NOMOΣ ΥΠ’ ΑΡΙΘΜ. 5160 ΦΕΚ Α 195/27.11.2024
Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις.
Η ΠΡΟΕΔΡΟΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ
Εκδίδομε τον ακόλουθο νόμο που ψήφισε η Βουλή:
ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ ΜΕΡΟΣ Α’:
ΕΝΣΩΜΑΤΩΣΗ ΤΗΣ ΟΔΗΓΙΑΣ (ΕΕ) 2022/2555ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΤΗΣ 14ΗΣ ΔΕΚΕΜΒΡΙΟΥ 2022
ΚΕΦΑΛΑΙΟ Α’: ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ
Άρθρο 1 Σκοπός
Άρθρο 2 Αντικείμενο (άρθρο 1 της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ Β’: ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 3 Πεδίο εφαρμογής (άρθρο 2 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 4 Βασικές και σημαντικές οντότητες (άρθρο 3 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 5 Επιφύλαξη όσον αφορά τις τομεακές νομικέςπράξεις της Ένωσης (άρθρο 4 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 6 Ορισμοί (άρθρο 6 της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ Γ’: ΣΥΝΤΟΝΙΣΜΕΝΑ ΚΑΝΟΝΙΣΤΙΚΑ ΠΛΑΙΣΙΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
Άρθρο 7 Εθνική Στρατηγική Κυβερνοασφάλειας (άρθρο 7 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 8 Αρμόδια αρχή και ενιαίο σημείο επαφής (άρθρο 8 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 9 Εθνικό πλαίσιο διαχείρισης κυβερνοκρίσεων (άρθρο 9 της Οδηγίας (ΕΕ)2022/2555)
Άρθρο 10 Ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 10 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 11 Απαιτήσεις, τεχνικές ικανότητες και καθήκοντα των ομάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 11 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 12 Συντονισμένη γνωστοποίηση ευπαθειών και ευρωπαϊκή βάση δεδομένων ευπαθειών (άρθρο 12 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 13 Συνεργασία σε εθνικό επίπεδο (άρθρο 13 της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ Δ’: ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΑΝΑΦΟΡΑΣ ΠΕΡΙΣΤΑΤΙΚΩΝ
Άρθρο 14 Διακυβέρνηση (άρθρο 20 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 15 Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας (άρθρο 21 και παρ. 1 άρθρου 24 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 16 Υποχρεώσεις αναφοράς περιστατικών (άρθρο 23 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 17 Τυποποίηση (άρθρο 25 της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ Ε’: ΔΙΚΑΙΟΔΟΣΙΑ ΚΑΙ ΚΑΤΑΧΩΡΙΣΗ
Άρθρο 18 Δικαιοδοσία και εδαφικότητα (άρθρο 26 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 19 Μητρώο οντοτήτων (άρθρο 27 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 20 Βάση δεδομένων καταχώρισης ονομάτων τομέα (άρθρο 28 της Οδηγίας (ΕΕ) 2022/2555) ΚΕΦΑΛΑΙΟ ΣΤ’: ΑΝΤΑΛΛΑΓΗ ΠΛΗΡΟΦΟΡΙΩΝ
Άρθρο 21 Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας (άρθρο 29 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 22 Εθελούσια κοινοποίηση των σχετικών πληροφοριών (άρθρο 30 της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ Ζ’: ΕΠΟΠΤΕΙΑ ΚΑΙ ΚΥΡΩΣΕΙΣ
Άρθρο 23 Γενικές πτυχές που αφορούν την εποπτεία και την επιβολή (παρ. 5 άρθρου 8, παρ. 1 άρθρου 9, παρ. 2 άρθρου 10, παρ. 2 άρθρου 11 και άρθρο 31 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 24 Μέτρα εποπτείας και επιβολής σε σχέση με βασικές οντότητες (άρθρο 32 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 25 Μέτρα εποπτείας και επιβολής σε σχέση με σημαντικές οντότητες (άρθρο 33 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 26 Γενικοί όροι για την επιβολή διοικητικών προστίμων σε βασικές και σημαντικές οντότητες Κυρώσεις (άρθρα 34 και 36 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 27 Παραβάσεις που συνεπάγονται παραβίαση δεδομένων προσωπικού χαρακτήρα (άρθρο 35 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 28 Αμοιβαία συνδρομή (άρθρο 37 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 29 Ειδικότερες ρυθμίσεις για παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών
ΚΕΦΑΛΑΙΟ Η’: ΕΞΟΥΣΙΟΔΟΤΙΚΕΣ, ΜΕΤΑΒΑΤΙΚΕΣ, ΤΕΛΙΚΕΣ ΚΑΙ ΚΑΤΑΡΓΟΥΜΕΝΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 30 Εξουσιοδοτικές διατάξεις
Άρθρο 31 Μεταβατικές και τελικές διατάξεις
Άρθρο 32 Καταργούμενες διατάξεις
ΜΕΡΟΣ Β’: ΡΥΘΜΙΣΕΙΣ ΠΡΟΣΩΠΙΚΟΥ ΕΘΝΙΚΗΣ ΑΡΧΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΛΟΙΠΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 33 Ρυθμίσεις προσωπικού Εθνικής Αρχής Κυβερνοασφάλειας Τροποποίηση άρθρου 21 ν. 5086/2024 Άρθρο 34 Ρυθμίσεις για τον ορισμό Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών Τροποποίηση παρ. 1 άρθρου 18 ν. 4961/2022
Άρθρο 35 Ρυθμίσεις για τις περιοχές εκτός τηλεοπτικής κάλυψης
Άρθρο 36 Νέα προθεσμία διόρθωσης πρώτων εγγραφών Δυνατότητα διόρθωσης πρώτων εγγραφών σε περιοχές που είχε λήξει η δυνατότητα αμφισβήτησης ανακριβούς εγγραφής με την ένδειξη «αγνώστου ιδιοκτήτη» Τροποποίηση άρθρου 102 ν. 4623/2019
Άρθρο 37 Ρυθμίσεις για την υποστήριξη των πληροφοριακών συστημάτων μονάδων υγείας του Εθνικού Συστήματος Υγείας
Άρθρο 38 Τοπική πρόσκληση για πρόσληψη προσωρινών αναπληρωτών εκπαιδευτικών Προσθήκη άρθρου 63Α στον ν. 4589/2019
Άρθρο 39 Διδακτικά βιβλία Μητρώο Διδακτικών Βιβλίων Ψηφιακή Βιβλιοθήκη Διδακτικών Βιβλίων Τροποποίηση παρ. 5, 6, 7, 17 και 20 και προσθήκη παρ. 23 και 24 στο άρθρο 84 ν. 4823/2021
Άρθρο 40 Ανώτατο όριο αμοιβών ιατρών του Ειδικού Σώματος Ιατρών του Κέντρου Πιστοποίησης Αναπηρίας Τροποποίηση παρ. 3 και 4 άρθρου 104 ν. 4961/2022
Άρθρο 41 Ρύθμιση αστικού συγκοινωνιακού έργου Περιφερειακής Ενότητας Θεσσαλονίκης Τροποποίηση άρθρου 3, παρ. 4 άρθρου 11 και παρ. 1 άρθρου 26 ν. 4482/2017
Άρθρο 42 Οδηγοί για την εκτέλεση του συγκοινωνιακού έργου Οργανισμού Αστικών Συγκοινωνιών Θεσσαλονίκης
Άρθρο 43 Αδειοδότηση αστικού σιδηροδρόμου
Άρθρο 44 Οικονομικές καταστάσεις και εκθέσεις δραστηριότητας εργοληπτικών επιχειρήσεων
ΜΕΡΟΣ Γ’: ΕΝΑΡΞΗ ΙΣΧΥΟΣ
Άρθρο 45 Έναρξη ισχύος
ΠΑΡΑΡΤΗΜΑ I: ΤΟΜΕΙΣ ΥΨΗΛΗΣ ΚΡΙΣΙΜΟΤΗΤΑΣ (Παράρτημα Ι της Οδηγίας (ΕΕ) 2022/2555)
ΠΑΡΑΡΤΗΜΑ ΙΙ: AΛΛΟΙ ΚΡΙΣΙΜΟΙ ΤΟΜΕΙΣ (Παράρτημα ΙΙ της Οδηγίας (ΕΕ) 2022/2555)
ΜΕΡΟΣ Α’
ΕΝΣΩΜΑΤΩΣΗ ΤΗΣ ΟΔΗΓΙΑΣ (ΕΕ) 2022/2555 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΤΗΣ 14ΗΣ ΔΕΚΕΜΒΡΙΟΥ 2022
ΚΕΦΑΛΑΙΟ Α’
ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ
Άρθρο 1
Σκοπός
Σκοπός του παρόντος Μέρους είναι η επίτευξη υψηλού επιπέδου κυβερνοασφάλειας με την ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2, L 333).
Άρθρο 2
Αντικείμενο (άρθρο 1 της Οδηγίας (ΕΕ) 2022/2555)
Αντικείμενο του παρόντος Μέρους αποτελούν: α) η εισαγωγή ρυθμίσεων για την Εθνική Στρατηγική Κυβερνοασφάλειας, ο ορισμός αρμόδιας αρχής για την κυβερνοασφάλεια και τη διαχείριση κυβερνοκρίσεων, ο ορισμός ενιαίου σημείου επαφής για την κυβερνοασφάλεια και ομάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών [Computer Security Incident Response Team (CSIRT)],
β) ο καθορισμός μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και η επιβολή υποχρεώσεων υποβολής αναφορών για τις οντότητες που υπάγονται στο πεδίο εφαρμογής του παρόντος Μέρους, συμπεριλαμβανομένων και των οντοτήτων που χαρακτηρίζονται κρίσιμες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ ΕΚ του Συμβουλίου (L 333),
γ) η πρόβλεψη κανόνων και υποχρεώσεων σχετικά με την ανταλλαγή πληροφοριών για την κυβερνοασφάλεια και
δ) η θέσπιση διατάξεων για την εν γένει εποπτεία και επιβολή μέτρων και κυρώσεων για την εφαρμογή του παρόντος Μέρους, έτσι ώστε να επιτυγχάνεται υψηλό επίπεδο κυβερνοασφάλειας στην Ελλάδα στο πλαίσιο των κανόνων και των στόχων της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2).
ΚΕΦΑΛΑΙΟ Β’
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 3
Πεδίο εφαρμογής (άρθρο 2 της Οδηγίας (ΕΕ) 2022/2555)
1. Το παρόν Μέρος εφαρμόζεται σε δημόσιες ή ιδιωτικές οντότητες των τύπων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ του παρόντος νόμου, οι οποίες χαρακτηρίζονται ως μεσαίες επιχειρήσεις σύμφωνα με την παρ. 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (L 124), ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που αναφέρονται στο εν λόγω άρθρο και οι οποίες είναι εγκατεστημένες ή παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της ελληνικής επικράτειας. Η παρ. 4 του άρθρου 3 του Παραρτήματος της εν λόγω Σύστασης δεν εφαρμόζεται για τους σκοπούς του παρόντος.
1
2. Το παρόν Μέρος εφαρμόζεται, επίσης, στις οντότητες, στους τομείς και υποτομείς που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, ανεξάρτητα από το μέγεθός τους, εφόσον:
α) οι υπηρεσίες παρέχονται από: αα) παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, αβ) παρόχους υπηρεσιών εμπιστοσύνης, αγ) μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα,
β) η οντότητα είναι ο μοναδικός πάροχος στη χώρα υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων,
γ) η διατάραξη της υπηρεσίας που παρέχει η οντότητα θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία,
δ) η διατάραξη της υπηρεσίας που παρέχεται από την οντότητα θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, συμπεριλαμβανομένων των τομέων στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,
ε) η οντότητα είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη χώρα,
στ) η οντότητα είναι:
στα) φορέας της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143),
στβ) Οργανισμός Τοπικής Αυτοδιοίκησης α’ βαθμού,
στγ) Οργανισμός Τοπικής Αυτοδιοίκησης β’ βαθμού.
3. Το παρόν Μέρος εφαρμόζεται σε οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), ανεξάρτητα από το μέγεθός τους.
4. Το παρόν Μέρος εφαρμόζεται σε οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, ανεξάρτητα από το μέγεθός τους.
5. Το παρόν Μέρος εφαρμόζεται με την επιφύλαξη των μέτρων που λαμβάνει η χώρα για την προστασία της εθνικής ασφάλειας και του κυριαρχικού της δικαιώματος να διαφυλάσσει άλλες ουσιώδεις κρατικές λειτουργίες, συμπεριλαμβανομένων της διασφάλισης της εδαφικής ακεραιότητάς της και της διατήρησης της δημόσιας τάξης.
6. Το παρόν Μέρος δεν εφαρμόζεται σε οντότητες δημόσιας διοίκησης που ασκούν τις δραστηριότητές τους στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων της πρόληψης, της διακρίβωσης, της διαπίστωσης και της δίωξης ποινικών αδικημάτων. Τα μέτρα εποπτείας και επιβολής που αναφέρονται στο Κεφάλαιο Ζ’ του παρόντος Μέρους δεν εφαρμόζονται στις οντότητες που εξαιρούνται σύμφωνα με το πρώτο εδάφιο της περ. β) της παρ. 2 του άρθρου 30.
7. Η παρ. 6 και η περ. β) της παρ. 2 του άρθρου 30 δεν εφαρμόζονται όταν μια οντότητα ενεργεί ως πάροχος υπηρεσιών εμπιστοσύνης, σύμφωνα με την περ. 16 του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Ιουλίου 2014.
8. Το παρόν Μέρος δεν εφαρμόζεται σε οντότητες τις οποίες η Ελλάδα εξαιρεί από το πεδίο εφαρμογής του Κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333), σύμφωνα με την παρ. 4 του άρθρου 2 του εν λόγω Κανονισμού.
9. Οι υποχρεώσεις που προβλέπονται στο παρόν Μέρος δεν περιλαμβάνουν την παροχή πληροφοριών, η γνωστοποίηση των οποίων θα ήταν αντίθετη προς ουσιώδη συμφέροντα εθνικής ασφάλειας, δημόσιας τάξης ή άμυνας της χώρας.
10. Ο παρών νόμος εφαρμόζεται με την επιφύλαξη του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119), του ν. 4624/2019 (Α’ 137), του ν. 3471/2006 (Α’ 133), του ν. 4267/2014 (Α’ 137), του ν. 4411/2016 (Α’ 142) και της Οδηγίας (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333).
11. Με την επιφύλαξη του άρθρου 346 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, πληροφορίες που είναι εμπιστευτικές σύμφωνα με ενωσιακούς ή εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές σύμφωνα με τον παρόντα νόμο, μόνον εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή των διατάξεών του. Οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής. Η ανταλλαγή πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των οικείων οντοτήτων.
12. Οι οντότητες, η Εθνική Αρχή Κυβερνοασφάλειας του άρθρου 3 του ν. 5086/2024 (Α’ 23) και οι CSIRTs του άρθρου 10 του παρόντος επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στον βαθμό που είναι αναγκαίο για τους σκοπούς του παρόντος νόμου και σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, μόνον εφόσον η εν λόγω επεξεργασία βασίζεται στο άρθρο 6 του εν λόγω Κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος μέρους από παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών πραγματοποιείται σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων και για την προστασία της ιδιωτικότητας, καθώς και με τον ν. 4624/2019 και τον ν. 3471/2006.
Άρθρο 4
Βασικές και σημαντικές οντότητες (άρθρο 3 της Οδηγίας (ΕΕ) 2022/2555)
1. Για την εφαρμογή του παρόντος Μέρους, «βασικές οντότητες» θεωρούνται οι ακόλουθες οντότητες:
α) οντότητες στους τομείς και υποτομείς που αναφέρονται στο Παράρτημα Ι, οι οποίες υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που προβλέπονται στην παρ. 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (L 124),
β) εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης και μητρώα ονομάτων τομέα ανωτάτου επιπέδου, καθώς και πάροχοι υπηρεσιών συστήματος ονομάτων τομέα (Domain Name System), ανεξάρτητα από το μέγεθός τους,
γ) πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών που χαρακτηρίζονται ως μεσαίες επιχειρήσεις, δυνάμει της παρ. 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ,
δ) οντότητες που αναφέρονται στην υποπερ. στα) της περ. στ) της παρ. 2 του άρθρου 3 του παρόντος,
ε) οποιεσδήποτε άλλες οντότητες των τομέων και υποτομέων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, οι οποίες προσδιορίζονται ως βασικές οντότητες σύμφωνα με τις περ. β) έως ε) της παρ. 2 του άρθρου 3 του παρόντος,
στ) οντότητες της παρ. 3 του άρθρου 3 του παρόντος, που προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333),
ζ) οντότητες που αναγνωρίστηκαν, σύμφωνα με το άρθρο 4 του ν. 4577/2018 (Α’ 199) και το άρθρο 16 της υπ’ αρ. 1027/4.10.2019 απόφασης του Υπουργού Επικρατείας (Β’ 3739), πριν από τις 16 Ιανουαρίου 2023, ως φορείς εκμετάλλευσης βασικών υπηρεσιών.
2. Για την εφαρμογή του παρόντος Μέρους, οι οντότητες των τομέων και υποτομέων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, οι οποίες δεν θεωρούνται βασικές οντότητες σύμφωνα με την παρ. 1, θεωρούνται σημαντικές οντότητες. Σε αυτές περιλαμβάνονται οντότητες που προσδιορίζονται ως σημαντικές οντότητες σύμφωνα με τις περ. β) έως ε) της παρ. 2 του άρθρου 3.
3. Η Εθνική Αρχή Κυβερνοασφάλειας, σε συνεργασία με τις ανά τομέα αρμόδιες ρυθμιστικές/εποπτικές αρχές και λοιπούς εμπλεκόμενους εθνικούς φορείς, προσδιορίζει, τις βασικές ή σημαντικές οντότητες των περ. γ) έως ε) της παρ. 2 του άρθρου 3 που εμπίπτουν στο πεδίο εφαρμογής του παρόντος. Η Εθνική Αρχή Κυβερνοασφάλειας καταρτίζει κατάλογο βασικών και σημαντικών οντοτήτων, καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, σύμφωνα με την παρ. 3 του άρθρου 30. Για την κατάρτιση του καταλόγου, οι οντότητες που αναφέρονται σε αυτόν υποβάλλουν στην Εθνική Αρχή Κυβερνοασφάλειας, μέσω της ψηφιακής πλατφόρμας ή με κάθε άλλο τρόπο που ορίζεται με την απόφαση της παρ. 4 του άρθρου 30, εντός προθεσμίας δυο (2) μηνών από την έναρξη ισχύος του παρόντος, τις κάτωθι πληροφορίες:
α) την επωνυμία της οντότητας,
β) τη διεύθυνση και τα επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου της οντότητας, του εύρους των διαδικτυακών διευθύνσεων (IP ranges),
γ) το σύνολο των ονομάτων χώρου (domain names) που χρησιμοποιεί η οντότητα,
δ) κατά περίπτωση, τον σχετικό τομέα, υποτομέα και τύπο οντότητας που αναφέρεται στα Παραρτήματα Ι ή ΙΙ και
ε) κατά περίπτωση, κατάλογο των άλλων κρατών μελών της Ευρωπαϊκής Ένωσης, στα οποία παρέχουν υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος Μέρους.
4. Οι οντότητες της παρ. 3 κοινοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας τις μεταβολές στα στοιχεία που υποβάλλονται μέσω της ψηφιακής πλατφόρμας της παρ. 4 του άρθρου 30, αμελλητί και σε κάθε περίπτωση εντός δύο (2) εβδομάδων από την ημερομηνία επέλευσης της μεταβολής, με την επιφύλαξη της παρ. 2 του άρθρου 19.
5. Το αργότερο έως τη 17η Απριλίου 2025 και ανά δύο (2) έτη, η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί:
α) στην Ευρωπαϊκή Επιτροπή και στην Ομάδα Συνεργασίας (Cooperation Group) για την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών, καθώς και την ενίσχυση της πίστης και της εμπιστοσύνης, τον αριθμό των βασικών και σημαντικών οντοτήτων σύμφωνα με την παρ. 3 για κάθε τομέα και υποτομέα που αναφέρεται στα Παραρτήματα Ι ή ΙΙ και
β) στην Ευρωπαϊκή Επιτροπή, πληροφορίες σχετικά με τον αριθμό των βασικών και σημαντικών οντοτήτων που προσδιορίζονται σύμφωνα με τις περ. β) έως ε) της παρ. 2 του άρθρου 3, τον τομέα και υποτομέα που αναφέρεται στα Παραρτήματα Ι ή ΙΙ στον οποίο ανήκουν, το είδος της υπηρεσίας που παρέχουν και την απόφαση της παρ. 3 του άρθρου 30.
6. Έως τη 17η Απριλίου 2025 και μετά από αίτημα της Ευρωπαϊκής Επιτροπής, η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή τα ονόματα των βασικών και σημαντικών οντοτήτων που αναφέρονται στην περ. β) της παρ. 5.
Άρθρο 5
Επιφύλαξη όσον αφορά τις τομεακές νομικές πράξεις της Ένωσης (άρθρο 4 της Οδηγίας (ΕΕ) 2022/2555)
1. Όταν οι τομεακές νομικές πράξεις της Ευρωπαϊκής Ένωσης και οι εθνικές διατάξεις εναρμόνισής τους επιβάλλουν σε βασικές ή σημαντικές οντότητες να εγκρίνουν μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας ή να κοινοποιούν σημαντικά περιστατικά και όταν οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στον παρόντα, οι σχετικές διατάξεις του παρόντος νόμου, συμπεριλαμβανομένων των διατάξεων για την εποπτεία και την επιβολή που προβλέπονται στο Κεφάλαιο Ζ, δεν εφαρμόζονται στις εν λόγω οντότητες. Όταν οι τομεακές νομικές πράξεις της Ένωσης και οι εθνικές διατάξεις εναρμόνισής τους δεν καλύπτουν όλες τις οντότητες σε συγκεκριμένο τομέα που εμπίπτει στο πεδίο εφαρμογής του παρόντος, οι διατάξεις του παρόντος εξακολουθούν να εφαρμόζονται στις οντότητες που δεν καλύπτονται από τις εν λόγω τομεακές νομικές πράξεις της Ευρωπαϊκής Ένωσης.
2. Οι απαιτήσεις που αναφέρονται στην παρ. 1 θεωρούνται ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που ορίζονται στο παρόν Μέρος όταν:
α) τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας είναι τουλάχιστον ισοδύναμα ως προς το αποτέλεσμα με εκείνα που προβλέπονται στις παρ. 1 και 2 του άρθρου 15 ή
β) η τομεακή νομική πράξη της Ευρωπαϊκής Ένωσης προβλέπει άμεση πρόσβαση, κατά περίπτωση αυτόματη και απευθείας, στις κοινοποιήσεις περιστατικών από τη CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας και εφόσον οι απαιτήσεις για την κοινοποίηση σημαντικών περιστατικών είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με εκείνες που ορίζονται στις παρ. 1 έως 6 του άρθρου 16.
3. Οι διατάξεις του παρόντος σχετικά με τις υποχρεώσεις διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και αναφοράς περιστατικών, και σχετικά με την εποπτεία δεν εφαρμόζονται στις χρηματοπιστωτικές οντότητες που καλύπτονται από τον Κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333), τηρουμένης σε κάθε περίπτωση της υποχρέωσης συνεργασίας με την Εθνική Αρχή Κυβερνοασφάλειας, σύμφωνα με το άρθρο 13 του παρόντος.
Άρθρο 6
Ορισμοί (άρθρο 6 της Οδηγίας (ΕΕ) 2022/2555)
Για την εφαρμογή του παρόντος νόμου, ισχύουν οι ακόλουθοι ορισμοί:
α) «δικτυακό και πληροφοριακό σύστημα»: αα) δίκτυο ηλεκτρονικών επικοινωνιών, όπως ορίζεται στην υποπερ. 9) της περ. Α του άρθρου 110 του ν. 4727/2020 (Α’ 184),
αβ) κάθε συσκευή ή ομάδα διασυνδεδεμένων ή συναφών συσκευών, μία ή περισσότερες από τις οποίες, σύμφωνα με ένα πρόγραμμα, διενεργούν αυτόματη επεξεργασία ψηφιακών δεδομένων ή
αγ) ψηφιακά δεδομένα που αποθηκεύονται, υποβάλλονται σε επεξεργασία, ανακτώνται ή μεταδίδονται από στοιχεία που καλύπτονται από τις υποπερ. αα) και αβ) της παρούσας για τους σκοπούς της λειτουργίας, χρήσης, προστασίας και συντήρησής τους,
β) «ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων»: η ικανότητα των συστημάτων δικτύου και πληροφοριακών συστημάτων να ανθίστανται, σε δεδομένο επίπεδο εμπιστοσύνης, σε κάθε συμβάν που ενδέχεται να θέσει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των αποθηκευμένων, διαβιβαζόμενων ή επεξεργασμένων δεδομένων ή των υπηρεσιών που προσφέρονται από τα εν λόγω συστήματα δικτύου και πληροφοριακών συστημάτων ή είναι προσβάσιμες μέσω αυτών,
γ) «κυβερνοασφάλεια»: η κυβερνοασφάλεια, όπως ορίζεται στο σημείο 1) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του Κανονισμού (ΕΕ) 526/2013 (πράξη για την κυβερνοασφάλεια, L 151),
δ) «Εθνική Στρατηγική Κυβερνοασφάλειας»: συνεκτικό πλαίσιο το οποίο παρέχει στρατηγικούς στόχους και προτεραιότητες στον τομέα της κυβερνοασφάλειας και τη διακυβέρνηση για την επίτευξή τους,
ε) «παρ’ ολίγον περιστατικό»: περιστατικό, το οποίο θα μπορούσε να έχει θέσει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των αποθηκευμένων, διαβιβαζόμενων ή υφιστάμενων επεξεργασία δεδομένων ή των υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριακών συστημάτων, αλλά το οποίο εμποδίστηκε ή δεν υλοποιήθηκε επιτυχώς,
στ) «περιστατικό»: κάθε συμβάν που θέτει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία ή των υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριακών συστημάτων,
ζ) «περιστατικό μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας»: περιστατικό το οποίο προκαλεί διατάραξη που υπερβαίνει την ικανότητα της χώρας να ανταποκριθεί σε αυτή ή το οποίο έχει σημαντικό αντίκτυπο σε τουλάχιστον δύο κράτη μέλη της Ευρωπαϊκής Ένωσης,
η) «χειρισμός περιστατικών»: κάθε ενέργεια και διαδικασία που αποσκοπεί στην πρόληψη, τη διαπίστωση, την ανάλυση και τον περιορισμό ή την αντίδραση σε περιστατικό και την ανάκαμψη από αυτό,
θ) «κίνδυνος»: η πιθανότητα απώλειας ή διατάραξης που προκαλείται από περιστατικό και εκφράζεται ως συνδυασμός του μεγέθους της εν λόγω απώλειας ή διατάραξης και της πιθανότητας επέλευσης του εν λόγω περιστατικού,
ι) «κυβερνοαπειλή»: κυβερνοαπειλή, όπως ορίζεται στην περ. 8) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881,
ια) «σημαντική κυβερνοαπειλή»: κυβερνοαπειλή η οποία, βάσει των τεχνικών χαρακτηριστικών της, μπορεί να θεωρηθεί ότι έχει τη δυνατότητα να επηρεάσει σοβαρά τα συστήματα δικτύου και πληροφοριών μιας οντότητας ή των χρηστών υπηρεσιών της οντότητας, προκαλώντας σημαντική υλική ή μη υλική ζημία,
ιβ) «προϊόν ΤΠΕ»: προϊόν, όπως ορίζεται στην περ. 12) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881,
ιγ) «υπηρεσία ΤΠΕ»: υπηρεσία ΤΠΕ, όπως ορίζεται στην περ. 13) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881,
ιδ) «διαδικασία ΤΠΕ»: διαδικασία ΤΠΕ, όπως ορίζεται στην περ. 14) του άρθρου 2 του Κανονισμού (ΕΕ) 2019/881,
ιε) «ευπάθεια»: αδυναμία, ευαισθησία ή ελάττωμα προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ που μπορεί να αποτελέσει αντικείμενο εκμετάλλευσης από κυβερνοαπειλή,
ιστ) «πρότυπο»: πρότυπο, όπως ορίζεται στην περ. 1) του άρθρου 2 του Κανονισμού (ΕΕ) 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Οκτωβρίου 2012, σχετικά με την ευρωπαϊκή τυποποίηση, την τροποποίηση των Οδηγιών του Συμβουλίου 89/686/ ΕΟΚ και 93/15/ΕΟΚ και των Οδηγιών του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 94/9/ΕΚ, 94/25/ΕΚ, 95/16/ΕΚ, 97/23/ΕΚ, 98/34/ΕΚ, 2004/22/ΕΚ, 2007/23/ΕΚ, 2009/23/ΕΚ και 2009/105/ΕΚ και την κατάργηση της Απόφασης 87/95/ΕΟΚ του Συμβουλίου και της Απόφασης 1673/2006/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (L 316),
ιζ) «τεχνική προδιαγραφή»: τεχνική προδιαγραφή, όπως ορίζεται στην περ. 4) του άρθρου 2 του Κανονισμού (ΕΕ) 1025/2012,
ιη) «σημείο ανταλλαγής κίνησης διαδικτύου»: δικτυακή διευκόλυνση που επιτρέπει τη διασύνδεση περισσότερων από δύο ανεξάρτητων δικτύων (αυτόνομων συστημάτων), κυρίως με σκοπό τη διευκόλυνση της ανταλλαγής κίνησης στο διαδίκτυο, η οποία παρέχει διασύνδεση μόνο για αυτόνομα συστήματα και η οποία ούτε απαιτεί η κυκλοφορία στο διαδίκτυο που διέρχεται μεταξύ οποιουδήποτε ζεύγους συμμετεχόντων αυτόνομων συστημάτων να διέρχεται μέσω οποιουδήποτε τρίτου αυτόνομου συστήματος ούτε μεταβάλλει ή επηρεάζει με άλλο τρόπο την εν λόγω κίνηση,
ιθ) «σύστημα ονομάτων χώρου» ή «DNS»: ιεραρχικό κατανεμημένο σύστημα ονοματοδοσίας που επιτρέπει τον προσδιορισμό των διαδικτυακών υπηρεσιών και πόρων, επιτρέποντας στις συσκευές των τελικών χρηστών να χρησιμοποιούν υπηρεσίες δρομολόγησης και συνδεσιμότητας στο διαδίκτυο για την πρόσβαση στις εν λόγω υπηρεσίες και πόρους,
κ) «πάροχος υπηρεσιών DNS»: οντότητα που παρέχει: κα) δημόσια διαθέσιμες υπηρεσίες αναδρομικής επίλυσης ονομάτων τομέα για τελικούς χρήστες του διαδικτύου ή κβ) έγκυρες υπηρεσίες επίλυσης ονομάτων τομέα για χρήση από τρίτους, με εξαίρεση τους εξυπηρετητές ονομάτων ρίζας,
κα) «μητρώο ονομάτων τομέα ανωτάτου επιπέδου» ή «μητρώο ονομάτων TLD»: οντότητα στην οποία έχει ανατεθεί συγκεκριμένος TLD και είναι υπεύθυνη για τη διαχείριση του TLD, συμπεριλαμβανομένης της καταχώρισης ονομάτων τομέα στο πλαίσιο του TLD και της τεχνικής λειτουργίας του TLD, συμπεριλαμβανομένης της λειτουργίας των εξυπηρετητών ονομάτων του, της συντήρησης των βάσεων δεδομένων του και της διανομής αρχείων ζώνης TLD σε διακομιστές ονομάτων, ανεξάρτητα από το αν οποιαδήποτε από τις εν λόγω πράξεις εκτελείται από την ίδια την οντότητα ή ανατίθεται εξωτερικά, αλλά εξαιρουμένων των περιπτώσεων στις οποίες τα ονόματα TLD χρησιμοποιούνται από μητρώο μόνο για δική της χρήση,
κβ) «οντότητα που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα»: καταχωρητής ή αντιπρόσωπος που ενεργεί για λογαριασμό καταχωρητών, όπως πάροχος υπηρεσιών καταχώρισης δεδομένων προσωπικού χαρακτήρα ή πληρεξούσιος ή μεταπωλητής,
κγ) «ψηφιακή υπηρεσία»: υπηρεσία, όπως ορίζεται στην περ. β) της παρ. 2 του άρθρου 2 του π.δ. 81/2018 (Α’ 151),
κδ) «υπηρεσία εμπιστοσύνης»: τεχνική προδιαγραφή, όπως ορίζεται στην περ. 16) του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της Οδηγίας 1999/93/ΕΚ (L 257),
κε) «πάροχος υπηρεσιών εμπιστοσύνης»: πάροχος υπηρεσιών εμπιστοσύνης, όπως ορίζεται στην περ. 19) του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014,
κστ) «εγκεκριμένη υπηρεσία εμπιστοσύνης»: εγκεκριμένη υπηρεσία εμπιστοσύνης, όπως ορίζεται στην περ. 17) του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014,
κζ) «εγκεκριμένος πάροχος υπηρεσιών εμπιστοσύνης»: εγκεκριμένος πάροχος υπηρεσιών εμπιστοσύνης, όπως ορίζεται στην περ. 20) του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014,
κη) «επιγραμμική/διαδικτυακή αγορά»: επιγραμμική/ διαδικτυακή αγορά, όπως ορίζεται στην παρ. 7 του άρθρου 3 του ν. 2251/1994 (Α’ 191),
κθ) «επιγραμμική/διαδικτυακή μηχανή αναζήτησης»: επιγραμμική/διαδικτυακή μηχανή αναζήτησης, όπως ορίζεται στην περ. 5) του άρθρου 2 του Κανονισμού
(ΕΕ) 2019/1150 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 20ής Ιουνίου 2019, για την προώθηση της δίκαιης μεταχείρισης και της διαφάνειας για τους επιχειρηματικούς χρήστες επιγραμμικών υπηρεσιών διαμεσολάβησης (L 186),
λ) «υπηρεσία υπολογιστικού νέφους»: ψηφιακή υπηρεσία που καθιστά δυνατή τη διαχείριση κατά παραγγελία και την ευρεία εξ αποστάσεως πρόσβαση σε κλιμακούμενη και ελαστική δεξαμενή κοινών υπολογιστικών πόρων, μεταξύ άλλων όταν οι πόροι αυτοί κατανέμονται σε διάφορα σημεία,
λα) «υπηρεσία κέντρου δεδομένων»: υπηρεσία που περιλαμβάνει δομές, ή ομάδες δομών, οι οποίες προορίζονται για την κεντρική φιλοξενία, διασύνδεση και λειτουργία εξοπλισμού τεχνολογίας πληροφοριών και δικτύων και παρέχουν υπηρεσίες αποθήκευσης, επεξεργασίας και μεταφοράς δεδομένων, καθώς και όλες τις εγκαταστάσεις και υποδομές διανομής ισχύος και περιβαλλοντικού ελέγχου,
λβ) «δίκτυο διανομής περιεχομένου»: δίκτυο γεωγραφικά κατανεμημένων εξυπηρετητών που αποσκοπεί στη διασφάλιση υψηλής διαθεσιμότητας και προσβασιμότητας ή ταχείας παράδοσης ψηφιακού περιεχομένου και ψηφιακών υπηρεσιών στους χρήστες του διαδικτύου για λογαριασμό παρόχων περιεχομένου και υπηρεσιών,
λγ) «πλατφόρμα υπηρεσιών κοινωνικής δικτύωσης»: πλατφόρμα που επιτρέπει στους τελικούς χρήστες να συνδέονται, να ανταλλάσσουν, να αναζητούν και να επικοινωνούν μεταξύ τους μέσω πολλαπλών ηλεκτρονικών μέσων, ιδίως μέσω συνομιλιών, αναρτήσεων, βίντεο και συστάσεων,
λδ) «εκπρόσωπος»: φυσικό ή νομικό πρόσωπο εγκατεστημένο στην Ελλάδα που έχει οριστεί ρητά να ενεργεί εξ ονόματος παρόχου υπηρεσιών Domain Name System (DNS), μητρώου ονομάτων top-level domain (TLD), οντότητας που παρέχει υπηρεσίες καταχώρισης ονομάτων τομέα, παρόχου υπηρεσιών υπολογιστικού νέφους, παρόχου υπηρεσιών κέντρου δεδομένων, παρόχου δικτύου διανομής περιεχομένου, παρόχου διαχειριζομένων υπηρεσιών, παρόχου διαχειριζομένων υπηρεσιών ασφάλειας, παρόχου επιγραμμικής/διαδικτυακής αγοράς, επιγραμμικής/διαδικτυακής μηχανής αναζήτησης ή πλατφόρμας υπηρεσιών κοινωνικής δικτύωσης που δεν είναι εγκατεστημένος στην Ευρωπαϊκή Ένωση, στον οποίο μπορεί να απευθύνεται η Εθνική Αρχή Κυβερνοασφάλειας ή CSIRT αντί της ίδιας της οντότητας όσον αφορά τις υποχρεώσεις της εν λόγω οντότητας δυνάμει του παρόντος νόμου,
λε) «οντότητα δημόσιας διοίκησης»: οντότητα που αναγνωρίζεται ως τέτοια σύμφωνα με το εθνικό δίκαιο, μη συμπεριλαμβανομένων των δικαστηρίων, των κοινοβουλίων ή της κεντρικής τράπεζας, η οποία πληροί τα ακόλουθα κριτήρια:
λεα) έχει συσταθεί με σκοπό την κάλυψη αναγκών γενικού συμφέροντος και δεν έχει βιομηχανικό ή εμπορικό χαρακτήρα,
λεβ) έχει νομική προσωπικότητα ή δικαιούται εκ του νόμου να ενεργεί για λογαριασμό άλλης οντότητας με νομική προσωπικότητα,
λεγ) χρηματοδοτείται κατά το μεγαλύτερο μέρος από το κράτος, τις περιφερειακές αρχές ή άλλους οργανισμούς δημοσίου δικαίου, υπόκειται σε έλεγχο διαχείρισης από τις εν λόγω αρχές ή οργανισμούς ή έχει διοικητικό, διευθυντικό ή εποπτικό συμβούλιο, του οποίου περισσότερα από τα μισά μέλη διορίζονται από το κράτος, τις περιφερειακές αρχές ή άλλους οργανισμούς δημοσίου δικαίου,
λεδ) έχει την εξουσία να εκδίδει διοικητικές πράξεις που επηρεάζουν τα δικαιώματα φυσικών ή νομικών προσώπων στη διασυνοριακή κυκλοφορία προσώπων, αγαθών, υπηρεσιών ή κεφαλαίων,
λστ) «δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών»: δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών, όπως ορίζεται στην υποπερ. 5) της περ. Α του άρθρου 110 του ν. 4727/2020,
λζ) «υπηρεσία ηλεκτρονικών επικοινωνιών»: υπηρεσία ηλεκτρονικών επικοινωνιών, όπως ορίζεται στην υποπερ. 39) της περ. Α του άρθρου 110 του ν. 4727/2020,
λη) «οντότητα»: φυσικό ή νομικό πρόσωπο που έχει συσταθεί και αναγνωρίζεται ως τέτοιο βάσει του εθνικού δικαίου του τόπου εγκατάστασής του ή του τόπου παροχής υπηρεσιών και άσκησης δραστηριοτήτων, το οποίο μπορεί, ενεργώντας για ίδιο λογαριασμό, να ασκεί δικαιώματα και να υπόκειται σε υποχρεώσεις,
λθ) «πάροχος διαχειριζόμενων υπηρεσιών»: οντότητα που παρέχει υπηρεσίες σχετικές με την εγκατάσταση, τη διαχείριση, τη λειτουργία ή τη συντήρηση προϊόντων, δικτύων, υποδομών, εφαρμογών τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) ή οποιωνδήποτε άλλων συστημάτων δικτύου και πληροφοριακών συστημάτων, μέσω συνδρομής ή ενεργού διαχείρισης που εκτελείται είτε στις εγκαταστάσεις των πελατών είτε εξ αποστάσεως,
μ) «πάροχος διαχειριζόμενων υπηρεσιών ασφάλειας»: πάροχος διαχειριζόμενων υπηρεσιών που εκτελεί ή παρέχει υποστήριξη για δραστηριότητες που σχετίζονται με τη διαχείριση κινδύνων κυβερνοασφάλειας, συμπεριλαμβανομένων της αντιμετώπισης περιστατικών, των δοκιμών διείσδυσης και των ελέγχων ασφάλειας,
μα) «ερευνητικός οργανισμός»: οντότητα η οποία έχει ως πρωταρχικό στόχο τη διεξαγωγή εφαρμοσμένης έρευνας ή πειραματικής ανάπτυξης με σκοπό την εκμετάλλευση των αποτελεσμάτων της εν λόγω έρευνας για εμπορικούς σκοπούς, αλλά δεν περιλαμβάνει εκπαιδευτικά ιδρύματα.
ΚΕΦΑΛΑΙΟ Γ’
ΣΥΝΤΟΝΙΣΜΕΝΑ ΚΑΝΟΝΙΣΤΙΚΑ ΠΛΑΙΣΙΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
Άρθρο 7
Εθνική Στρατηγική Κυβερνοασφάλειας (άρθρο 7 της Οδηγίας (ΕΕ) 2022/2555)
1. Η Εθνική Αρχή Κυβερνοασφάλειας διαμορφώνει την Εθνική Στρατηγική Κυβερνοασφάλειας (Ε.Σ.Κ.) που προβλέπει τους στρατηγικούς στόχους, τους πόρους που απαιτούνται για την επίτευξη των εν λόγω στόχων και κατάλληλα μέτρα πολιτικής και ρυθμιστικά μέτρα, με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας. Η Ε.Σ.Κ. θεσπίζεται στο πλαίσιο της Στρατηγικής Εθνικής Ασφάλειας που διαμορφώνεται από το Κυβερνητικό Συμβούλιο Εθνικής Ασφάλειας, σύμφωνα με την παρ. 5 του άρθρου 7 του ν. 4622/2019 (Α’ 133).
Η Ε.Σ.Κ. περιλαμβάνει ιδίως: α) στόχους και προτεραιότητες της στρατηγικής κυβερνοασφάλειας, που καλύπτουν ιδίως τους τομείς που αναφέρονται στα Παραρτήματα I και II,
β) πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στην περ. α), συμπεριλαμβανομένων των πολιτικών που αναφέρονται στην παρ. 2,
γ) πλαίσιο διακυβέρνησης που αποσαφηνίζει τους ρόλους και τις αρμοδιότητες των σχετικών ενδιαφερόμενων μερών σε εθνικό επίπεδο, το οποίο υποστηρίζει τη συνεργασία και τον συντονισμό σε εθνικό επίπεδο μεταξύ των αρμόδιων αρχών, του ενιαίου σημείου επαφής και των CSIRTs, δυνάμει του παρόντος μέρους, καθώς και τον συντονισμό και τη συνεργασία μεταξύ των εν λόγω φορέων και των αρμόδιων αρχών βάσει τομεακών νομικών πράξεων της Ευρωπαϊκής Ένωσης,
δ) μηχανισμό για τον προσδιορισμό των σχετικών πάγιων στοιχείων και εκτίμηση των κινδύνων,
ε) προσδιορισμό των μέτρων για τη διασφάλιση της ετοιμότητας, της απόκρισης και της αποκατάστασης από περιστατικά, συμπεριλαμβανομένης της συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα,
στ) κατάλογο των αρχών και ενδιαφερόμενων μερών που συμμετέχουν στην εφαρμογή της Ε.Σ.Κ.,
ζ) πλαίσιο πολιτικής για ενισχυμένο συντονισμό μεταξύ των αρμόδιων αρχών δυνάμει του παρόντος μέρους και των αρμόδιων αρχών που προβλέπονται στην Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333) για την ανταλλαγή πληροφοριών, σχετικά με κινδύνους, κυβερνοαπειλές και περιστατικά, καθώς και σχετικά με κινδύνους, απειλές και περιστατικά εκτός κυβερνοχώρου, και την άσκηση εποπτικών καθηκόντων, κατά περίπτωση,
η) σχέδιο, συμπεριλαμβανομένων των αναγκαίων μέτρων, για την ενίσχυση του γενικού επιπέδου ευαισθητοποίησης των πολιτών στον τομέα της κυβερνοασφάλειας,
θ) τους κρίσιμους παράγοντες επιτυχίας για την επίτευξη των στρατηγικών και επιχειρησιακών στόχων.
2. Στο πλαίσιο της Ε.Σ.Κ., θεσπίζονται ιδίως πολιτικές:
α) εμπέδωσης της κυβερνοασφάλειας στην αλυσίδα εφοδιασμού προϊόντων τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) και υπηρεσιών ΤΠΕ, που χρησιμοποιούνται από οντότητες για την παροχή των υπηρεσιών τους,
β) σχετικά με τη συμπερίληψη και τον προσδιορισμό των σχετικών με την κυβερνοασφάλεια απαιτήσεων για τα προϊόντα ΤΠΕ και τις υπηρεσίες ΤΠΕ στις δημόσιες συμβάσεις, συμπεριλαμβανομένων των σχετικών με την πιστοποίηση της κυβερνοασφάλειας, την κρυπτογράφηση, σε συνεργασία με την αρμόδια εθνική αρχή CRYPTO, και τη χρήση προϊόντων κυβερνοασφάλειας ανοικτού κώδικα,
γ) διαχείρισης ευπαθειών, συμπεριλαμβανομένης της προώθησης και της διευκόλυνσης της συντονισμένης γνωστοποίησης ευπαθειών σύμφωνα με την παρ. 1 του άρθρου 12,
δ) σχετικές με τη διατήρηση της γενικής διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας του δημόσιου πυρήνα του ανοικτού διαδικτύου, συμπεριλαμβανομένης, κατά περίπτωση, της κυβερνοασφάλειας των υποβρύχιων καλωδίων επικοινωνιών,
ε) προώθησης της ανάπτυξης και της ενσωμάτωσης προηγμένων τεχνολογιών με στόχο την εφαρμογή προηγμένων μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας,
στ) προώθησης και ανάπτυξης της εκπαίδευσης και της κατάρτισης στην κυβερνοασφάλεια, ανάπτυξης δεξιοτήτων κυβερνοασφάλειας, ευαισθητοποίησης και ανάληψης πρωτοβουλιών έρευνας και ανάπτυξης, καθώς και σχετικά με την καθοδήγηση σε ορθές πρακτικές και ελέγχους κυβερνοϋγιεινής, με στόχο τους πολίτες, τα ενδιαφερόμενα μέρη και τις οντότητες,
ζ) στήριξης ακαδημαϊκών και ερευνητικών ιδρυμάτων για την ανάπτυξη, την ενίσχυση και την προώθηση της ανάπτυξης εργαλείων κυβερνοασφάλειας και ασφαλών υποδομών δικτύου,
η) συμπερίληψης σχετικών διαδικασιών και κατάλληλων εργαλείων ανταλλαγής πληροφοριών για τη στήριξη της εθελοντικής ανταλλαγής πληροφοριών για την κυβερνοασφάλεια μεταξύ οντοτήτων σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης και τον παρόντα νόμο,
θ) ενίσχυσης της κυβερνοανθεκτικότητας και της βάσης για την κυβερνοϋγιεινή των μικρών και μεσαίων επιχειρήσεων, ιδίως εκείνων που εξαιρούνται από το πεδίο εφαρμογής του παρόντος μέρους, με την παροχή εύκολα προσβάσιμης καθοδήγησης και συνδρομής για τις ειδικές ανάγκες τους,
ι) προώθησης της ενεργητικής κυβερνοπροστασίας.
3. Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί την Ε.Σ.Κ. στην Ευρωπαϊκή Επιτροπή εντός τριών (3) μηνών από την έγκρισή της σύμφωνα με το πρώτο εδάφιο της παρ. 5 του άρθρου 30. Από την ανωτέρω κοινοποίηση εξαιρούνται πληροφορίες που αφορούν στην εθνική ασφάλεια.
4. Η Ε.Σ.Κ. αξιολογείται σε τακτική βάση και τουλάχιστον ανά πέντε (5) έτη με βάση βασικούς δείκτες επιδόσεων και, όπου απαιτείται, επικαιροποιείται σύμφωνα με το δεύτερο εδάφιο της παρ. 5 του άρθρου 30. Το Σχέδιο Δράσης για την υλοποίηση της Ε.Σ.Κ. αξιολογείται και, εφόσον είναι αναγκαίο, επικαιροποιείται τουλάχιστον ανά δύο (2) έτη σύμφωνα με το δεύτερο εδάφιο της παρ. 5 του άρθρου 30.
5. Η Εθνική Αρχή Κυβερνοασφάλειας δύναται να υποβάλει, εφόσον το κρίνει αναγκαίο, στον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια [European Union Agency for Cybersecurity (ENISA)] αίτημα για τη συνδρομή του, στην ανάπτυξη ή την επικαιροποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας και των βασικών δεικτών επιδόσεων για την αξιολόγησή της, με σκοπό την εναρμόνισή της με τον παρόντα νόμο.
Άρθρο 8
Αρμόδια αρχή και ενιαίο σημείο επαφής (άρθρο 8 της Οδηγίας (ΕΕ) 2022/2555)
1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια αρχή υπεύθυνη για την κυβερνοασφάλεια και για τα εποπτικά καθήκοντα που αναφέρονται στο Κεφάλαιο Ζ του παρόντος Μέρους και συμμετέχει στην Ομάδα Συνεργασίας για την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών, καθώς και την ενίσχυση της πίστης και της εμπιστοσύνης, κατά το άρθρο 14 της Οδηγίας 2022/2555.
2. Η Εθνική Αρχή Κυβερνοασφάλειας παρακολουθεί την εφαρμογή του παρόντος μέρους και αποτελεί το ενιαίο σημείο επαφής της Ελλάδας. Στο πλαίσιο των αρμοδιοτήτων της, η Εθνική Αρχή Κυβερνοασφάλειας ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας της χώρας με τις αρμόδιες αρχές άλλων κρατών μελών και, κατά περίπτωση, με την Ευρωπαϊκή Επιτροπή και τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), καθώς και για τη διασφάλιση διατομεακής συνεργασίας με άλλες αρμόδιες αρχές εντός της χώρας.
3. Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή, αμελλητί, τον ορισμό της ως αρμόδιας αρχής της παρ. 1 και ενιαίου σημείου επαφής της παρ. 2, τα καθήκοντά της, καθώς και κάθε μεταγενέστερη αλλαγή. Η Εθνική Αρχή Κυβερνοασφάλειας αναρτά στον ιστότοπό της τον ορισμό της ως αρμόδιας αρχής.
Άρθρο 9
Εθνικό πλαίσιο διαχείρισης κυβερνοκρίσεων (άρθρο 9 της Οδηγίας (ΕΕ) 2022/2555)
1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια για τη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας στον τομέα της κυβερνοασφάλειας (αρχή διαχείρισης κυβερνοκρίσεων) και συμμετέχει στο Ευρωπαϊκό Δίκτυο οργανώσεων διασύνδεσης για κρίσεις στον κυβερνοχώρο (EU-CyCLONe).
2. Για τον καθορισμό των στόχων και της διαδικασίας για τη διαχείριση μεγάλης κλίμακας περιστατικών και κρίσεων στον τομέα της κυβερνοασφάλειας, καταρτίζεται εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον κυβερνοχώρο σύμφωνα με την παρ. 7 του άρθρου 30. Στο εν λόγω σχέδιο καθορίζονται ιδίως:
α) οι στόχοι των εθνικών μέτρων και δραστηριοτήτων ετοιμότητας,
β) τα καθήκοντα και οι αρμοδιότητες της Εθνικής Αρχής Κυβερνοασφάλειας ως αρχής διαχείρισης κυβερνοκρίσεων,
γ) οι διαδικασίες διαχείρισης κυβερνοκρίσεων, συμπεριλαμβανομένης της ενσωμάτωσής τους στο γενικό εθνικό πλαίσιο διαχείρισης κρίσεων και στους διαύλους ανταλλαγής πληροφοριών,
δ) τα εθνικά μέτρα ετοιμότητας, συμπεριλαμβανομένων ασκήσεων και δραστηριοτήτων κατάρτισης,
ε) τα ενδιαφερόμενα μέρη δημόσιου και ιδιωτικού τομέα και οι υποδομές, και
στ) οι διαδικασίες μεταξύ των αρμόδιων αρχών και φορέων για τη διασφάλιση της αποτελεσματικής συμμετοχής και παροχής υποστήριξης εκ μέρους της χώρας στη συντονισμένη διαχείριση περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας σε επίπεδο Ευρωπαϊκής Ένωσης.
Η απόφαση της παρ. 7 του άρθρου 30, με την οποία καταρτίζεται το εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον κυβερνοχώρο, εγκρίνεται εντός αποκλειστικής προθεσμίας ενός (1) μηνός από την υποβολή της στην Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας του άρθρου 23 του ν. 5002/2022 (Α’ 228), σε περίπτωση δε άπρακτης παρέλευσης της ανωτέρω προθεσμίας τεκμαίρεται ως σιωπηρώς εγκριθείσα. Τα έννομα αποτελέσματα της απόφασης του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας επέρχονται είτε από την επομένη της ρητής έγκρισής της είτε από την επομένη της παρέλευσης ενός (1) μηνός από τη υποβολή της στην Επιτροπή. Το εθνικό σχέδιο έκτακτης ανάγκης της περ. γ) του άρθρου 22 του ν. 5002/2022 αποτελεί μέρος του εθνικού σχεδίου του παρόντος.
3. Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή, εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, τον ορισμό της ως αρμόδιας αρχής της παρ. 1 και την ενημερώνει, αμελλητί, για τυχόν μεταγενέστερες αλλαγές. Επιπλέον, η Εθνική Αρχή Κυβερνοασφάλειας υποβάλλει στην Ευρωπαϊκή Επιτροπή και στο Ευρωπαϊκό Δίκτυο Οργανισμών Διασύνδεσης για Κυβερνοκρίσεις (EU-CyCLONe), εντός τριών (3) μηνών από την έγκριση του εθνικού σχεδίου αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας, πληροφορίες σχετικά με τις απαιτήσεις της παρ. 2 αναφορικά με το εθνικό σχέδιο. Από την παροχή πληροφοριών εξαιρούνται συγκεκριμένες πληροφορίες, εφόσον κρίνεται αναγκαίο για λόγους εθνικής ασφάλειας.
Άρθρο 10
Ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 10 της Οδηγίας (ΕΕ) 2022/2555)
1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team CSIRT) για τις οντότητες που εντάσσονται στο πεδίο εφαρμογής του παρόντος μέρους. Ειδικά για τους οργανισμούς της περ. στ) της παρ. 2 του άρθρου 3, ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) ορίζεται η Ομάδα Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) της Διεύθυνσης Κυβερνοχώρου της Εθνικής Υπηρεσίας Πληροφοριών (Ε.Υ.Π.).
2. Εφόσον κριθεί αναγκαίο για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας, δύναται να καθορίζονται και έτερες CSIRTs, σύμφωνα με την παρ. 8 του άρθρου 30.
3. Η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας επιτελεί συντονιστικό ρόλο των CSIRTs, για την επίτευξη των σκοπών του παρόντος άρθρου. Οι CSIRTs συμμορφώνονται με τις απαιτήσεις που ορίζονται στην παρ. 1 του άρθρου 11, καλύπτουν τουλάχιστον τους τομείς και τους υποτομείς που αναφέρονται στα Παραρτήματα Ι και ΙΙ και είναι υπεύθυνες για τον χειρισμό περιστατικών. Οι CSIRTs επιλαμβάνονται συμβάντων που αφορούν στην ασφάλεια υπολογιστών του οικείου τομέα, εφόσον ζητηθεί η συνδρομή τους από την Εθνική Αρχή Κυβερνοασφάλειας, ιδίως σε περιπτώσεις σοβαρών, επειγόντων ή σημαντικού αριθμού συμβάντων που εξελίσσονται ταυτόχρονα. Για τα περιστατικά που αφορούν τις οντότητες της περ. στ) της παρ. 2 του άρθρου 3, επιλαμβάνεται απευθείας η Ομάδα Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (Εθνικό CERT) της Διεύθυνσης Κυβερνοχώρου της Ε.Υ.Π.. Οι CSIRTs υποχρεούνται να ενημερώνουν αμελλητί την Εθνική Αρχή Κυβερνοασφάλειας για περιπτώσεις συμβάντων που διαπιστώνουν και αφορούν στην κυβερνοασφάλεια, καθώς και να την συνδράμουν αμελλητί στην εκτέλεση των καθηκόντων της σύμφωνα με την παρ. 1, εφόσον ζητηθεί από την ίδια.
4. Οι CSIRTs ανταλλάσσουν πληροφορίες με βασικές και σημαντικές οντότητες και άλλα σχετικά ενδιαφερόμενα μέρη, μέσω ασφαλών εργαλείων ανταλλαγής πληροφοριών. H CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας και οι άλλες CSIRTs, συνεργάζονται και, κατά περίπτωση, ανταλλάσσουν μέσω της Εθνικής Αρχής Κυβερνοασφάλειας πληροφορίες σύμφωνα με το άρθρο 21 του παρόντος με τομεακές ή διατομεακές κοινότητες βασικών και σημαντικών οντοτήτων. Επιπλέον, συμμετέχουν σε αξιολογήσεις από ομοτίμους που διοργανώνονται σύμφωνα με το άρθρο 19 της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (L 333) και επιδιώκουν την αποτελεσματική, αποδοτική και ασφαλή συνεργασία τους στο πλαίσιο του δικτύου CSIRTs.
5. Οι CSIRTs μπορούν να συνάπτουν σχέσεις συνεργασίας με τις εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές τρίτης χώρας, ιδίως με την ανταλλαγή πληροφοριών, χρησιμοποιώντας σχετικά πρωτόκολλα ανταλλαγής πληροφοριών, συμπεριλαμβανομένου του πρωτοκόλλου φωτεινού σηματοδότη (traffic light protocol TLP), καθώς και να ανταλλάσσουν σχετικές πληροφορίες με αυτές, συμπεριλαμβανομένων δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119). Επιπλέον, μπορούν να συνεργάζονται με εθνικές ομάδες αντιμετώπισης περιστατικών ασφάλειας σε υπολογιστές τρίτης χώρας ή με ισοδύναμους φορείς τρίτης χώρας, ιδίως με σκοπό την παροχή συνδρομής στον τομέα της κυβερνοασφάλειας.
6. Για την αντιμετώπιση συμβάντων στον τομέα της κυβερνοασφάλειας, δύνανται να συστήνονται ειδικές ομάδες απόκρισης, σύμφωνα με την παρ. 9 του άρθρου 30. Οι εν λόγω ομάδες απόκρισης αποτελούνται από εκπροσώπους της Εθνικής Αρχής Κυβερνοασφάλειας, και εκπροσώπους είτε της αρμόδιας οργανικής μονάδας του Γενικού Επιτελείου Εθνικής Άμυνας για θέματα κυβερνοάμυνας, είτε της Διεύθυνσης Κυβερνοχώρου της Εθνικής Υπηρεσίας Πληροφοριών είτε κατά περίπτωση των National Sectorial Focal Points (NSFP) της παρ. 6 του άρθρου 13. Καθήκοντα Συντονιστή ανατίθενται σε εκπρόσωπο της Εθνικής Αρχής Κυβερνοασφάλειας. Οι εκπρόσωποι των λοιπών υπηρεσιών υποδεικνύονται από τα κατά περίπτωση αρμόδια όργανα μετά από αίτημα του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας. Σε περίπτωση μη υπόδειξης εκπροσώπου εντός της ταχθείσας από τον Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας προθεσμίας, η απόφαση του Διοικητή περί σύστασης της ομάδας απόκρισης εκδίδεται χωρίς τη συμμετοχή εκπροσώπου της οικείας υπηρεσίας. Για κάθε συμβάν, κάθε ειδική ομάδα απόκρισης καταθέτει στην αρμόδια οργανική μονάδα της Εθνικής Αρχής Κυβερνοασφάλειας προκαταρτική αναφορά εντός είκοσι τεσσάρων (24) ωρών, πληρέστερη επικαιροποιημένη αναφορά εντός εβδομήντα δύο (72) ωρών, ή οποτεδήποτε ζητηθεί από την αρμόδια οργανική μονάδα της Εθνικής Αρχής Κυβερνοασφάλειας, καθώς και αναλυτική αναφορά για το συμβάν και τη διαχείρισή του, εντός ενός (1) μηνός από την έκδοση της απόφασης σύστασης της ομάδας. Τα έξοδα των μελών της ομάδας για την εκτέλεση του έργου που τους ανατίθεται βαρύνουν τον προϋπολογισμό της Εθνικής Αρχής Κυβερνοασφάλειας.
7. Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί στην Ευρωπαϊκή Επιτροπή, αμελλητί, την ταυτότητα των CSIRTs της παρ. 1, των τυχόν άλλων CSIRTs που ορίζονται με την απόφαση της παρ. 8 του άρθρου 30, τα αντίστοιχα καθήκοντά τους σε σχέση με βασικές και σημαντικές οντότητες, την CSIRT στην οποία ανατίθενται συντονιστικά καθήκοντα σύμφωνα με το παρόν άρθρο, καθώς και τυχόν μεταγενέστερες αλλαγές.
Άρθρο 11
Απαιτήσεις, τεχνικές ικανότητες και καθήκοντα των ομάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 11 της Οδηγίας (ΕΕ) 2022/2555)
1. Οι ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) συμμορφώνονται με τις ακόλουθες απαιτήσεις:
α) εξασφαλίζουν υψηλό επίπεδο διαθεσιμότητας των διαύλων επικοινωνίας τους, αποφεύγοντας μοναδικά σημεία αστοχίας και διαθέτουν εναλλακτικούς τρόπους για εισερχόμενη και εξερχόμενη επικοινωνία με τρίτους ανά πάσα στιγμή, προσδιορίζουν σαφώς τους διαύλους επικοινωνίας και τους γνωστοποιούν στα μέλη της περιοχής ευθύνης τους και στους συνεργαζόμενους εταίρους,
β) οι εγκαταστάσεις των CSIRTs και τα υποστηρικτικά πληροφοριακά συστήματα βρίσκονται σε ασφαλείς χώρους,
γ) οι CSIRTs είναι εφοδιασμένες με κατάλληλο σύστημα διαχείρισης και δρομολόγησης αιτημάτων, ιδίως προκειμένου να διευκολύνεται η αποτελεσματική και αποδοτική άσκηση καθηκόντων,
δ) οι CSIRTs διασφαλίζουν την εμπιστευτικότητα και την αξιοπιστία των δραστηριοτήτων τους,
ε) οι CSIRTs είναι επαρκώς στελεχωμένες, ώστε να διασφαλίζουν τη διαθεσιμότητα των υπηρεσιών τους ανά πάσα στιγμή και διασφαλίζουν ότι το προσωπικό τους είναι κατάλληλα καταρτισμένο,
στ) οι CSIRTs είναι εξοπλισμένες με εφεδρικά συστήματα και εφεδρικό χώρο εργασίας για τη διασφάλιση της συνέχειας των υπηρεσιών τους.
Η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας, καθώς και οι λοιπές CSIRTs μπορούν να συμμετέχουν σε διεθνή δίκτυα συνεργασίας. Ιδίως η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας δύναται να επικουρείται από τις λοιπές CSIRTs για τη συμμετοχή της στα παραπάνω δίκτυα.
2. Οι CSIRTs είναι επιφορτισμένες με τα ακόλουθα καθήκοντα:
α) παρακολούθηση και ανάλυση κυβερνοαπειλών, ευπαθειών και περιστατικών σε εθνικό επίπεδο, αποκλειστικά για τους τομείς και οργανισμούς αρμοδιότητάς τους και, κατόπιν αιτήματος, παροχή συνδρομής σε επηρεαζόμενες βασικές και σημαντικές οντότητες σχετικά με την παρακολούθηση των συστημάτων δικτύου και πληροφοριακών συστημάτων τους σε πραγματικό χρόνο ή σχεδόν σε πραγματικό χρόνο,
β) παροχή έγκαιρων προειδοποιήσεων, ειδοποιήσεων, ανακοινώσεων και πληροφοριών σε εμπλεκόμενες βασικές και σημαντικές οντότητες, καθώς και σε αρμόδιες αρχές και άλλα σχετικά ενδιαφερόμενα μέρη σχετικά με κυβερνοαπειλές, ευπάθειες και περιστατικά, ει δυνατόν σε σχεδόν πραγματικό χρόνο,
γ) αντιμετώπιση περιστατικών και παροχή συνδρομής στις επηρεαζόμενες βασικές και σημαντικές οντότητες, κατά περίπτωση,
δ) συλλογή και ανάλυση εγκληματολογικών δεδομένων και δυναμική ανάλυση κινδύνων και περιστατικών και επίγνωση της κατάστασης σε θέματα κυβερνοασφάλειας,
ε) παροχή, κατόπιν αιτήματος βασικής ή σημαντικής οντότητας, προληπτικής σάρωσης των συστημάτων δικτύου και πληροφοριακών συστημάτων της οικείας οντότητας για τον εντοπισμό ευπαθειών με δυνητικό σημαντικό αντίκτυπο,
στ) συμμετοχή, μετά από απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, στο δίκτυο CSIRTs του άρθρου 15 της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (L 333) παροχή αμοιβαίας συνδρομής σύμφωνα με τις ικανότητες και τις αρμοδιότητές τους σε άλλα μέλη του δικτύου CSIRTs κατόπιν αιτήματός τους,
ζ) συμβολή στην ανάπτυξη ασφαλών εργαλείων ανταλλαγής πληροφοριών σύμφωνα με την παρ. 4 του άρθρου 10.
Οι CSIRTs μπορούν να διενεργούν προληπτική μη παρεμβατική σάρωση των δημοσίως προσβάσιμων συστημάτων δικτύου και πληροφοριακών συστημάτων βασικών και σημαντικών οντοτήτων, εφόσον δεν έχει αρνητικές συνέπειες για τη λειτουργία των υπηρεσιών των οντοτήτων. Η εν λόγω σάρωση διενεργείται για τον εντοπισμό ευπαθών ή επισφαλώς διαμορφωμένων συστημάτων δικτύου και πληροφοριακών συστημάτων και για την ενημέρωση των οικείων οντοτήτων.
Κατά την εκτέλεση των καθηκόντων που αναφέρονται στο πρώτο εδάφιο, οι CSIRTs μπορούν να δίνουν προτεραιότητα σε συγκεκριμένα καθήκοντα στο πλαίσιο προσέγγισης βάσει κινδύνου.
3. Οι CSIRTs δύνανται να συνεργάζονται με ενδιαφερόμενα μέρη του ιδιωτικού τομέα, με σκοπό την επίτευξη των στόχων του παρόντος νόμου. Προκειμένου να διευκολυνθεί η συνεργασία, οι CSIRTs προωθούν την υιοθέτηση και τη χρήση κοινών ή τυποποιημένων πρακτικών, συστημάτων ταξινόμησης και ταξινομιών σε σχέση με:
α) διαδικασίες διαχείρισης περιστατικών, β) διαχείριση κρίσεων, και γ) συντονισμένη γνωστοποίηση ευπαθειών σύμφωνα με την παρ. 1 του άρθρου 12.
Άρθρο 12
Συντονισμένη γνωστοποίηση ευπαθειών και ευρωπαϊκή βάση δεδομένων ευπαθειών (άρθρο 12 της Οδηγίας 2022/2555)
1. Στην CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας ανατίθεται ο συντονιστικός ρόλος για τους σκοπούς της συντονισμένης γνωστοποίησης ευπαθειών. Η ως άνω CSIRT ενεργεί ως αξιόπιστος διαμεσολαβητής, διευκολύνοντας, όπου απαιτείται, την επικοινωνία μεταξύ του φυσικού ή νομικού προσώπου που αναφέρει την ευπάθεια και του κατασκευαστή ή του παρόχου των δυνητικά ευπαθών προϊόντων ΤΠΕ ή υπηρεσιών ΤΠΕ, κατόπιν αιτήματος ενός εκ των μερών. Τα καθήκοντα της ανωτέρω CSIRT στην οποία έχει ανατεθεί συντονιστικός ρόλος περιλαμβάνουν:
α) τον προσδιορισμό των οικείων οντοτήτων και την επικοινωνία με αυτές,
β) την παροχή συνδρομής στα φυσικά ή νομικά πρόσωπα που αναφέρουν ευπάθειες, και
γ) τη διαπραγμάτευση χρονοδιαγραμμάτων γνωστοποίησης και τη διαχείριση ευπαθειών που επηρεάζουν πλείονες οντότητες.
2. Τα φυσικά ή νομικά πρόσωπα μπορούν να αναφέρουν, εφόσον το ζητήσουν, ανώνυμα ευπάθειες στην CSIRT της παρ. 1. Η εν λόγω CSIRT διασφαλίζει ότι εκτελούνται επιμελείς ενέργειες παρακολούθησης όσον αφορά την αναφερθείσα ευπάθεια και διασφαλίζει την ανωνυμία του φυσικού ή νομικού προσώπου που αναφέρει την τρωτότητα. Στις περιπτώσεις που μια αναφερόμενη ευπάθεια θα μπορούσε να έχει σημαντικό αντίκτυπο σε οντότητες σε περισσότερα του ενός κράτη μέλη, η CSIRT της παρ. 1 συνεργάζεται, κατά περίπτωση, με άλλες CSIRTs στις οποίες έχει ανατεθεί συντονιστικός ρόλος στο πλαίσιο του δικτύου CSIRTs.
Άρθρο 13
Συνεργασία σε εθνικό επίπεδο (άρθρο 13 της Οδηγίας (ΕΕ) 2022/2555)
1. Η Εθνική Αρχή Κυβερνοασφάλειας, ως αρμόδια αρχή, ενιαίο σημείο επαφής και ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT), καθώς και οι CSIRTs των παρ. 1 και 2 του άρθρου 10 συνεργάζονται μεταξύ τους για την τήρηση των υποχρεώσεων που προβλέπονται στον παρόντα νόμο.
2. Οι CSIRTs λαμβάνουν αναφορές σοβαρών περιστατικών σύμφωνα με το άρθρο 16, καθώς και περιστατικών κυβερνοαπειλών και παρ’ ολίγον περιστατικών σύμφωνα με το άρθρο 22. Οι CSIRTs ενημερώνουν, αμελλητί, την CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας για κοινοποιήσεις περιστατικών κυβερνοαπειλών και παρ’ ολίγον περιστατικών που υποβάλλονται σύμφωνα με τον παρόντα νόμο.
3. Η Εθνική Αρχή Κυβερνοασφάλειας, οι CSIRTs και οι λοιπές αρμόδιες εθνικές αρχές ανταλλάσσουν συστηματικά πληροφορίες μεταξύ τους με στόχο την αποτελεσματικότερη άσκηση των καθηκόντων τους και ιδίως:
α) Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί σε κάθε αρμόδια CSIRT τα στοιχεία που υποβάλλονται σε αυτήν σύμφωνα με τις παρ. 3 και 4 του άρθρου 4.
β) Κάθε αρμόδια CSIRT, η οποία επιλαμβάνεται περιστατικού, ενημερώνει, αμελλητί και όχι αργότερα από είκοσι τέσσερις (24) ώρες, τη CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας και κοινοποιεί σχετική έκθεση, καθώς και κάθε άλλη αιτούμενη πληροφορία εντός εβδομήντα δύο (72) ωρών.
γ) Στην Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας αποστέλλονται:
γα) τα στοιχεία που κοινοποιούνται σύμφωνα με την παρ. 5 του άρθρου 4, την παρ. 3 του άρθρου 9 και την παρ. 6 του άρθρου 16 του παρόντος και
γβ) τα αναγκαία στοιχεία και αναφορές σχετικά με την πρόοδο υλοποίησης της Εθνικής Στρατηγικής Κυβερνοασφάλειας.
δ) Η Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας στο πλαίσιο της εκτέλεσης των αρμοδιοτήτων της, η Εθνική Αρχή Κυβερνοασφάλειας και οι φορείς που ορίζονται στην παρ. 1 του άρθρου 26 του ν. 5002/2022 υποχρεούνται να συνεργάζονται και να ανταλλάσσουν πληροφορίες, ιδίως αναφορικά με τη διαχείριση συμβάντος που ενέχει στρατηγικό κίνδυνο, σύμφωνα με την περ. α) του άρθρου 22 του ν. 5002/2022.
4. Προκειμένου να διασφαλιστεί η αποτελεσματική εκτέλεση των καθηκόντων και των υποχρεώσεων της Εθνικής Αρχής Κυβερνοασφάλειας ως αρμόδιας αρχής, ενιαίου σημείου επαφής και CSIRT, καθώς και των άλλων CSIRTs, συνεργάζονται, με κατάλληλο και συστηματικό τρόπο, οι εν λόγω φορείς και οι αρμόδιες αρχές επιβολής του νόμου, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών, οι αρμόδιες εθνικές αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΚ) 300/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2008, για τη θέσπιση κοινών κανόνων στο πεδίο της ασφάλειας της πολιτικής αεροπορίας και την κατάργηση του Κανονισμού (ΕΚ) 2320/2002 (L 97) και τον Κανονισμό (ΕΕ) 2018/1139 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 4ης Ιουλίου 2018, για τη θέσπιση κοινών κανόνων στον τομέα της πολιτικής αεροπορίας και την ίδρυση Οργανισμού της Ευρωπαϊκής Ένωσης για την Αεροπορική Ασφάλεια, και για την τροποποίηση των Κανονισμών (ΕΚ) 2111/2005, (ΕΚ) 1008/2008, (ΕΕ) 996/2010, (ΕΕ) 376/2014 και των Οδηγιών 2014/30/ΕΕ και 2014/53/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, καθώς και για την κατάργηση των Κανονισμών (ΕΚ) 552/2004 και (ΕΚ) 216/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του Κανονισμού (ΕΟΚ) 3922/91 του Συμβουλίου (L 212), οι εποπτικοί φορείς που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της Οδηγίας 1999/93/ΕΚ (L 257), οι αρμόδιες αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333), οι εθνικές ρυθμιστικές αρχές που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2018/1972 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Δεκεμβρίου 2018, για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών (L 321), οι αρμόδιες αρχές που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), καθώς και οι αρμόδιες αρχές που έχουν οριστεί σύμφωνα με άλλες τομεακές νομικές πράξεις της Ευρωπαϊκής Ένωσης, εντός της χώρας.
5. H Εθνική Αρχή Κυβερνοασφάλειας, ως αρμόδια εθνική αρχή σύμφωνα με τον παρόντα νόμο, και οι λοιπές αρμόδιες εθνικές αρχές σύμφωνα με την Οδηγία (ΕΕ) 2022/2557, συνεργάζονται και ανταλλάσσουν πληροφορίες σε τακτική βάση όσον αφορά τον προσδιορισμό των κρίσιμων οντοτήτων, τους κινδύνους, τις κυβερνοαπειλές και τα περιστατικά, καθώς και τους κινδύνους, τις απειλές και τα περιστατικά εκτός του κυβερνοχώρου, που επηρεάζουν βασικές οντότητες οι οποίες προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (EE) 2022/2557, και τα μέτρα που λαμβάνονται για την αντιμετώπιση των εν λόγω κινδύνων, απειλών και περιστατικών. Οι κατά τα ανωτέρω αρμόδιες αρχές και οι αρμόδιες αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 910/2014, τον Κανονισμό (ΕΕ) 2022/2554 και την Οδηγία (ΕΕ) 2018/1972 ανταλλάσσουν σχετικές πληροφορίες σε τακτική βάση, μεταξύ άλλων όσον αφορά συναφή περιστατικά και κυβερνοαπειλές.
6. Eίναι δυνατός ο ορισμός αρχών, φορέων, υπηρεσιών ή οργανικών μονάδων της δημόσιας διοίκησης με ρυθμιστικές και εποπτικές αρμοδιότητες σε επιμέρους τομείς των Παραρτημάτων Ι και ΙΙ, ως τομεακών σημείων επαφής και συνεργασίας σε εθνικό επίπεδο με την Εθνική Αρχή Κυβερνοασφάλειας (National Sectorial Focal Points, NSFPs) σύμφωνα με την παρ. 11 του άρθρου 30. Οι NSFPs υποχρεούνται ιδίως να ενημερώνουν και να παρέχουν, αμελλητί, κάθε αναγκαία συνδρομή προς την Εθνική Αρχή Κυβερνοασφάλειας για την αντιμετώπιση και τη διαχείριση περιστατικών κυβερνοασφάλειας, καθώς και να συμμετέχουν σε Ομάδες Συνεργασίας για θέματα κυβερνοασφάλειας, οι οποίες συστήνονται από την Εθνική Αρχή Κυβερνοασφάλειας, με στόχο την εμβάθυνση της συνεργασίας σε εθνικό επίπεδο για την επίσπευση των σκοπών του παρόντος
ΚΕΦΑΛΑΙΟ Δ’
ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΑΝΑΦΟΡΑΣ ΠΕΡΙΣΤΑΤΙΚΩΝ
Άρθρο 14
Διακυβέρνηση (άρθρο 20 της Οδηγίας (ΕΕ) 2022/2555)
1. Τα όργανα διοίκησης των βασικών και σημαντικών οντοτήτων εγκρίνουν, εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω οντότητες προκειμένου να συμμορφώνονται με το άρθρο 15, επιβλέπουν την εφαρμογή τους και είναι υπεύθυνα για την εκ μέρους των οντοτήτων παραβίαση των υποχρεώσεων του παρόντος άρθρου. Η παρούσα δεν θίγει τους ισχύοντες κανόνες περί ευθύνης στις οντότητες της δημόσιας διοίκησης, καθώς και την ευθύνη δημοσίων υπαλλήλων και αιρετών ή διορισμένων αξιωματούχων.
2. Τα μέλη των οργάνων διοίκησης των βασικών και σημαντικών οντοτήτων παρακολουθούν εκπαίδευση και διασφαλίζουν ότι οι βασικές και σημαντικές οντότητες παρέχουν όμοια κατάρτιση στους υπαλλήλους τους τουλάχιστον σε ετήσια βάση, προκειμένου να αποκτούν επαρκείς γνώσεις και δεξιότητες που τους επιτρέπουν να εντοπίζουν τους κινδύνους και να αξιολογούν τις πρακτικές διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τον αντίκτυπό τους στις υπηρεσίες που παρέχει η οντότητα.
Άρθρο 15
Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας (άρθρο 21 και παρ. 1 άρθρου 24 της Οδηγίας (ΕΕ) 2022/2555)
1. Οι βασικές και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες και οργανισμούς. Λαμβάνοντας υπόψη τα πλέον σύγχρονα και, κατά περίπτωση, σχετικά εθνικά, ευρωπαϊκά και διεθνή πρότυπα, καθώς και το κόστος εφαρμογής, τα μέτρα που αναφέρονται στο πρώτο εδάφιο εξασφαλίζουν επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριακών συστημάτων ανάλογο προς τον εκάστοτε κίνδυνο. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνονται υπόψη ο βαθμός έκθεσης της οντότητας σε κινδύνους, το μέγεθος της οντότητας, η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένων των κοινωνικών και οικονομικών επιπτώσεών τους.
2. Τα μέτρα της παρ. 1 βασίζονται σε ολιστική προσέγγιση του κινδύνου που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά, περιλαμβάνουν δε τουλάχιστον τα ακόλουθα:
α) πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων,
β) διαχείριση περιστατικών, γ) επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των κρίσεων,
δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών που αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της,
ε) ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένων του χειρισμού και της γνωστοποίησης ευπαθειών,
στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας,
ζ) βασικές πρακτικές κυβερνοϋγιεινής και κατάρτιση στην κυβερνοασφάλεια,
η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης, σε συνεργασία με την εθνική αρχή CRYPTO, όπου απαιτείται,
θ) ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων,
ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.
3. Εφόσον τα μέτρα της περ. δ) της παρ. 2 κριθούν, σύμφωνα με την απόφαση της παρ. 15 του άρθρου 30, ως κατάλληλα, οι οντότητες λαμβάνουν υπόψη τις ευπάθειες που χαρακτηρίζουν κάθε άμεσο προμηθευτή και πάροχο υπηρεσιών, τη συνολική ποιότητα των προϊόντων και των πρακτικών κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους, καθώς και τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με την παρ. 1 του άρθρου 22 της Οδηγίας 2022/2555.
4. Κάθε οντότητα που διαπιστώνει ότι δεν συμμορφώνεται με τα μέτρα που προβλέπονται στην παρ. 2 λαμβάνει, αμελλητί, όλα τα αναγκαία, κατάλληλα και αναλογικά διορθωτικά μέτρα.
5. Οι βασικές και οι σημαντικές οντότητες: α) Ορίζουν ένα αρμόδιο στέλεχός τους, ανάλογων προσόντων και εμπειρογνωμοσύνης, ως Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), ο οποίος αναλαμβάνει:
αα) τη διαχείριση πάσης φύσεως επικοινωνιών και επαφών με την Εθνική Αρχή Κυβερνοασφάλειας,
ββ) την επιμέλεια και τον εσωτερικό συντονισμό για τη συμμόρφωση της οικείας οντότητας με τις απαιτήσεις του παρόντος άρθρου, καθώς και τις απαιτήσεις αναφοράς περιστατικών σύμφωνα με το άρθρο 16.
Στον Υ.Α.Σ.Π.Ε. παρέχονται από την οικεία οντότητα οι αναγκαίοι πόροι για την εκτέλεση των καθηκόντων του. Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.) του άρθρου 37 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) και των άρθρων 7 και 8 του ν. 4624/2019 (Α’ 137). Ο Υ.Α.Σ.Π.Ε. διαθέτει κατάλληλο επίπεδο αυτονομίας στη λήψη αποφάσεων, τη δυνατότητα εφαρμογής τους από τις επιμέρους οργανικές μονάδες της οντότητας, την ενημέρωση των οργάνων διοίκησης, τον συντονισμό της διαχείρισης περιστατικών ασφαλείας, καθώς και των διαδικασιών εφαρμογής των σχεδίων επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή. Για τους φορείς της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143), εφαρμόζονται τα άρθρα 18 και 19 του ν. 4961/2022 (Α’ 146), σχετικά με τον ορισμό, τα προσόντα και τα καθήκοντα του Υ.Α.Σ.Π.Ε..
β) Τηρούν ενιαία πολιτική κυβερνοασφάλειας, σύμφωνα με το προτυποποιημένο υπόδειγμα της παρ. 14 του άρθρου 30, στην οποία συμπεριλαμβάνεται το σύνολο των επιμέρους μέτρων, πολιτικών και διαδικασιών της παρ. 2 του παρόντος. Σε περίπτωση τήρησης από τον φορέα επιμέρους καταγεγραμμένων πολιτικών και διαδικασιών, που αφορούν κατ’ ελάχιστο τα μέτρα συμμόρφωσης της παρ. 2 του παρόντος, η ενιαία πολιτική κυβερνοασφάλειας παραπέμπει για τις επιμέρους λεπτομέρειες στις πολιτικές και διαδικασίες αυτές. Η ενιαία πολιτική κυβερνοασφάλειας υποβάλλεται προς έγκριση αναφορικά με την πληρότητά της από τις βασικές οντότητες στην Εθνική Αρχή Κυβερνοασφάλειας, τουλάχιστον ετησίως. Η υποβολή της ενιαίας πολιτικής κυβερνοασφάλειας από τις σημαντικές οντότητες δύναται να είναι υποχρεωτική με απόφαση της παρ. 15 του άρθρου 30. Προϋπόθεση εξέτασης της ενιαίας πολιτικής αποτελεί η καταβολή του παραβόλου εποπτείας της παρ. 1 του άρθρου 23.
γ) Tηρούν συνολική καταγραφή των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών, τα οποία ιεραρχούνται βάσει της κρισιμότητάς τους.
6. Προκειμένου να αποδειχθεί η συμμόρφωση με τις απαιτήσεις των παρ. 1 και 2, δύναται να απαιτηθεί από βασικές και σημαντικές οντότητες να χρησιμοποιούν συγκεκριμένα προϊόντα ΤΠΕ, υπηρεσίες ΤΠΕ και διαδικασίες ΤΠΕ, που αναπτύσσονται από τη βασική ή σημαντική οντότητα ή παρέχονται από τρίτους και πιστοποιούνται στο πλαίσιο ευρωπαϊκών συστημάτων πιστοποίησης κυβερνοασφάλειας που θεσπίζονται σύμφωνα με το άρθρο 49 του Κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του Κανονισμού (ΕΕ) 526/2013 (πράξη για την κυβερνοασφάλεια, L 151). Επίσης, δύνανται να προβλέπονται μέτρα ενθάρρυνσης των βασικών και σημαντικών οντοτήτων να χρησιμοποιούν εγκεκριμένες υπηρεσίες εμπιστοσύνης.
Άρθρο 16
Υποχρεώσεις αναφοράς περιστατικών (άρθρο 23 της Οδηγίας 2022/2555)
1. Οι βασικές και σημαντικές οντότητες κοινοποιούν, αμελλητί, στην ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) της Εθνικής Αρχής Κυβερνοασφάλειας κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους, σύμφωνα με την παρ. 3 (σημαντικό περιστατικό). Οι οντότητες της περ. στ) της παρ. 2 του άρθρου 3 κοινοποιούν τα περιστατικά του παρόντος άρθρου στην CSIRT της Εθνικής Υπηρεσίας Πληροφοριών με ταυτόχρονη ενημέρωση της Εθνικής Αρχής Κυβερνοασφάλειας. Κατά περίπτωση, οι οικείες οντότητες κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους αποδέκτες των υπηρεσιών τους σημαντικά περιστατικά που ενδέχεται να επηρεάσουν αρνητικά την παροχή των εν λόγω υπηρεσιών. Οι εν λόγω οντότητες αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην Εθνική Αρχή Κυβερνοασφάλειας να προσδιορίσει διασυνοριακές επιπτώσεις του περιστατικού. Η απλή πράξη κοινοποίησης δεν συνεπάγεται ευθύνη της κοινοποιούσας οντότητας. Σε περίπτωση διασυνοριακού ή διατομεακού σημαντικού περιστατικού, η Εθνική Αρχή Κυβερνοασφάλειας παρέχει, αμελλητί, στα ενιαία σημεία επαφής της παρ. 8 τις σχετικές πληροφορίες που της κοινοποιούνται σύμφωνα με την παρ. 4.
2. Οι βασικές και σημαντικές οντότητες κοινοποιούν, αμελλητί, στους κατά περίπτωση αποδέκτες των υπηρεσιών τους, που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, μέτρα ή διορθωτικές ενέργειες που μπορούν αυτοί να λάβουν για την αντιμετώπιση της συγκεκριμένης απειλής. Οι οντότητες ενημερώνουν, επίσης, τους εν λόγω αποδέκτες για τη σημαντική κυβερνοαπειλή.
