
(στ) οποιαδήποτε μέτρα που λαμβάνει η οντότητα για την πρόληψη ή τον μετριασμό της υλικής ή μη υλικής ζημίας·
(ζ) οποιαδήποτε τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης· και
(η) τον βαθμό συνεργασίας των υπαίτιων φυσικών ή νομικών προσώπων με την Αρχή.
(8)(α) Η Αρχή αιτιολογεί λεπτομερώς τα μέτρα επιβολής της και πριν από τη λήψη των μέτρων αυτών, κοινοποιεί στις ενδιαφερόμενες οντότητες τα προκαταρκτικά πορίσματά της, με την επιφύλαξη των διατάξεων του άρθρου 21.
(β) Η Αρχή παρέχει επίσης εύλογο χρονικό διάστημα στις ενδιαφερόμενες οντότητες για να υποβάλουν παρατηρήσεις, εκτός από δεόντως αιτιολογημένες περιπτώσεις όπου διαφορετικά θα παρεμποδιζόταν η ανάληψη άμεσης δράσης για την πρόληψη ή την αντιμετώπιση περιστατικών.
(9) Η Αρχή δυνάμει του παρόντος Νόμου ενημερώνει τη σχετική αρμόδια αρχή στη Δημοκρατία για την ανθεκτικότητα των κρίσιμων οντοτήτων κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της με στόχο τη διασφάλιση της συμμόρφωσης μίας οντότητας που προσδιορίζεται ως κρίσιμη οντότητα από την αρμοδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων με τις υποχρεώσεις του παρόντος Νόμου, και κατά περίπτωση, η αρμόδια αρχή στη Δημοκρατία δύναται να ζητεί από την Αρχή να ασκεί τις εποπτικές και εκτελεστικές εξουσίες της σε σχέση με οντότητα η οποία προσδιορίζεται ως κρίσιμη οντότητα δυνάμει της Οδηγίας (ΕΕ) 2022/2557.
(10) Η Αρχή συνεργάζεται με τις αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554 και ειδικότερα, ενημερώνει το φόρουμ εποπτείας που συστάθηκε σύμφωνα με το άρθρο 32 παράγραφος 1 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης βασικής οντότητας που έχει οριστεί ως κρίσιμος τρίτος παροχέας υπηρεσιών ΤΠΕ σύμφωνα με το άρθρο 31 του Κανονισμού (ΕΕ) 2022/2554 με τις υποχρεώσεις των διατάξεων του παρόντος Νόμου:
36Β.-(1) Η Αρχή λαμβάνει μέτρα, εφόσον απαιτείται, μέσω κατασταλτικών εποπτικών μέτρων (ex post supervisory measures) σε περίπτωση που της παρέχονται αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες ότι μια σημαντική οντότητα εικάζεται ότι δεν συμμορφώνεται με τις υποχρεώσεις που ορίζονται στον παρόντα Νόμο για τις σημαντικές οντότητες, ιδίως με τις διατάξεις των άρθρων 35 και 35Β του παρόντος Νόμου και τα μέτρα αυτά είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
(2) Η Αρχή, κατά την άσκηση των εξουσιών επιβολής σε σχέση με σημαντικές οντότητες, έχει την εξουσία να υποβάλλει τις εν λόγω οντότητες τουλάχιστον σε-
(α) επιτόπιες επιθεωρήσεις και κατασταλτική εποπτεία (ex post supervision) εκτός των εγκαταστάσεων, που διενεργούνται από καταρτισμένους επαγγελματίες·
(β) στοχευμένους ελέγχους ασφάλειας (security audits) που διενεργούνται από ανεξάρτητο όργανο ή αρμόδια αρχή:
(γ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της εν λόγω οντότητας·
(δ) αιτήματα παροχής πληροφοριών αναγκαίων για την εκ των υστερών αξιολόγηση (ex post) των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η εν λόγω οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στην Αρχή δυνάμει των διατάξεων του άρθρου 37Α·
(ε) αιτήματα για πρόσβαση σε δεδομένα, έγγραφα ή πληροφορίες που είναι αναγκαία για την εκτέλεση των εποπτικών της καθηκόντων·
(στ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο ελεγκτή και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.
(3) Η Αρχή κατά την άσκηση των εξουσιών της σύμφωνα κατά τα προβλεπόμενα στις παραγράφους (δ), (ε) ή (στ) του εδάφιου (2), δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
(4) Η Αρχή, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με σημαντικές οντότητες, έχει την εξουσία τουλάχιστον να-
(α) εκδίδει προειδοποιήσεις σχετικά με τις παραβιάσεις των διατάξεων του παρόντος Νόμου από τις εν λόγω οντότητες·
(β) εκδίδει δεσμευτικές οδηγίες ή Απόφαση προς τις εν λόγω οντότητες για να αποκαταστήσουν τις διαπιστωθείσες ελλείψεις ή την παράβαση των υποχρεώσεων του παρόντος Νόμου·
(γ) απαιτεί από τις εν λόγω οντότητες να παύσουν συμπεριφορά που παραβιάζει τις διατάξεις του παρόντος Νόμου και να απέχουν από επανάληψη της εν λόγω συμπεριφοράς παραβίασης·
(δ) απαιτεί από τις εν λόγω οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με τις διατάξεις του άρθρου 35 ή να εκπληρώσουν τις υποχρεώσεις υποβολής κοινοποιήσεων που ορίζονται στις διατάξεις του άρθρου 35Β, με συγκεκριμένο τρόπο και εντός καθορισμένου χρονικού διαστήματος·
(ε) απαιτεί από τις εν λόγω οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες τα οποία ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής·
(στ) απαιτεί από τις εν λόγω οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας·
(ζ) απαιτεί από τις εν λόγω οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων των διατάξεων του παρόντος Νόμου με συγκεκριμένο τρόπο·
(η) επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων του άρθρου 43Α επιπρόσθετα από οποιαδήποτε από τα μέτρα που αναφέρονται στις παραγράφους (α) έως (ζ) του παρόντος εδαφίου.
(5) Τα εδάφια (6), (7) και (8) του άρθρου 36Α εφαρμόζονται κατ’ αναλογία στα μέτρα εποπτείας και επιβολής που προβλέπονται στο παρόν άρθρο για τις σημαντικές οντότητες.
(6) Η Αρχή συνεργάζεται με τις αρμόδιες αρχές της Δημοκρατίας δυνάμει του Κανονισμού (ΕΕ) 2022/2554 και ειδικότερα ενημερώνει το φόρουμ εποπτείας που συστάθηκε δυνάμει των διατάξεων της παραγράφου 1 του άρθρου 32 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης σημαντικής οντότητας που έχει οριστεί ως κρίσιμος τρίτος παροχέας υπηρεσιών ΤΠΕ, δυνάμει των διατάξεων του άρθρου 31 του Κανονισμού (ΕΕ) 2022/2554 με τις υποχρεώσεις των διατάξεων του παρόντος Νόμου: