Προοίμιο

Για σκοπούς εναρμόνισης με την πράξη της Ευρωπαϊκής Ένωσης με τίτλο «Απόφαση του Συμβουλίου της 23ης Σεπτεμβρίου 2013 σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της Ευρωπαϊκής Ένωσης»,

Η Βουλή των Αντιπροσώπων ψηφίζει ως ακολούθως:

Συνοπτικός τίτλος

1. Ο παρών Νόμος θα αναφέρεται ως ο περί Κανόνων Ασφαλείας Διαβαθμισμένων Πληροφοριών, Εγγράφων και Υλικού και για Συναφή Θέματα Νόμος του 2021.

Ερμηνεία

2. Στον παρόντα Νόμο, εκτός εάν από το κείμενο προκύπτει διαφορετική έννοια-

«ανεξάρτητη υπηρεσία» σημαίνει κάθε ανεξάρτητη δυνάμει του Συντάγματος ή άλλου νόμου υπηρεσία ή αρχή της Δημοκρατίας και περιλαμβάνει οποιαδήποτε άλλη υπηρεσία ή αρχή της Δημοκρατίας η οποία δεν υπάγεται σε Υπουργείο·

«Απόφαση 2013/488/ΕΕ» σημαίνει την Απόφαση του Συμβουλίου, της 23ης Σεπτεμβρίου 2013 σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ, όπως αυτή εκάστοτε τροποποιείται ή αντικαθίσταται·

«Απόφαση 1104/2011/ΕΕ» σημαίνει την Απόφαση αριθ. 1104/2011/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Οκτωβρίου 2011 σχετικά με τις μεθόδους πρόσβασης στην κυβερνητική υπηρεσία η οποία προσφέρεται από το παγκόσμιο σύστημα δορυφορικής ραδιοπλοήγησης που υλοποιήθηκε από το πρόγραμμα Galileo, όπως αυτή εκάστοτε τροποποιείται ή αντικαθίσταται∙

«Αρχή Διανομής Κρυπτογραφικού Υλικού Εθνικής Φρουράς» σημαίνει το Γενικό Επιτελείο Εθνικής Φρουράς του Υπουργείου Άμυνας, όταν ασκεί τις αρμοδιότητες που προβλέπονται στο άρθρο 11·

«Αρχή Διαπίστευσης Ασφαλείας (SAA)» ή «ΑΔΑ» σημαίνει την Εθνική Αρχή Ασφαλείας, όταν ασκεί τις αρμοδιότητες που προβλέπονται στο άρθρο 6·

«Αρχή Διασφάλισης Πληροφοριών (IAA)» ή ΑΔΠ σημαίνει την Εθνική Αρχή Ασφαλείας, όταν ασκεί τις αρμοδιότητες που προβλέπονται στο άρθρο 9·

«Αρχή Διαχείρισης Δορυφορικής Εφαρμογής Κυβερνητικών Επικοινωνιών (GOVSATCOM)» ή «Αρχή GOVSATCOM» σημαίνει την Εθνική Αρχή Ασφαλείας, όταν ασκεί τις αρμοδιότητες που προβλέπονται στο Άρθρο 12Β·

«Αρχή Διαχείρισης Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS)» ή «Αρχή PRS» σημαίνει την Εθνική Αρχή Ασφαλείας, όταν ασκεί τις αρμοδιότητες που προβλέπονται στο άρθρο 12Α·

«Αρχή Διαχείρισης Κρυπτουλικού (CMA)» ή «ΑΔΚ» σημαίνει το Υπουργείο Εξωτερικών, όταν ασκεί τις αρμοδιότητες που προβλέπονται στο άρθρο 10·

«Αρχή Έγκρισης Κρυπτογραφικών Μεθόδων (CAA)» ή «ΑΕΚΜ» σημαίνει την Κυπριακή Υπηρεσία Πληροφοριών, όταν ασκεί τις αρμοδιότητες που προβλέπονται στο άρθρο 8·

«βιομηχανική ασφάλεια» σημαίνει την εφαρμογή μέτρων διασφάλισης της προστασίας των διαβαθμισμένων πληροφοριών ή και διαβαθμισμένων πληροφοριών της Ευρωπαϊκής Ένωσης (ΕΕ), από ανάδοχους εργολήπτες ή και παρόχους υπηρεσιών ή και τους υπεργολάβους αυτών, κατά τις διαπραγματεύσεις ή και πριν από την ανάθεση συμβάσεων οι οποίες περιλαμβάνουν διαβαθμισμένες πληροφορίες ή και καθ’ όλη τη διάρκεια του κύκλου ζωής των διαβαθμισμένων συμβάσεων:

Νοείται ότι, οι συμβάσεις οι οποίες περιλαμβάνουν διαβαθμισμένες πληροφορίες που συνάπτονται στο πλαίσιο της βιομηχανικής ασφαλείας δεν περιλαμβάνουν πρόσβαση σε διαβαθμισμένες πληροφορίες επιπέδου «ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ»·

«βιομηχανικός ή άλλος Φορέας» σημαίνει τον φορέα που ασχολείται με την προμήθεια φυσικών αγαθών, την εκτέλεση έργων ή την παροχή υπηρεσιών και αφορά βιομηχανικούς, εμπορικούς, επιστημονικούς, ερευνητικούς, εκπαιδευτικούς ή αναπτυξιακούς φορείς, φορείς παροχής υπηρεσιών ή αυτοαπασχολουμένους.

«Γενικό Επιτελείο Εθνικής Φρουράς» ή «ΓΕΕΦ» έχει την έννοια που αποδίδεται στον όρο αυτόν στο άρθρο 2 του περί Εθνικής Φρουράς Νόμου·

«Δημοκρατία» σημαίνει την Κυπριακή Δημοκρατία·

«διαβαθμισμένη πληροφορία» σημαίνει κάθε πληροφορία, έγγραφο ή υλικό που φέρει ή έχει χαρακτηρισθεί με διαβάθμιση ασφαλείας της Δημοκρατίας οιουδήποτε επιπέδου και δεν αποτελεί διαβαθμισμένη πληροφορία της ΕΕ»·

«διαβαθμισμένη πληροφορία της ΕΕ» σημαίνει κάθε πληροφορία ή υλικό που έχει χαρακτηρισθεί με διαβάθμιση ασφαλείας ΕΕ και της οποίας η άνευ αδείας κοινολόγηση δυνατόν να βλάψει ποικιλοτρόπως τα συμφέροντα της ΕΕ ή ενός ή περισσότερων κρατών μελών·

«διαβαθμισμένη σύμβαση» σημαίνει σύμβαση ή συμφωνία επιχορήγησης για την προμήθεια υλικού, την εκτέλεση έργων, τη διάθεση κτιρίων ή την παροχή υπηρεσιών της οποίας η υλοποίηση απαιτεί ή περιλαμβάνει την πρόσβαση σε διαβαθμισμένες πληροφορίες ή/και διαβαθμισμένες πληροφορίες της ΕΕ ή την παραγωγή τέτοιων πληροφοριών·

«διασφάλιση πληροφοριών στον τομέα των συστημάτων επικοινωνίας και πληροφοριών» σημαίνει τη βεβαιότητα ότι τα συστήματα αυτά προστατεύουν τις πληροφορίες που τυγχάνουν χειρισμού και λειτουργούν οποτεδήποτε χρειάζεται υπό τον έλεγχο των νόμιμων χρηστών, ότι με τη χρήση τους διασφαλίζεται το απαιτούμενο επίπεδο εμπιστευτικότητας, μη άρνησης αναγνώρισης των πληροφοριών και γνησιότητας, βασιζόμενα σε διαδικασία διαχείρισης κινδύνων·

«διεθνής συμφωνία» σημαίνει συμφωνία, η οποία συνάπτεται γραπτώς μεταξύ δύο ή περισσότερων κρατών ή μεταξύ ενός κράτους και ενός ή περισσότερων διεθνών οργανισμών, με την οποία δημιουργούνται για τα συμβαλλόμενα μέρη νομικά δεσμευτικές υποχρεώσεις και δικαιώματα στο πλαίσιο του διεθνούς δικαίου·

«Δορυφορική Εφαρμογή Κυβερνητικών Επικοινωνιών (GOVSATCOM)» σημαίνει την υπηρεσία δορυφορικών επικοινωνιών υπό κυβερνητικό και μη στρατιωτικό έλεγχο που επιτρέπει την παροχή ικανοτήτων και υπηρεσιών δορυφορικών επικοινωνιών σε αρχές της Ε.Ε. και των κρατών μελών οι οποίες διαχειρίζονται κρίσιμες για την ασφάλεια αποστολές και υποδομές·

«Δορυφορική Εφαρμογή Ραδιοπλοήγησης (PRS)» σημαίνει την κυβερνητική υπηρεσία (PRS) η οποία προσφέρεται από το παγκόσμιο σύστημα δορυφορικής ραδιοπλοήγησης που υλοποιήθηκε από το πρόγραμμα Galileo της Ε.Ε.·

«έγγραφο» σημαίνει κάθε καταγεγραμμένη πληροφορία, ανεξαρτήτως φυσικής μορφής ή χαρακτηριστικών ή τρόπου καταγραφής ή τρόπου μετάδοσης, όπως επιστολή, σημείωμα, κείμενο πρακτικών, έκθεση, υπόμνημα, σήμα/μήνυμα, σκαρίφημα, φωτογραφία, διαφάνεια, φιλμ, χάρτης, διάγραμμα, σχέδιο, σημειωματάριο, μεμβράνη πολυγράφου, καρμπόν, μελανοταινία γραφομηχανής ή εκτυπωτή, μαγνητοταινία, κασέτα, μέσα ηλεκτρονικής αποθήκευσης ηλεκτρονικού υπολογιστή ή οποιοδήποτε άλλο υλικό μέσο στο οποίο καταγράφονται πληροφορίες·

«Εθνική Αρχή Ασφαλείας - National Security Authority (NSA)» ή «ΕΑΑ» σημαίνει την Αρχή που συγκροτείται από τον Υπουργό Άμυνας και ασκεί τις αρμοδιότητες που της ανατίθενται από τον παρόντα Νόμο και τους δυνάμει αυτού εκδιδόμενους Κανονισμούς ή/και Διατάγματα·

«Εθνική Αρχή TEMPEST (ΤΑ)» σημαίνει την Κυπριακή Υπηρεσία Πληροφοριών όταν ασκεί τις αρμοδιότητες που της ανατίθενται στο άρθρο 7·

«Εθνική Φρουρά» έχει την έννοια που αποδίδεται στον ορισμό του όρου «Δύναμη» στο άρθρο 2 του περί Εθνικής Φρουράς Νόμου·

«Εξουσιοδότηση Ασφαλείας Προσωπικού - Personnel Security Clearance (PSC)» ή «ΕΑΠ» σημαίνει τη διοικητική απόφαση της Εθνικής Αρχής Ασφαλείας την οποία εκδίδει μετά την ολοκλήρωση έρευνας ασφαλείας από τις αρμόδιες αρχές της Δημοκρατίας και πιστοποιεί ότι ένα πρόσωπο μπορεί να έχει πρόσβαση σε διαβαθμισμένες πληροφορίες ή σε διαβαθμισμένες πληροφορίες της ΕΕ μέχρι ενός συγκεκριμένου επιπέδου (ισοδύναμου με CONFIDENTIEL UE/EU CONFIDENTIAL ή ανωτέρου) έως προκαθορισμένη ημερομηνία·

«Εξουσιοδότηση Ασφαλείας Φορέα - Facility Security Clearance (FSC)» ή «ΕΑΦ» σημαίνει τη διοικητική απόφαση της Εθνικής Αρχής Ασφαλείας η οποία βεβαιώνει ότι, από πλευράς ασφαλείας, ο φορέας μπορεί να εξασφαλίσει επαρκές επίπεδο προστασίας διαβαθμισμένων πληροφοριών της ΕΕ ή/και διαβαθμισμένων πληροφοριών ορισμένης διαβάθμισης ασφαλείας·

«εργολάβος» σημαίνει το φυσικό ή νομικό πρόσωπο το οποίο έχει τη νομική ικανότητα ανάληψης συμβάσεων·

«Kανονισμός (ΕΕ) 2021/696» σημαίνει τον Κανονισμό (ΕΕ) 2021/696 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 28ης Απριλίου 2021 για τη θέσπιση του ενωσιακού διαστημικού προγράμματος και του Οργανισμού της Ευρωπαϊκής Ένωσης για το διαστημικό πρόγραμμα, και για την κατάργηση των κανονισμών (ΕΕ) αριθ. 912/2010, (ΕΕ) αριθ. 1285/2013 και (ΕΕ) αριθ. 377/2014 και της απόφασης αριθ. 541/2014/ΕΕ, όπως αυτός εκάστοτε τροποποιείται ή αντικαθίσταται·».

«Κεντρική Γραμματεία Διαβαθμισμένων Πληροφοριών ΕΕ» σημαίνει τη Γραμματεία που ιδρύεται στο Υπουργείο Εξωτερικών και ασκεί τις αρμοδιότητες που της ανατίθενται στο άρθρο 12˙

«κρυπτογραφικό προϊόν» σημαίνει το προϊόν του οποίου η πρωταρχική και κύρια λειτουργία είναι η παροχή υπηρεσιών ασφαλείας (εμπιστευτικότητα, ακεραιότητα, γνησιότητα, μη άρνηση αναγνώρισης των πληροφοριών) μέσω ενός ή περισσοτέρων κρυπτογραφικών μηχανισμών·

«κρυπτουλικό» σημαίνει τους κρυπτογραφικούς αλγόριθμους, το κρυπτογραφικό υλικό και τις ενότητες λογισμικού, καθώς και τα προϊόντα που περιέχουν λεπτομέρειες εφαρμογής, τη συναφή τεκμηρίωση και το υλικό πληκτρολόγησης.

«Κυπριακή Υπηρεσία Πληροφοριών» ή «ΚΥΠ» έχει την έννοια που αποδίδεται στον όρο αυτόν στον περί της Κυπριακής Υπηρεσίας Πληροφοριών Νόμο·

«μέτρα ασφαλείας TEMPEST» σημαίνει τα μέτρα ασφαλείας για την προστασία Συστημάτων Επικοινωνίας και Πληροφοριών (ΣΕΠ) (CIS) με τα οποία τυγχάνουν χειρισμού διαβαθμισμένες πληροφορίες ή διαβαθμισμένες πληροφορίες της ΕΕ από το επίπεδο διαβάθμισης «ΕΜΠΙΣΤΕΥΤΙΚΟ»/ «ΕΜΠΙΣΤΕΥΤΙΚΟ ΕΕ» ή και ανώτερο, από κάθε διαρροή τέτοιων πληροφοριών μέσω ακούσιων ηλεκτρομαγνητικών εκπομπών και τα εν λόγω μέτρα ασφαλείας είναι ανάλογα με τον κίνδυνο εκμετάλλευσης και το επίπεδο διαβάθμισης των πληροφοριών.

«Πιστοποιητικό Ελέγχου Ασφαλείας Προσωπικού» ή «ΠΕΑΠ» σημαίνει το πιστοποιητικό που εκδίδει η αρμόδια αρχή με το οποίο πιστοποιείται ότι συγκεκριμένο πρόσωπο έχει υποστεί έλεγχο ασφαλείας και διαθέτει έγκυρο Πιστοποιητικό Διαβάθμισης Ασφαλείας από την αρμόδια για τους διορισμούς αρχή για πρόσβαση σε διαβαθμισμένες πληροφορίες της ΕΕ και στο οποίο αναφέρεται το επίπεδο των διαβαθμισμένων πληροφοριών ΕΕ στις οποίες δύναται να έχει πρόσβαση (CONFIDENTIEL UE/EU CONFIDENTIAL ή ανώτερο), η ημερομηνία ισχύος της σχετικής Εξουσιοδότησης Ασφαλείας Προσωπικού και/ή ημερομηνία λήξης του πιστοποιητικού∙

«Συμβούλιο» σημαίνει το Συμβούλιο της Ευρωπαϊκής Ένωσης∙

«Συστήματα Επικοινωνίας και Πληροφοριών (CIS)» ή «ΣΕΠ» σημαίνει οποιοδήποτε σύστημα επιτρέπει τον χειρισμό πληροφοριών υπό ηλεκτρονική μορφή, με αυτόματα μέσα, ένα δε (CIS) περιλαμβάνει το σύνολο των στοιχείων που απαιτούνται για τη λειτουργία του, συμπεριλαμβανομένων της υποδομής, της οργάνωσης, του προσωπικού και των πληροφοριών·

«τρίτο κράτος» σημαίνει κράτος μη μέλος της ΕΕ˙

«υλικό» σημαίνει κάθε έγγραφο, φορέα δεδομένων ή στοιχείο μηχανημάτων ή εξοπλισμού που έχει ήδη κατασκευασθεί ή ευρίσκεται υπό κατασκευή·

«Υπουργός» σημαίνει τον Υπουργό Άμυνας·

«Χειρισμός Πληροφοριών υπό Ηλεκτρονική Μορφή» σημαίνει την επεξεργασία, συλλογή, επίδειξη, διαβίβαση και αποθήκευση πληροφοριών.

Σκοπός του παρόντος Νόμου

3.-(1) Σκοπός του παρόντος Νόμου είναι-

(α) ο καθορισμός των βασικών αρχών και των ελάχιστων προδιαγραφών ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (ΔΠΕΕ), έτσι ώστε να παρέχεται ισοδύναμο επίπεδο προστασίας στις διαβαθμισμένες πληροφορίες εγγράφων και υλικού της ΕΕ με αυτό που τηρείται στο Συμβούλιο και στη Γενική Γραμματεία του Συμβουλίου·

(β) ο καθορισμός των θεμελιωδών αρχών και των προδιαγραφών ασφαλείας και προστασίας των διαβαθμισμένων πληροφοριών, εγγράφων και υλικού στη Δημοκρατία·

(γ) η λήψη των κατάλληλων μέτρων για τη διευκόλυνση της υλοποίησης και τήρησης ενός ολοκληρωμένου συστήματος ασφαλείας, το οποίο να καλύπτει αφενός τις διαβαθμισμένες πληροφορίες της Δημοκρατίας και αφετέρου τις διαβαθμισμένες πληροφορίες της ΕΕ· και

(δ) ο καθορισμός των θεμελιωδών αρχών και των προδιαγραφών ασφαλείας που απαιτείται να τηρούνται κατά τη διαπραγμάτευση, την ανάθεση και τη σύναψη διεθνών συμφωνιών για την ανταλλαγή και αμοιβαία προστασία των διαβαθμισμένων πληροφοριών.

(2) Για τους σκοπούς του παρόντος Νόμου, στον όρο «ασφάλεια» περιλαμβάνονται-

(α) η προστασία διαβαθμισμένων πληροφοριών της Δημοκρατίας και διαβαθμισμένων πληροφοριών της ΕΕ από την κατασκοπία, τη διαρροή ή την κοινολόγηση χωρίς άδεια·

(β) η προστασία διαβαθμισμένων πληροφοριών της Δημοκρατίας και διαβαθμισμένων πληροφοριών της ΕΕ που διακινούνται στα συστήματα και στα δίκτυα επικοινωνιών και πληροφορικής·

(γ) η προστασία των χώρων και εγκαταστάσεων εντός της Δημοκρατίας ή γενικά χώρων που βρίσκονται υπό τον έλεγχο αρχών της Δημοκρατίας όπου αποθηκεύονται διαβαθμισμένες πληροφορίες της Δημοκρατίας ή και διαβαθμισμένες πληροφορίες της ΕΕ από το ενδεχόμενο δολιοφθοράς και κακόβουλης ζημιάς ή και παράνομης πρόσβασης· και

(δ) η εκτίμηση της ζημιάς, ο περιορισμός των συνεπειών και η λήψη των αναγκαίων επανορθωτικών μέτρων σε περίπτωση επέμβασης, παρεμβολής, προσβολής ή απόπειρας προσβολής των συστημάτων προστασίας των διαβαθμισμένων πληροφοριών της Δημοκρατίας και των διαβαθμισμένων πληροφοριών της ΕΕ.

Υποχρέωση τήρησης των κανόνων ασφαλείας

4. Τα πρόσωπα που χειρίζονται διαβαθμισμένες πληροφορίες της Δημοκρατίας ή και διαβαθμισμένες πληροφορίες της ΕΕ ή και τα μέσα επεξεργασίας τέτοιων πληροφοριών, εγγράφων ή υλικού και ειδικότερα-

(α) τα μέλη της Μόνιμης Αντιπροσωπίας της Δημοκρατίας στην ΕΕ, καθώς και τα μέλη των αντιπροσωπιών της Δημοκρατίας, που συμμετέχουν σε συνόδους του Συμβουλίου ή συνεδριάσεις των επιτροπών και ομάδων του ή λαμβάνουν μέρος σε άλλες δραστηριότητες του Συμβουλίου·

(β) άλλα μέλη της δημόσιας υπηρεσίας της Δημοκρατίας τα οποία χειρίζονται διαβαθμισμένες πληροφορίες ή και διαβαθμισμένες πληροφορίες της ΕΕ, ανεξαρτήτως εάν υπηρετούν στο έδαφος της Δημοκρατίας ή στο έδαφος κρατών μελών ή σε τρίτα κράτη·

(γ) οι εξωτερικοί συμβασιούχοι της Δημοκρατίας και το αποσπασμένο προσωπικό που χειρίζεται διαβαθμισμένες πληροφορίες της Δημοκρατίας και διαβαθμισμένες πληροφορίες της ΕΕ·

(δ) οποιαδήποτε άλλα πρόσωπα τα οποία λόγω της φύσεως της εργασίας τους χειρίζονται περιστασιακά ή σε τακτική βάση διαβαθμισμένες πληροφορίες της Δημοκρατίας και διαβαθμισμένες πληροφορίες της ΕΕ, περιλαμβανομένων προσώπων που εργοδοτούνται από νομικά πρόσωπα δημόσιου ή ιδιωτικού δικαίου ή από δημοτικές αρχές· και

(ε) οι αξιωματούχοι του κράτους που προβλέπονται στους Κανονισμούς και στα Διατάγματα που εκδίδονται δυνάμει των διατάξεων του παρόντος Νόμου, οι οποίοι θεωρούνται εξουσιοδοτημένοι για χειρισμό διαβαθμισμένων πληροφοριών, ως εκ της θέσεώς τους, μέχρι το ανώτατο επίπεδο διαβάθμισης στο πλαίσιο άσκησης των αρμοδιοτήτων τους,

οφείλουν να τηρούν τις διατάξεις του παρόντος Νόμου και των προνοιών των Κανονισμών και Διαταγμάτων που εκδίδονται δυνάμει αυτού και στην περίπτωση των διαβαθμισμένων πληροφοριών της ΕΕ τις διατάξεις της Απόφασης 2013/488/ΕΕ.

Αρμοδιότητες Εθνικής Αρχής Ασφαλείας

5.-(1) Η Εθνική Αρχή Ασφαλείας μεριμνά για την εποπτεία και τον έλεγχο της τήρησης των όρων ασφαλείας που απαιτείται να τηρούνται για τις διαβαθμισμένες πληροφορίες της Δημοκρατίας και για τις διαβαθμισμένες πληροφορίες της ΕΕ και ειδικότερα μεριμνά για-

(α) την ασφάλεια των διαβαθμισμένων πληροφοριών της Δημοκρατίας και των διαβαθμισμένων πληροφοριών της ΕΕ που βρίσκονται στην κατοχή ή και φύλαξη των διάφορων υπηρεσιών, οργανισμών δημόσιου δικαίου και γενικά φορέων του δημόσιου τομέα τόσο εντός της Δημοκρατίας όσο και στο εξωτερικό, όπως σε διπλωματικές αποστολές·

(β) τον έλεγχο περιοδικά των ρυθμίσεων ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της Δημοκρατίας και των διαβαθμισμένων πληροφοριών της ΕΕ·

(γ) τη διενέργεια όλων των κατάλληλων ελέγχων, ώστε να διασφαλίζεται ότι όλοι οι πολίτες ή οι μη πολίτες της Δημοκρατίας που εργάζονται σε διάφορες υπηρεσίες της Δημοκρατίας, οργανισμούς δημόσιου δικαίου και γενικά σε φορείς του δημόσιου τομέα της Δημοκρατίας τόσο εντός της Δημοκρατίας όσο και στο εξωτερικό και απαιτείται να έχουν πρόσβαση σε διαβαθμισμένες πληροφορίες της Δημοκρατίας και διαβαθμισμένες πληροφορίες της ΕΕ με διαβάθμιση «ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ», «ΑΠΟΡΡΗΤΟ» και «ΕΜΠΙΣΤΕΥΤΙΚΟ» έχουν υποστεί σχετικό έλεγχο ασφάλειας:

Νοείται ότι, η παρούσα παράγραφος εφαρμόζεται και αναφορικά με πρόσωπο που χειρίζεται διαδικασίες διαπραγμάτευσης, ανάθεσης και σύναψης διεθνών συμφωνιών για την ανταλλαγή και αμοιβαία προστασία των διαβαθμισμένων πληροφοριών, περιλαμβανομένου του σταδίου της πρόσκλησης υποβολής προτάσεων.

(δ) τη λήψη μέτρων και υποβολή προτάσεων για την πρόληψη διαρροής διαβαθμισμένων πληροφοριών της Δημοκρατίας και διαβαθμισμένων πληροφοριών της ΕΕ σε μη εξουσιοδοτημένα πρόσωπα·

(ε) την έγκριση της δημιουργίας Υπογραμματειών σύμφωνα με τις διατάξεις του άρθρου 12·

(στ) τον έλεγχο και την εποπτεία τήρησης, καθώς και την καθοδήγηση και ενημέρωση αναφορικά με την εφαρμογή των προδιαγραφών ασφαλείας που αφορούν διεθνείς συμφωνίες για την ανταλλαγή και προστασία διαβαθμισμένων πληροφοριών και ειδικότερα τη διαπραγμάτευση και την ανάθεση τέτοιων συμφωνιών ή τη σύναψη συμφωνιών επιχορήγησης με τις οποίες ανατίθενται καθήκοντα που αφορούν, συνεπάγονται ή και περιλαμβάνουν διαβαθμισμένες πληροφορίες της Δημοκρατίας ή και διαβαθμισμένες πληροφορίες της ΕΕ και την υλοποίηση των εν λόγω συμφωνιών από βιομηχανικούς ή άλλους φορείς, συμπεριλαμβανομένης της διάθεσης διαβαθμισμένων πληροφοριών της Δημοκρατίας ή/και διαβαθμισμένων πληροφοριών της ΕΕ ή της πρόσβασης σε αυτές κατά τη διαδικασία ανάθεσης κρατικών συμβάσεων ή πρόσκλησης υποβολής προτάσεων.

(ζ) την εξασφάλιση, στον βαθμό που επιτρέπεται δυνάμει των διατάξεων της εθνικής νομοθεσίας, ότι οι εργολάβοι και οι υπεργολάβοι στη Δημοκρατία λαμβάνουν τα δέοντα μέτρα για την προστασία των διαβαθμισμένων πληροφοριών της Δημοκρατίας και των διαβαθμισμένων πληροφοριών της ΕΕ κατά τις διαπραγματεύσεις πριν από την ανάθεση ή και κατά την εκτέλεση της σύμβασης∙

(η) την έκδοση Εξουσιοδοτήσεων Ασφαλείας Φορέα - Facility Security Clearance (FSC), σύμφωνα με διαδικασία που καθορίζεται με Διάταγμα του Υπουργικού Συμβουλίου που εκδίδεται δυνάμει του άρθρου 21·

(θ) την καταβολή τέλους, η οποία δύναται να απαιτείται για την έκδοση της προβλεπόμενης στην παράγραφο (η) Εξουσιοδότησης, το οποίο καθορίζεται με Διάταγμα που εκδίδεται από το Υπουργικό Συμβούλιο·

(ι) την έκδοση Εξουσιοδοτήσεων Ασφαλείας Προσωπικού - Personnel Security Clearance (PSC), σύμφωνα με την διαδικασία που καθορίζεται με Διάταγμα του Υπουργικού Συμβουλίου που εκδίδεται δυνάμει του άρθρου 21·

(ια) την έκδοση Πιστοποιητικών Ελέγχου Ασφαλείας Προσωπικού - Personnel Security Clearance Certificate (PSCC), σύμφωνα με τη διαδικασία που καθορίζεται με Διάταγμα του Υπουργικού Συμβουλίου που εκδίδεται δυνάμει του άρθρου 21·

(ιβ) τη συνομολόγηση διεθνών συμφωνιών για την ανταλλαγή και αμοιβαία προστασία διαβαθμισμένων πληροφοριών, μεταξύ της Κυπριακής Δημοκρατίας και κρατών μελών τόσο της Ευρωπαϊκής Ένωσης όσο και τρίτων κρατών ή διεθνών οργανισμών, κατόπιν συνεννόησης με το Υπουργείο Εξωτερικών και μετά από απόφαση του Υπουργικού Συμβουλίου· και

(ιγ) την επιβολή διοικητικού προστίμου σε ανεξάρτητες υπηρεσίες και βιομη-χανικούς ή άλλους φορείς για παράβαση των διατάξεων του παρόντος Νόμου, των προνοιών των Κανονισμών και των Διαταγμάτων που εκδίδονται δυνάμει αυτού ή και για μη συμμόρφωση στη λήψη μέτρων που υποδείχθηκαν προηγουμένως από την ΕΑΑ, στο πλαίσιο των αρμοδιοτήτων της, για την ασφάλεια των διαβαθμισμένων πληροφοριών ή και των διαβαθμισμένων πληροφοριών της Ε.Ε.

(2) Η Εθνική Αρχή Ασφαλείας δύναται να διενεργεί περιοδικές επιθεωρήσεις των ρυθμίσεων ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ σε χώρους όπου φυλάσσεται τέτοιας φύσεως υλικό:

Νοείται ότι, για τη διενέργεια από κοινού επιθεωρήσεων των ρυθμίσεων ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ, η Εθνική Αρχή Ασφαλείας συνεργάζεται με το Γραφείο Ασφαλείας της Γενικής Γραμματείας του Συμβουλίου.

(3) Κατά την άσκηση των αρμοδιοτήτων της Εθνικής Αρχής Ασφαλείας, το προσωπικό της, κατά τη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα, τηρεί τις διατάξεις του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου.

(4) Το προσωπικό της Εθνικής Αρχής Ασφαλείας αποτελείται από-

(α) μέλη της Εθνικής Φρουράς της Δημοκρατίας τα οποία, κατόπιν απόσπασης, μετάθεσης ή τοποθέτησής τους στο Υπουργείο Άμυνας, παρέχουν τις υπηρεσίες τους στην Εθνική Αρχή Ασφαλείας, ή/και

(β) προσωπικό από άλλα υπουργεία της Δημοκρατίας.

Αρμοδιότητες Αρχής Διαπίστευσης Ασφαλείας

6.-(1) Η Εθνική Αρχή Ασφαλείας (ΥΠΑΜ/ΕΑΑ) ορίζεται ως Αρχή Διαπίστευσης Ασφαλείας.

(2) Στο πλαίσιο των αρμοδιοτήτων της η Αρχή Διαπίστευσης Ασφαλείας συγκροτεί κατά περίπτωση επιτροπές για τη διαπίστευση και την έγκριση λειτουργίας των Συστημάτων Επικοινωνίας και Πληροφοριών τα οποία επεξεργάζονται ή και διακινούν διαβαθμισμένες πληροφορίες ή και διαβαθμισμένες πληροφορίες της ΕΕ.

(3) Η έγκριση λειτουργίας των Συστημάτων Επικοινωνίας και Πληροφοριών αποσκοπεί στη βεβαίωση ότι έχουν εφαρμοστεί όλα τα ενδεδειγμένα μέτρα ασφαλείας και ότι έχει επιτευχθεί ικανοποιητικό επίπεδο προστασίας των διαβαθμισμένων πληροφοριών ή και διαβαθμισμένων πληροφοριών της ΕΕ και σύμφωνα με την Απόφαση 2013/488/ΕΕ.

Αρμοδιότητες Αρχής Αντιμετώπισης Ανεπιθύμητων Εκπομπών

7.-(1) Η Κυπριακή Υπηρεσία Πληροφοριών ορίζεται ως Αρχή Αντιμετώπισης Ανεπιθύμητων Εκπομπών - Αρχή TEMPEST (ΤΑ) και είναι αρμόδια για την εξασφάλιση της συμμόρφωσης των Συστημάτων Επικοινωνίας και Πληροφοριών με τις πολιτικές και κατευθυντήριες γραμμές TEMPEST κατά τρόπο που οι διαβαθμισμένες πληροφορίες ή και διαβαθμισμένες πληροφορίες της ΕΕ να μην δύναται να διαρρεύσουν μέσω ακούσιων ηλεκτρομαγνητικών εκπομπών.

(2) Η ΚΥΠ εγκρίνει αντίμετρα TEMPEST για εγκαταστάσεις και προϊόντα που προορίζονται για την προστασία των διαβαθμισμένων πληροφοριών και διαβαθμισμένων πληροφοριών της ΕΕ μέχρι ορισμένου επιπέδου διαβάθμισης στο επιχειρησιακό τους περιβάλλον και μεριμνά για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ, σύμφωνα με τις διατάξεις της Απόφασης 2013/488/ΕΕ.

Αρμοδιότητες Αρχής Έγκρισης Κρυπτογραφικών Μεθόδων

8. Η Κυπριακή Υπηρεσία Πληροφοριών ορίζεται ως Αρχή Έγκρισης Κρυπτογραφικών Μεθόδων και είναι αρμόδια για-

(α) τη διασφάλιση της συμβατότητας των κρυπτογραφικών προϊόντων με την εθνική κρυπτογραφική πολιτική ή την κρυπτογραφική πολιτική του Συμβουλίου·

(β) την έγκριση κρυπτογραφικών προϊόντων για την προστασία διαβαθμισμένων πληροφοριών ή και διαβαθμισμένων πληροφοριών της ΕΕ μέχρι ορισμένου επιπέδου διαβάθμισης στο επιχειρησιακό τους περιβάλλον· και

(γ) την αξιολόγηση κρυπτογραφικών μεθόδων.

Αρμοδιότητες Αρχής Διασφάλισης Πληροφοριών

9.-(1) Η Εθνική Αρχή Ασφαλείας ορίζεται ως η Αρχή Διασφάλισης Πληροφοριών, ασκεί αρμοδιότητα ως προς τον προσδιορισμό και την εφαρμογή μέτρων ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών και των διαβαθμισμένων πληροφοριών της ΕΕ, που αποτελούν αντικείμενο επεξεργασίας, αποθήκευσης ή διαβίβασης σε συστήματα επικοινωνιών, επεξεργασίας πληροφοριών ή άλλα ηλεκτρονικά συστήματα, από το ενδεχόμενο να προσβληθούν, τυχαία ή εσκεμμένα, η εμπιστευτικότητα, η ακεραιότητα ή η διαθεσιμότητά τους από τη μη εξουσιοδοτημένη πρόσβαση χρηστών και από την χωρίς άδεια αλλοίωση, εξάλειψη ή τροποποίησή τους.

(2) Η Αρχή Διασφάλισης Πληροφοριών ασκεί επιπρόσθετα τις αρμοδιότητες που της ανατίθενται με τα Διατάγματα που εκδίδονται από το Υπουργικό Συμβούλιο δυνάμει του άρθρου 21 αναφορικά με τις διαβαθμισμένες πληροφορίες ή και τις διαβαθμισμένες πληροφορίες της ΕΕ και μεριμνά για την παροχή πληροφοριών και συμβουλών σχετικά με τις τεχνικής φύσεως απειλές κατά της ασφάλειας των πιο πάνω πληροφοριών και των μέσων για την προστασία από τέτοιες απειλές.

Αρμοδιότητες Αρχής Διαχείρισης Κρυπτουλικού

10.-(1) Το Υπουργείο Εξωτερικών ορίζεται ως η Αρχή Διαχείρισης Κρυπτουλικού και ειδικότερα μεριμνά για-

(α) τη διαχείριση και καταμέτρηση του κρυπτογραφικού υλικού και κρυπτογραφικού υλικού της ΕΕ·

(β) την εξασφάλιση της εφαρμογής των κατάλληλων διαδικασιών και της δημιουργίας διαύλων για την καταμέτρηση, τον ασφαλή χειρισμό, την αποθήκευση και τη διανομή όλου του κρυπτογραφικού υλικού και κρυπτογραφικού υλικού ΕΕ·

(γ) τη διασφάλιση της μεταφοράς κρυπτογραφικού υλικού και κρυπτογραφικού υλικού ΕΕ από και προς πρόσωπα ή υπηρεσίες που το χρησιμοποιούν· και

(δ) την έγκριση για την εξασφάλιση κρυπτογραφικού υλικού από οποιονδήποτε φορέα στη δημόσια υπηρεσία, εξαιρουμένης της Κυπριακής Υπηρεσίας Πληροφοριών.

(2) Η Αρχή Διαχείρισης Κρυπτουλικού δυνατόν να μεταβιβάζει την αρμοδιότητά της σε υπηρεσία ή φορέα της Δημοκρατίας για το κρυπτογραφικό υλικό που της ανήκει και να ορίζει την εν λόγω υπηρεσία ή φορέα ως Επιχειρησιακή Αρχή Διαχείρισης Κρυπτογραφικού Υλικού.

Αρμοδιότητες Αρχής Διανομής Κρυπτογραφικού Υλικού Εθνικής Φρουράς

11. Το Γενικό Επιτελείο Εθνικής Φρουράς ορίζεται ως η Αρχή Διανομής Κρυπτογραφικού Υλικού για το κρυπτογραφικό υλικό της Εθνικής Φρουράς και ειδικότερα μεριμνά για-

(α) τη διαχείριση και καταμέτρηση του κρυπτογραφικού υλικού της Εθνικής Φρουράς·

(β) την εξασφάλιση της εφαρμογής των κατάλληλων διαδικασιών και της δημιουργίας διαύλων για την καταμέτρηση, τον ασφαλή χειρισμό, την αποθήκευση και τη διανομή όλου του κρυπτογραφικού υλικού της Εθνικής Φρουράς· και

(γ) τη διασφάλιση της μεταφοράς κρυπτογραφικού υλικού της Εθνικής Φρουράς από και προς άτομα ή υπηρεσίες που το χρησιμοποιούν.

Αρμοδιότητες Κεντρικής Γραμματείας Διαβαθμισμένων Πληροφοριών ΕΕ και Υπογραμματειών

12.-(1) Στο Υπουργείο Εξωτερικών ιδρύεται η Κεντρική Γραμματεία Διαβαθμισμένων Πληροφοριών ΕΕ, η οποία λειτουργεί ως η κύρια αρχή παραλαβής και αποστολής διαβαθμισμένων πληροφοριών της ΕΕ από τη Δημοκρατία προς τα κράτη μέλη και αντίστροφα και η οποία συνεργάζεται με τις Υπογραμματείες που ορίζονται σύμφωνα με τα εδάφια (3) και (7).

(2) Η Κεντρική Γραμματεία Διαβαθμισμένων Πληροφοριών ΕΕ αναλαμβάνει το έργο της καταγραφής, διεκπεραίωσης, διανομής και διαφύλαξης όλων των διαβαθμισμένων πληροφοριών της ΕΕ, σύμφωνα με τις διατάξεις της Απόφασης 2013/488/ΕΕ και τηρεί κατάλογο όλων των εξαρτώμενων Υπογραμματειών που ιδρύονται σύμφωνα με το εδάφιο (3), ώστε να την υποβοηθήσουν στην ημερήσια διεκπεραίωση του έργου της, και διατηρεί αρχείο διατηρούμενων και διανεμόμενων διαβαθμισμένων πληροφοριών της ΕΕ:

Νοείται ότι, η προσωρινή και περιστασιακή πρόσβαση σε διαβαθμισμένες πληροφορίες της ΕΕ δύναται να γίνεται χωρίς τη σύσταση Υπογραμματειών.

(3) Στο Υπουργείο Άμυνας, στο ΓΕΕΦ, στην Αστυνομία Κύπρου και στη Μόνιμη Αντιπροσωπία της Δημοκρατίας στην ΕΕ ιδρύονται Υπογραμματείες Διαβαθμισμένων Πληροφοριών ΕΕ, οι οποίες εξαρτώνται από την Κεντρική Γραμματεία Διαβαθμισμένων Πληροφοριών ΕΕ και εγκρίνονται σύμφωνα με το εδάφιο (7).

(4) Οι Υπογραμματείες δεν δύναται να διαβιβάζουν διαβαθμισμένα έγγραφα σε άλλες Υπογραμματείες.

(5) Η Κεντρική Γραμματεία και κάθε Υπογραμματεία Διαβαθμισμένων Πληροφοριών ΕΕ διεξάγει αναλυτική απογραφή όλων των διαβαθμισμένων πληροφοριών για τις οποίες είναι υπεύθυνη πριν από την 1η Μαρτίου κάθε έτους.

(6) Τα αποτελέσματα της ετήσιας απογραφής διαβιβάζονται από τις Υπογραμματείες στην Κεντρική Γραμματεία Διαβαθμισμένων Πληροφοριών ΕΕ και στη συνέχεια συγκεντρωτικά στην Εθνική Αρχή Ασφαλείας.

(7) Η ίδρυση και λειτουργία Υπογραμματειών Διαβαθμισμένων Πληροφοριών ΕΕ σε Υπουργεία, τμήματα, υπηρεσίες ή άλλους κρατικούς φορείς εγκρίνονται από την Εθνική Αρχή Ασφαλείας σύμφωνα με τις διατάξεις της παραγράφου (ε) του εδαφίου (1) του άρθρου 5.

Αρμοδιότητες Αρχής Διαχείρισης Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS)

12Α.-(1) Η Εθνική Αρχή Ασφαλείας ορίζεται ως η Αρχή Διαχείρισης Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS) στη Δημοκρατία και είναι αρμόδια να διασφαλίζει ότι η χρήση και η πρόσβαση στη Δορυφορική Εφαρμογή Ραδιοπλοήγησης (PRS), καθώς και η ανάπτυξη σχετικών τεχνολογιών ή και η εξαγωγή τους γίνεται σύμφωνα με την Απόφαση 1104/2011/ΕΕ.

(2) H Αρχή Διαχείρισης Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS) διασφαλίζει ότι η χρήση της Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS) συνάδει με την Απόφαση 1104/2011/ΕΕ και ότι-

(α) οι χρήστες της Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS) έχουν οργανωθεί σε ομάδες για τη διαχείρισή της·

(β) για κάθε ομάδα ή χρήστη καθορίζονται και τυγχάνουν διαχείρισης τα δικαιώματα πρόσβασης στη Δορυφορική Εφαρμογή Ραδιοπλοήγησης (PRS)·

(γ) οι κλείδες της Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS) και οι λοιπές σχετικές διαβαθμισμένες πληροφορίες λαμβάνονται σύμφωνα με καθορισμένες και ασφαλείς διαδικασίες·

(δ) οι κλείδες της Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS) και οι λοιπές σχετικές διαβαθμισμένες πληροφορίες διανέμονται στους χρήστες σύμφωνα με τις προβλεπόμενες διαδικασίες·

(ε) οι κίνδυνοι αξιολογούνται και γίνεται διαχείριση της ασφάλειας των δεκτών και της συναφούς με τη Δορυφορική Εφαρμογή Ραδιοπλοήγησης (PRS) διαβαθμισμένης τεχνολογίας και πληροφοριών∙ και

(στ) έχει θεσπιστεί σημείο επαφής για την παροχή βοήθειας, εάν απαιτείται, στην αναφορά δυνητικά επιβλαβών ηλεκτρομαγνητικών παρεμβάσεων που επηρεάζουν τη Δορυφορική Εφαρμογή Ραδιοπλοήγησης (PRS).

(3) Η Αρχή Διαχείρισης Δορυφορικής Εφαρμογής Ραδιοπλοήγησης (PRS) δύναται να συνεργάζεται και να διαβουλεύεται με όλες τις αρμόδιες Υπηρεσίες της Δημοκρατίας, ώστε να επιτυγχάνεται η απρόσκοπτη πρόσβαση στη Δορυφορική Εφαρμογή Ραδιοπλοήγησης (PRS).