3. Ένα περιστατικό θεωρείται σημαντικό αν:
α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα,
β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία.
4. Για την κοινοποίηση της παρ. 1, οι οικείες οντότητες υποβάλλουν στην Εθνική Αρχή Κυβερνοασφάλειας:
α) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, προειδοποίηση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,
β) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες που αναφέρονται στην περ. α) και, επιπλέον, περιλαμβάνει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης,
γ) κατόπιν αιτήματος της Εθνικής Αρχής Κυβερνοασφάλειας, ενδιάμεση έκθεση σχετικά με τις σχετικές επικαιροποιήσεις της κατάστασης,
δ) τελική έκθεση το αργότερο εντός ενός (1) μηνός μετά από την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την περ. β), η οποία περιλαμβάνει τα ακόλουθα:
δα) λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, δβ) το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό, δγ) εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού, δδ) κατά περίπτωση, τον διασυνοριακό αντίκτυπο του περιστατικού,
ε) σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στην περ. δ), οι οικείες οντότητες υποβάλλουν έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός (1) μηνός από τον εκ μέρους τους χειρισμό του σημαντικού περιστατικού.
Κατά παρέκκλιση της περ. β), ο πάροχος υπηρεσιών εμπιστοσύνης ενημερώνει την Εθνική Αρχή Κυβερνοασφάλειας αναφορικά με σημαντικά περιστατικά που επηρεάζουν την παροχή των υπηρεσιών εμπιστοσύνης του, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που έλαβε γνώση του σημαντικού περιστατικού.
5. Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει στην κοινοποιούσα οντότητα, αμελλητί και ει δυνατόν εντός είκοσι τεσσάρων (24) ωρών από τη λήψη της έγκαιρης προειδοποίησης που αναφέρεται στην περ. α) της παρ. 4, απάντηση που συμπεριλαμβάνει αρχική αντίδραση σχετικά με το σημαντικό περιστατικό και, κατόπιν αιτήματος της οντότητας, καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού. Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει πρόσθετη τεχνική υποστήριξη, εφόσον το ζητήσει η οικεία οντότητα. Όταν υπάρχουν υπόνοιες ότι το σημαντικό περιστατικό είναι ποινικού χαρακτήρα, η Εθνική Αρχή Κυβερνοασφάλειας παρέχει, επίσης, καθοδήγηση σχετικά με την αναφορά του σημαντικού περιστατικού στις αρμόδιες εισαγγελικές αρχές ή στην αρμόδια Διεύθυνση της Ελληνικής Αστυνομίας.
6. Κατά περίπτωση, και ιδίως όταν το σημαντικό περιστατικό αφορά και άλλα κράτη μέλη της Ευρωπαϊκής Ένωσης, η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας ενημερώνει, αμελλητί, τα άλλα επηρεαζόμενα κράτη μέλη και τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) σχετικά με το σημαντικό περιστατικό. Οι πληροφορίες αυτές περιλαμβάνουν το είδος των πληροφοριών που λαμβάνονται σύμφωνα με την παρ. 4. Στο πλαίσιο αυτό, η Εθνική Αρχή Κυβερνοασφάλειας διαφυλάσσει, σύμφωνα με το ενωσιακό και το εθνικό δίκαιο, την ασφάλεια και τα εμπορικά συμφέροντα της οντότητας, καθώς και την εμπιστευτικότητα των παρεχόμενων πληροφοριών.
7. Όταν η ευαισθητοποίηση του κοινού είναι αναγκαία για την πρόληψη σημαντικού περιστατικού ή για την αντιμετώπιση σημαντικού εν εξελίξει περιστατικού, ή όταν η γνωστοποίηση του σημαντικού περιστατικού είναι προς το δημόσιο συμφέρον, η Εθνική Αρχή Κυβερνοασφάλειας δύναται, κατόπιν διαβούλευσης με την οικεία οντότητα, να ενημερώσει το κοινό σχετικά με το σημαντικό περιστατικό ή να απαιτήσει από την οντότητα να ενημερώσει το κοινό εντός ορισμένης προθεσμίας.
8. Η Εθνική Αρχή Κυβερνοασφάλειας διαβιβάζει τις κοινοποιήσεις που λαμβάνει σύμφωνα με την παρ. 1 στα ενιαία σημεία επαφής τυχόν άλλων επηρεαζόμενων κρατών μελών της Ευρωπαϊκής Ένωσης.
9. Η Εθνική Αρχή Κυβερνοασφάλειας ως ενιαίο σημείο επαφής υποβάλλει στον ENISA, ανά τρεις (3) μήνες, συνοπτική έκθεση, η οποία περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται σύμφωνα με την παρ. 1 του παρόντος και το άρθρο 22.
10. Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει στις αρμόδιες αρχές, που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), πληροφορίες σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται σύμφωνα με την παρ. 1 του παρόντος και το άρθρο 22 από οντότητες που προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557.
Άρθρο 17
Τυποποίηση (άρθρο 25 της Οδηγίας (ΕΕ) 2022/2555)
Για την αποτελεσματική εφαρμογή των παρ. 1 και 2 του άρθρου 15, μπορεί να προβλέπεται, με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας και αφού ληφθούν υπόψη οι τυχόν κατευθύνσεις που εκδίδει ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), χωρίς να επιβάλλεται ούτε να ευνοείται η χρήση συγκεκριμένου είδους τεχνολογίας, η θέσπιση μέτρων ενθάρρυνσης της χρήσης ευρωπαϊκών και διεθνώς αποδεκτών προτύπων και τεχνικών προδιαγραφών σχετικών με την ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων.
ΚΕΦΑΛΑΙΟ Ε’
ΔΙΚΑΙΟΔΟΣΙΑ ΚΑΙ ΚΑΤΑΧΩΡΙΣΗ
Άρθρο 18
Δικαιοδοσία και εδαφικότητα (άρθρο 26 της Οδηγίας (ΕΕ) 2022/2555)
1. Οι οντότητες που είναι εγκατεστημένες ή παρέχουν υπηρεσίες ή ασκούν δραστηριότητα στη χώρα και εμπίπτουν στο πεδίο εφαρμογής του παρόντος Μέρους θεωρούνται ότι υπόκεινται στη δικαιοδοσία της, εκτός αν πρόκειται για:
α) παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, οι οποίοι θεωρείται ότι εμπίπτουν στη δικαιοδοσία άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης στο οποίο παρέχουν τις υπηρεσίες τους,
β) παρόχους υπηρεσιών Domain Name System (DNS), μητρώα ονομάτων top-level domain (TLD), οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, παρόχους υπηρεσιών υπολογιστικού νέφους, παρόχους υπηρεσιών κέντρων δεδομένων, παρόχους δικτύων διανομής περιεχομένου, παρόχους διαχειριζομένων υπηρεσιών, παρόχους διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και παρόχους επιγραμμικών/ διαδικτυακών αγορών, επιγραμμικών/διαδικτυακών μηχανών αναζήτησης ή πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, που θεωρείται ότι εμπίπτουν στη δικαιοδοσία άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης στο οποίο έχουν την κύρια εγκατάστασή τους σύμφωνα με την παρ. 2,
γ) οντότητες δημόσιας διοίκησης, που θεωρείται ότι υπάγονται στη δικαιοδοσία άλλου κράτους μέλους της Ευρωπαϊκής Ένωσης που τις έχει συστήσει.
2. Για την εφαρμογή του παρόντος μέρους, οντότητα που αναφέρεται στην περ. β) της παρ. 1 θεωρείται ότι έχει την κύρια εγκατάστασή της στην ημεδαπή εφόσον σε αυτήν λαμβάνονται κυρίως οι αποφάσεις που σχετίζονται με τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας. Αν δεν μπορεί να προσδιοριστεί το κράτος μέλος σύμφωνα με το προηγούμενο εδάφιο, η κύρια εγκατάσταση θεωρείται ότι βρίσκεται στην ημεδαπή εφόσον σε αυτήν διεξάγονται οι επιχειρήσεις κυβερνοασφάλειας. Αν δεν μπορεί να προσδιοριστεί το κράτος μέλος σύμφωνα με το προηγούμενο εδάφιο, η κύρια εγκατάσταση θεωρείται ότι βρίσκεται στην ημεδαπή εφόσον η οικεία οντότητα έχει στην Ελλάδα την εγκατάσταση με τον μεγαλύτερο αριθμό εργαζομένων στην Ευρωπαϊκή Ένωση.
3. Αν μια οντότητα που αναφέρεται στην περ. β) της παρ. 1 δεν είναι εγκατεστημένη στην Ευρωπαϊκή Ένωση, αλλά προσφέρει υπηρεσίες εντός αυτής, ορίζει υποχρεωτικώς εκπρόσωπο στην Ευρωπαϊκή Ένωση. Μια τέτοια οντότητα θεωρείται ότι υπόκειται στη δικαιοδοσία της Ελλάδας εφόσον ο εκπρόσωπος είναι εγκατεστημένος σε αυτήν. Ελλείψει εκπροσώπου, σύμφωνα με την παρούσα,στην Ευρωπαϊκή Ένωση, η οντότητα που παρέχει υπηρεσίες στην Ελλάδα υπέχει ευθύνη για παραβίαση των υποχρεώσεων του παρόντος μέρους.
4. Ο ορισμός εκπροσώπου από οντότητα που αναφέρεται στην περ. β) της παρ. 1 δεν θίγει τις νομικές ενέργειες που μπορούν να αναληφθούν κατά της ίδιας της οντότητας.
5. Αν υποβληθεί στην Εθνική Αρχή Κυβερνοασφάλειας αίτημα αμοιβαίας συνδρομής σε σχέση με οντότητα που αναφέρεται στην παρ. 1, οι αρμόδιες σύμφωνα με το παρόν Μέρος αρχές, λαμβάνουν, εντός των ορίων του εν λόγω αιτήματος, κατάλληλα μέτρα εποπτείας και επιβολής σε σχέση με την οικεία οντότητα, η οποία παρέχει υπηρεσίες ή διαθέτει το σύστημα δικτύου και πληροφοριών στην ελληνική επικράτεια.
Άρθρο 19
Μητρώο οντοτήτων (άρθρο 27 της Οδηγίας (ΕΕ) 2022/2555)
1. Οι πάροχοι υπηρεσιών Domain Name System (DNS), τα μητρώα ονομάτων top-level domain (TLD), οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, οι πάροχοι υπηρεσιών υπολογιστικού νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι πάροχοι δικτύων διανομής περιεχομένου, οι πάροχοι διαχειριζομένων υπηρεσιών, οι πάροχοι διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και οι πάροχοι επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης ή πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, υποβάλλουν υποχρεωτικώς στην Εθνική Αρχή Κυβερνοασφάλειας, το αργότερο έως τις 17 Ιανουαρίου 2025, τις ακόλουθες πληροφορίες:
α) την επωνυμία της οντότητας, β) τον σχετικό τομέα, υποτομέα και τύπο οντότητας που αναφέρεται στα Παραρτήματα I και II, κατά περίπτωση,
γ) τη διεύθυνση της κύριας εγκατάστασης της οντότητας και των άλλων νόμιμων εγκαταστάσεών της στην Ευρωπαϊκή Ένωση ή, αν δεν είναι εγκατεστημένη σε αυτή, τη διεύθυνση του εκπροσώπου της, ο οποίος έχει οριστεί σύμφωνα με την παρ. 3 του άρθρου 18,
δ) επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των διευθύνσεων ηλεκτρονικού ταχυδρομείου και των αριθμών τηλεφώνου της οντότητας και, κατά περίπτωση, του εκπροσώπου της, ο οποίος έχει οριστεί σύμφωνα με την παρ. 3 του άρθρου 18,
ε) τα κράτη μέλη στα οποία η οντότητα παρέχει υπηρεσίες και
στ) το εύρος Internet Protocol (IP) της οντότητας.
2. Οι οντότητες που αναφέρονται στην παρ. 1 κοινοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας, αμελλητί και, σε κάθε περίπτωση, εντός τριών (3) μηνών από την ημερομηνία επέλευσης της μεταβολής, μεταβολές στις πληροφορίες που υπέβαλαν.
3. Με την παραλαβή των πληροφοριών που αναφέρονται στις παρ. 1 και 2, εκτός από τις πληροφορίες που αναφέρονται στην περ. στ) της παρ. 1, η Εθνική Αρχή Κυβερνοασφάλειας τις διαβιβάζει στον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA).
Άρθρο 20
Βάση δεδομένων καταχώρισης ονομάτων τομέα (άρθρο 28 της Οδηγίας (EE) 2022/2555)
1. Για την ασφάλεια, τη σταθερότητα και την ανθεκτικότητα του Domain Name System (DNS), τα μητρώα ονομάτων top-level domain (TLD) και οι οντότητες, που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, συλλέγουν και διατηρούν ακριβή και πλήρη δεδομένα καταχώρισης ονομάτων τομέα σε ειδική βάση δεδομένων με τη δέουσα επιμέλεια σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Oδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) Γ.Κ.Π.Δ. και τον ν. 4624/2019 (Α’ 137).
2. Για τους σκοπούς της παρ. 1, η βάση δεδομένων καταχώρισης ονομάτων τομέα περιέχει τις αναγκαίες πληροφορίες για την ταυτοποίηση και την επικοινωνία με τους κατόχους των ονομάτων τομέα και τα σημεία επαφής που διαχειρίζονται τα ονόματα τομέα στο πλαίσιο των TLD. Οι πληροφορίες αυτές περιλαμβάνουν:
α) το όνομα τομέα, β) την ημερομηνία καταχώρισης,
γ) το όνομα, την ηλεκτρονική διεύθυνση επικοινωνίας και τον αριθμό τηλεφώνου του καταχωρίζοντος,
δ) τη διεύθυνση ηλεκτρονικού ταχυδρομείου επικοινωνίας και τον αριθμό τηλεφώνου του σημείου επαφής που διαχειρίζεται το όνομα τομέα, σε περίπτωση που διαφέρουν από εκείνα του καταχωρίζοντος.
3. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα διαθέτουν πολιτικές και διαδικασίες, συμπεριλαμβανομένων διαδικασιών επαλήθευσης, ώστε να διασφαλίζεται ότι οι βάσεις δεδομένων που αναφέρονται στην παρ. 1 περιλαμβάνουν ακριβείς και πλήρεις πληροφορίες.
4. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα δημοσιοποιούν, αμελλητί και μετά από την καταχώριση ονόματος τομέα, τα δεδομένα καταχώρισης ονομάτων τομέα που δεν είναι δεδομένα προσωπικού χαρακτήρα.
5. Τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα παρέχουν πρόσβαση σε συγκεκριμένα δεδομένα καταχώρισης ονομάτων τομέα κατόπιν νόμιμων και δεόντως αιτιολογημένων αιτημάτων από νομίμως αιτούντες πρόσβαση, σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) Γ.Κ.Π.Δ. και τον ν. 4624/2019 (Α’ 137). Τα μητρώα ονομάτων TLD και
οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα οφείλουν να απαντούν χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από την παραλαβή τυχόν αιτημάτων πρόσβασης. Επιπλέον, δημοσιοποιούν τις πολιτικές και τις διαδικασίες γνωστοποίησης των εν λόγω δεδομένων.
6. Η συμμόρφωση με τις υποχρεώσεις που ορίζονται στο παρόν δεν πρέπει να οδηγεί σε επικάλυψη της συλλογής δεδομένων καταχώρισης ονομάτων τομέα. Για τον σκοπό αυτόν, τα μητρώα ονομάτων TLD και οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα συνεργάζονται μεταξύ τους.
ΚΕΦΑΛΑΙΟ ΣΤ’
ΑΝΤΑΛΛΑΓΗ ΠΛΗΡΟΦΟΡΙΩΝ
Άρθρο 21
Ρυθμίσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας (άρθρο 29 της Οδηγίας (ΕΕ) 2022/2555)
1. Οι οντότητες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος Μέρους και, κατά περίπτωση, άλλες οντότητες που δεν εμπίπτουν στο πεδίο εφαρμογής του, ανταλλάσσουν μεταξύ τους, σε εθελοντική βάση, πληροφορίες σχετικές με την κυβερνοασφάλεια, συμπεριλαμβανομένων πληροφοριών που αφορούν κυβερνοαπειλές, παρ’ ολίγον περιστατικά, ευπάθειες, τεχνικές και διαδικασίες, ενδείξεις της παραβίασης, κακόβουλες τακτικές, πληροφορίες που αφορούν συγκεκριμένους παράγοντες απειλής, προειδοποιήσεις για την κυβερνοασφάλεια και συστάσεις σχετικά με την παραμετροποίηση εργαλείων κυβερνοασφάλειας για τον εντοπισμό κυβερνοεπιθέσεων, στον βαθμό που η εν λόγω ανταλλαγή πληροφοριών:
α) αποσκοπεί στην πρόληψη, τον εντοπισμό, την αντιμετώπιση ή την ανάκαμψη από περιστατικά ή στον μετριασμό των επιπτώσεών τους,
β) ενισχύει το επίπεδο της κυβερνοασφάλειας, ιδίως μέσω της ευαισθητοποίησης σχετικά με τις κυβερνοαπειλές, του περιορισμού ή της παρεμπόδισης της ικανότητας διάδοσης των εν λόγω απειλών, της στήριξης μιας σειράς αμυντικών ικανοτήτων, της αποκατάστασης και της γνωστοποίησης ευπαθειών, της ανίχνευσης απειλών, των τεχνικών περιορισμού και πρόληψης, των στρατηγικών μετριασμού ή των σταδίων αντίδρασης και ανάκαμψης ή της προώθησης της συνεργατικής έρευνας για τις κυβερνοαπειλές μεταξύ δημόσιων και ιδιωτικών φορέων.
2. Η ανταλλαγή πληροφοριών πραγματοποιείται στο πλαίσιο κοινοτήτων βασικών και σημαντικών οντοτήτων και, κατά περίπτωση, των προμηθευτών ή των παρόχων υπηρεσιών τους. Η εν λόγω ανταλλαγή πραγματοποιείται λαμβάνοντας υπόψη τον δυνητικά ευαίσθητο χαρακτήρα των ανταλλασσόμενων πληροφοριών.
3. Οι βασικές και σημαντικές οντότητες γνωστοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας, αμελλητί, τη συμμετοχή τους στο πλαίσιο ανταλλαγής πληροφοριών της παρ. 2, καθώς και την απόσυρση της συμμετοχής τους, μόλις αυτή πραγματοποιηθεί.
Άρθρο 22
Εθελούσια κοινοποίηση των σχετικών πληροφοριών (άρθρο 30 της Οδηγίας (ΕΕ) 2022/2555)
1. Πέραν της υποχρέωσης κοινοποίησης που προβλέπεται στο άρθρο 16, οι κοινοποιήσεις μπορούν να υποβάλλονται στην Εθνική Αρχή Κυβερνοασφάλειας σε εθελοντική βάση, από:
α) βασικές και σημαντικές οντότητες όσον αφορά περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά,
β) οντότητες διαφορετικές από εκείνες που αναφέρονται στην περ. α), ανεξαρτήτως του αν εμπίπτουν στο πεδίο εφαρμογής του παρόντος νόμου, όσον αφορά σημαντικά περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά.
2. Η Εθνική Αρχή Κυβερνοασφάλειας επεξεργάζεται τις κοινοποιήσεις που αναφέρονται στην παρ. 1 σύμφωνα με τη διαδικασία του άρθρου 16, δίνοντας προτεραιότητα στην επεξεργασία των υποχρεωτικών έναντι των εθελούσιων κοινοποιήσεων. Η Εθνική Αρχή Κυβερνοασφάλειας διασφαλίζει την εμπιστευτικότητα και την κατάλληλη προστασία των πληροφοριών που παρέχονται από την αναφέρουσα οντότητα. Με την επιφύλαξη της πρόληψης, της διερεύνησης, της διακρίβωσης και της δίωξης ποινικών αδικημάτων, η εθελούσια αναφορά δεν συνεπάγεται την επιβολή πρόσθετων υποχρεώσεων στην κοινοποιούσα οντότητα, τις οποίες δεν θα υπείχε αν δεν είχε υποβάλει την κοινοποίηση.
ΚΕΦΑΛΑΙΟ Ζ’
ΕΠΟΠΤΕΙΑ ΚΑΙ ΚΥΡΩΣΕΙΣ
Άρθρο 23
Γενικές πτυχές που αφορούν την εποπτεία και την επιβολή (παρ. 5 άρθρου 8, παρ. 1 άρθρου 9, παρ. 2 άρθρου 10, παρ. 2 άρθρου 11 και άρθρο 31 της Οδηγίας (ΕΕ) 2022/2555)
1. Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια αρχή εποπτείας και ελέγχου για τη συμμόρφωση με τις διατάξεις του παρόντος μέρους και ασκεί εποπτεία και έλεγχο σύμφωνα με τα άρθρα 24 και 25.
Στις οντότητες που υπάγονται στην εποπτεία της Εθνικής Αρχής Κυβερνοασφάλειας, εξαιρουμένων των οντοτήτων της περ. στ) της παρ. 2 του άρθρου 3, επιβάλλονται αναλογικό παράβολο εποπτείας και αναλογικό τέλος ελέγχου, με βάση ιδίως το μέγεθος της οντότητας και την πολυπλοκότητα του ελέγχου που καθορίζονται με την κοινή απόφαση της παρ. 20 του άρθρου 30.
Η ανάθεση καθηκόντων ελέγχου και επιθεώρησης και ο ορισμός πιστοποιημένων τεχνικών εμπειρογνωμόνων (Subject Matter Experts, SMEs) γίνεται σύμφωνα με την παρ. 21 του άρθρου 30. Ειδικά η εποπτεία των οντοτήτων της παρ. 2 του άρθρου 3 ασκείται αποκλειστικά από τους επιθεωρητές της Εθνικής Αρχής Κυβερνοασφάλειας και από πιστοποιημένους από αυτήν επιθεωρητές της δημόσιας διοίκησης, οι οποίοι κατά περίπτωση μπορούν να επικουρούνται από πιστοποιημένο από την Εθνική Αρχή Κυβερνοασφάλειας SME, σύμφωνα με τον Κανονισμό
Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας. Σε περίπτωση ορισμού και άσκησης εποπτικών αρμοδιοτήτων από National Sectorial Focal Points (NSFP) σύμφωνα με την παρ. 11 του άρθρου 30, καθήκοντα εποπτείας και ελέγχου σύμφωνα με τις διατάξεις του παρόντος νόμου ασκούνται από τους επιθεωρητές της Εθνικής Αρχής Κυβερνοασφάλειας και τους πιστοποιημένους από την Εθνική Αρχή Κυβερνοασφάλειας επιθεωρητές των National Sectorial Focal Points (NSFP). Τα όργανα που μετέχουν στην ελεγκτική διαδικασία, συμπεριλαμβανομένων των πιστοποιημένων επιθεωρητών και των πιστοποιημένων τεχνικών εμπειρογνωμόνων, λαμβάνουν αποζημίωση, το ύψος της οποίας καθορίζεται με την απόφαση της παρ. 20 του άρθρου 30.
2. Τα έσοδα από τις χρηματικές κυρώσεις που επιβάλλονται σε βάρος φυσικών ή νομικών προσώπων σύμφωνα με το παρόν Μέρος, καθώς και από το παράβολο εποπτείας και το τέλος ελέγχου της παρ. 1, αποτελούν πόρους της Εθνικής Αρχής Κυβερνοασφάλειας και διατίθενται αποκλειστικά για την κάλυψη των λειτουργικών δαπανών της και για την εξυπηρέτηση των σκοπών της λειτουργίας της.
3. Η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σύμφωνα με τον Κανονισμό (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119).
4. Σε περίπτωση παραβίασης των διατάξεων του παρόντος Μέρους επιβάλλονται, κατά περίπτωση, τα πρόστιμα που προβλέπονται στο άρθρο 26 και στην παρ. 23 του άρθρου 30.
5. Τα όργανα της Εθνικής Αρχής Κυβερνοασφάλειας απολαμβάνουν έναντι των εποπτευόμενων φορέων δημόσιας διοίκησης, λειτουργικής ανεξαρτησίας κατά την άσκηση των αρμοδιοτήτων τους εποπτείας και ελέγχου που προβλέπονται στο παρόν άρθρο και στα άρθρα 24 έως 27 και 30.
6. Προς εκπλήρωση των καθηκόντων της Εθνικής Αρχής Κυβερνοασφάλειας, που προβλέπονται στον παρόντα, οι εντεταλμένοι υπάλληλοί της διαθέτουν ελεγκτικές αρμοδιότητες και έχουν την εξουσία ιδίως:
α. να επισκέπτονται, στο πλαίσιο της άσκησης των καθηκόντων τους και για την εκπλήρωση του έργου τους, με ή χωρίς προειδοποίηση τις οντότητες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος,
β. να ελέγχουν και να συλλέγουν πληροφορίες και δεδομένα κινητών τερματικών, φορητών συσκευών, των εξυπηρετητών τους και το υπολογιστικό νέφος, σε συνεργασία με τις αρμόδιες κατά περίπτωση αρχές, που βρίσκονται μέσα ή έξω από τις κτιριακές εγκαταστάσεις των ελεγχόμενων οντοτήτων αυτών,
γ. να ενεργούν έρευνες στα γραφεία και τους λοιπούς χώρους των οντοτήτων,
δ. να προβαίνουν σε κατασχέσεις, να λαμβάνουν ή να αποκτούν υπό οποιαδήποτε μορφή αντίγραφο ή απόσπασμα των βιβλίων, εγγράφων, καθώς και ηλεκτρονικών μέσων αποθήκευσης και μεταφοράς δεδομένων, τα οποία αφορούν σε επαγγελματικές πληροφορίες και, όταν το κρίνουν σκόπιμο, να συνεχίζουν την έρευνα πληροφοριών και να επιλέγουν αντίγραφα ή αποσπάσματα στους χώρους της Εθνικής Αρχής Κυβερνοασφάλειας ή σε άλλους καθορισμένους χώρους,
ε. να σφραγίζουν οποιονδήποτε επαγγελματικό χώρο, ηλεκτρονικά ή μη βιβλία ή έγγραφα, κατά την περίοδο που διενεργείται ο έλεγχος και στο μέτρο των αναγκών αυτού.
Άρθρο 24
Μέτρα εποπτείας και επιβολής σε σχέση με βασικές οντότητες (άρθρο 32 της Οδηγίας (ΕΕ) 2022/2555)
1. Τα μέτρα εποπτείας ή επιβολής που επιβάλλονται σε βασικές οντότητες σε σχέση με τις υποχρεώσεις που ορίζονται στο παρόν Μέρος επιβάλλεται να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
2. Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών της καθηκόντων σε σχέση με βασικές οντότητες, έχει την αρμοδιότητα να υποβάλλει τις εν λόγω οντότητες σε διαδικασίες που αφορούν:
α) επιτόπιες επιθεωρήσεις και εποπτεία εκτός των εγκαταστάσεων, συμπεριλαμβανομένων δειγματοληπτικών ελέγχων, που διεξάγονται από τους επιθεωρητές της παρ. 1 του άρθρου 23,
β) τακτικούς και στοχευμένους ελέγχους ασφάλειας που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας,
γ) έκτακτους ειδικούς ελέγχους, μεταξύ άλλων, όταν αυτό δικαιολογείται λόγω σημαντικού περιστατικού ή παραβίασης του παρόντος νόμου από τη βασική οντότητα ή όταν έχει υποβληθεί σχετικώς καταγγελία ή υπάρχουν πληροφορίες ή αποχρώσες ενδείξεις για την ύπαρξη τέτοιου περιστατικού ή παραβίασης,
δ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της οικείας οντότητας,
ε) αιτήματα παροχής αναγκαίων πληροφοριών για την εκ των υστέρων αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η οικεία οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας, καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στην Εθνική Αρχή Κυβερνοασφάλειας,
στ) αιτήματα πρόσβασης σε δεδομένα, έγγραφα και πληροφορίες που απαιτούνται για την εκτέλεση των εποπτικών καθηκόντων της,
ζ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο επιθεωρητή της παρ. 1 του άρθρου 23 και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.
Οι στοχευμένοι έλεγχοι ασφάλειας της περ. β) βασίζονται σε εκτιμήσεις κινδύνου, που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας ή την ελεγχόμενη οντότητα, ή σε άλλες σχετικές με κινδύνους διαθέσιμες πληροφορίες.
Τα αποτελέσματα κάθε στοχευμένου ελέγχου ασφάλειας τίθενται στη διάθεση της αρμόδιας Διεύθυνσης της Εθνικής Αρχής Κυβερνοσφάλειας.
3. Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των αρμοδιοτήτων των περ. ε), στ) και ζ) της παρ. 2, δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
4. Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με βασικές οντότητες, έχει τις εξής αρμοδιότητες:
α) εκδίδει προειδοποιήσεις ή συστάσεις σχετικά με παραβιάσεις του παρόντος μέρους από τις οικείες οντότητες,
β) εκδίδει δεσμευτικές οδηγίες και κατευθύνσεις, μεταξύ άλλων όσον αφορά τα μέτρα που είναι αναγκαία για την πρόληψη ή την αποκατάσταση περιστατικού, και τάσσει προθεσμίες για την εφαρμογή των εν λόγω μέτρων και για την υποβολή εκθέσεων σχετικά με την εφαρμογή τους, ή εντέλλει τις οικείες οντότητες να αποκαταστήσουν τις ελλείψεις που εντοπίστηκαν ή τις παραβιάσεις του παρόντος μέρους,
γ) εντέλλει τις οικείες οντότητες να παύσουν συμπεριφορά που παραβιάζει το παρόν Μέρος και να απόσχουν από την επανάληψη της εν λόγω συμπεριφοράς,
δ) εντέλλει τις οικείες οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας εναρμονίζονται με το άρθρο 15 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο άρθρο 16, με συγκεκριμένο τρόπο και εντός ορισμένου χρονικού διαστήματος,
ε) εντέλλει τις οικείες οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα, σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής,
στ) εντέλλει τις οικείες οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας,
ζ) ορίζει αρμόδιο επιβλέποντα με σαφώς καθορισμένα καθήκοντα για καθορισμένο χρονικό διάστημα, προκειμένου να επιβλέπει τη συμμόρφωση των οικείων οντοτήτων με τα άρθρα 15 και 16,
η) εντέλλει τις οικείες οντότητες να δημοσιοποιούν στοιχεία των παραβιάσεων του παρόντος μέρους με συγκεκριμένο τρόπο και διαδικασία,
θ) επιβάλλει διοικητικά πρόστιμα σύμφωνα με το άρθρο 26, επιπλέον των μέτρων των περ. α) έως η).
5. Όταν τα μέτρα επιβολής που θεσπίζονται σύμφωνα με τις περ. α) έως δ) και στ) της παρ. 4 κρίνονται ως αναποτελεσματικά, η Εθνική Αρχή Κυβερνοασφάλειας ορίζει προθεσμία εντός της οποίας η βασική οντότητα καλείται να λάβει τα αναγκαία μέτρα για την αποκατάσταση των ελλείψεων ή για τη συμμόρφωσή της. Αν τα ζητούμενα μέτρα δεν ληφθούν εντός της καθορισμένης προθεσμίας, ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας κατόπιν εισήγησης της αρμόδιας οργανικής μονάδας, δύναται με ειδικώς αιτιολογημένη απόφασή του:
α) να αναστείλει προσωρινά ή να αιτηθεί από τον αρμόδιο φορέα πιστοποίησης να αναστείλει την πιστοποίηση ή εξουσιοδότηση που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών που παρέχονται ή των δραστηριοτήτων που εκτελούνται από τη βασική οντότητα,
β) να απαγορεύει προσωρινά σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νόμιμου εκπροσώπου στη βασική οντότητα να ασκεί διευθυντικά καθήκοντα στην εν λόγω οντότητα.
Οι προσωρινές αναστολές ή απαγορεύσεις που επιβάλλονται σύμφωνα με την παρούσα έχουν ισχύ μόνο μέχρι η οικεία οντότητα να λάβει τα αναγκαία μέτρα για να διορθώσει τις ελλείψεις ή να συμμορφωθεί με τις απαιτήσεις της ως άνω αρμόδιας αρχής για τις οποίες εφαρμόστηκαν τέτοια μέτρα επιβολής. Κατά της απόφασης του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, με την οποία επιβάλλεται προσωρινή αναστολή ή απαγόρευση, είναι δυνατή η άσκηση αίτησης ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας. Η ανωτέρω απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας δύναται να ανακληθεί, εφόσον η οντότητα συμμορφωθεί.
Τα μέτρα επιβολής που προβλέπονται στην παρούσα δεν εφαρμόζονται στις οντότητες της περ. στ) της παρ. 2 του άρθρου 3 που υπόκεινται στο παρόν Μέρος.
6. Κάθε φυσικό πρόσωπο που, σύμφωνα με την κείμενη νομοθεσία, είναι, κατά περίπτωση, υπεύθυνο ή ενεργεί ως νόμιμος εκπρόσωπος βασικής οντότητας με βάση την εξουσία εκπροσώπησής της ή έχει την αρμοδιότητα να λαμβάνει αποφάσεις εξ ονόματός της ή να ασκεί τον έλεγχό της, έχει την ευθύνη να διασφαλίζει τη συμμόρφωσή της με τον παρόντα νόμο. Τα εν λόγω φυσικά πρόσωπα θεωρούνται υπεύθυνα για την παράβαση των υποχρεώσεών τους σύμφωνα με το παρόν. Η εφαρμογή της παρούσας δεν θίγει τις κείμενες διατάξεις περί ευθύνης που ισχύουν για τις οντότητες της δημόσιας διοίκησης, καθώς και περί ευθύνης δημοσίων υπαλλήλων και αιρετών ή διορισμένων μελών της διοίκησής τους.
7. Η Εθνική Αρχή Κυβερνοασφάλειας, όταν λαμβάνει οποιοδήποτε από τα μέτρα επιβολής που αναφέρονται στις παρ. 4 και 5, λαμβάνει υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης. Ιδίως, λαμβάνει δεόντως υπόψη:
α) τη σοβαρότητα της παράβασης και τη σημασία των διατάξεων που παραβιάζονται. Ως σοβαρές παραβάσεις θεωρούνται σε κάθε περίπτωση ιδίως: αα) οι επανειλημμένες παραβάσεις, αβ) η μη κοινοποίηση ή αποκατάσταση σημαντικών περιστατικών, αγ) η μη αποκατάσταση ελλείψεων σύμφωνα με δεσμευτικές οδηγίες των κατά περίπτωση αρμόδιων αρχών, αδ) η παρεμπόδιση των ελέγχων ή των δραστηριοτήτων επίβλεψης που διατάσσονται από την Εθνική Αρχή Κυβερνοασφάλειας μετά από τη διαπίστωση παράβασης, αε) η παροχή ψευδών ή κατάφωρα ανακριβών πληροφοριών σε σχέση με τα μέτρα διαχείρισης κινδύνου ή τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στα άρθρα 15 και 16,
β) τη διάρκεια της παράβασης,
γ) σχετικές προηγούμενες παραβάσεις από την οικεία οντότητα, δ) οποιαδήποτε υλική ή μη υλική ζημία που προκλήθηκε, συμπεριλαμβανομένης της χρηματοοικονομικής ή οικονομικής ζημίας, τις επιπτώσεις σε άλλες υπηρεσίες και τον αριθμό των θιγόμενων χρηστών,
ε) οποιαδήποτε υπαιτιότητα εκ μέρους του δράστη της παράβασης,
στ) οποιαδήποτε μέτρα που λαμβάνει η οντότητα για την πρόληψη ή τον μετριασμό της υλικής ή μη υλικής ζημίας,
ζ) οποιαδήποτε τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης,
η) τον βαθμό συνεργασίας των υπαίτιων φυσικών ή νομικών προσώπων με τις αρμόδιες αρχές.
8. Η Εθνική Αρχή Κυβερνοασφάλειας αιτιολογεί τα μέτρα επιβολής και πριν από τη λήψη τους κοινοποιεί στις ενδιαφερόμενες οντότητες τα προκαταρκτικά πορίσματά της και τις τυχόν προειδοποιήσεις της. Παρέχει εύλογο, κατά τις περιστάσεις, χρονικό διάστημα στις οικείες οντότητες για να υποβάλουν παρατηρήσεις, εκτός από αιτιολογημένες περιπτώσεις στις οποίες διαφορετικά θα παρεμποδιζόταν η ανάληψη άμεσης δράσης για την πρόληψη ή την αντιμετώπιση περιστατικών.
9. Η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει τις αρχές που ασκούν κατά περίπτωση συναφείς αρμοδιότητες κατά την άσκηση των εποπτικών και εκτελεστικών αρμοδιοτήτων τους σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), με στόχο τη διασφάλιση της συμμόρφωσης μιας οντότητας που προσδιορίζεται ως κρίσιμη οντότητα βάσει της Οδηγίας (ΕΕ) 2022/2557 με τις υποχρεώσεις του παρόντος Μέρους. Οι αρμόδιες αρχές που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 δύνανται να ζητούν σύμφωνα με το παρόν Μέρος από την Εθνική Αρχή Κυβερνοασφάλειας να ασκούν τις εποπτικές και εκτελεστικές αρμοδιότητές της σε σχέση με οντότητα, η οποία προσδιορίζεται ως κρίσιμη οντότητα δυνάμει της Οδηγίας (ΕΕ) 2022/2557.
10. Η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται με τις εθνικές αρμόδιες αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333). Ειδικότερα, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει το φόρουμ εποπτείας που συστήθηκε σύμφωνα με την παρ. 1 του άρθρου 32 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης βασικής οντότητας, που έχει οριστεί ως κρίσιμος τρίτος πάροχος υπηρεσιών τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) σύμφωνα με το άρθρο 31 του Κανονισμού (ΕΕ) 2022/2554, με τις υποχρεώσεις του παρόντος νόμου.
Άρθρο 25
Μέτρα εποπτείας και επιβολής σε σχέση με σημαντικές οντότητες (άρθρο 33 της Οδηγίας (ΕΕ) 2022/2555)
1. Η Εθνική Αρχή Κυβερνοασφάλειας, όταν της παρέχονται αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες ότι μια σημαντική οντότητα εικάζεται ότι δεν συμμορφώνεται με το παρόν Μέρος, ιδίως δε με τα άρθρα 15 και 16 αυτού, λαμβάνει, εφόσον το κρίνει αναγκαίο, κατασταλτικά μέτρα, τα οποία επιβάλλεται να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
2. Η Εθνική Αρχή Κυβερνοασφάλειας κατά την άσκηση των αρμοδιοτήτων επιβολής σε σχέση με σημαντικές οντότητες, υποβάλλει τις εν λόγω οντότητες ιδίως στα ακόλουθα:
α) επιτόπιες επιθεωρήσεις και κατασταλτική εποπτεία εντός και εκτός των εγκαταστάσεων,
β) στοχευμένους ελέγχους ασφάλειας που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας,
γ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της οικείας οντότητας,
δ) αιτήματα παροχής αναγκαίων πληροφοριών για την αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η οικεία οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας, καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στις αρμόδιες αρχές σύμφωνα με το άρθρο 19,
ε) αιτήματα για πρόσβαση σε δεδομένα, έγγραφα ή πληροφορίες που είναι αναγκαίες για την εκ μέρους της εκτέλεση των εποπτικών καθηκόντων της,
στ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο επιθεωρητή της παρ. 1 του άρθρου 23 και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.
Οι στοχευμένοι έλεγχοι ασφάλειας που αναφέρονται στην περ. β) βασίζονται σε εκτιμήσεις κινδύνου που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας ή την ελεγχόμενη οντότητα ή σε άλλες διαθέσιμες πληροφορίες σχετικά με κινδύνους.
Τα αποτελέσματα κάθε στοχευμένου ελέγχου ασφάλειας τίθενται στη διάθεση της αρμόδιας οργανικής μονάδας της Εθνικής Αρχής Κυβερνοασφάλειας.
3. Κατά την άσκηση των αρμοδιοτήτων της σύμφωνα με τις περ. δ), ε) και στ) της παρ. 2, η Εθνική Αρχή Κυβερνοασφάλειας δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
4. Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών αρμοδιοτήτων της σε σχέση με σημαντικές οντότητες, έχει ιδίως τις εξής αρμοδιότητες:
α) εκδίδει προειδοποιήσεις ή συστάσεις σχετικά με τις παραβιάσεις του παρόντος Μέρους από τις οικείες οντότητες,
β) εκδίδει δεσμευτικές οδηγίες ή διαταγή προς τις οικείες οντότητες να αποκαταστήσουν τις διαπιστωθείσες ελλείψεις ή την παράβαση των υποχρεώσεων του παρόντος Μέρους,
γ) εντέλλει τις οικείες οντότητες να παύσουν συμπεριφορά που παραβιάζει το παρόν Μέρος και να απέχουν από επανάληψη της εν λόγω συμπεριφοράς παραβίασης,
δ) εντέλλει τις οικείες οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας συμμορφώνονται με το άρθρο 15 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο άρθρο 16, με συγκεκριμένο τρόπο και εντός ορισμένου χρονικού διαστήματος,
ε) εντέλλει τις οικείες οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα στα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής,
στ) εντέλλει τις οικείες οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας,
ζ) εντέλλει τις οικείες οντότητες να δημοσιοποιούν πτυχές των παραβιάσεων του παρόντος Μέρους με συγκεκριμένο τρόπο,
η) επιβάλλει διοικητικά πρόστιμα σύμφωνα με το άρθρο 26, επιπλέον των μέτρων που αναφέρονται στις περ. α) έως ζ).
5. Οι παρ. 6, 7, 8 και 10 του άρθρου 24 εφαρμόζονται αναλόγως στα μέτρα εποπτείας και επιβολής που προβλέπονται στο παρόν άρθρο για τις σημαντικές οντότητες.
Άρθρο 26
Γενικοί όροι για την επιβολή διοικητικών προστίμων σε βασικές και σημαντικές οντότητες Κυρώσεις (άρθρα 34 και 36 της Οδηγίας (ΕΕ) 2022/2555)
1. Τα μέτρα εποπτείας ή επιβολής που επιβάλλονται σε βασικές ή σημαντικές οντότητες σε σχέση με το παρόν Μέρος επιβάλλεται να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψιν τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
2. Οι κυρώσεις σε βάρος φυσικών ή νομικών προσώπων για την παραβίαση των διατάξεων του παρόντος επιβάλλονται με ειδικώς αιτιολογημένη απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται αφού προηγηθεί ακρόασή τους κατόπιν κλήσης τους, σύμφωνα με το άρθρο 6 του Κώδικα Διοικητικής Διαδικασίας (ν. 2690/1999, Α’ 45). Με την απόφαση της παρ. 23 του άρθρου 30 δύνανται να επιβάλλονται περιοδικές χρηματικές κυρώσεις σε βασικές ή σημαντικές οντότητες, προκειμένου να υποχρεωθούν να παύσουν μια παράβαση του παρόντος Μέρους σύμφωνα με προηγούμενη απόφαση της Εθνικής Αρχής Κυβερνοασφάλειας.
3. Οι αποφάσεις επιβολής προστίμων και κυρώσεων κοινοποιούνται στους ενδιαφερόμενους και αναρτώνται, αμελλητί, στον επίσημο ιστότοπο της Εθνικής Αρχής Κυβερνοασφάλειας. Οι αποφάσεις επιβολής προστίμων και κάθε άλλου είδους κυρώσεων προσβάλλονται με αίτηση ακυρώσεως στο κατά τόπον αρμόδιο Διοικητικό Εφετείο.
4. Αν διαπιστωθεί παραβίαση των άρθρων 15 ή 16, επιβάλλεται στις βασικές οντότητες πρόστιμο ύψους κατ’ ανώτατο όριο δέκα εκατομμυρίων (10.000.000) ευρώ ή κατ’ ανώτατο όριο δύο τοις εκατό (2%) του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η σημαντική οντότητα, ανάλογα με το ποιο είναι υψηλότερο.
5. Αν διαπιστωθεί παραβίαση των άρθρων 15 ή 16, επιβάλλεται στις σημαντικές οντότητες πρόστιμο ύψους κατ’ ανώτατο όριο επτά εκατομμυρίων (7.000.000) ευρώ ή κατ’ ανώτατο όριο ένα κόμμα τέσσερα τοις εκατό (1,4%) του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η σημαντική οντότητα, ανάλογα με το ποιο είναι υψηλότερο.
6. Διοικητικά πρόστιμα επιβάλλονται, επιπλέον των μέτρων που αναφέρονται στις περ. α) έως η) της παρ. 4 και την παρ. 5 του άρθρου 24, καθώς και στις περ. α) έως ζ) της παρ. 4 του άρθρου 25, για την παράβαση των περ. α) έως η) της παρ. 4 και της παρ. 5 του άρθρου 24, ύψους κατ’ ανώτατο όριο ενός εκατομμυρίου (1.000.000) ευρώ, και για την παράβαση των περ. α) έως ζ) της παρ. 4 του άρθρου 25, ύψους κατ’ ανώτατο όριο επτακοσίων χιλιάδων (700.000) ευρώ.
7. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου και το ύψος του, λαμβάνονται υπόψιν, κατ’ ελάχιστον, τα στοιχεία που προβλέπονται στην παρ. 7 του άρθρου 24.
8. Με την επιφύλαξη των αρμοδιοτήτων της Εθνικής Αρχής Κυβερνοασφάλειας σύμφωνα με τα άρθρα 24 και 25, επιβάλλονται διοικητικά πρόστιμα στις οντότητες της περ. στ) της παρ. 2 του άρθρου 3 που υπόκεινται στις υποχρεώσεις που ορίζονται στο παρόν Μέρος. Τα πρόστιμα αυτά δεν μπορεί να είναι κατώτερα των είκοσι χιλιάδων (20.000) ευρώ και ανώτερα των πεντακοσίων χιλιάδων (500.000) ευρώ.
9. Αν διαπιστωθεί παραβίαση:
α) της παρ. 1 του άρθρου 14, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο διακοσίων χιλιάδων (200.000) ευρώ,
β) της παρ. 2 του άρθρου 14, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο εκατό χιλιάδων (100.000) ευρώ,
γ) του άρθρου 19, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο διακοσίων χιλιάδων (200.000) ευρώ,
δ) του άρθρου 20, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο οκτακοσίων χιλιάδων (800.000) ευρώ,
ε) της παρ. 3 του άρθρου 21, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο εκατό χιλιάδων (100.000) ευρώ,
στ) των παρ. 2 και 4 του άρθρου 24, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο πεντακοσίων χιλιάδων (500.000) ευρώ,
ζ) της παρ. 2 του άρθρου 25, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο τριακοσίων πενήντα (350.000) ευρώ, και
η) της παρ. 6 του άρθρου 15, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο τριακοσίων χιλιάδων (300.000) ευρώ.
Άρθρο 27
Παραβάσεις που συνεπάγονται παραβίαση δεδομένων προσωπικού χαρακτήρα (άρθρο 35 της Οδηγίας (ΕΕ) 2022/2555)
1. Αν η Εθνική Αρχή Κυβερνοασφάλειας διαπιστώσει, στο πλαίσιο της εποπτείας ή της επιβολής κυρώσεων, ότι η παράβαση από βασική ή σημαντική οντότητα των υποχρεώσεων που ορίζονται στα άρθρα 15 και 16 μπορεί να συνεπάγεται παραβίαση δεδομένων προσωπικού χαρακτήρα, όπως ορίζεται στην περ. 12) του άρθρου 4 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) και τον ν. 4624/2019 (Α’ 137), η οποία πρέπει να κοινοποιείται σύμφωνα με το άρθρο 33 του εν λόγω Κανονισμού, ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
2. Όταν οι εποπτικές αρχές που αναφέρονται στα άρθρα 55 ή 56 του Κανονισμού (ΕΕ) 2016/679 επιβάλλουν διοικητικό πρόστιμο σύμφωνα με την περ. θ) της παρ. 2 του άρθρου 58 του εν λόγω Κανονισμού, η Εθνική Αρχή Κυβερνοασφάλειας δεν επιβάλλει διοικητικό πρόστιμο σύμφωνα με το άρθρο 26 για παράβαση που αναφέρεται στην παρ. 1 του παρόντος και η οποία απορρέει από την ίδια συμπεριφορά που αποτέλεσε αντικείμενο του διοικητικού προστίμου σύμφωνα με την περ. θ) της παρ. 2 του άρθρου 58 του Κανονισμού (ΕΕ) 2016/679. Η Εθνική Αρχή Κυβερνοασφάλειας δύναται στην περίπτωση αυτή να εφαρμόσει τα μέτρα επιβολής που αναφέρονται στις περ. α) έως η) της παρ. 4 και στην παρ. 5 του άρθρου 24 και στις περ. α) έως ζ) της παρ. 4 του άρθρου 25 του παρόντος.
3. Αν η εποπτική αρχή που είναι αρμόδια σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, είναι εγκατεστημένη σε άλλο κράτος μέλος της Ευρωπαϊκής Ένωσης, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την ενδεχόμενη παραβίαση των δεδομένων που αναφέρονται στην παρ. 1.
Άρθρο 28
Αμοιβαία συνδρομή (άρθρο 37 της Οδηγίας (ΕΕ) 2022/2555)
1. Όταν μια οντότητα παρέχει υπηρεσίες σε περισσότερα του ενός κράτη μέλη ή παρέχει υπηρεσίες σε ένα ή περισσότερα κράτη μέλη της Ευρωπαϊκής Ένωσης και τα συστήματα δικτύου και πληροφοριών της βρίσκονται σε ένα ή περισσότερα άλλα κράτη μέλη, εφόσον ένα εκ των μελών είναι η Ελλάδα, η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται με τις αρμόδιες αρχές των λοιπών ενδιαφερόμενων κρατών μελών και παρέχεται αμοιβαία συνδρομή, ανάλογα με τις ανάγκες.
Η συνεργασία αυτή συνεπάγεται, τουλάχιστον, ότι: α) Η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει και διαβουλεύεται με τις αρμόδιες αρχές των άλλων ενδιαφερόμενων κρατών μελών σχετικά με τα μέτρα εποπτείας και επιβολής που λαμβάνονται,
β) η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να ζητήσει από άλλη αρμόδια αρχή να λάβει τα μέτρα εποπτείας ή επιβολής και το αντίστροφο,
γ) η Εθνική Αρχή Κυβερνοασφάλειας, μόλις λάβει τεκμηριωμένο αίτημα από άλλη αρμόδια αρχή, παρέχει στην άλλη αρμόδια αρχή αμοιβαία συνδρομή ανάλογη προς τους πόρους που διαθέτει η ίδια, ώστε τα μέτρα εποπτείας και επιβολής να μπορούν να εφαρμοστούν με αποτελεσματικό, αποδοτικό και συνεπή τρόπο.
Η αμοιβαία συνδρομή που αναφέρεται στην περ. γ) μπορεί να καλύπτει αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, συμπεριλαμβανομένων αιτημάτων για τη διενέργεια επιτόπιων επιθεωρήσεων ή μη επιτόπιας εποπτείας ή στοχευμένων ελέγχων ασφάλειας. Η Εθνική Αρχή Κυβερνοασφάλειας δεν απορρίπτει το αίτημα συνδρομής, εκτός εάν διαπιστωθεί ότι δεν είναι αρμόδια να παράσχει τη ζητούμενη συνδρομή, ότι η ζητούμενη συνδρομή δεν είναι ανάλογη προς τα εποπτικά της καθήκοντα ή ότι το αίτημα αφορά πληροφορίες ή συνεπάγεται δραστηριότητες οι οποίες, εάν κοινοποιηθούν ή εκτελεστούν, θα ήταν αντίθετες προς τα βασικά συμφέροντα εθνικής ασφάλειας, δημόσιας ασφάλειας ή άμυνας της Ελλάδας. Πριν απορρίψει το εν λόγω αίτημα, η Εθνική Αρχή Κυβερνοασφάλειας διαβουλεύεται με τις άλλες οικείες αρμόδιες αρχές, καθώς και, κατόπιν αιτήματος ενός από τα ενδιαφερόμενα κράτη μέλη, με την Ευρωπαϊκή Επιτροπή και τον ENISA.
2. Κατά περίπτωση και με κοινή συμφωνία, οι αρμόδιες αρχές των κρατών μελών της παρ. 1 μπορούν να αναλαμβάνουν κοινές εποπτικές ενέργειες.
Άρθρο 29
Ειδικότερες ρυθμίσεις για παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών
1. Η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) δύναται, στο πλαίσιο των αρμοδιοτήτων της, να υποχρεώνει τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, να λαμβάνουν ενισχυμένα μέτρα κυβερνοασφάλειας, πέραν των προβλεπομένων στις λοιπές διατάξεις του παρόντος Μέρους.
2. Οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών κοινοποιούν, αμελλητί, κάθε περιστατικό που έχει σημαντικό αντίκτυπο στη λειτουργία των δικτύων και υπηρεσιών στην Α.Δ.Α.Ε. σύμφωνα με τους εκάστοτε ισχύοντες κανονισμούς της και στην Εθνική Αρχή Κυβερνοασφάλειας (Ε.Α.Κ.) σύμφωνα με το άρθρο 16. Η Ε.Α.Κ. με τη σειρά της κοινοποιεί τα συμβάντα που έχουν αντίκτυπο στη διαθεσιμότητα ή στην ακεραιότητα δικτύων ή υπηρεσιών στην Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων. Η Α.Δ.Α.Ε. μπορεί να ενημερώνει το κοινό ή να απαιτεί την ενημέρωση αυτή από τους παρόχους, εφόσον κρίνει ότι η αποκάλυψη του συμβάντος είναι προς το δημόσιο συμφέρον.
3. Η Α.Δ.Α.Ε. συνεργάζεται κατά περίπτωση, σύμφωνα με τις διατάξεις της κείμενης νομοθεσίας, με τις αρμόδιες αρχές επιβολής του νόμου, με την Ε.Α.Κ. και με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.).
4. H Α.Δ.Α.Ε. ορίζεται ως τομεακό σημείο επαφής και συνεργασίας σε εθνικό επίπεδο με την Εθνική Αρχή Κυβερνοασφάλειας (National Sectorial Focal Point, NSFP) αναφορικά με τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, εφαρμοζομένου του δευτέρου εδαφίου της παρ. 6 του άρθρου 13. Η κοινή υπουργική απόφαση της παρ. 26 του άρθρου 30 δεν θίγει τις αρμοδιότητες της Ε.Α.Κ. ή της Α.Δ.Α.Ε., με βάση τις κατά περίπτωση εφαρμοστέες γενικές ή ειδικές διατάξεις της εθνικής, ενωσιακής και διεθνούς νομοθεσίας.
ΚΕΦΑΛΑΙΟ Η’
ΕΞΟΥΣΙΟΔΟΤΙΚΕΣ, ΜΕΤΑΒΑΤΙΚΕΣ, ΤΕΛΙΚΕΣ ΚΑΙ ΚΑΤΑΡΓΟΥΜΕΝΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 30
Εξουσιοδοτικές διατάξεις
1. Με κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης και Εσωτερικών, είναι δυνατόν να μετατίθεται ο χρόνος έναρξης ισχύος της υποπερ. στβ) της περ. στ) της παρ. 2 του άρθρου 3.
2. α) Με κοινή απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση αρμόδιου Υπουργού, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να εντάσσονται στο κατά το άρθρο 3 πεδίο εφαρμογής του παρόντος και λοιποί φορείς του δημόσιου ή του ιδιωτικού τομέα και να καθορίζεται κάθε ειδικότερο θέμα για την ένταξή τους.
β) Με όμοια απόφαση είναι δυνατόν να εξαιρούνται από το πεδίο εφαρμογής του άρθρου 3 συγκεκριμένες οντότητες που ασκούν δραστηριότητες στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων δραστηριοτήτων που σχετίζονται με την πρόληψη, τη διερεύνηση, τη διακρίβωση και τη δίωξη ποινικών αδικημάτων, ή οι οποίες παρέχουν υπηρεσίες αποκλειστικά στις οντότητες της δημόσιας διοίκησης που αναφέρονται στην παρ. 6 του άρθρου 3, από τις υποχρεώσεις που ορίζονται στα άρθρα 15 ή 16, όσον αφορά τις εν λόγω δραστηριότητες ή υπηρεσίες. Όταν οι οντότητες ασκούν δραστηριότητες ή παρέχουν υπηρεσίες αποκλειστικά του τύπου που αναφέρεται στο πρώτο εδάφιο της παρούσας είναι δυνατόν να εξαιρεθούν από τις υποχρεώσεις που ορίζονται στα άρθρα 4 και 19 υπό τους όρους και τις προϋποθέσεις που τίθενται με την κοινή υπουργική απόφαση του πρώτου εδαφίου της παρούσας.
γ) Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύνανται να εξειδικεύονται οι περιπτώσεις της παρ. 2 του άρθρου 3.
3. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται το αργότερο εντός τεσσάρων (4) μηνών από την έναρξη ισχύος του παρόντος, καταρτίζεται ο κατάλογος του άρθρου 4 για τις βασικές και σημαντικές οντότητες καθώς και τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, ο οποίος επανεξετάζεται και κατά περίπτωση επικαιροποιείται σε τακτική βάση και τουλάχιστον ανά δύο (2) έτη.
4. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης δημιουργείται ψηφιακή πλατφόρμα για την εγγραφή των βασικών και σημαντικών οντοτήτων, ορίζονται άλλοι τρόποι εγγραφής τους, καθορίζονται οι όροι, η διαδικασία, οι λεπτομέρειες και η δυνατότητα παράτασης της προθεσμίας εγγραφής, καθώς και τα υποδείγματα για την υποβολή των στοιχείων της παρ. 3 του άρθρου 4 και των παρ. 1 και 2 του άρθρου 19.
5. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης που εκδίδεται εντός έξι (6) μηνών από την έναρξη ισχύος του παρόντος, μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, εγκρίνεται η Εθνική Στρατηγική Κυβερνοασφάλειας του άρθρου 7. Με όμοια απόφαση επικαιροποιούνται η Εθνική Στρατηγική Κυβερνοασφάλειας και το Σχέδιο Δράσης για την υλοποίησή της, το οποίο αποτελεί αναπόσπαστο μέρος της.
6. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται εντός τεσσάρων (4) μηνών από την έναρξη ισχύος του παρόντος, προσδιορίζονται οι ικανότητες, τα μέσα, τα πάγια στοιχεία, το ανθρώπινο δυναμικό και οι διαδικασίες που μπορούν να χρησιμοποιηθούν σε περίπτωση κρίσης κατά το άρθρο 9.
7. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται εντός έξι (6) μηνών από την έναρξη ισχύος του παρόντος και εγκρίνεται εντός αποκλειστικής προθεσμίας ενός (1) μηνός από την Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας του άρθρου 23 του ν. 5002/2022 (Α’ 228), καταρτίζεται το εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον κυβερνοχώρο της παρ. 2 του άρθρου 9 του παρόντος.
8. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση αρμόδιου Υπουργού, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να ορίζονται και άλλες CSIRTs στο πλαίσιο του άρθρου 10, εφόσον κριθεί αναγκαίο για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας, λαμβάνοντας υπόψη τις τεχνικές ικανότητες που απαιτούνται για την εκτέλεση των οικείων καθηκόντων.
9. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να συστήνονται ειδικές ομάδες απόκρισης για την αντιμετώπιση συμβάντων στον τομέα της κυβερνοασφάλειας του άρθρου 10. Ειδικά για την αντιμετώπιση συμβάντων σε οργανισμούς της περ. στ) της παρ. 2 του άρθρου 3, η ομάδα απόκρισης συστήνεται με κοινή απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας και του Διοικητή της Εθνικής Υπηρεσίας Πληροφοριών.
10. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας λαμβάνονται συγκεκριμένα μέτρα, διαδικασίες και μέσα διασφάλισης της ανωνυμίας των προσώπων που αναφέρουν την ευπάθεια σύμφωνα με την παρ. 2 του άρθρου 12.
11. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση αρμόδιου Υπουργού που εποπτεύει τον εκάστοτε φορέα και, σε περίπτωση μη άσκησης εποπτείας, του κατά περίπτωση ανώτατου οργάνου διοίκησης του οικείου φορέα, είναι δυνατός ο ορισμός αρχών, φορέων, υπηρεσιών ή οργανικών μονάδων της δημόσιας διοίκησης με ρυθμιστικές και εποπτικές αρμοδιότητες σε επιμέρους τομείς των παραρτημάτων Ι και ΙΙ του παρόντος μέρους, ως τομεακών σημείων επαφής και συνεργασίας σε εθνικό επίπεδο με την Εθνική Αρχή Κυβερνοασφάλειας (National Sectorial Focal Points, NSFPs) σύμφωνα με το άρθρο 13.
Με την απόφαση αυτή καθορίζονται: α) κάθε ειδικότερο θέμα σχετικό με τη συνεργασία μεταξύ Εθνικής Αρχής Κυβερνοασφάλειας και του NSFP, ιδίως στο πλαίσιο της εκατέρωθεν ανταλλαγής πληροφοριών, της συντονισμένης εποπτείας, της αποτελεσματικής εφαρμογής, παρακολούθησης και ανατροφοδότησης του εθνικού στρατηγικού σχεδιασμού και της θέσπισης ειδικότερων μέτρων κυβερνοασφάλειας για τον οικείο τομέα,
β) κάθε ειδικότερο θέμα που άπτεται της συνεργασίας των οικείων υπηρεσιών σε θέματα διαχείρισης και διερεύνησης συμβάντων κυβερνοασφάλειας, καθώς και διαχείρισης κρίσεων.
12. Με κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης, Παιδείας, Θρησκευμάτων και Αθλητισμού και Εργασίας και Κοινωνικής Ασφάλισης, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, καθορίζονται οι διαδικασίες, η διάρκεια εκπαίδευσης, τα προσόντα των εκπαιδευτών, το εκπαιδευτικό υλικό, η δυνατότητα χορήγησης πιστοποίησης από την Εθνική Αρχή Κυβερνοασφάλειας και κάθε άλλο θέμα σχετικό με την εφαρμογή της παρ. 2 του άρθρου 14. Με την ίδια απόφαση δύναται να καθίσταται υποχρεωτική η κατά τα ανωτέρω εκπαίδευση σε υπαλλήλους των βασικών και σημαντικών οντοτήτων που είναι αρμόδιοι, σύμφωνα με τα οικεία οργανογράμματά τους ή τις σχετικές αποφάσεις ανάθεσης καθηκόντων για την κυβερνοασφάλεια των εν λόγω οντοτήτων.
13.α. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης καθορίζεται το εθνικό πλαίσιο απαιτήσεων κυβερνοασφάλειας, το οποίο περιλαμβάνει τα τεχνικά, επιχειρησιακά και οργανωτικά μέτρα διαχείρισης των κινδύνων κυβερνοασφάλειας της παρ. 2 του άρθρου 15, τα οποία λαμβάνονται από τις βασικές και σημαντικές οντότητες.
β. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης καθορίζεται κάθε αναγκαία λεπτομέρεια σχετική με τα προσόντα, τα καθήκοντα, τα ασυμβίβαστα και τις υποχρεώσεις των Υπεύθυνων Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) της παρ. 5 του άρθρου 15 για κατηγορίες οντοτήτων που υπάγονται στο πεδίο εφαρμογής του παρόντος νόμου.
14. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας καθορίζονται το προτυποποιημένο υπόδειγμα σύμφωνα με το οποίο εκπονείται από τις οντότητες του πρώτου εδαφίου της παρ. 5 του άρθρου 15 η ενιαία πολιτική κυβερνοασφάλειας, η οποία αξιολογείται και εγκρίνεται από την Εθνική Αρχή Κυβερνοασφάλειας.
15. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας ρυθμίζονται οι λεπτομέρειες εφαρμογής του άρθρου 15, και συγκεκριμένα:
α) κάθε θέμα σχετικό με την εκπόνηση, αξιολόγηση και έγκριση της ενιαίας πολιτικής κυβερνοασφάλειας, ειδικότερα ζητήματα σχετικά με την υποβολή ενιαίας πολιτικής κυβερνοασφάλειας από τις σημαντικές οντότητες, καθώς και τη μεθοδολογία και τα πρότυπα καταγραφής και ιεράρχησης των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών,
β) η καταλληλόλητα και η εξειδίκευση των μέτρων του εθνικού πλαισίου απαιτήσεων κυβερνοασφάλειας σύμφωνα με την παρ. 2 του άρθρου 15 του παρόντος, οι τεχνικές και μεθοδολογικές απαιτήσεις τους, λαμβάνοντας υπόψη και τις εκτελεστικές πράξεις που εκδίδει η Ευρωπαϊκή Επιτροπή σύμφωνα με την παρ. 5 του άρθρου 21 της Οδηγίας 2022/2555, με βάση τα χαρακτηριστικά των οντοτήτων.
16. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, δύναται να εξειδικεύονται οι προϋποθέσεις και οι αναγκαίες λεπτομέρειες για τον χαρακτηρισμό ενός περιστατικού ως σημαντικού σύμφωνα με το άρθρο 16, καθώς και οι επιμέρους λεπτομέρειες για τη διαδικασία αναφοράς και διαχείρισης περιστατικών ασφαλείας, με την επιφύλαξη των σχετικών εκτελεστικών πράξεων της Ευρωπαϊκής Επιτροπής.
17. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας δύναται να διενεργούνται τα οριζόμενα στην παρ. 6 του άρθρου 15.
18. Με κοινή απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας και του Προέδρου της Εθνικής Επιτροπής Τηλεπικοινωνιών και Ταχυδρομείων του άρθρου 6 του ν. 4070/2012 (Α’ 82) καθορίζονται οι όροι και οι διαδικασίες δημοσιοποίησης των πολιτικών και διαδικασιών της παρ. 3 του άρθρου 20. Με όμοια απόφαση μπορεί να καθορίζονται οι όροι και οι διαδικασίες δημοσιοποίησης των απαραίτητων στοιχείων, καθώς και κάθε άλλο θέμα σχετικό με την εφαρμογή του άρθρου 20.
19. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας προβλέπονται μέτρα και δράσεις για την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας που αναφέρονται στις παρ. 1 και 2 του άρθρου 21, καθώς και επιβοηθητικά μέτρα για την εφαρμογή των εν λόγω ρυθμίσεων, σύμφωνα με τις πολιτικές που αναφέρονται στην περ. η) της παρ. 2 του άρθρου 7. Τα ανωτέρω μέτρα και δράσεις μπορούν να προσδιορίζουν επιχειρησιακά στοιχεία, συμπεριλαμβανομένων της χρήσης ειδικών πλατφορμών τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) και εργαλείων αυτοματισμού, του περιεχομένου και των όρων των ρυθμίσεων ανταλλαγής πληροφοριών, αφού ληφθούν υπόψη οι κατευθύνσεις που τυχόν διατυπώνει ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) κατ’ εφαρμογή της παρ. 5 του άρθρου 29 της Οδηγίας 2022/2555. Με την ίδια ή όμοια απόφαση καθορίζονται οι όροι και οι λεπτομέρειες συμμετοχής των οντοτήτων της περ. στ) της παρ. 2 του άρθρου 3 στις ρυθμίσεις του άρθρου 21, περί ανταλλαγής πληροφοριών στον τομέα της κυβερνοασφάλειας.
20. Με κοινή απόφαση των Υπουργών Εθνικής Οικονομίας και Οικονομικών και Ψηφιακής Διακυβέρνησης, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, καθορίζονται το ύψος, τα κριτήρια και η διαδικασία καταβολής του παράβολου εποπτείας και του τέλους ελέγχου της παρ. 1 του άρθρου 23, τυχόν εξαιρέσεις από την επιβολή τους, κάθε θέμα σχετικό με τη διαχείριση και την απόδοση των ανωτέρω παράβολων και τελών, καθώς και το ύψος των αποζημιώσεων των οργάνων που μετέχουν στην ελεγκτική διαδικασία, συμπεριλαμβανομένων των πιστοποιημένων επιθεωρητών και των πιστοποιημένων τεχνικών εμπειρογνωμόνων, σύμφωνα με το άρθρο 23.
21. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας ανατίθενται κατά το άρθρο 23 καθήκοντα ελέγχου και επιθεώρησης σε πιστοποιημένα από την ίδια Αρχή πρόσωπα («πιστοποιημένοι επιθεωρητές»), σύμφωνα με τον Κανονισμό Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας. Με όμοια απόφαση, για την αποτελεσματικότερη άσκηση του εποπτικού έργου της Εθνικής Αρχής Κυβερνοασφάλειας, είναι δυνατός ο ορισμός προσώπων που πληρούν τις προϋποθέσεις του Κανονισμού Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας ως πιστοποιημένων τεχνικών εμπειρογνωμόνων (Subject Matter Experts, SMEs) για την εισφορά εξειδικευμένης εμπειρογνωμοσύνης που αφορά πληροφοριακά και επικοινωνιακά συστήματα και τεχνολογίες.
22. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, εγκρίνεται ο Κανονισμός Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας του άρθρου 23, με τον οποίο ρυθμίζονται η μεθοδολογία ελέγχου και εποπτείας και οι απαιτούμενες διαδικασίες με γνώμονα την προσέγγιση βάσει κινδύνου, τα όργανα που ασκούν τον έλεγχο και την εποπτεία, οι εξουσίες, τα ασυμβίβαστα και τα ζητήματα σύγκρουσης συμφερόντων των οργάνων αυτών, τα προσόντα των πιστοποιημένων επιθεωρητών και των πιστοποιημένων τεχνικών εμπειρογνωμόνων, η περιοδικότητα των ελέγχων και επιτόπιων επαληθεύσεων των ενιαίων πολιτικών κυβερνοασφάλειας των βασικών και σημαντικών οντοτήτων, τηρουμένων των αρχών της εποπτείας βάσει κινδύνου, καθώς και κάθε άλλο θέμα σχετικό με τα άρθρα 24 και 25.
23. Με κοινή απόφαση των Υπουργών Εθνικής Οικονομίας και Οικονομικών, Εσωτερικών και Ψηφιακής Διακυβέρνησης, η οποία εκδίδεται μετά από γνώμη του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, καθορίζονται οι όροι, οι προϋποθέσεις και η διαδικασία επιβολής των προστίμων του άρθρου 26, λαμβανομένων κατ’ ελάχιστον υπόψη των στοιχείων της παρ. 7 του άρθρου 24, η δυνατότητα επιβολής περιοδικών χρηματικών κυρώσεων και οι περιπτώσεις στις οποίες το ύψος του προστίμου μπορεί να αναπροσαρμόζεται, καθώς και οι όροι, οι προϋποθέσεις και η διαδικασία είσπραξης και απόδοσης των προστίμων του άρθρου 26.
24. Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας μπορεί να εξειδικεύονται οι οντότητες του άρθρου 4 που εμπίπτουν στο πεδίο εφαρμογής της υποπερ. αβ) της περ. α) της παρ. 2 του άρθρου 31 του ν. 5002/2022 (Α’ 228).
25. Με τη διαδικασία της περ. ιβ) της παρ. 1 του άρθρου 6 του ν. 3115/2003 (Α’ 47), η Α.Δ.Α.Ε. μπορεί να θεσπίζει Κανονισμό για την εφαρμογή της παρ. 1 του άρθρου 29 του παρόντος, εφαρμόζοντας κατά περίπτωση τις κυρώσεις του Κανονισμού και του ν. 3115/2003.
26. Εντός τεσσάρων (4) μηνών από την έναρξη ισχύος του παρόντος, με κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης και Δικαιοσύνης καθορίζεται κάθε ειδικότερο θέμα σχετικό με τη συνεργασία μεταξύ της Ε.Α.Κ. και της Α.Δ.Α.Ε. ως NSFP, ιδίως στο πλαίσιο της εκατέρωθεν ανταλλαγής πληροφοριών, της συντονισμένης εποπτείας, της αποτελεσματικής εφαρμογής, παρακολούθησης και ανατροφοδότησης του εθνικού στρατηγικού σχεδιασμού και της θέσπισης ειδικότερων μέτρων κυβερνοασφάλειας για τον οικείο τομέα, κάθε ειδικότερο θέμα που άπτεται της συνεργασίας των οικείων υπηρεσιών σε θέματα διαχείρισης και διερεύνησης συμβάντων κυβερνοασφάλειας, σημαντικών περιστατικών, καθώς και διαχείρισης κρίσεων.
Άρθρο 31
Μεταβατικές και τελικές διατάξεις
1. Μέχρι την έκδοση της διαπιστωτικής πράξης του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας για την επάρκεια των μέσων και πόρων της ομάδας απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) της Εθνικής Αρχής Κυβερνοασφάλειας, η αρμόδια για θέματα κυβερνοάμυνας οργανική μονάδα του Γενικού Επιτελείου Εθνικής Άμυνας ορίζεται ως ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) και υποστηρίζει την CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας στην εκτέλεση των καθηκόντων της παρ. 1 του άρθρου 10.
2. Όπου στην κείμενη νομοθεσία: α. γίνεται αναφορά στον ν. 4577/2018 (Α’ 199) για ζητήματα σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών, νοείται ο παρών νόμος,
β. γίνεται αναφορά σε φορείς που υπάγονται στο πεδίο εφαρμογής του ν. 4577/2018 ή στους φορείς εκμετάλλευσης βασικών υπηρεσιών της περ. 4 του άρθρου 3 του ν. 4577/2018 ή στους παρόχους ψηφιακών υπηρεσιών της περ. 6 του άρθρου 3 του ν. 4577/2018, νοούνται οι βασικές οντότητες της παρ. 1 του άρθρου 4 του παρόντος νόμου.
3.α. Μέχρι την έκδοση των αποφάσεων της περ. α) της παρ. 13 και της περ. β) της παρ. 15 του άρθρου 30 και σε κάθε περίπτωση όχι πέραν των έξι (6) μηνών από τη δημοσίευση του παρόντος, ισχύει ο Κανονισμός για την Ασφάλεια Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών (υπ’ αρ. 28/2024 απόφαση της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών, Β’ 551), στο μέτρο που αφορά τα ζητήματα του παρόντος Μέρους αναφορικά με τις υποχρεώσεις των παρόχων δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών.
β. Μέχρι την έκδοση της απόφασης της παρ. 25 του άρθρου 30 και σε κάθε περίπτωση όχι πέραν των έξι (6) μηνών από τη δημοσίευση του παρόντος, ισχύει ο Κανονισμός για την Ασφάλεια Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών (υπ’ αρ. 28/2024 απόφαση της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών), στο μέτρο που αφορά τα ενισχυμένα μέτρα κυβερνοασφάλειας της παρ. 1 του άρθρου 29.
Άρθρο 32
Καταργούμενες διατάξεις
Από την έναρξη ισχύος του παρόντος Μέρους καταργούνται:
α) τα άρθρα 148, περί ασφάλειας δικτύων και υπηρεσιών, και 149, περί εφαρμογής και επιβολής, του ν. 4727/2020 (Α’ 184) και
β) τα άρθρα 1 έως 16 του ν. 4577/2018 (Α’ 199), περί ενσωμάτωσης στην ελληνική νομοθεσία της Οδηγίας 2016/1148/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση και η υπ’ αρ. 1027/4.10.2019 απόφαση του Υπουργού Επικρατείας «Θέματα εφαρμογής και διαδικασιών του ν. 4577/2018 (Α’ 199)» (Β’ 3739).
ΜΕΡΟΣ Β’
ΡΥΘΜΙΣΕΙΣ ΠΡΟΣΩΠΙΚΟΥ ΕΘΝΙΚΗΣ ΑΡΧΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΛΟΙΠΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 33
Ρυθμίσεις προσωπικού Εθνικής Αρχής Κυβερνοασφάλειας Τροποποίηση άρθρου 21 ν. 5086/2024
Στην παρ. 4 του άρθρου 21 του ν. 5086/2024, περί των μεταβατικών διατάξεων του Μέρους Α’ του νόμου αυτού, επέρχονται οι ακόλουθες τροποποιήσεις: α) στο πρώτο εδάφιο, η ημερομηνία «31η Δεκεμβρίου 2024» αντικαθίσταται από την ημερομηνία «31η Δεκεμβρίου 2025», β) στο δεύτερο εδάφιο, η ημερομηνία «1η Ιανουαρίου 2025» αντικαθίσταται από την ημερομηνία «1η Ιανουαρίου 2026» και η παρ. 4 διαμορφώνεται ως εξής:
«4. Μέχρι την 31η Δεκεμβρίου 2025, το συνολικό κόστος μισθοδοσίας, καθώς και κάθε είδους αποδοχών, περιλαμβανόμενης και της μισθολογικής διαφοράς που προκύπτει από την εφαρμογή του παρόντος βαρύνουν τον προϋπολογισμό του Υπουργείου Ψηφιακής Διακυβέρνησης και καταβάλλονται από αυτό. Με την επιφύλαξη της περ. β) της παρ. 3 του άρθρου 13, από την 1η Ιανουαρίου 2026, το συνολικό κόστος μισθοδοσίας, καθώς και κάθε είδους αποδοχών βαρύνουν την Αρχή και καταβάλλονται από αυτήν.»
Άρθρο 34
Ρυθμίσεις για τον ορισμό Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών Τροποποίηση παρ. 1 άρθρου 18 ν. 4961/2022
1. Στην παρ. 1 του άρθρου 18 του ν. 4961/2022 (Α’ 146), περί του Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών, επέρχονται οι ακόλουθες τροποποιήσεις: α) στο πρώτο εδάφιο, οι λέξεις «ΠΕ ή ΤΕ Πληροφορικής» αντικαθίστανται από τις λέξεις «ΠΕ κλάδου Πληροφορικής οποιασδήποτε ειδικότητας ή κατηγορίας ΤΕ κλάδου Πληροφορικής ειδικότητας Πληροφορικής (SOFTWARE ή HARDWARE)», β) προστίθεται νέο, δεύτερο, εδάφιο και η παρ. 1 διαμορφώνεται ως εξής:
«1. Σε κάθε φορέα κεντρικής Κυβέρνησης κατά την έννοια της περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143) ορίζεται, με απόφαση του αρμόδιου Υπουργού ή του οργάνου διοίκησης του φορέα, ένας (1) υπάλληλος κατηγορίας ΠΕ κλάδου Πληροφορικής οποιασδήποτε ειδικότητας ή κατηγορίας ΤΕ κλάδου Πληροφορικής ειδικότητας Πληροφορικής (SOFTWARE ή HARDWARE) ως Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) με τον αναπληρωτή του. Ελλείψει υπαλλήλου κατηγορίας ΠΕ ή ΤΕ κλάδου Πληροφορικής, με την απόφαση του πρώτου εδαφίου ορίζεται υπάλληλος οποιουδήποτε κλάδου κατηγορίας ΠΕ ή ΤΕ. Ο Υ.Α.Σ.Π.Ε. ορίζεται βάσει της εμπειρίας που διαθέτει στον τομέα της κυβερνοασφάλειας.»
2. Στην παρ. 4 του άρθρου 113 του ν. 4961/2022, περί εξουσιοδοτικών διατάξεων, προστίθεται περ. ε), ως εξής:
«ε) Με κοινή απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση αρμόδιου Υπουργού, η οποία εκδίδεται μετά από εισήγηση της εθνικής αρχής πιστοποίησης της κυβερνοασφάλειας της παρ. 1 του άρθρου 15, δύνανται να καθορίζονται εθνικά σχήματα πιστοποίησης της κυβερνοασφάλειας προϊόντων, των υπηρεσιών και των διαδικασιών Τ.Π.Ε., εφαρμοζομένων των απαιτήσεων του Κανονισμού (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, σχετικά με τον ENISA («Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια») και με την πιστοποίηση της κυβερνοασφάλειας στον τομέα της τεχνολογίας πληροφοριών και επικοινωνιών και για την κατάργηση του Κανονισμού (ΕΕ) 526/2013 (πράξη για την κυβερνοασφάλεια) (L 151).»
Άρθρο 35
Ρυθμίσεις για τις περιοχές εκτός τηλεοπτικής κάλυψης
1. Το Υπουργείο Ψηφιακής Διακυβέρνησης δύναται να χρηματοδοτεί τα πάσης φύσεως κόστη για την προμήθεια, εγκατάσταση, λειτουργία, αναβάθμιση και συντήρηση Σταθμών Συμπληρωματικής Κάλυψης (Σ.Σ.Κ.), συμπεριλαμβανομένου του κόστους αδειοδότησης κατασκευών κεραιών, οι οποίοι εγκαθίστανται με σκοπό την εξυπηρέτηση των αναγκών τηλεοπτικής κάλυψης του τοπικού πληθυσμού σε περιοχές της ελληνικής επικράτειας που δεν διαθέτουν ικανοποιητική πρόσβαση σε σήμα επίγειας ψηφιακής ευρυεκπομπής, σύμφωνα με τις κείμενες διατάξεις για τις κρατικές ενισχύσεις. Οι ως άνω δαπάνες καλύπτονται στο πλαίσιο σχετικών δράσεων, από το Πρόγραμμα Δημοσίων Επενδύσεων.
2. Ο καθορισμός των περιοχών, καθώς και του βέλτιστου τρόπου και της σειράς κάλυψής τους πραγματοποιείται μετά από μελέτη της Γενικής Γραμματείας Τηλεπικοινωνιών και Ταχυδρομείων (Γ.Γ.Τ.Τ.) του Υπουργείου Ψηφιακής Διακυβέρνησης, η οποία αναλαμβάνει τον ρόλο του φορέα κεντρικού συντονισμού της υλοποίησης των επιμέρους δράσεων.
3. Κατόπιν αιτήματος της Γ.Γ.Τ.Τ., το Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας (ΕΔΥΤΕ Α.Ε.) δύναται να αναλαμβάνει, ως φορέας υλοποίησης, τη διαδικασία ανάθεσης, την κατάρτιση, τη διοίκηση και τη διαχείριση των απαραίτητων συμβάσεων για την υλοποίηση των εν λόγω δράσεων.
4. Υπεύθυνος για την εγκατάσταση, τη θέση σε λειτουργία, τη χρήση και τη συντήρηση των Σταθμών Συμπληρωματικής Κάλυψης είναι ο εκάστοτε πάροχος δικτύου επίγειας ψηφιακής ευρυεκπομπής που θα επιλεγεί, στον οποίο έχουν απονεμηθεί τα δικαιώματα χρήσης ραδιοσυχνοτήτων που χρησιμοποιεί ο Σ.Σ.Κ. σύμφωνα με τα προβλεπόμενα στην ισχύουσα νομοθεσία.
5. Η υπό στοιχεία οικ.14177 ΕΞ/14.5.2021 κοινή απόφαση των Υπουργών Ανάπτυξης και Επενδύσεων, Εσωτερικών, Ψηφιακής Διακυβέρνησης, Επικρατείας και Υφυπουργού στον Πρωθυπουργό (Β’ 2066), περί εξασφάλισης της πρόσβασης των μόνιμων κατοίκων των Περιοχών Εκτός Τηλεοπτικής Κάλυψης στα προγράμματα των ελληνικών τηλεοπτικών σταθμών ελεύθερης λήψης εθνικής εμβέλειας, καταργείται από τη δημοσίευση του παρόντος.
Άρθρο 36
Νέα προθεσμία διόρθωσης πρώτων εγγραφών Δυνατότητα διόρθωσης πρώτων εγγραφών σε περιοχές που είχε λήξει η δυνατότητα αμφισβήτησης ανακριβούς εγγραφής με την ένδειξη «αγνώστου ιδιοκτήτη» Τροποποίηση άρθρου 102 ν. 4623/2019
1. Στην παρ. 2 του άρθρου 102 του ν. 4623/2019 (Α’ 134), περί ρυθμίσεων του Υπουργείου Περιβάλλοντος και Ενέργειας, επέρχονται οι ακόλουθες τροποποιήσεις: α) στο πρώτο εδάφιο, οι λέξεις «στις 30.11.2024» αντικαθίσταται από τις λέξεις «μετά την πάροδο ενός (1) έτους από τη δημοσίευση πράξης του Διοικητικού Συμβουλίου του Ν.Π.Δ.Δ. «Ελληνικό Κτηματολόγιο» με την οποία διαπιστώνεται η εφαρμογή του συστήματος του Κτηματολογίου σε αντικατάσταση του συστήματος μεταγραφών και υποθηκών στο σύνολο της επικράτειας της χώρας», β) στο δεύτερο εδάφιο η ημερομηνία «31η.12.2015» αντικαθίσταται από την ημερομηνία «31η.12.2017» και η παρ. 2 του άρθρου 102 διαμορφώνεται ως εξής:
«2. Για τις περιοχές που κηρύχθηκαν υπό κτηματογράφηση πριν από την έναρξη ισχύος του ν. 3481/2006 (Α’ 162), η αποκλειστική προθεσμία της περ. α’ της παρ. 2 του άρθρου 6 του ν. 2664/1998, εάν δεν είχε λήξει η ίδια ή οι παρατάσεις της μέχρι τις 30.11.2018, λήγει μετά την πάροδο ενός (1) έτους από τη δημοσίευση πράξης του Διοικητικού Συμβουλίου του Ν.Π.Δ.Δ. «Ελληνικό Κτηματολόγιο» με την οποία διαπιστώνεται η εφαρμογή του συστήματος του Κτηματολογίου σε αντικατάσταση του συστήματος μεταγραφών και υποθηκών στο σύνολο της επικράτειας της χώρας. Η ανωτέρω καταληκτική ημερομηνία ισχύει και για τις περιοχές στις οποίες οι πρώτες εγγραφές καταχωρίσθηκαν από την 1η.1.2013 έως και την 31η.12.2017. Κατ’ εξαίρεση, για τις περιοχές που κηρύχθηκαν υπό κτηματογράφηση πριν από την έναρξη ισχύος του ν. 3481/2006 (Α’ 162), κατά την έναρξη ισχύος του ν. 4623/2019 (Α’ 134) εξακολουθούσαν να τελούν υπό κτηματογράφηση και δεν είχαν εκδοθεί η διαπιστωτική πράξη περαίωσης της κτηματογράφησης και η απόφαση έναρξης ισχύος του Κτηματολογίου, η αποκλειστική προθεσμία της περ. α’ της παρ. 2 του άρθρου 6 του ν. 2664/1998 λήγει την 31η Δεκεμβρίου του έτους εντός του οποίου συμπληρώνονται οκτώ (8) έτη από την ημερομηνία έναρξης ισχύος του Κτηματολογίου.»
