1. Για την προμήθεια του εξοπλισμού των δικτύων και υπηρεσιών τους, οι επιχειρήσεις που παρέχουν δημόσια δίκτυα ηλεκτρονικών επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό, καταρτίζουν και τηρούν σχέδιο αποτίμησης κινδύνων, το οποίο επικαιροποιούν σε ετήσια βάση. Για την κατάρτιση των σχεδίων του πρώτου εδαφίου, λαμβάνονται υπόψη:
α) η αξιοπιστία των προμηθευτών αναφορικά με τη διαφύλαξη της εμπιστευτικότητας, της ακεραιότητας, και διαθεσιμότητας των δημοσίων δικτύων ή των υπηρεσιών ηλεκτρονικών επικοινωνιών,
β) η δυνατότητά τους να διασφαλίζουν τον επαρκή εφοδιασμό της αγοράς με προϊόντα ή υπηρεσίες και
γ) η συνολική ποιότητα των προϊόντων ή των υπηρεσιών, οι πρακτικές κυβερνοασφάλειας, συμπεριλαμβανομένου του βαθμού ελέγχου που ασκεί ο οικείος προμηθευτής επί της αλυσίδας εφοδιασμού του και ο βαθμός προτεραιοποίησης των πρακτικών αυτών.
2. Οι επιχειρήσεις της παρ. 1 καταρτίζουν και τηρούν σχέδιο προμηθειών σχετικά με τον εξοπλισμό που προμηθεύονται και σχετικά με τη συμμετοχή τρίτων προμηθευτών. Το σχέδιο προμηθειών περιλαμβάνει κατ’ ελάχιστον:
α) τα τεχνικά μέτρα ασφάλειας, όπως αυτά προσδιορίζονται στις κανονιστικές πράξεις που εκδίδει, στο πλαίσιο των αρμοδιοτήτων της, η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.), λαμβάνοντας υπόψη τις διεθνείς πρακτικές ασφάλειας για τον υπό προμήθεια εξοπλισμό,
β) τα μέτρα αντιμετώπισης των κινδύνων που αποτιμώνται σύμφωνα με το σχέδιο της παρ. 1 και
γ) περιγραφή του υπό προμήθεια εξοπλισμού, συμπεριλαμβανομένου χρονοδιαγράμματος και τρόπου ένταξης στο δίκτυο, καθώς και τεκμηρίωση για την επιλογή του συγκεκριμένου εξοπλισμού σε συνάρτηση με τα μέτρα των περ. α’ και β’.
H Α.Δ.Α.Ε., η Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ.) και η Εθνική Αρχή Κυβερνοασφάλειας δύνανται οποτεδήποτε, κατόπιν αίτησής τους, να λαμβάνουν γνώση των σχεδίων προμήθειας.