Αρμοδιότητες Αρχής Διαχείρισης Δορυφορικής Εφαρμογής Κυβερνητικών Επικοινωνιών (GOVSATCOM)

12Β.-(1) Η Εθνική Αρχή Ασφαλείας ορίζεται ως η Αρχή Διαχείρισης Δορυφορικής Εφαρμογής Κυβερνητικών Επικοινωνιών (GOVSATCOM) στη Δημοκρατία και είναι αρμόδια να διασφαλίζει ότι η χρήση και η πρόσβαση στη Δορυφορική Εφαρμογή Κυβερνητικών Επικοινωνιών Governmental Satellite Communications (GOVSATCOM), καθώς και η ανάπτυξη σχετικών τεχνολογιών ή και η εξαγωγή τους γίνεται σύμφωνα με τον Κανονισμό (ΕΕ) 2021/696.

(2) H Αρχή Διαχείρισης Δορυφορικής Εφαρμογής Κυβερνητικών Επικοινωνιών (GOVSATCOM) διασφαλίζει ότι η χρήση της υπηρεσίας συνάδει με τον Κανονισμό (ΕΕ) 2021/696 και ότι-

(α) η χρήση υπηρεσιών συνάδει με τις ισχύουσες απαιτήσεις ασφάλειας·

(β) τα δικαιώματα πρόσβασης για χρήστες της Δορυφορικής Εφαρμογής Κυβερνητικών Επικοινωνιών (GOVSATCOM) καθορίζονται και αποτελούν αντικείμενο διαχείρισης·

(γ) ο εξοπλισμός χρήστη και οι συναφείς συνδέσεις και πληροφορίες ηλεκτρονικών επικοινωνιών χρησιμοποιούνται και αποτελούν αντικείμενο διαχείρισης σύμφωνα με τις ισχύουσες απαιτήσεις ασφάλειας·

(δ) δημιουργείται κεντρικό σημείο επαφής για την παροχή βοήθειας, εάν απαιτείται, κατά την αναφορά των κινδύνων και απειλών στον τομέα της ασφάλειας, κυρίως όσον αφορά στην ανίχνευση δυνητικά επιβλαβών ηλεκτρομαγνητικών παρεμβολών που επηρεάζουν τις υπηρεσίες και τη λειτουργία της Δορυφορικής Εφαρμογής Κυβερνητικών Επικοινωνιών (GOVSATCOM).

(3) Η Αρχή Διαχείρισης Δορυφορικής Εφαρμογής Κυβερνητικών Επικοινωνιών (GOVSATCOM) δύναται να συνεργάζεται και να διαβουλεύεται με όλες τις αρμόδιες Υπηρεσίες της Δημοκρατίας, ώστε να επιτυγχάνεται η απρόσκοπτη πρόσβαση στη Δορυφορική Εφαρμογή Κυβερνητικών Επικοινωνιών (GOVSATCOM)

Μέτρα ασφαλείας

13.-(1) Οι αρχές της Δημοκρατίας που αναφέρονται στα άρθρα 5 έως 12 λαμβάνουν όλα τα κατάλληλα μέτρα ασφαλείας και μεριμνούν, ώστε να γίνεται ορθή αξιολόγηση των πληροφοριών και του υλικού που απαιτείται να προστατεύεται, για να διασφαλίζεται ο μέγιστος βαθμός προστασίας κατά τον προγραμματισμό και τη διοργάνωση τρόπων αντιμετώπισης της κατασκοπίας, των δολιοφθορών της τρομοκρατίας και άλλων απειλών, σύμφωνα με τις σχετικές πρόνοιες της Απόφασης 2013/488/ΕΕ.

(2) Τα μέτρα ασφαλείας καλύπτουν όλα τα πρόσωπα που έχουν πρόσβαση σε διαβαθμισμένες πληροφορίες ή και διαβαθμισμένες πληροφορίες της ΕΕ, όλα τα μέσα επεξεργασίας τους και τους χώρους, τα κτίρια και τις εγκαταστάσεις στα οποία αποθηκεύονται, και σχεδιάζονται κατά τέτοιο τρόπο, ώστε να αποκλείεται η πρόσβαση σε μη εξουσιοδοτημένο προσωπικό, να επισημαίνεται έγκαιρα οποιαδήποτε διαρροή και να προβλέπεται η απομάκρυνση και ο αποκλεισμός προσώπων που δεν πληρούν τους κανόνες ασφαλείας, με απώτερο στόχο να εξασφαλίζονται η αξιοπιστία και η διαθεσιμότητα όλων των πληροφοριών.

(3) Όσον αφορά την υλική ασφάλεια, οι αρχές της Δημοκρατίας που αναφέρονται στα άρθρα 5 έως 12 συνεργάζονται σε τακτική βάση με το Συμβούλιο και τις αντίστοιχες υπηρεσίες των κρατών μελών, ώστε να διασφαλίζεται ότι τηρούνται οι κοινές στοιχειώδεις προδιαγραφές ασφαλείας σε όλες τις αρμόδιες αρχές.

Υλική ασφάλεια

14.-(1) Όσον αφορά την υλική ασφάλεια οι αρχές της Δημοκρατίας που αναφέρονται στα άρθρα 5 έως 12 μεριμνούν, ώστε η αυστηρότητα των μέτρων υλικής ασφάλειας που εφαρμόζονται να είναι ανάλογη με τη διαβάθμιση, τον όγκο των πληροφοριών και του υλικού, καθώς και την υφιστάμενη απειλή.

(2) Για σκοπούς εφαρμογής του εδαφίου (1), διενεργούνται έλεγχοι σε όλους τους χώρους όπου αποθηκεύονται διαβαθμισμένες πληροφορίες ή και διαβαθμισμένες πληροφορίες της ΕΕ, ώστε να βεβαιώνεται ότι προστατεύονται επαρκώς τα κτίρια από το ενδεχόμενο εισόδου μη εξουσιοδοτημένων προσώπων και εκπονούνται σχετικά σχέδια έκτακτης ανάγκης για την προστασία των διαβαθμισμένων πληροφοριών ή/και των διαβαθμισμένων πληροφοριών της ΕΕ από το ενδεχόμενο να θιγεί τυχαία ή εσκεμμένα η εμπιστευτικότητα, η διαθεσιμότητα ή η ακεραιότητά τους, τηρουμένων και των σχετικών προνοιών της Απόφασης 2013/488/ΕΕ.

Έλεγχος προσωπικού

15.-(1) Ο έλεγχος των προσώπων που απαιτείται να έχουν πρόσβαση σε πληροφορίες με διαβάθμιση «ΕΜΠΙΣΤΕΥΤΙΚΟ» ή «ΕΜΠΙΣΤΕΥΤΙΚΟ ΕΕ», (CONFIDENTIEL UE/EU CONFIDENTIAL) ή ανώτερη, διενεργείται σύμφωνα με τις σχετικές διατάξεις του παρόντος Νόμου και των Κανονισμών ή και των Διαταγμάτων που εκδίδονται δυνάμει αυτού, νοουμένου ότι ο έλεγχος αυτός σέβεται την ουσία των δικαιωμάτων, όπως αυτά καθορίζονται στον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, στην Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), η οποία έχει κυρωθεί με τον περί της Ευρωπαϊκής Συμβάσεως δια την προάσπισιν των Ανθρωπίνων Δικαιωμάτων (Κυρωτικό) Νόμο του 1962, και στο Μέρος ΙΙ του Συντάγματος.

(2) Όλα τα πρόσωπα που απαιτείται να έχουν πρόσβαση σε διαβαθμισμένες πληροφορίες ή/και διαβαθμισμένες πληροφορίες της ΕΕ υπόκεινται σε έλεγχο, ώστε να εξακριβώνεται κατά πόσο αυτά είναι έμπιστα, διαθέτουν χαρακτήρα και σύνεση, ώστε να μη δημιουργούν αμφιβολίες για την αξιοπιστία τους, και δεν είναι ευάλωτα σε πιέσεις από ξένους παράγοντες ή άλλες πηγές που θα μπορούσε να συνιστούν απειλή για την ασφάλεια, τηρουμένων των διατάξεων του εδαφίου (1) και του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου.

(3) Ο αναφερόμενος στο εδάφιο (2) έλεγχος διενεργείται με μεγαλύτερη προσοχή ανάλογα με το επίπεδο διαβάθμισης, τον όγκο και την ειδική πρόσβαση σε διαβαθμισμένες πληροφορίες ή/και διαβαθμισμένες πληροφορίες της ΕΕ.

(4) Για τους ελέγχους ασφάλειας που έχουν πραγματοποιηθεί για το προσωπικό τηρούνται σχετικά αρχεία.

(5) Το προσωπικό ενημερώνεται για τους κανόνες ασφαλείας που ισχύουν κατά την εργασία του και εκπαιδεύεται ανάλογα.

(6) Τα διευθυντικά στελέχη των υπηρεσιών και φορέων της Δημοκρατίας οφείλουν να έχουν πλήρη εικόνα για τα μέλη του προσωπικού τους που χειρίζονται διαβαθμισμένες πληροφορίες ή και διαβαθμισμένες πληροφορίες της ΕΕ, σύμφωνα και με τις σχετικές διατάξεις του παρόντος Νόμου και των Κανονισμών ή/και Διαταγμάτων που εκδίδονται δυνάμει αυτού.

