1. Ως Κυβερνητικό Νέφος Δημόσιου Τομέα (G-Cloud) νοείται το σύνολο των ψηφιακών υποδομών που διαχειρίζεται η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (ΓΓΠΣΔΔ) είτε αφορούν ψηφιακές υποδομές εντός της ΓΓΠΣΔΔ, είτε αφορούν το ιδιωτικό νέφος της ΓΓΠΣΔΔ είτε αφορούν Δημόσιο Υπολογιστικό Νέφος που διαχειρίζεται η ΓΓΠΣΔΔ.
2. Στο Κυβερνητικό Νέφος Δημόσιου Τομέα πρέπει υποχρεωτικά να εγκατασταθούν έως την 1η.1.2022 όλες οι κεντρικές ηλεκτρονικές εφαρμογές και τα κεντρικά πληροφοριακά συστήματα που διατηρούν όλα τα Υπουργεία, τα Ν.Π.Δ.Δ., οι Ανεξάρτητες Αρχές και η Κοινωνία της Πληροφορίας Α.Ε. (Κ.Τ.Π. Α.Ε.) και αφορούν σε συναλλαγές με φυσικά ή νομικά πρόσωπα ή νομικές οντότητες και τη δημόσια διοίκηση. Οι υποδομές Κυβερνητικού Νέφους (G-Cloud) των ανωτέρω φορέων μεταφέρονται και περιέρχονται στην κυριότητα της ΓΓΠΣΔΔ για τον σκοπό αυτό.
3. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης πραγματοποιείται η εγκατάσταση των κεντρικών ηλεκτρονικών εφαρμογών και των κεντρικών πληροφοριακών συστημάτων των φορέων της παρ. 2. Η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης υποχρεούται να παρέχει υπηρεσίες συμφωνημένου επιπέδου (Service Level Agreement – SLA) στους ανωτέρω φορείς. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης καθορίζονται οι κεντρικές ηλεκτρονικές εφαρμογές και πληροφοριακά συστήματα και οι λεπτομέρειες εφαρμογής του παρόντος.
4. Οι διατάξεις των παρ. 1 έως 3 δεν εφαρμόζονται στα διαβαθμισμένα συστήματα του Υπουργείου Εθνικής Άμυνας, του Υπουργείου Προστασίας του Πολίτη, του Υπουργείου Εξωτερικών, του Λιμενικού Σώματος του Υπουργείου Ναυτιλίας και Νησιωτικής Πολιτικής και της Γενικής Γραμματείας Ιθαγένειας του Υπουργείου Εσωτερικών. Επιπλέον, οι διατάξεις των παρ. 1 έως 3 δεν εφαρμόζονται στα συστήματα της Εθνικής Υπηρεσίας Πληροφοριών.
5. Για την προώθηση της χρήσης του Cloud από την ελληνική δημόσια διοίκηση, το Υπουργείο Ψηφιακής Διακυβέρνησης σχεδιάζει και υλοποιεί μια ψηφιακή αγορά (digital marketplace) υπηρεσιών και εφαρμογών Cloud στην οποία εγγράφονται οι φορείς του δημοσίου τομέα και οι πάροχοι υπηρεσιών Cloud, οι οποίοι αναρτούν ιδίως τις παρεχόμενες υπηρεσίες Cloud, τις τεχνικές λεπτομέρειες και τα κόστη προμηθειών. Με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης καθορίζονται η διαδικασία εγγραφής των φορέων του δημοσίου, των παρόχων υπηρεσιών Cloud, τα στοιχεία που αναρτώνται και τις απαραίτητες τεχνικές και άλλες λεπτομέρειες για την εφαρμογή της παρούσας.
6. Οι διατάξεις του παρόντος άρθρου δεν εφαρμόζονται στην Ανεξάρτητη Αρχή Δημοσίων Εσόδων (ΑΑΔΕ), στο Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας (ΕΔΥΤΕ Α.Ε.), και στους ακαδημαϊκούς και εκπαιδευτικούς φορείς, καθώς και στους ερευνητικούς φορείς του άρθρου 13α του ν. 4310/2014.
Η Google υποστηρίζει πρωτοβουλίες που στοχεύουν να βοηθήσουν τους ευρωπαϊκούς οργανισμούς να υιοθετήσουν αξιόπιστες, συμβατές και ασφαλείς υπηρεσίες cloud. Πιστεύουμε ότι οποιαδήποτε αγορά πρέπει να καθοδηγείται από τις ακόλουθες αρχές:
α) Να είναι ανοιχτή: Κάθε πάροχος που πληροί τις υφιστάμενες ευρωπαϊκές νομικές και κανονιστικές απαιτήσεις θα πρέπει να μπορεί να συμμετέχει.
β) Επιλογή: Οι ευρωπαϊκοί οργανισμοί πρέπει να παραμείνουν ελεύθεροι να χρησιμοποιούν τους παρόχους cloud της επιλογής τους και τις υπηρεσίες που ταιριάζουν καλύτερα στις επιχειρησιακές τους ανάγκες.
γ) Θέματα πολλαπλών συννέφων (Multi-cloud) και υβριδικών συννέφων (hybrid-cloud): οι οργανισμοί θα πρέπει να ενθαρρύνονται να εξετάζουν στρατηγικές πολλαπλών συννέφων και υβριδικών συννέφων. Αυτό θα τους επιτρέψει: (1) να επωφεληθούν από τις καλύτερες στην κατηγορία υπηρεσίες που προσφέρονται από διαφορετικούς παρόχους ως οι πιο κατάλληλες για τις ανάγκες τους, (2) να αντιμετωπίσουν προβλήματα ανθεκτικότητας και (3) να υποστηρίξουν τον ανταγωνισμό στην αγορά, συμπεριλαμβανομένων των μικρομεσαίων επιχειρήσεων, όπως επίσης και να προστατεύουν τα συστήματά τους και την αγορά ευρύτερα από τους κινδύνους κλειδώματος προμηθευτή (vendor lock-in).
δ) Προώθηση ανοιχτού κώδικα: οι κυβερνήσεις πρέπει να ενθαρρύνουν και να διευκολύνουν την υιοθέτηση λύσεων ανοιχτού κώδικα. Ωστόσο, το εμπορικό απόρρητο και η προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας είναι απαραίτητα για τον τρόπο με τον οποίο οι πλατφόρμες καταπολεμούν τις επιθέσεις και τις καταχρήσεις και τα δικαιώματα αυτά πρέπει να προστατεύονται επαρκώς.
ε) Προστασία από τον κίνδυνο συγκεντρωτισμού και παροχή υποστήριξης και κινήτρων για τις μικρομεσαίες επιχειρήσεις: οι φορείς θα μπορούσαν να εξετάσουν το ενδεχόμενο να περιορίσουν τις δαπάνες τους για έναν πάροχο cloud σε ένα συγκεκριμένο χρηματικό ποσό, εντός ενός καθορισμένου χρονοδιαγράμματος και να διασφαλίσουν ότι μέρος των υπηρεσιών cloud μπορούν να το προμηθευτούν από ευρωπαϊκές μικρομεσαίες επιχειρήσεις. Παραδείγματα μιας τέτοιας προσέγγισης μπορούν να βρεθούν στην πολιτική Cloud-first στο Ηνωμένο Βασίλειο, η οποία απαιτεί από τις κυβερνητικές υπηρεσίες να διασφαλίσουν ότι το 30% της αλυσίδας εφοδιασμού τους προέρχεται από μικρομεσαίες επιχειρήσεις. Αυτή η προσέγγιση πρέπει να εξισορροπηθεί με τη διασφάλιση ότι οι μικρομεσαίοι πάροχοι μπορούν να προσφέρουν την κατάλληλη ασφάλεια.
στ) Ασφάλεια & Προστασία Δεδομένων: Τα ισχυρά θεμέλια που παρέχονται από τα υπάρχοντα ευρωπαϊκά ρυθμιστικά πλαίσια όπως ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), η Οδηγία για την ασφάλεια δικτύου και πληροφοριών (Οδηγία NIS), η Πράξη για την Κυβερνοασφάλεια (Κανονισμός ΕΕ/2019/881) και τα αναγνωρισμένα βιομηχανικά πρότυπα και πλαίσια για την προστασία και την ασφάλεια των δεδομένων, όπως το ISO 27001, ISO 27017 και ISO 27018 ή τα συστήματα πιστοποίησης ENISA Cloud Certification Schemes Metaframework, πρέπει να χρησιμεύσουν ως κριτήρια για τον προσδιορισμό της πρόσβασης, της συμμετοχής και της παροχής των υπηρεσιών στην αγορά. Οι πρακτικές και τα πρότυπα ασφαλείας εξελίσσονται με την πάροδο του χρόνου, οπότε υπάρχουν κίνδυνοι που σχετίζονται με τον καθορισμό ενός ελάχιστου συνόλου προτύπων ασφαλείας που πρέπει να πληρούν οι πάροχοι υπηρεσιών cloud. Οι πρακτικές ασφάλειας είναι επίσης ένας παράγοντας διαφοροποίησης μεταξύ των παρόχων υπηρεσιών cloud, επομένως το πλαίσιο προμηθειών του δημόσιου τομέα πρέπει να επιτρέπει συνεχείς καινοτομίες στον τομέα αυτό από τους παρόχους. Είναι ζωτικής σημασίας να αποφευχθούν οι υπερβολικοί περιορισμοί ως προς τις πιστοποιήσεις. Οι φορείς θα πρέπει να μην απαιτούν πρόσθετες εθνικές / περιφερειακές πιστοποιήσεις εάν ένας πάροχος υπηρεσιών cloud έχει ήδη πιστοποιηθεί έναντι ενός διεθνούς ισοδύναμου.
ζ) Φορητότητα: Οι πάροχοι θα πρέπει να διαθέτουν λεπτομερείς πληροφορίες σχετικά με την προσφορά τους και τις πρακτικές φορητότητας, συμπεριλαμβανομένων των τεχνικών προδιαγραφών, σχετικών δαπανών και περιορισμών.
η) Περιβαλλοντική αειφορία: Η περιβαλλοντική βιωσιμότητα πρέπει να θεωρείται ως υποχρεωτικό κριτήριο από τους φορείς δημοσίου τομέα κατά την επιλογή των παρόχων cloud.
θ) Πολυ-μίσθωση: Η αγορά θα πρέπει να επιδιώκει να χρησιμοποιεί εμπορικά διαθέσιμες εκδόσεις υπηρεσιών cloud στο μέγιστο δυνατό βαθμό. Οι απαιτήσεις ειδικών χαρακτηριστικών μπορούν να υπονομεύσουν τις οικονομίες κλίμακας που υποστηρίζουν τις δημόσιες υπηρεσίες cloud. Επίσης, οι πάροχοι πρέπει να είναι σε θέση να εξελίσσουν συνεχώς τις υπηρεσίες τους για να διασφαλίσουν ότι παραμένουν τελευταίας τεχνολογίας και ασφαλείς.
ι) Ευελιξία σε εξειδικευμένες λύσεις: Εάν απαιτούνται ειδικά χαρακτηριστικά, οι πάροχοι δεν θα πρέπει να υποχρεούνται να τα έχουν ήδη διαθέσιμα κατά τη στιγμή της προσφοράς. Θα πρέπει να τους επιτρέπεται να δημιουργούν αυτές τις νέες υπηρεσίες μετά την απόφαση για τη σύναψη σύμβασης. Αυτό θα είχε ως αποτέλεσμα περισσότεροι πάροχοι να ανταποκρίνονται στις προσφορές και πιο καινοτόμες λύσεις να βλέπουν το φως.
ια) Προϋπολογισμός για cloud: οι υπηρεσίες cloud πληρώνονται συνήθως από την κατανάλωση. Αυτό επιτρέπει κλιμακούμενες λύσεις που προσαρμόζονται στις μεταβαλλόμενες ανάγκες με την πάροδο του χρόνου. Τα πλαίσια προμηθειών θα πρέπει να λάβουν τα ανωτέρω υπόψη και να δημιουργήσουν ευέλικτες επιλογές για τον προϋπολογισμό των δαπανών cloud από την άποψη των λειτουργικών εξόδων.
ιβ) Προσέγγιση βάσει κινδύνου: Κατά την υιοθέτηση του cloud, οι φορείς του δημόσιου τομέα αντιμετωπίζουν πολλές διαφορετικές λειτουργικές επιλογές. Πρέπει να λάβουν υπόψη όλα τα οφέλη και τους κινδύνους μιας νέας τεχνολογικής λύσης προτού λάβουν μια απόφαση. Για παράδειγμα, ενώ η μεταφόρτωση του όγκου εργασίας στο cloud δημιουργεί μια κοινή ευθύνη με τον πάροχο cloud, οι πελάτες cloud επωφελούνται από την τελευταία λέξη της ασφάλειας. Είναι επίσης σημαντικό να αξιολογούνται οι νέες λύσεις συγκρίνοντάς τις με το status quo.
ιγ) Ελεύθερη ροή δεδομένων: Τα πλαίσια προμηθειών πρέπει να υπενθυμίζουν την ελεύθερη ροή δεδομένων και να αποφεύγουν αδικαιολόγητα μέτρα εντοπισμού δεδομένων. Ο εντοπισμός δεδομένων δεν αποτελεί λύση σε θέματα συμμόρφωσης ή ασφάλειας.
ιδ) Διαβούλευση με την αγορά: Θα πρέπει να διενεργηθεί αξιολόγηση της αγοράς πριν από την ανάπτυξη ενός πλαισίου ή / και διαγωνισμού. Οι διαβουλεύσεις με παρόχους τεχνολογίας θα παρέχουν σαφείς πληροφορίες σχετικά με τις διαθέσιμες υπηρεσίες, το μέλλον της τεχνολογίας και τις βέλτιστες πρακτικές σχετικά με τη συμμόρφωση και την ασφάλεια.
Οι διατάξεις των παρ. 1 έως 3 δεν εφαρμόζονται στα διαβαθμισμένα συστήματα του Υπουργείου Εθνικής Άμυνας, του Υπουργείου Προστασίας του Πολίτη, του Υπουργείου Δικαιοσύνης, του Υπουργείου Εξωτερικών, του Λιμενικού Σώματος του Υπουργείου Ναυτιλίας και Νησιωτικής Πολιτικής και της Γενικής Γραμματείας Ιθαγένειας του Υπουργείου Εσωτερικών. Επιπλέον, οι διατάξεις των παρ. 1 έως 3 δεν εφαρμόζονται στα συστήματα της Εθνικής Υπηρεσίας Πληροφοριών.
Το Υπουργείο Δικαιοσύνης τηρεί εμπιστευτικά δεδομένα ίσης και μεγαλύτερης σημαντικότητας με αυτά του του Υπουργείου Προστασίας του Πολίτη. Λόγω συνάφειας των δεδομένων αυτών και της υποχρεωτικής διαλειτουργικότητας των συστημάτων τους πρέπει επίσης να εξαιρεθεί από το G-Cloud. Άλλωστε έχει ήδη λάβει εξαιρέσεις για όλα τα σημαντικά ΟΠΣ του, τα οποία λειτουργούν εκτός G-Cloud.