- Τα μέτρα εποπτείας ή επιβολής που επιβάλλονται σε βασικές οντότητες σε σχέση με τις υποχρεώσεις που ορίζονται στο παρόν μέρος επιβάλλεται να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, λαμβάνοντας υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης.
- Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών της καθηκόντων σε σχέση με βασικές οντότητες, έχει την αρμοδιότητα να υποβάλλει τις εν λόγω οντότητες σε διαδικασίες που αφορούν:
α) επιτόπιες επιθεωρήσεις και εποπτεία εκτός των εγκαταστάσεων, συμπεριλαμβανομένων δειγματοληπτικών ελέγχων, που διεξάγονται από τους επιθεωρητές της παρ. 1 του άρθρου 23,
β) τακτικούς και στοχευμένους ελέγχους ασφάλειας που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας,
γ) έκτακτους ειδικούς ελέγχους, μεταξύ άλλων, όταν αυτό δικαιολογείται λόγω σημαντικού περιστατικού ή παραβίασης του παρόντος νόμου από τη βασική οντότητα ή όταν έχει υποβληθεί σχετικώς καταγγελία ή υπάρχουν πληροφορίες ή αποχρώσες ενδείξεις για την ύπαρξη τέτοιου περιστατικού ή παραβίασης,
δ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της οικείας οντότητας,
ε) αιτήματα παροχής αναγκαίων πληροφοριών για την εκ των υστέρων αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η οικεία οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας, καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στην Εθνική Αρχή Κυβερνοασφάλειας,
στ) αιτήματα πρόσβασης σε δεδομένα, έγγραφα και πληροφορίες που απαιτούνται για την εκτέλεση των εποπτικών καθηκόντων της,
ζ) αιτήματα για αποδεικτικά στοιχεία που αφορούν την εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο επιθεωρητή και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.
Οι στοχευμένοι έλεγχοι ασφάλειας της περ. β) βασίζονται σε εκτιμήσεις κινδύνου, που διενεργούνται από την Εθνική Αρχή Κυβερνοασφάλειας ή την ελεγχόμενη οντότητα, ή σε άλλες σχετικές με κινδύνους διαθέσιμες πληροφορίες.
Τα αποτελέσματα κάθε στοχευμένου ελέγχου ασφάλειας τίθενται στη διάθεση της αρμόδιας Διεύθυνσης της Εθνικής Αρχής Κυβερνοσφάλειας.
- Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των αρμοδιοτήτων των περ. ε), στ) και ζ) της παρ. 2, δηλώνει τον σκοπό του αιτήματος και προσδιορίζει τις ζητούμενες πληροφορίες.
- Η Εθνική Αρχή Κυβερνοασφάλειας, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με βασικές οντότητες, έχει τις εξής αρμοδιότητες:
α) εκδίδει προειδοποιήσεις σχετικά με παραβιάσεις του παρόντος μέρους από τις οικείες οντότητες,
β) εκδίδει δεσμευτικές οδηγίες και κατευθύνσεις, μεταξύ άλλων όσον αφορά τα μέτρα που είναι αναγκαία για την πρόληψη ή την αποκατάσταση περιστατικού, και τάσσει προθεσμίες για την εφαρμογή των εν λόγω μέτρων και για την υποβολή εκθέσεων σχετικά με την εφαρμογή τους, ή εντέλλει τις οικείες οντότητες να αποκαταστήσουν τις ελλείψεις που εντοπίστηκαν ή τις παραβιάσεις του παρόντος μέρους,
γ) εντέλλει τις οικείες οντότητες να παύσουν συμπεριφορά που παραβιάζει το παρόν μέρος και να απόσχουν από την επανάληψη της εν λόγω συμπεριφοράς,
δ) εντέλλει τις οικείες οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας εναρμονίζονται με το άρθρο 15 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο άρθρο 16, με συγκεκριμένο τρόπο και εντός ορισμένου χρονικού διαστήματος,
ε) εντέλλει τις οικείες οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα, σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής,
στ) εντέλλει τις οικείες οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας,
ζ) ορίζει αρμόδιο επιβλέποντα με σαφώς καθορισμένα καθήκοντα για καθορισμένο χρονικό διάστημα, προκειμένου να επιβλέπει τη συμμόρφωση των οικείων οντοτήτων με τα άρθρα 15 και 16,
η) εντέλλει τις οικείες οντότητες να δημοσιοποιούν στοιχεία των παραβιάσεων του παρόντος μέρους με συγκεκριμένο τρόπο και διαδικασία,
θ) επιβάλλει διοικητικά πρόστιμα σύμφωνα με το άρθρο 26, επιπλέον των μέτρων των περ. α) έως η).