(7) Ο έλεγχος και η έγκριση διαβαθμίσεως μέχρι «ΕΜΠΙΣΤΕΥΤΙΚΟ» ή «ΕΜΠΙΣΤΕΥΤΙΚΟ ΕΕ» (CONFIDENTIEL UE/EU CONFIDENTIAL) για τα πρόσωπα που αναφέρονται στο εδάφιο (1), διενεργείται ως ακολούθως:

(α) Για τους δημόσιους υπαλλήλους (ένστολο και πολιτικό προσωπικό), από τις οικείες υπηρεσίες και φορείς της Δημοκρατίας που χειρίζονται διαβαθμισμένες πληροφορίες της ΕΕ˙ και

(β) για το λοιπό προσωπικό, από την Εθνική Αρχή Ασφαλείας:

Νοείται ότι, η Εθνική Αρχή Ασφαλείας δύναται να διενεργεί τους ελέγχους που προβλέπονται στο παρόν άρθρο, για σκοπούς εφαρμογής της Απόφασης 2013/488/ΕΕ.

(8) Ο τελικός έλεγχος και η έγκριση διαβαθμίσεως κατηγορίας «ΑΠΟΡΡΗΤΟ» ή «ΑΠΟΡΡΗΤΟ ΕΕ» (SECRET UE/EU SECRET) και «ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ» ή «ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ ΕΕ» (TRES SECRET UE/ EU TOP SECRET) διενεργείται από Επιτροπή που διορίζεται και λειτουργεί για τον σκοπό αυτό, σύμφωνα με Διάταγμα που εκδίδεται δυνάμει του άρθρου 21:

Νοείται ότι, η ως άνω Επιτροπή διενεργεί τις συνεντεύξεις αξιολόγησης των προσώπων που πρόκειται να έχουν πρόσβαση στις δύο ανώτερες κατηγορίες διαβάθμισης, σύμφωνα με τις διατάξεις του παρόντος Νόμου και Διατάγματος που εκδίδεται δυνάμει του άρθρου 21.

Συστήματα Επικοινωνίας και Πληροφοριών

16.-(1) Τα Συστήματα Επικοινωνίας και Πληροφοριών στα οποία διακινούνται διαβαθμισμένες πληροφορίες ή/και διαβαθμισμένες πληροφορίες της ΕΕ με διαβάθμιση «ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΧΡΗΣΗΣ» ή «ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΧΡΗΣΗΣ ΕΕ» (RESTREINT UE) και ανώτερη, απαιτείται να καλύπτονται από μέτρα ασφαλείας, ώστε να προστατεύονται η εμπιστευτικότητα, η αυθεντικότητα, η ακεραιότητα και η διαθεσιμότητα αυτών των συστημάτων και των πληροφοριών που περιέχουν.

(2) Η αναφερόμενη στο άρθρο 9 Αρχή Διασφάλισης Πληροφοριών δύναται να μεταβιβάζει την αρμοδιότητα για την εφαρμογή και τη λειτουργία των ελέγχων και των ειδικών μέτρων ασφαλείας ενός συστήματος στην καθ’ ύλην αρμόδια υπηρεσία ή φορέα της Δημοκρατίας, που χειρίζεται τις πληροφορίες που αναφέρονται στο εδάφιο (1), και να ορίζει την εν λόγω υπηρεσία ή φορέα ως Επιχειρησιακή Αρχή Συστημάτων Πληροφορικής IT SYSTEM OPERATIONAL AUTHORITY (ITSOA), η οποία έχει τις αρμοδιότητες που καθορίζονται στο Παράρτημα IV της Απόφασης 2013/488/ΕΕ.

(3) Η αναφερόμενη στο εδάφιο (2) αρμοδιότητα ισχύει καθ’ όλη τη διάρκεια του κύκλου ζωής του συστήματος, από το στάδιο του βασικού σχεδιασμού μέχρι την τελική του απόσυρση.

Κοινοποίηση διαβαθμισμένων πληροφοριών

17. Κοινοποίηση διαβαθμισμένων πληροφοριών της ΕΕ σε τρίτα κράτη ή διεθνείς οργανισμούς γίνεται μόνο με απόφαση του Συμβουλίου και σύμφωνα με τις σχετικές πρόνοιες της Απόφασης 2013/488/ΕΕ.

Πειθαρχικά παραπτώματα

18.-(1) Παράβαση των διατάξεων του παρόντος Νόμου ή των Κανονισμών και Διαταγμάτων που εκδίδονται δυνάμει αυτού λογίζεται ως παράβαση υποχρέωσης και καθήκοντος δημοσίου υπαλλήλου για σκοπούς εφαρμογής των πειθαρχικών διατάξεων των άρθρων 73 έως 86 του περί Δημόσιας Υπηρεσίας Νόμου.

(2) Παράβαση των διατάξεων του παρόντος Νόμου ή των Κανονισμών και Διαταγμάτων που εκδίδονται δυνάμει αυτού από πρόσωπο το οποίο εργοδοτείται ή υπηρετεί στις Δυνάμεις Ασφαλείας της Δημοκρατίας ή στις Ένοπλες Δυνάμεις της Δημοκρατίας λογίζεται ως πειθαρχικό παράπτωμα, δυνάμει της νομοθεσίας που διέπει το καθεστώς της εργοδοσίας ή υπηρεσίας του εν λόγω προσώπου και επιβολής των καθορισμένων, στις σχετικές διατάξεις των εν λόγω νομοθεσιών, πειθαρχικών ποινών.

Αδικήματα και ποινές

19. Πρόσωπο το οποίο-

(α) διαδίδει ή αφήνει να διαρρεύσουν καθ’ οιονδήποτε τρόπο διαβαθμισμένες πληροφορίες ή και διαβαθμισμένες πληροφορίες της ΕΕ κατά παράβαση των διατάξεων του παρόντος Νόμου ή των Κανονισμών ή Διαταγμάτων που εκδίδονται δυνάμει αυτού, ή/και

(β) παραλείπει να συμμορφωθεί με οποιαδήποτε διάταξη του παρόντος Νόμου ή των Κανονισμών ή Διαταγμάτων που εκδίδονται δυνάμει αυτού,

είναι ένοχο αδικήματος και, σε περίπτωση καταδίκης του, υπόκειται σε φυλάκιση που δεν υπερβαίνει τα επτά (7) έτη ή σε χρηματική ποινή που δεν υπερβαίνει τις τρακόσιες πενήντα χιλιάδες ευρώ (€350.000) ή και στις δύο αυτές ποινές.

Επιβολή διοικητικού προστίμου

19Α.-(1) Η Εθνική Αρχή Ασφαλείας δύναται να επιβάλλει διοικητικό πρόστιμο σε ανεξάρτητες υπηρεσίες και βιομηχανικούς ή άλλους φορείς για παράβαση των διατάξεων του παρόντος Νόμου, καθώς και των προνοιών των Κανονισμών και των Διαταγμάτων που εκδίδονται δυνάμει αυτού.

(2) Η Εθνική Αρχή Ασφαλείας δύναται να επιβάλλει διοικητικό πρόστιμο σε ανεξάρτητες υπηρεσίες και βιομηχανικούς ή άλλους φορείς για μη συμμόρφωση στη λήψη μέτρων που υποδείχθηκαν προηγουμένως από αυτή, στο πλαίσιο των αρμοδιοτήτων της, για την ασφάλεια των διαβαθμισμένων πληροφοριών ή/και των διαβαθμισμένων πληροφοριών της Ε.Ε.

(3) Το διοικητικό πρόστιμο επιβάλλεται σε περίπτωση κατά την οποία ανεξάρτητη υπηρεσία, βιομηχανικός ή άλλος φορέας δεν συμμορφώνεται με τις γραπτές διατυπώσεις της ΕΑΑ περί της παράβασης, κατόπιν επιθεώρησης που διενεργήθηκε δυνάμει των διατάξεων του παρόντος Νόμου, μετά την παρέλευση εύλογου χρονικού διαστήματος τουλάχιστον έξι μηνών και δεν υπερβαίνει τις διακόσιες χιλιάδες ευρώ (€200.000), ανάλογα με τη βαρύτητα της παράβασης.