2. Στην παρ. 2Α του άρθρου 102 του ν. 4623/2019 επέρχονται οι ακόλουθες τροποποιήσεις: α) στο πρώτο εδάφιο, η ημερομηνία «30ή.11.2024» αντικαθίσταται από τις λέξεις «πάροδο ενός (1) έτους από τη δημοσίευση πράξης του Διοικητικού Συμβουλίου του Ν.Π.Δ.Δ. «Ελληνικό Κτηματολόγιο» με την οποία διαπιστώνεται η εφαρμογή του συστήματος του Κτηματολογίου σε αντικατάσταση του συστήματος μεταγραφών και υποθηκών στο σύνολο της επικράτειας της χώρας», β) στο τέταρτο εδάφιο η ημερομηνία «30ή.11.2024» αντικαθίσταται από τις λέξεις «πάροδο ενός (1) έτους από τη δημοσίευση πράξης του Διοικητικού Συμβουλίου του Ν.Π.Δ.Δ. «Ελληνικό Κτηματολόγιο» με την οποία διαπιστώνεται η εφαρμογή του συστήματος του Κτηματολογίου σε αντικατάσταση του συστήματος μεταγραφών και υποθηκών στο σύνολο της επικράτειας της χώρας:» και η παρ. 2Α του άρθρου 102 διαμορφώνεται ως εξής:
«2Α. Για τις περιοχές στις οποίες η αποκλειστική προθεσμία της περ. α’ της παρ. 2 του άρθρου 6 του ν. 2664/1998, περί διόρθωσης πρώτων εγγραφών, είχε λήξει μέχρι τις 30.11.2018, η δυνατότητα αμφισβήτησης και διόρθωσης ανακριβούς εγγραφής, σε ακίνητα με την ένδειξη «αγνώστου ιδιοκτήτη», είτε εξωδικαστικά, όταν συντρέχουν οι προϋποθέσεις των υποπερ. αα), αβ), αγ) και αδ) της περ. β) της παρ. 1 του άρθρου 18 του ν. 2664/1998, είτε κατόπιν άσκησης αγωγής σύμφωνα με την παρ. 2 του άρθρου 6 του ίδιου νόμου, είναι δυνατή μέχρι την πάροδο ενός (1) έτους από τη δημοσίευση πράξης του Διοικητικού Συμβουλίου του Ν.Π.Δ.Δ. «Ελληνικό Κτηματολόγιο» με την οποία διαπιστώνεται η εφαρμογή του συστήματος του Κτηματολογίου σε αντικατάσταση του συστήματος μεταγραφών και υποθηκών στο σύνολο της επικράτειας της χώρας, μόνο αν, κατόπιν της λήξης της αποκλειστικής προθεσμίας για κάθε περιοχή, δεν έχουν εγγραφεί μεταγενέστερες πράξεις επί του κτηματολογικού φύλλου του ακινήτου. Εγγραφή της αγωγής της παρ. 2 του άρθρου 7 του ν. 2664/1998 δεν λαμβάνεται υπόψη ως μεταγενέστερη πράξη. Σε κάθε περίπτωση, ο ενάγων δύναται να παραιτηθεί από την αγωγή του προηγούμενου εδαφίου και να ακολουθήσει τις λοιπές διαδικασίες διόρθωσης ή να εμμείνει στην ασκηθείσα αγωγή του. Για τις περιοχές του πρώτου εδαφίου της παρούσας επιτρέπεται, μέχρι την πάροδο ενός (1) έτους από τη δημοσίευση πράξης του Διοικητικού Συμβουλίου του Ν.Π.Δ.Δ. «Ελληνικό Κτηματολόγιο», με την οποία διαπιστώνεται η εφαρμογή του συστήματος του Κτηματολογίου σε αντικατάσταση του συστήματος μεταγραφών και υποθηκών στο σύνολο της επικράτειας της χώρας: α) η διόρθωση ανακριβούς εγγραφής με την ένδειξη «Ελληνικό Δημόσιο», σύμφωνα με τη διαδικασία της παρ. 4 του άρθρου 6 του ν. 2664/1998, όταν ο τίτλος του αιτούντος τη διόρθωση ή των δικαιοπαρόχων του (άμεσων ή απώτερων) είναι παραχωρητήριο του Ελληνικού Δημοσίου και β) η διόρθωση της ανακριβούς εγγραφής με τη διαδικασία της παρ. 4 του άρθρου 6 όταν στα οικεία κτηματολογικά φύλλα κατά την οριστικοποίηση των αρχικών εγγραφών αναγνωρίστηκε ως δικαιούχος του δικαιώματος ο δικαιοπάροχος του αιτούντος τη διόρθωση, ενώ ο τίτλος κτήσης του σχετικού δικαιώματος από τον αιτούντα τη διόρθωσή του είναι μεταγεγραμμένος στα βιβλία μεταγραφών του αντίστοιχου Υποθηκοφυλακείου ή Κτηματολογικού Γραφείου και υπό την προϋπόθεση ότι δεν έχει στο μεταξύ μεσολαβήσει άλλη, ασυμβίβαστη κατά περιεχόμενο, εγγραφή στο κτηματολογικό φύλλο.»
Άρθρο 37
Ρυθμίσεις για την υποστήριξη των πληροφοριακών συστημάτων μονάδων υγείας του Εθνικού Συστήματος Υγείας
Η υπ’ αρ. 2/30.1.2024 σύμβαση της ανώνυμης εταιρείας μη κερδοσκοπικού χαρακτήρα με την επωνυμία «ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΚΟΙΝΩΝΙΚΗΣ ΑΣΦΑΛΙΣΗΣ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ» και διακριτικό τίτλο «Η.ΔΙ.Κ.Α. Α.Ε.» με θέμα «Ενιαίο Πληροφοριακό Σύστημα για την υποστήριξη των επιχειρησιακών λειτουργιών μονάδων υγείας του ΕΣΥ (ΕΠΣΜΥ) της Η.ΔΙ.Κ.Α. Α.Ε.», Υποέργο 3 «Παροχή υπηρεσιών ανάπτυξης και παραγωγικής λειτουργίας πληροφοριακών συστημάτων της Η.ΔΙ.Κ.Α. Α.Ε. στον τομέα της υγείας» παρατείνεται αυτοδίκαια από τη λήξη της έως και την 29η.4.2025. Η σύμβαση λήγει αυτοδικαίως και πριν από το πέρας της προθεσμίας του παραπάνω εδαφίου, με την υπογραφή σύμβασης του ίδιου αντικειμένου στο πλαίσιο της νέας διαγωνιστικής διαδικασίας που διενεργεί η Η.ΔΙ.Κ.Α. Α.Ε..
Άρθρο 38
Τοπική πρόσκληση για πρόσληψη προσωρινών αναπληρωτών εκπαιδευτικών Προσθήκη άρθρου 63Α στον ν. 4589/2019
Μετά το άρθρο 63 του ν. 4589/2019 (Α’ 13) προστίθεται άρθρο 63Α, ως εξής:
«Άρθρο 63A Τοπική πρόσκληση για πρόσληψη προσωρινών αναπληρωτών εκπαιδευτικών
1. Εκπαιδευτικοί δύνανται να προσλαμβάνονται ως προσωρινοί αναπληρωτές, πλήρους ή μειωμένου ωραρίου, με σχέση εργασίας Ιδιωτικού Δικαίου Ορισμένου Χρόνου και με μέγιστη χρονική διάρκεια έως τη λήξη του διδακτικού έτους, μετά από την έκδοση της πρόσκλησης εκδήλωσης ενδιαφέροντος της παρ. 2, εφόσον: α) έχει τηρηθεί η διαδικασία του άρθρου 86 του ν. 4547/2018 (Α’ 102) και β) υφίστανται λειτουργικές ανάγκες για θέσεις εκπαιδευτικών σε σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης σε συγκεκριμένες περιοχές της χώρας, οι οποίες δεν μπορούν να καλυφθούν από τους αξιολογικούς πίνακες κατάταξης του Ανώτατου Συμβουλίου Επιλογής Προσωπικού (Α.Σ.Ε.Π.) λόγω εξάντλησης των υποψηφίων.
2. Με πρόσκληση εκδήλωσης ενδιαφέροντος που εκδίδεται από τον Περιφερειακό Διευθυντή Εκπαίδευσης, μετά από γνώμη του Διευθυντή Εκπαίδευσης, η οποία αναρτάται στο πρόγραμμα Διαύγεια και στις ιστοσελίδες του Υπουργείου Παιδείας, Θρησκευμάτων και Αθλητισμού, της Περιφερειακής Διεύθυνσης Εκπαίδευσης και της Διεύθυνσης Εκπαίδευσης, καλούνται οι υποψήφιοι να υποβάλουν αίτηση, σε σχολικές μονάδες περιοχών διορισμού αρμοδιότητας της οικείας Διεύθυνσης Εκπαίδευσης. Στην τοπική πρόσκληση καθορίζονται οι προκηρυσσόμενες θέσεις της παρ. 1 ανά σχολική μονάδα, ανά κλάδο/ειδικότητα, το ωράριο της απασχόλησης, η διαδικασία πρόσληψης και η αποκλειστική προθεσμία υποβολής της αίτησης.
3. Στη διαδικασία υποβολής αιτήσεων δύναται να συμμετέχουν υποψήφιοι, οι οποίοι διαθέτουν τα τυπικά προσόντα ένταξης και διορισμού στον οικείο κλάδο/ ειδικότητα και δεν είναι ενταγμένοι στους ισχύοντες αξιολογικούς πίνακες κατάταξης του Α.Σ.Ε.Π.. Οι υποψήφιοι κατατάσσονται σε αξιολογικούς πίνακες επιλογής ανά κλάδο/ειδικότητα με βάση αποκλειστικά τον βαθμό του πτυχίου τους. Σε περίπτωση ισοβαθμίας των πτυχίων, προηγούνται οι υποψήφιοι με το παλαιότερο πτυχίο σύμφωνα με την ημερομηνία απονομής του. Σε περίπτωση που τα πτυχία έχουν απονεμηθεί κατά την ίδια ημερομηνία, τότε η κατάταξη γίνεται με βάση την παλαιότητα εγγραφής των υποψηφίων στο Ολοκληρωμένο Πληροφοριακό Σύστημα Διαχείρισης Προσωπικού Πρωτοβάθμιας και Δευτεροβάθμιας Εκπαίδευσης (Ο.Π.ΣΥ.Δ.). Ειδικά οι υποψήφιοι εκπαιδευτικοί πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης με ειδίκευση στην Ειδική Αγωγή και Εκπαίδευση (Ε.Α.Ε.) κατατάσσονται στους αξιολογικούς πίνακες επιλογής με βάση μόνο τον βαθμό του βασικού πτυχίου τους, αλλά σε περίπτωση ισοβαθμίας των πτυχίων, προηγούνται οι υποψήφιοι με το παλαιότερο ειδικό τυπικό προσόν ένταξης στον κλάδο Ε.Α.Ε.. Για τους νηπιαγωγούς και δασκάλους Ε.Α.Ε. η κατάταξη πραγματοποιείται ενιαία για τους υποψήφιους των κλάδων ΠΕ61 και ΠΕ60 με εξειδίκευση στην Ε.Α.Ε. και ΠΕ 71 και ΠΕ 70 με εξειδίκευση στην Ε.Α.Ε., αντίστοιχα. Κατά τα λοιπά, εφαρμόζεται η περ. δ) της παρ. 4 του άρθρου 58. Η αίτηση επέχει θέση υπεύθυνης δήλωσης του άρθρου 8 του ν. 1599/1986 (Α’ 75) για τα στοιχεία που διαλαμβάνονται σε αυτήν. Οι αξιολογικοί πίνακες επιλογής ισχύουν έως τη λήξη του διδακτικού έτους. Κατά την υποβολή των αιτήσεων οι υποψήφιοι βεβαιώνουν ότι δεν εμπίπτουν στην παρ. 5Α του άρθρου 62, περί αποκλεισμού εκπαιδευτικών και μελών Ε.Ε.Π. ή Ε.Β.Π. που έχουν διοριστεί ή διορίζονται από νέο διορισμό ή πρόσληψη για τρία (3) έτη, και στην παρ. 5Α του άρθρου 63, περί αποκλεισμού εκπαιδευτικών και μελών Ε.Ε.Π. ή Ε.Β.Π., οι οποίοι προσλαμβάνονται ως αναπληρωτές και αρνούνται να αναλάβουν υπηρεσία ή παραιτούνται, κατά το έτος πρόσληψης και το επόμενο σχολικό έτος, του παρόντος, καθώς και στην παρ. 4 του άρθρου 86 του ν. 4547/2018, περί αποκλεισμού εκπαιδευτικών και μελών Ε.Ε.Π. ή Ε.Β.Π. οι οποίοι προσλαμβάνονται ως αναπληρωτές κατόπιν ειδικής πρόσκλησης και αρνούνται να αναλάβουν υπηρεσία ή παραιτούνται, κατά το έτος πρόσληψης και κατά το επόμενο σχολικό έτος.
4. Οι αξιολογικοί πίνακες επιλογής της παρ. 3 καταρτίζονται με ευθύνη του οικείου Διευθυντή Εκπαίδευσης, κυρώνονται από τον Περιφερειακό Διευθυντή Εκπαίδευσης και αναρτώνται στις ιστοσελίδες του Υπουργείου Παιδείας, Θρησκευμάτων και Αθλητισμού, της Περιφερειακής Διεύθυνσης Εκπαίδευσης και της Διεύθυνσης Εκπαίδευσης.
Αναμόρφωση των πινάκων, που συνεπάγεται ανακατάταξη των υποψηφίων, εκτελείται υποχρεωτικά από τον οικείο Διευθυντή Εκπαίδευσης και οι μη δικαιούμενοι να προσληφθούν βάσει της νέας κατάταξης απολύονται. Οι απολυόμενοι λαμβάνουν τις αποδοχές που προβλέπονται για την απασχόλησή τους έως την ημέρα της απόλυσης, χωρίς οποιαδήποτε αποζημίωση από την αιτία αυτή.
5. Εφόσον δεν καλυφθούν οι λειτουργικές ανάγκες για θέσεις εκπαιδευτικών της παρ. 1 και μετά την πρόσκληση εκδήλωσης ενδιαφέροντος της παρ. 2, είναι δυνατή η πρόσληψη συνταξιούχων εκπαιδευτικών, που δεν έχουν υπερβεί το εξηκοστό έβδομο (67ο) έτος της ηλικίας τους, σύμφωνα με τις διατάξεις του παρόντος.
6. Οι προσλήψεις των εκπαιδευτικών πραγματοποιούνται από τον οικείο Διευθυντή Εκπαίδευσης, σύμφωνα με τον αριθμό των προς πλήρωση λειτουργικών κενών ανά κλάδο/ειδικότητα, εκπαιδευτική δομή και βαθμίδα εκπαίδευσης, που έχουν εγκριθεί με σχετική πράξη του Υπουργού Παιδείας, Θρησκευμάτων και Αθλητισμού και ανεξάρτητα από την πηγή χρηματοδότησης αμέσως μετά την ανάρτηση των αξιολογικών πινάκων επιλογής των υποψηφίων σύμφωνα με την παρ. 3.
7. Όταν προκύπτουν επιπλέον λειτουργικές ανάγκες για θέσεις σε σχολική μονάδα και κλάδο/ειδικότητα που συμπεριλήφθηκε στην τοπική πρόσκληση εκδήλωσης ενδιαφέροντος της παρ. 2, δύναται να καλούνται, καθ’ όλη τη διάρκεια του διδακτικού έτους, οι εγγεγραμμένοι στους αξιολογικούς πίνακες επιλογής της παρ. 3, που δεν έχουν ήδη προσληφθεί, να εκδηλώσουν ενδιαφέρον για πρόσληψη.
8. Η προϋπηρεσία που αποκτήθηκε με τη διαδικασία του παρόντος δεν προσμετράται στη διαδικασία κατάταξης με σειρά προτεραιότητας που προκηρύσσει και διενεργεί το Α.Σ.Ε.Π. σε εφαρμογή των διατάξεων που ισχύουν κάθε φορά, αλλά λογίζεται ως πραγματική δημόσια εκπαιδευτική υπηρεσία και λαμβάνεται υπόψη μετά τον μόνιμο διορισμό στη δημόσια εκπαίδευση για κάθε συνέπεια.»
Άρθρο 39
Διδακτικά βιβλία Μητρώο Διδακτικών Βιβλίων Ψηφιακή Βιβλιοθήκη Διδακτικών Βιβλίων Τροποποίηση παρ. 5, 6, 7, 17 και 20 και προσθήκη παρ. 23 και 24 στο άρθρο 84 του ν. 4823/2021
1. Στην παρ. 5 του άρθρου 84 του ν. 4823/2021 (Α’ 136), περί συγγραφής των διδακτικών βιβλίων μητρώου διδακτικών βιβλίων και ψηφιακής βιβλιοθήκης διδακτικών βιβλίων, διαγράφεται το τελευταίο εδάφιο, και η παρ. 5 διαμορφώνεται ως εξής:
«5. Για τη συγγραφή των διδακτικών βιβλίων της παρ. 1 προς ένταξη στο Μ.Δ.Β. και την Ψ.Β.Δ.Β. εκδίδεται πρόσκληση εκδήλωσης ενδιαφέροντος από τον Υπουργό Παιδείας, Θρησκευμάτων και Αθλητισμού, κατόπιν εισήγησης του Ι.Ε.Π., η οποία αναρτάται στην ιστοσελίδα του Υπουργείου Παιδείας, Θρησκευμάτων και Αθλητισμού, του Ι.Ε.Π., του Ι.Τ.Υ.Ε. «ΔΙΟΦΑΝΤΟΣ» και της Ένωσης Ελληνικού Βιβλίου και στην οποία αναφέρονται ιδίως τα σχετικά με τις προδιαγραφές και τα χαρακτηριστικά των βιβλίων, τις επιστημονικές και παιδαγωγικές προϋποθέσεις ένταξης, το χρονοδιάγραμμα και τη διαδικασία υποβολής των αιτήσεων και των παραδοτέων από τους ενδιαφερομένους. Τις προδιαγραφές και τα τεχνικά χαρακτηριστικά που αφορούν στην εκτύπωση ή την ψηφιακή εκδοχή των παραδοτέων βιβλίων εισηγείται το Ι.Τ.Υ.Ε. «ΔΙΟΦΑΝΤΟΣ».»
2. Η παρ. 6 του άρθρου 84 του ν. 4823/2021, περί αξιολόγησης των διδακτικών βιβλίων, αντικαθίσταται ως εξής:
«6. Κατόπιν ολοκλήρωσης της διαδικασίας της δημόσιας πρόσκλησης ενδιαφέροντος και της έγκρισης των αιτήσεων συμμετοχής, οι συμμετέχοντες αναρτούν στο ψηφιακό σύστημα υποβολής βιβλίων του Ι.Τ.Ε. «ΔΙΟΦΑΝΤΟΣ»: α) το διδακτικό βιβλίο σε όλες τις προβλεπόμενες ψηφιακές μορφές, β) το ψηφιακό συμπληρωματικό υλικό (μαθησιακά αντικείμενα), γ) το ψηφιακό προεκτυπωτικό υλικό και δ) τα μεταδεδομένα όλων των αναγκαίων στοιχείων. Η αξιολόγηση των υποβληθέντων διδακτικών βιβλίων πραγματοποιείται από επιστημονικές επιτροπές, που συστήνονται ανά γνωστικό αντικείμενο, σε δύο (2) στάδια ελέγχου: α) πληρότητας, όπου απορρίπτονται όσες προτάσεις εμπεριέχουν πρόδηλα σφάλματα και ελλείψεις και β) ποιότητας, με κριτήρια που προσδιορίζονται με βάση προδιαγραφές και χαρακτηριστικά επιστημονικής και παιδαγωγικής καταλληλότητας, προκειμένου να καταστεί δυνατή η αποτίμηση ιδίως της επιστημονικής, παιδαγωγικής και διδακτικής εγκυρότητας του βιβλίου και του λοιπού εκπαιδευτικού υλικού, της ενθάρρυνσης της αυτενέργειας των μαθητών/τριών και της καλαισθησίας, καθώς και προδιαγραφές που σχετίζονται με τα τεχνικά χαρακτηριστικά των βιβλίων, όπως διαστάσεις, εικαστικό υλικό και παράμετροι τυποποίησης. Κατά το στάδιο της αξιολόγησης των υποβληθέντων διδακτικών βιβλίων, η επιτροπή αξιολόγησης δύναται να τάσσει αποκλειστικές προθεσμίες, στους συμμετέχοντες, προς πάσης φύσεως αναγκαία συμπλήρωση, εξειδίκευση ή αποστολή διευκρινίσεων, η άπρακτη παρέλευση των οποίων οδηγεί σε απόρριψή τους.»
3. Στην παρ. 7 του άρθρου 84 του ν. 4823/2021 περί επιτροπών αξιολόγησης διδακτικών βιβλίων, επέρχονται οι ακόλουθες τροποποιήσεις: α) στο πρώτο εδάφιο η λέξη «συνίστανται» αντικαθίσταται από τη λέξη «συγκροτούνται» και β) στο δεύτερο εδάφιο μετά τις λέξεις «στον έλεγχο» προστίθενται οι λέξεις «πληρότητας και ποιότητας της παρ. 6, με έλεγχο» και η παρ. 7 διαμορφώνεται ως εξής:
«7. Οι επιστημονικές επιτροπές της παρ. 6 συγκροτούνται από μέλη Δ.Ε.Π., εκπαιδευτικούς και άλλους επιστήμονες αυξημένων προσόντων και γνώσεων στο επιστημονικό και παιδαγωγικό αντικείμενο των βιβλίων. Το έργο των εν λόγω επιτροπών συνεπικουρούν εμπειρογνώμονες, όσον αφορά στον έλεγχο πληρότητας και ποιότητας της παρ. 6, με έλεγχο συμμόρφωσης προς τις προδιαγραφές και τα τεχνικά χαρακτηριστικά που αφορούν στην εκτύπωση ή την ψηφιακή εκδοχή των παραδοτέων βιβλίων. Τα μέλη των επιστημονικών επιτροπών και οι εμπειρογνώμονες δεν σχετίζονται με τη συγγραφική διαδικασία των υπό ένταξη βιβλίων. Η συγκρότηση των επιστημονικών επιτροπών και η επιλογή των εμπειρογνωμόνων πραγματοποιείται από το Διοικητικό Συμβούλιο (Δ.Σ.) του Ι.Ε.Π., μετά από πρόσκλησή του. Για την αξιολόγηση των εμπειρογνωμόνων μετέχουν στις επιτροπές και στελέχη του Ι.Τ.Υ.Ε. «ΔΙΟΦΑΝΤΟΣ». Η θητεία των μελών των επιστημονικών επιτροπών λήγει αφότου οι υπουργικές αποφάσεις ένταξης των βιβλίων στο Μ.Δ.Β. και Ψ.Β.Δ.Β. καταστούν οριστικές και απρόσβλητες.»
4. Η παρ. 17 του άρθρου 84 του ν. 4823/2021, περί διαδικασίας συγγραφής διδακτικών βιβλίων, αντικαθίσταται ως εξής:
«17. Αν η διαδικασία συγγραφής διδακτικών βιβλίων και ένταξής τους στο Μ.Δ.Β. και στην Ψ.Β.Δ.Β. αποβεί άκαρπη ή δεν υπάρχουν τουλάχιστον δύο εγκεκριμένες αιτήσεις συμμετοχής ανά μάθημα ή, κατά το στάδιο της αξιολόγησης πληρότητας σύμφωνα με το δεύτερο εδάφιο της παρ. 6, οι εναπομείνασες προς επιστημονική αξιολόγηση προτάσεις υπολείπονται των δυο (2), ή πρόκειται για την ένταξη των διδακτικών βιβλίων στο Μ.Δ.Β. και στην Ψ.Β.Δ.Β., τα οποία αντιστοιχούν σε μαθήματα γνωστικών αντικειμένων της επαγγελματικής εκπαίδευσης και της ειδικής αγωγής και εκπαίδευσης, με απόφαση του Υπουργού Παιδείας, Θρησκευμάτων και Αθλητισμού, κατόπιν εισήγησης του Ι.Ε.Π., είναι δυνατή, διαζευκτικά, ακόμα και πριν από την ολοκλήρωση προηγουμένης πρόσκλησης εκδήλωσης ενδιαφέροντος: α) η μερική επανάληψη της πρόσκλησης για την κάλυψη των εναπομεινάντων μαθημάτων, β) η έκδοση νέας, ολικής ή μερικής, πρόσκλησης εκδήλωσης ενδιαφέροντος, προκειμένου να υφίστανται τουλάχιστον δύο (2) διδακτικά βιβλία ανά μάθημα, με όμοιους ή διαφορετικούς όρους από προηγούμενη πρόσκληση, γ) η ανάθεση της συγγραφής σε ομάδες εκπαιδευτικών, που απαρτίζονται από εκπαιδευτικούς που υπηρετούν στο Ι.Ε.Π. ή αποσπώνται στο Ι.Ε.Π. για τη συγγραφή αυτή ή από άλλους επιστήμονες αυξημένων προσόντων και γνώσεων ή δ) η ανάθεση της συγγραφής, τηρουμένων των διατάξεων του ν. 4412/2016 (Α’ 147), σε φυσικά ή νομικά πρόσωπα ή η σύναψη προγραμματικών συμβάσεων προς τον σκοπό αυτόν, μεταξύ του Ι.Ε.Π. και Α.Ε.Ι.. Ειδικές διατάξεις για τα διδακτικά βιβλία της επαγγελματικής εκπαίδευσης και της ειδικής αγωγής και εκπαίδευσης διατηρούνται σε ισχύ.»
5. Στην παρ. 20 του άρθρου 84 του ν. 4823/2021, περί διδακτικών βιβλίων μητρώου διδακτικών βιβλίων ψηφιακής βιβλιοθήκης διδακτικών βιβλίων, επέρχονται οι ακόλουθες τροποποιήσεις: α) διαγράφονται οι λέξεις «κατά τον λόγο της αρμοδιότητάς τους,», β) μετά τη λέξη «κριτήρια» προστίθενται οι λέξεις «των διδακτικών βιβλίων», γ) μετά τη δεύτερη αναφορά των λέξεων «ειδικότερες προϋποθέσεις», οι λέξεις «η διαδικασία υποβολής και εξέτασης, καθώς και τα όργανα ελέγχου» αντικαθίστανται από τις λέξεις «υποβολής εκδήλωσης ενδιαφέροντος και αίτησης συμμετοχής στις προσκλήσεις ενδιαφέροντος της παρ. 5, η διαδικασία υποβολής και αξιολόγησης των διδακτικών βιβλίων, καθώς και τα όργανα αξιολόγησης», δ) διαγράφονται οι λέξεις «της πρόσκλησης εκδήλωσης ενδιαφέροντος της παρ. 5 και» και κατόπιν νομοτεχνικών βελτιώσεων η παρ. 20 διαμορφώνεται ως εξής
«20. Με απόφαση του Υπουργού Παιδείας, Θρησκευμάτων και Αθλητισμού, που εκδίδεται ύστερα από εισηγήσεις του Ι.Ε.Π. και του Ι.Τ.Υ.Ε. «ΔΙΟΦΑΝΤΟΣ», καθορίζονται οι διαδικασίες δημιουργίας, συγκρότησης, λειτουργίας και τεχνικής υποστήριξης του Μ.Δ.Β. και της Ψ.Β.Δ.Β., οι ειδικότερες προϋποθέσεις, προδιαγραφές, χαρακτηριστικά και κριτήρια των διδακτικών βιβλίων, καθώς και η διαδικασία ένταξης, τροποποίησης, μεταβολής και απένταξης διδακτικών βιβλίων στο Μ.Δ.Β. και στην Ψ.Β.Δ.Β., οι ειδικότερες προϋποθέσεις υποβολής εκδήλωσης ενδιαφέροντος και αίτησης συμμετοχής στις προσκλήσεις ενδιαφέροντος καθώς και το περιεχόμενο των προσκλήσεων της παρ. 5, η διαδικασία υποβολής και αξιολόγησης των διδακτικών βιβλίων, καθώς και τα όργανα αξιολόγησης των διοικητικών προσφυγών κατά των αποφάσεων ένταξης, απένταξης και καθορισμού της τιμής αναφοράς, το περιεχόμενο των συμφωνητικών της παρ. 9, η ειδικότερη δομή και οργάνωση του Μ.Δ.Β. και της Ψ.Β.Δ.Β., τα στοιχεία που καταχωρίζονται στο Μ.Δ.Β. για κάθε συγκεκριμένο βιβλίο, καθώς και κάθε άλλο ειδικότερο θέμα που αφορά στην εφαρμογή του παρόντος άρθρου.»
