1. Η Α.Δ.Α.Ε., σε εφαρμογή του άρθρου 40, εκδίδει κανονιστικές πράξεις, συμπεριλαμβανομένων εκείνων που αφορούν τα μέτρα που απαιτούνται για την αντιμετώπιση συμβάντων ασφάλειας ή για την αποτροπή τους, όταν εντοπιστεί σημαντική απειλή, καθώς και τις προθεσμίες εφαρμογής τους, προς τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών.
2. Η Α.Δ.Α.Ε. απαιτεί από τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών:
α) να παρέχουν πληροφορίες απαραίτητες για την εκτίμηση της ασφάλειας των δικτύων και υπηρεσιών τους, περιλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας και
β) να υποβάλλονται στον έλεγχό της ως προς την ασφάλεια. Το κόστος του ελέγχου επιβαρύνει τον πάροχο.
3. Η Α.Δ.Α.Ε. διαθέτει όλες τις απαραίτητες εξουσίες για τη διενέργεια ελέγχων για τη διερεύνηση της συμμόρφωσης προς το τεθέν κανονιστικό πλαίσιο, καθώς και για τη διερεύνηση περιπτώσεων μη συμμόρφωσης με αυτό, και των επιπτώσεών τους στην ασφάλεια των δικτύων και υπηρεσιών.
4. Όταν παραβιάζονται οι υποχρεώσεις του παρόντος άρθρου, επιβάλλεται από την Α.Δ.Α.Ε. για κάθε παράβαση στους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, ανάλογα με τη βαρύτητα της παράβασης, το βαθμό υπαιτιότητας και την περίπτωση υποτροπής, μία από τις παρακάτω κυρώσεις:
α) σύσταση για συμμόρφωση μέσα στα χρονικά όρια της τασσόμενης προθεσμίας με προειδοποίηση επιβολής προστίμου σε περίπτωση παράλειψης συμμόρφωσης,
β) Πρόστιμο από δεκαπέντε χιλιάδες ευρώ (15.000 €) έως ένα εκατομμύριο πεντακόσιες χιλιάδες ευρώ (1.500.000 €).
Οι εν λόγω κυρώσεις επιβάλλονται με αιτιολογημένη απόφαση της Α.Δ.Α.Ε. ύστερα από προηγούμενη κλήση του ενδιαφερομένου για παροχή εξηγήσεων. Οι αποφάσεις που εκδίδονται κατ’ εφαρμογή των διατάξεων του παρόντος άρθρου υπόκεινται σε προσφυγή ουσίας ενώπιον του Διοικητικού Εφετείου Αθηνών.
5. Για την εφαρμογή του άρθρου 40, η Α.Δ.Α.Ε. επικουρείται από Ομάδα Απόκρισης για συμβάντα που αφορούν την Ασφάλεια Υπολογιστών («Computer Security Incident Response Team», «CSIRT»), η οποία ορίζεται σύμφωνα με το άρθρο 8 του ν. 4577/2018 (A’ 199).