(4) Για την επιβολή διοικητικού προστίμου λαμβάνονται δεόντως υπόψη-

(α) η φύση και η βαρύτητα της παράβασης, καθώς και η διαβάθμιση της πληροφορίας και η σοβαρότητα της πιθανής ζημίας στη Δημοκρατία∙

(β) οποιεσδήποτε ενέργειες στις οποίες προέβη η ανεξάρτητη υπηρεσία, ο βιομηχανικός ή άλλος φορέας για αποτροπή μελλοντικής παράβασης∙

(γ) ο βαθμός ευθύνης της ανεξάρτητης υπηρεσίας ή του βιομηχανικού ή άλλου φορέα, λαμβάνοντας υπόψη τα μέτρα ασφάλειας που εφαρμόζουν δυνάμει των προνοιών των Κανονισμών και Διαταγμάτων, των εγκυκλίων και των λοιπών οδηγιών της ΕΑΑ∙

(δ) τυχόν σχετικές προηγούμενες παραβάσεις ή/και μη συμμόρφωση με υποδείξεις ή/και παρατηρήσεις της ΕΑΑ για λήψη ελάχιστων μέτρων ασφάλειας από την ανεξάρτητη υπηρεσία ή τον βιομηχανικό ή άλλο φορέα∙

(ε) ο βαθμός συνεργασίας με την ΕΑΑ για την επανόρθωση της παράβασης ή/και τη βελτίωση του επιπέδου ασφάλειας διαβαθμισμένων πληροφοριών ή/και διαβαθμισμένων πληροφοριών της Ε.Ε. και για τη μείωση του κινδύνου διαρροής τους∙ και

(στ) ο βαθμός συμμόρφωσης με τα μέτρα που υποδείχθηκαν από την ΕΑΑ, σε περίπτωση κατά την οποία διατάχθηκε προηγουμένως η λήψη μέτρων, στο πλαίσιο των εξουσιών και αρμοδιοτήτων της ΕΑΑ δυνάμει των διατάξεων του παρόντος Νόμου, κατά εμπλεκόμενης ανεξάρτητης υπηρεσίας ή βιομηχανικού ή άλλου φορέα.

(5) Η ΕΑΑ, προτού προβεί στην έκδοση απόφασης για επιβολή διοικητικού προστίμου, παρέχει δικαίωμα ακρόασης στην επηρεαζόμενη ανεξάρτητη υπηρεσία ή στον επηρεαζόμενο βιομηχανικό ή άλλο φορέα και λαμβάνει υπόψη τις υποβληθείσες παραστάσεις τους για τη λήψη απόφασης επιβολής διοικητικού προστίμου.

(6) Η ΕΑΑ επιβάλλει διοικητικό πρόστιμο δυνάμει των διατάξεων των εδαφίων (1) και (2) με γραπτή και αιτιολογημένη απόφασή της, την οποία διαβιβάζει στην επηρεαζόμενη ανεξάρτητη υπηρεσία ή στον επηρεαζόμενο βιομηχανικό ή άλλο φορέα και η οποία καθορίζει την παράβαση και περιέχει πληροφορίες για-

(α) το δικαίωμα προσβολής της απόφασης για επιβολή διοικητικού προστίμου με προσφυγή στο Διοικητικό Δικαστήριο, σύμφωνα με τις διατάξεις του άρθρου 146 του Συντάγματος και του περί της Ίδρυσης και Λειτουργίας Διοικητικού Δικαστηρίου Νόμου· και

(β) την προθεσμία εντός της οποίας δύναται να ασκηθεί το προαναφερόμενο δικαίωμα.

(7)(α) Διοικητικό πρόστιμο που επιβάλλεται από την ΕΑΑ σύμφωνα με τις διατάξεις του παρόντος άρθρου καταβάλλεται στο λογιστήριο του Υπουργείου Άμυνας.

(β) Σε περίπτωση παράλειψης πληρωμής του διοικητικού προστίμου, η ΕΑΑ λαμβάνει δικαστικά μέτρα για την είσπραξή του και το οφειλόμενο ποσό εισπράττεται ως αστικό χρέος οφειλόμενο στη Δημοκρατία.

Εξουσία έκδοσης Κανονισμών

20.-(1) Το Υπουργικό Συμβούλιο δύναται να εκδίδει Κανονισμούς για τους κανόνες ασφαλείας του διαβαθμισμένου υλικού, καθώς και για την καλύτερη εφαρμογή των διατάξεων του παρόντος Νόμου ή για τη ρύθμιση οποιουδήποτε θέματος χρήζει ή είναι δεκτικό καθορισμού.

(2) Χωρίς επηρεασμό της γενικότητας του εδαφίου (1), Κανονισμοί που εκδίδονται δυνάμει του παρόντος Νόμου δύναται να προβλέπουν ειδικότερα για την τήρηση των αρχών που καθορίζονται στην Απόφαση 2013/488/ΕΕ, καθώς και για οποιοδήποτε θέμα εμπίπτει στο πεδίο εφαρμογής του παρόντος Νόμου.

Εξουσία έκδοσης Διαταγμάτων

21. Το Υπουργικό Συμβούλιο δύναται να εκδίδει Διατάγματα για-

(α) τον καθορισμό των λεπτομερειών των όρων άσκησης των αρμοδιοτήτων, εξουσιών και υποχρεώσεων των αρμόδιων φορέων που αναφέρονται στα άρθρα 5 έως 12 και για την καλύτερη εφαρμογή της Απόφασης 2013/488/ΕΕ·

(β) την πρακτική εφαρμογή στην Δημοκρατία των κανόνων Ασφαλείας που αναφέρονται στην Απόφαση 2013/488/ΕΕ, καθώς και για τον καθορισμό της διαδικασίας έκδοσης των εξουσιοδοτήσεων, διενέργειας των συνεντεύξεων και για τον καθορισμό της σύνθεσης και των όρων λειτουργίας της επιτροπής που προβλέπεται στο άρθρο 15·

(γ) τη ρύθμιση των προδιαγραφών χειρισμού διαβαθμισμένων πληροφοριών ή διαβαθμισμένων πληροφοριών της ΕΕ και τη διαδικασία εξουσιοδότησης του προσωπικού που θα έχει πρόσβαση σε αυτές·

(δ) τον καθορισμό της διαδικασίας εξουσιοδότησης προσώπων και των προδιαγραφών ασφαλείας που αφορούν τη διαπραγμάτευση και την ανάθεση διαβαθμισμένων συμβάσεων, συμπεριλαμβανομένης της σύναψης συμφωνιών επιχορήγησης, με τις οποίες ανατίθενται καθήκοντα που αφορούν, συνεπάγονται ή και περιλαμβάνουν διαβαθμισμένες πληροφορίες ή και διαβαθμισμένες πληροφορίες της ΕΕ και την εκτέλεση των εν λόγω συμβάσεων από βιομηχανικούς ή άλλους φορείς, συμπεριλαμβανομένης της διάθεσης διαβαθμισμένων πληροφοριών ή/και διαβαθμισμένων πληροφοριών της ΕΕ ή της πρόσβασης σε αυτές κατά τη διαδικασία ανάθεσης κρατικών συμβάσεων ή πρόσκλησης υποβολής προτάσεων· και

(ε) τον καθορισμό των προδιαγραφών ασφαλείας αναφορικά με τις διαβαθμισμένες πληροφορίες ή διαβαθμισμένες πληροφορίες της ΕΕ που αποτελούν αντικείμενο επεξεργασίας, αποθήκευσης ή διαβίβασης σε συστήματα επικοινωνιών, επεξεργασίας πληροφοριών ή σε άλλα ηλεκτρονικά συστήματα, καθώς και ειδικότερες αρμοδιότητες σχετικές με τα πιο πάνω.

Εξουσίες Υπουργού

22.-(1) Ο Υπουργός είναι αρμόδιος για την εφαρμογή των διατάξεων του παρόντος Νόμου και των Κανονισμών και Διαταγμάτων που εκδίδονται δυνάμει αυτού.

(2) Ο Υπουργός ενημερώνει και διαβουλεύεται εκ των προτέρων με τον Υπουργό Εξωτερικών για προτάσεις που προτίθεται να καταθέσει σε σχέση με την εφαρμογή των διατάξεων του παρόντος Νόμου και των Κανονισμών και Διαταγμάτων που εκδίδονται δυνάμει αυτού.

(3) Για τους σκοπούς του παρόντος Νόμου, ο Υπουργός δύναται να εκδίδει οδηγίες αναφορικά με τη διοίκηση, τον έλεγχο και την οργάνωση της Εθνικής Αρχής Ασφαλείας.

Κατάργηση και διαφυλάξεις

23.-(1) Με την επιφύλαξη των διατάξεων των εδαφίων (2) και (3), από την ημερομηνία έναρξης της ισχύος του παρόντος Νόμου ο περί των Κανονισμών Ασφαλείας Διαβαθμισμένων Πληροφοριών, Εγγράφων και Υλικού και για Συναφή Θέματα Νόμος καταργείται.

(2) Όλοι οι Κανονισμοί, τα Διατάγματα, οι Αποφάσεις και οι Γνωστοποιήσεις που εκδόθηκαν με βάση τον καταργηθέντα νόμο, λογίζεται ότι εκδόθηκαν με βάση τον παρόντα Νόμο και εφαρμόζονται, τηρουμένων των αναλογιών, ως εάν είχαν εκδοθεί με βάση τις διατάξεις του παρόντος Νόμου, μέχρις ότου τροποποιηθούν ή ανακληθούν.

(3) Κάθε εξουσιοδότηση, έγκριση ή άλλη πράξη που έγινε από το Υπουργικό Συμβούλιο ή τον Υπουργό ή άλλη αρχή με βάση τον καταργηθέντα νόμο ή τους Κανονισμούς ή τα Διατάγματα που εκδόθηκαν με βάση αυτόν λογίζεται ότι έγιναν με βάση τις διατάξεις του παρόντος Νόμου.