6. Στο άρθρο 84 του ν. 4823/2021 περί διδακτικών βιβλίων μητρώο διδακτικών βιβλίων ψηφιακής βιβλιοθήκης διδακτικών βιβλίων, προστίθενται παρ. 23 και 24 ως εξής:
«23. Με απόφαση του Υπουργού Παιδείας, Θρησκευμάτων και Αθλητισμού, κατόπιν εισηγήσεων του Ι.Ε.Π. και του Ι.Τ.Υ.Ε. «ΔΙΟΦΑΝΤΟΣ», ρυθμίζεται κάθε θέμα σχετικό με τον τρόπο λειτουργίας και το αντικείμενο των επιστημονικών επιτροπών της παρ. 6 και των ομάδων της περ. γ) της παρ. 17. Με όμοια απόφαση καθορίζεται κάθε αναγκαία λεπτομέρεια για την έναρξη της εφαρμογής του παρόντος, η διαδικασία και οι προϋποθέσεις χρήσης των διδακτικών βιβλίων που έχουν ενταχθεί στο Μ.Δ.Β. και Ψ.Β.Δ.Β..
24. Εγκεκριμένοι φορείς, που συμμετείχαν στην υπό στοιχεία 46978/ΓΔ4/25.4.2023 πρόσκληση εκδήλωσης ενδιαφέροντος του Υπουργού Παιδείας, Θρησκευμάτων και Αθλητισμού, οι οποίοι έχουν αναρτήσει εμπροθέσμως το σύνολο ή μέρος του αξιολογούμενου υλικού στην πλατφόρμα του Ι.Τ.Υ.Ε. «ΔΙΟΦΑΝΤΟΣ», πλην όμως η οριστική υποβολή του δεν ολοκληρώθηκε για οποιονδήποτε λόγο, δύνανται εντός δέκα (10) ημερών από τη δημοσίευση του παρόντος, να αναρτήσουν οριστικά το υλικό, με μόνη προϋπόθεση την προσκόμιση βεβαίωσης του Ι.Τ.Υ.Ε. «ΔΙΟΦΑΝΤΟΣ» στην οποία πιστοποιείται η υποβολή μέρους ή του συνόλου του υλικού στη σχετική πλατφόρμα του Ι.Τ.Υ.Ε.«ΔΙΟΦΑΝΤΟΣ» πριν από τη λήξη της καταληκτικής προθεσμίας ανάρτησης του αξιολογούμενου υλικού. Αν οι ως άνω εγκεκριμένοι συμμετέχοντες ανήρτησαν εμπρόθεσμα το απαραίτητο υλικό στη σχετική πλατφόρμα, πλην όμως αυτό δεν αντιστοιχεί στο συνολικό αξιολογούμενο υλικό των διδακτικών βιβλίων, σε σχέση με αυτό το οποίο περιλάμβανε η εγκεκριμένη αίτηση συμμετοχής τους, δύνανται, εντός δέκα (10) ημερών από τη δημοσίευση του παρόντος και χωρίς άλλη διατύπωση, να υποβάλουν το υπολειπόμενο υλικό τους. Αν οι ως άνω εγκεκριμένοι συμμετέχοντες ανάρτησαν εμπρόθεσμα, αλλά εκ παραδρομής εσφαλμένο υλικό ή υλικό που χρήζει αναγκαίων διορθώσεων ή βελτιώσεων, δύνανται, εντός δέκα (10) ημερών από τη δημοσίευση του παρόντος και χωρίς άλλη διατύπωση, να υποβάλλουν εκ νέου το υλικό με τις αναγκαίες διορθώσεις. Το τελευταίο εδάφιο της παρ. 6 εφαρμόζεται και για τις προτάσεις που υποβάλλονται σύμφωνα με την παρούσα.»
Άρθρο 40
Ανώτατο όριο αμοιβών ιατρών του Ειδικού Σώματος Ιατρών του Κέντρου Πιστοποίησης Αναπηρίας Τροποποίηση παρ. 3 και 4 άρθρου 104 ν. 4961/2022
1. Στο τρίτο εδάφιο της παρ. 3 του άρθρου 104 του ν. 4961/2022 (Α’ 146), περί των υγειονομικών επιτροπών του Κέντρου Πιστοποίησης Αναπηρίας του Ηλεκτρονικού Εθνικού Φορέα Κοινωνικής Ασφάλισης, οι λέξεις «Οι Δημόσιες Δομές Φροντίδας Υγείας (Δ.Δ.Φ.Υ.) και ο Εθνικός Οργανισμός Παροχής Υπηρεσιών Υγείας (Ε.Ο.Π.Υ.Υ.)» αντικαθίστανται απο τις λέξεις «Οι φορείς του Δημοσίου», και η παρ. 3 διαμορφώνεται ως εξής:
«3. Οι υγειονομικές επιτροπές συστήνονται κατά ειδικότητα και συνεδρίαση με βάση τα υποβληθέντα αιτήματα για γνωμάτευση και τις κύριες παθήσεις σε αυτά, την εντοπιότητα του ιατρού, την κατοικία του αιτούντος, τις διαθέσιμες ειδικότητες και την ανηλικότητα του αιτούντος. Σε περίπτωση εξέτασης ανηλίκου, στην επιτροπή συμμετέχει ιατρός του Ε.Σ.Ι. με ειδικότητα στην παιδιατρική ή άλλη παιδιατρική εξειδίκευση, εάν είναι διαθέσιμος. Οι φορείς του Δημοσίου οφείλουν να επιτρέπουν στους ιατρούς που υπηρετούν σε αυτούς να συμμετέχουν σε συνεδριάσεις υγειονομικών επιτροπών, στις οποίες έχουν ορισθεί, τουλάχιστον πέντε (5) ημέρες ανά μήνα. Με την απόφαση ορισμού της υγειονομικής επιτροπής ορίζεται και ο πρόεδρός της, ο οποίος πρέπει να κατέχει ειδικότητα αντίστοιχη με αυτή της επιτροπής.»
2. Στην παρ. 4 του άρθρου 104 του ν. 4961/2022, περί της αποζημίωσης που καταβάλλεται από τον Ηλεκτρονικό Εθνικό Φορέα Κοινωνικής Ασφάλισης στους ιατρούς του Ειδικού Σώματος Ιατρών, οι οποίοι μετέχουν στις συνεδριάσεις των επιτροπών του Κέντρου Πιστοποίησης Αναπηρίας, επέρχονται οι ακόλουθες τροποποιήσεις: α) στο δεύτερο εδάφιο οι λέξεις «Στους ιατρούς» αντικαθίστανται απο τις λέξεις «Στα μέλη», β) στην αρχή του τρίτου εδαφίου προστίθεται η φράση «Τα αιτήματα αξιολόγησης ισοκατανέμονται μεταξύ των ιατρών του Ε.Σ.Ι. ανά κατηγορία και ειδικότητα και», γ) στο τρίτο εδάφιο: γα) προστίθενται οι λέξεις «Από την 1η Νοεμβρίου 2024» και γβ) η λέξη «διπλάσιο» αντικαθίσταται απο τη λέξη «τριπλάσιο», δ) προστίθεται νέο πέμπτο εδάφιο και κατόπιν νομοτεχνικών βελτιώσεων η παρ. 4 διαμορφώνεται ως εξής:
«4. Στους ιατρούς του Ε.Σ.Ι. και στους γραμματείς των υγειονομικών επιτροπών του ΚΕ.Π.Α. καταβάλλεται από τον e-Ε.Φ.Κ.Α. αποζημίωση ανά κρινόμενο αίτημα, για το οποίο εκδίδεται οριστική Γ.Α.. Στα μέλη και στους γραμματείς της Επιτροπής Δειγματοληπτικού Ελέγχου καταβάλλεται από τον e-Ε.Φ.Κ.Α. αποζημίωση ανά ελεγχόμενο περιστατικό. Τα αιτήματα αξιολόγησης ισοκατανέμονται μεταξύ των ιατρών του Ε.Σ.Ι. ανά κατηγορία και ειδικότητα και η αποζημίωση της παρούσας καταβάλλεται σύμφωνα με την κοινή απόφαση της παρ. 5 του άρθρου 109. Από την 1η Νοεμβρίου 2024 το συνολικό ποσό της αποζημίωσης δεν μπορεί να υπερβεί κατ’ έτος το τριπλάσιο του μηνιαίου ανώτατου ορίου αποδοχών, όπως αυτό ορίζεται στην παρ. 1 του άρθρου 28 του ν. 4354/2015 (Α’ 176). Κατ’ εξαίρεση, το συνολικό ποσό αποζημίωσης κατ’ έτος μπορεί να ανέρχεται στο πενταπλάσιο του μηνιαίου ανώτατου ορίου αποδοχών, όπως αυτό ορίζεται στην παρ. 1 του άρθρου 28 του ν. 4354/2015, εφόσον ο αριθμός των διαθέσιμων, σύμφωνα με τον Κανονισμό Λειτουργίας του ΚΕ.Π.Α., ιατρών του Ε.Σ.Ι. με ειδικότητα ρευματολογίας, νευρολογίας και ψυχιατρικής, δεν επαρκεί για την έγκαιρη αξιολόγηση των εκκρεμών αιτήσεων. Στους μετακινούμενους εκτός έδρας ιατρούς του Ε.Σ.Ι. για την άσκηση καθηκόντων ως προέδρου ή μέλους των υγειονομικών επιτροπών του ΚΕ.Π.Α. καταβάλλονται από τον e-Ε.Φ.Κ.Α. οι δαπάνες μετακίνησης (έξοδα κίνησης, έξοδα διανυκτέρευσης, ημερήσια αποζημίωση), οι οποίες καταβάλλονται κατά τις κείμενες διατάξεις στους μετακινούμενους εκτός έδρας δημοσίους υπαλλήλους. Ως ανώτατο ετήσιο όριο μετακινήσεων ορίζονται οι ενενήντα (90) ημέρες.»
Άρθρο 41
Ρύθμιση αστικού συγκοινωνιακού έργου Περιφερειακής Ενότητας Θεσσαλονίκης Τροποποίηση άρθρου 3, παρ. 4 άρθρου 11 και παρ. 1 άρθρου 26 ν. 4482/2017
1. Στην παρ. 1 του άρθρου 3 του ν. 4482/2017 (Α’ 102), περί αρμοδιοτήτων της «Οργανισμός Συγκοινωνιακού Έργου Θεσσαλονίκης Ανώνυμη Εταιρεία», προστίθενται περ. λ’έως λβ’ ως εξής:
«λ. Προωθεί τις πωλήσεις προϊόντων κομίστρου μέσω της εφαρμογής της εκπτωτικής πολιτικής.
λα. Πωλεί προϊόντα κομίστρου και εισπράττει το κόμιστρο για λογαριασμό παρόχων συγκοινωνιακού έργου της Περιφερειακής Ενότητας Θεσσαλονίκης του άρθρου 2, ελέγχει και αποδίδει το συνολικό έσοδο πωλήσεων προϊόντων παρόχων των ανωτέρω συγκοινωνιακών έργων στον κρατικό προϋπολογισμό, κατόπιν προηγούμενης, κατά σειρά, λαα) αφαίρεσης προς απόδοση του οφειλόμενου ποσού Φόρου Προστιθέμενης Αξίας (Φ.Π.Α.) για την υπηρεσία μεταφοράς, σύμφωνα με τη νομοθεσία περί Φ.Π.Α. για το συνολικό ποσό πωλήσεων προϊόντων κομίστρου, λαβ) παρακράτησης των οριζόμενων υπέρ της ποσοστών σύμφωνα με το άρθρο 11 επί του συνολικού εσόδου πωλήσεων προϊόντων κομίστρου (χωρίς Φ.Π.Α.), λαγ) απόδοσης προς τον Ο.Α.Σ.Θ. του υπολειπομένου ποσού πωλήσεων προϊόντων κομίστρου για παροχή συγκοινωνιακού έργου από i) τους παρόχους δημόσιων επιβατικών αστικών συγκοινωνιών με λεωφορεία, με τους οποίους έχει σύμβαση η Ο.Σ.Ε.Θ. και ii) τον Ο.Α.Σ.Θ. σύμφωνα με την παρ. 1 του άρθρου 26, σύμφωνα με την τιμολογηθείσα υπηρεσία κατά τις κείμενες διατάξεις. Δύναται να αναθέτει σε φορείς συγκοινωνιακού έργου μέρος των αρμοδιοτήτων της παρούσας περίπτωσης.
λβ. Ελέγχει, εποπτεύει, ενεργεί για και συντονίζει τη διαλειτουργικότητα του συγκοινωνιακού έργου που εκτελείται από τους παρόχους της περ. λα’, δυνάμενος να συμβάλλεται με παρόχους του εν λόγω συγκοινωνιακού έργου και τρίτους προς τον σκοπό της διαλειτουργικότητας.»
2. Στην παρ. 2 του άρθρου 3 του ν. 4482/2017, προστίθενται περ. γ’ και δ’, ως εξής:
«γ. Με κοινή απόφαση των Υπουργών Εθνικής Οικονομίας και Οικονομικών και Υποδομών και Μεταφορών, καθορίζονται η διαδικασία είσπραξης από την Ο.Σ.Ε.Θ. Α.Ε. των εσόδων για τα προϊόντα κομίστρου που πωλούνται για λογαριασμό παρόχων συγκοινωνιακού έργου της Περιφερειακής Ενότητας Θεσσαλονίκης του άρθρου 2, το αποδιδόμενο ποσό ή ποσοστό εσόδων από κόμιστρα παρόχων συγκοινωνιακού έργου σύμφωνα με τις περ. λ’ και λα’ της παρ. 1, η διαδικασία και η περιοδικότητα απόδοσης των ανωτέρω οφειλομένων ποσών από την Ο.Σ.Ε.Θ. Α.Ε. προς τον Ο.Α.Σ.Θ. και τον κρατικό προϋπολογισμό, καθώς και κάθε άλλο θέμα σχετικό με την εφαρμογή των περ. λ’και λα’ της παρ. 1.
δ. Με απόφαση του Διοικητικού της Συμβουλίου, κατόπιν σύμφωνης γνώμης του αρμόδιου οργάνου του Υπουργείου Υποδομών και Μεταφορών, η Ο.Σ.Ε.Θ. επιλέγει το νομικό πρόσωπο στο οποίο αναθέτει αρμοδιότητές της, σύμφωνα με το τελευταίο εδάφιο της περ. λα’ της παρ. 1 του άρθρου 3.»
3. Στην παρ. 4 του άρθρου 11 του ν. 4482/2017 προστίθεται τελευταίο εδάφιο και η παρ. 4 διαμορφώνεται ως εξής:
«4. Ειδικά για τον Ο.Α.Σ.Θ., το ποσοστό της παρ. 1 ισχύει έως την 30ή Ιουνίου 2020. Από την 1η Ιουλίου 2020 το ανωτέρω ποσοστό ορίζεται σε ένα κόμμα δύο τοις εκατό (1,2%) εκ του συνόλου των εσόδων που προέρχονται από την παροχή συγκοινωνιακών υπηρεσιών και παραγωγή συγκοινωνιακού έργου στην περιοχή ευθύνης της Ο.Σ.Ε.Θ.. Από την 1η Δεκεμβρίου 2024 το ποσοστό του δευτέρου εδαφίου της παρούσας, εφαρμόζεται μόνον για τα προϊόντα κομίστρου των οποίων το παραστατικό πώλησης εκδίδεται στον αριθμό φορολογικού μητρώου του Ο.Α.Σ.Θ., διαφορετικά εφαρμόζεται το ποσοστό της παρ. 1.»
4. Στο πρώτο εδάφιο της παρ. 1 του άρθρου 26 του ν. 4482/2017, η ημερομηνία «31.12.2024» αντικαθίσταται από την ημερομηνία «31.12.2025», και η παρ. 1 διαμορφώνεται ως εξής:
«1. Ανατίθεται προσωρινά στον Ο.Α.Σ.Θ. το συγκοινωνιακό έργο στην Περιφερειακή Ενότητα Θεσσαλονίκης για τον απολύτως αναγκαίο χρόνο και πάντως όχι μετά τις 31.12.2025. Κατά το χρονικό διάστημα της προσωρινής ανάθεσης του συγκοινωνιακού έργου στον Ο.Α.Σ.Θ., σύμφωνα με το προηγούμενο εδάφιο, το συγκοινωνιακό έργο θα παρέχεται με τους ίδιους όρους της από 30.4.2001 οικονομικής συμφωνίας μεταξύ Ελληνικού Δημοσίου και Ο.Α.Σ.Θ., όπως ίσχυε μετά την τροποποίηση και συμπλήρωσή της κατά την ημερομηνία δημοσιεύσεως του ν. 4482/2017 και ταυτόχρονα επιτρέπεται γι’ αυτό το συγκοινωνιακό έργο η σύναψη των συμβάσεων που προβλέπονται στις διατάξεις του άρθρου 54 παρ. 3 και 4 του ν. 4568/2018.»
Άρθρο 42
Οδηγοί για την εκτέλεση του συγκοινωνιακού έργου Οργανισμού Αστικών Συγκοινωνιών Θεσσαλονίκης
1. Συμβάσεις εργασίας Ιδιωτικού Δικαίου Ορισμένου Χρόνου προσωπικού, εκατόν πενήντα (150) οδηγών, ειδικότητας ΔΕ Οδηγών, που προσελήφθησαν από το νομικό πρόσωπο ιδιωτικού δικαίου, με την επωνυμία «ΟΡΓΑΝΙΣΜΟΣ ΑΣΤΙΚΩΝ ΣΥΓΚΟΙΝΩΝΙΩΝ ΘΕΣΣΑΛΟΝΙΚΗΣ» (Ο.Α.Σ.Θ.), δυνάμει της υπό στοιχεία ΣΟΧ 1/2023 Ανακοίνωσης, που ανανεώθηκαν με το άρθρο 41 του ν. 5131/2024 (Α’ 128) και δεν έχουν λυθεί έως τη δημοσίευση του παρόντος, ανανεώνονται αυτοδικαίως από τη λήξη τους έως την ολοκλήρωση της ανάθεσης του συγκοινωνιακού έργου στον Ο.Α.Σ.Θ. και πάντως όχι πέραν της 30ής Ιουνίου 2025.
2. Συμβάσεις εργασίας Ιδιωτικού Δικαίου Ορισμένου Χρόνου προσωπικού, σαράντα (40) οδηγών, ειδικότητας ΔΕ Οδηγών, που προσελήφθησαν από τον Ο.Α.Σ.Θ., δυνάμει της υπό στοιχεία ΣΟΧ 1/2024 Ανακοίνωσης και δεν έχουν λυθεί έως τη δημοσίευση του παρόντος, ανανεώνονται αυτοδικαίως από τη λήξη τους έως την ολοκλήρωση της ανάθεσης του συγκοινωνιακού έργου στον Ο.Α.Σ.Θ. και πάντως όχι πέραν της 30ής Ιουνίου 2025.
3. Οι ανανεώσεις των παρ. 1 και 2 δεν μεταβάλλουν τον χαρακτήρα της σχέσης εργασίας, βάσει της οποίας προσελήφθησαν οι απασχολούμενοι στις θέσεις αυτές και δεν προσμετρώνται στο ανώτατο χρονικό διάστημα των είκοσι τεσσάρων (24) μηνών, κατά την έννοια των άρθρων 5 έως 7 του π.δ. 164/2004 (Α’ 134).
Άρθρο 43
Αδειοδότηση αστικού σιδηροδρόμου
1.α) Για τη θέση σε εμπορική λειτουργία δικτύου αστικού σιδηροδρόμου ή επεκτάσεων αυτού χορηγείται άδεια λειτουργίας της υποδομής και των συστημάτων αυτής, με μέριμνα της αρμόδιας Διεύθυνσης Υποδομών Σταθερής Τροχιάς, Συντηρήσεων και Ασφάλειας (Δ14) του Υπουργείου Υποδομών και Μεταφορών, κατόπιν εισήγησης της ΕΛΛΗΝΙΚΟ ΜΕΤΡΟ Α.Ε..
β) Για τη χορήγηση της άδειας της περ. α), απαιτούνται: βα) βεβαίωση έναρξης δραστηριότητας και αριθμού φορολογικού μητρώου για την ΕΛΛΗΝΙΚΟ ΜΕΤΡΟ Α.Ε., ββ) οικοδομική άδεια του έργου, βγ) πιστοποιητικό αναδόχων κατασκευής με το οποίο πιστοποιείται ότι οι εργασίες στο υπό αδειοδότηση σύστημα αστικού σιδηροδρόμου έχουν ολοκληρωθεί και ότι όλες οι δοκιμές απόδοσης των συστημάτων έχουν περατωθεί,
βδ) βεβαίωση της ΕΛΛΗΝΙΚΟ ΜΕΤΡΟ Α.Ε. για την αρτιότητα, ασφάλεια, λειτουργικότητα και αξιοπιστία των συστημάτων του έργου στο πλαίσιο των αρμοδιοτήτων της, ως αναθέτουσας αρχής,
βε) πιστοποιητικό από ανεξάρτητο φορέα πιστοποίησης για τη λειτουργία του δικτύου αστικού σιδηροδρόμου,
βστ) γενική οριζοντιογραφία του έργου, βζ) δηλώσεις συμμόρφωσης για τους ανελκυστήρες, συνοδευόμενες από τα κατά περίπτωση εκδοθέντα πιστοποιητικά κοινοποιημένου οργανισμού στο πλαίσιο της διαδικασίας αξιολόγησης της συμμόρφωσης, καθώς και βεβαίωση καταχώρισης των ανελκυστήρων από την αρμόδια υπηρεσία του οικείου Δήμου,
βη) βεβαιώσεις ορθής εγκατάστασης και λειτουργίας (αρχικού ελέγχου) τύπου Α’ των κυλιόμενων κλιμάκων και πεζοδρόμων, από αναγνωρισμένο για τον σκοπό αυτόν φορέα ελέγχου και
βθ) πιστοποιητικό ενεργητικής πυροπροστασίας σύμφωνα με το άρθρο 8 της υπ’ αρ. 13/2021 Πυροσβεστικής Διάταξης «Έγκριση της υπ’ αρ. 13/2021 Πυροσβεστικής Διάταξης με θέμα: «Καθορισμός της διαδικασίας υποβολής των απαιτούμενων δικαιολογητικών, ελέγχου και έκδοσης των διοικητικών πράξεων πυροπροστασίας σε επιχειρήσεις εγκαταστάσεις, κατ’ εφαρμογή του άρθρου 167 του ν. 4662/2020» (Β’ 5519).»
2. Για την παροχή υπηρεσιών επιβατικών μεταφορών μέσω δικτύου αστικού σιδηροδρόμου με την ανάληψη της λειτουργίας και συντήρησης του δικτύου αυτού από δημόσιο ή ιδιωτικό φορέα παροχής δημόσιας υπηρεσίας, χορηγείται άδεια παροχής υπηρεσίας, με μέριμνα της αρμόδιας Διεύθυνσης Επιβατικών Μεταφορών (Δ32) του Υπουργείου Υποδομών και Μεταφορών, κατόπιν εισήγησης της ΕΛΛΗΝΙΚΟ ΜΕΤΡΟ Α.Ε..
Για τη χορήγηση της άδειας του πρώτου εδαφίου, απαιτούνται:
α) πιστοποιητικό από ανεξάρτητο φορέα πιστοποίησης για τη λειτουργία του αστικού σιδηροδρόμου,
β) υπεύθυνη δήλωση ανάληψης λειτουργίας του έργου,
γ) βεβαίωση έναρξης δραστηριότητας και αριθμού φορολογικού μητρώου για την εταιρεία λειτουργίας και
δ) βεβαίωση σύστασης της εταιρείας λειτουργίας.
3. Από το πεδίο εφαρμογής του παρόντος εξαιρούνται το σιδηροδρομικό έργο και οι εγκαταστάσεις που παρέχει ο Οργανισμός Σιδηροδρόμων Ελλάδος, οι θυγατρικές του, οι συνδεδεμένες με αυτόν επιχειρήσεις, οι εταιρείες υποδομής και εκμετάλλευσης του σιδηροδρομικού δικτύου και κάθε άλλος όμοιου αντικειμένου δημόσιος ή ιδιωτικός φορέας.
Άρθρο 44
Οικονομικές καταστάσεις και εκθέσεις δραστηριότητας εργοληπτικών επιχειρήσεων
Για το έτος 2024, η προθεσμία υποβολής των ετήσιων οικονομικών καταστάσεων και της έκθεσης δραστηριότητας των εργοληπτικών επιχειρήσεων του πρώτου εδαφίου της παρ. 7 του άρθρου 41 του π.δ. 71/2019 (Α’ 112), περί τήρησης του Μητρώου Εργοληπτικών Επιχειρήσεων Δημοσίων Έργων (ΜΗ.Ε.Ε.Δ.Ε.) και πιστοποιητικών ΜΗ.Ε.Ε.Δ.Ε., στη Διεύθυνση Μητρώων της Γενικής Γραμματείας Υποδομών του Υπουργείου Υποδομών και Μεταφορών παρατείνεται από τη λήξη της έως τη 19η.2.2025.
ΜΕΡΟΣ Γ’
ΕΝΑΡΞΗ ΙΣΧΥΟΣ
Άρθρο 45
Έναρξη ισχύος
1. Με την επιφύλαξη της παρ. 2 η ισχύς του παρόντος νόμου αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.
2. Η ισχύς της υποπερ. στβ) της περ. στ) της παρ. 2 του άρθρου 3 αρχίζει ένα (1) έτος από τη δημοσίευση του παρόντος στην Εφημερίδα της Κυβερνήσεως.
Σημ.: για τους πίνακες ανατρέξτε στο ΦΕΚ
Σημ.: για το παράρτημα ανατρέξτε στο φεκ
Παραγγέλλομε τη δημοσίευση του παρόντος στην Εφημερίδα της Κυβερνήσεως και την εκτέλεσή του ως νόμου του Κράτους.
Αθήνα, 27 Νοεμβρίου 2024
Η Πρόεδρος της Δημοκρατίας
ΚΑΤΕΡΙΝΑ ΣΑΚΕΛΛΑΡΟΠΟΥΛΟΥ
Οι Υπουργοί
Εθνικής Οικονομίας Αναπληρωτής Υπουργός Εθνικής και Οικονομικών Οικονομίας και Οικονομικών Εξωτερικών ΚΩΝΣΤΑΝΤΙΝΟΣ ΧΑΤΖΗΔΑΚΗΣ ΝΙΚΟΛΑΟΣ ΠΑΠΑΘΑΝΑΣΗΣ ΓΕΩΡΓΙΟΣ ΓΕΡΑΠΕΤΡΙΤΗΣ
Παιδείας, Θρησκευμάτων Εθνικής Άμυνας Εσωτερικών και Αθλητισμού ΝΙΚΟΛΑΟΣ ΓΕΩΡΓΙΟΣ ΔΕΝΔΙΑΣ ΘΕΟΔΩΡΟΣ ΛΙΒΑΝΙΟΣ ΚΥΡΙΑΚΟΣ ΠΙΕΡΡΑΚΑΚΗΣ
Υγείας Προστασίας του Πολίτη Υποδομών και Μεταφορών ΣΠΥΡΙΔΩΝ ΑΔΩΝΙΣ ΓΕΩΡΓΙΑΔΗΣ ΜΙΧΑΗΛ ΧΡΥΣΟΧΟΪΔΗΣ ΧΡΗΣΤΟΣ ΣΤΑΪΚΟΥΡΑΣ
Εργασίας και Κοινωνικής Περιβάλλοντος και Ενέργειας Ανάπτυξης Ασφάλισης ΘΕΟΔΩΡΟΣ ΣΚΥΛΑΚΑΚΗΣ ΠΑΝΑΓΙΩΤΗΣ ΘΕΟΔΩΡΙΚΑΚΟΣ ΝΙΚΗ ΚΕΡΑΜΕΩΣ
Μετανάστευσης Κοινωνικής Συνοχής Δικαιοσύνης και Ασύλου και Οικογένειας ΓΕΩΡΓΙΟΣ ΦΛΩΡΙΔΗΣ ΝΙΚΟΛΑΟΣ ΠΑΝΑΓΙΩΤΟΠΟΥΛΟΣ ΣΟΦΙΑ ΖΑΧΑΡΑΚΗ
Αγροτικής Ανάπτυξης Ναυτιλίας και Τροφίμων και Νησιωτικής Πολιτικής Τουρισμού ΚΩΝΣΤΑΝΤΙΝΟΣ ΤΣΙΑΡΑΣ ΧΡΗΣΤΟΣ ΣΤΥΛΙΑΝΙΔΗΣ ΟΛΓΑ ΚΕΦΑΛΟΓΙΑΝΝΗ
Κλιματικής Κρίσης Ψηφιακής Διακυβέρνησης και Πολιτικής Προστασίας Επικρατείας ΔΗΜΗΤΡΙΟΣ ΠΑΠΑΣΤΕΡΓΙΟΥ ΒΑΣΙΛΕΙΟΣ ΚΙΚΙΛΙΑΣ ΧΡΗΣΤΟΣ ΓΕΩΡΓΙΟΣ ΣΚΕΡΤΣΟΣ
Υφυπουργός στον Πρωθυπουργό ΠΑΥΛΟΣ ΜΑΡΙΝΑΚΗΣ
Θεωρήθηκε και τέθηκε η Μεγάλη Σφραγίδα του Κράτους.
Αθήνα, 27 Νοεμβρίου 2024
Ο επί της Δικαιοσύνης Υπουργός
ΓΕΩΡΓΙΟΣ ΦΛΩΡΙΔΗΣ