- Όταν τα μέτρα επιβολής που θεσπίζονται σύμφωνα με τις περ. α) έως δ) και στ) της παρ. 4 κρίνονται ως αναποτελεσματικά, η Εθνική Αρχή Κυβερνοασφάλειας ορίζει προθεσμία εντός της οποίας η βασική οντότητα καλείται να λάβει τα αναγκαία μέτρα για την αποκατάσταση των ελλείψεων ή για τη συμμόρφωσή της. Αν τα ζητούμενα μέτρα δεν ληφθούν εντός της καθορισμένης προθεσμίας, ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας κατόπιν εισήγησης του αρμόδιου ελεγκτικού οργάνου, δύναται με ειδικώς αιτιολογημένη απόφασή του:
α) να αναστείλει προσωρινά την πιστοποίηση ή εξουσιοδότηση που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών που παρέχονται ή των δραστηριοτήτων που εκτελούνται από τη βασική οντότητα,
β) να απαγορεύει προσωρινά σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νομικού εκπροσώπου στη βασική οντότητα να ασκεί διευθυντικά καθήκοντα στην εν λόγω οντότητα.
Οι προσωρινές αναστολές ή απαγορεύσεις που επιβάλλονται σύμφωνα με την παρούσα εφαρμόζονται μόνο εωσότου η οικεία οντότητα λάβει τα αναγκαία μέτρα για να διορθώσει τις ελλείψεις ή να συμμορφωθεί με τις απαιτήσεις της ως άνω αρμόδιας αρχής για τις οποίες εφαρμόστηκαν τέτοια μέτρα επιβολής. Κατά της απόφασης του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, με την οποία επιβάλλεται προσωρινή αναστολή ή απαγόρευση, επιτρέπεται η άσκηση αίτησης ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας.
Τα μέτρα επιβολής που προβλέπονται στην παρούσα δεν εφαρμόζονται στις οντότητες δημόσιας διοίκησης που υπόκεινται στο παρόν μέρος.
- Κάθε φυσικό πρόσωπο που, σύμφωνα με την ισχύουσα νομοθεσία, είναι, κατά περίπτωση, υπεύθυνο ή ενεργεί ως νόμιμος εκπρόσωπος βασικής οντότητας με βάση την εξουσία εκπροσώπησής της ή έχει την αρμοδιότητα να λαμβάνει αποφάσεις εξ ονόματός της ή να ασκεί τον έλεγχό της, έχει την ευθύνη να διασφαλίζει τη συμμόρφωσή της με τον παρόντα νόμο. Τα εν λόγω φυσικά πρόσωπα θεωρούνται υπεύθυνα για παράβαση των υποχρεώσεών τους των βασικών οντοτήτων που εμπίπτουν στην παρούσα. Η εφαρμογή της παρούσας δεν θίγει τις ισχύουσες διατάξεις περί ευθύνης που ισχύουν για τις οντότητες της δημόσιας διοίκησης, καθώς και περί ευθύνης δημοσίων υπαλλήλων και αιρετών ή διορισμένων μελών της διοίκησής τους.
- Η Εθνική Αρχή Κυβερνοασφάλειας, όταν λαμβάνει οποιοδήποτε από τα μέτρα επιβολής που αναφέρονται στις παρ. 4 ή 5, λαμβάνει υπόψη τις περιστάσεις κάθε μεμονωμένης περίπτωσης. Ιδίως, λαμβάνει δεόντως υπόψη:
α) τη σοβαρότητα της παράβασης και τη σημασία των διατάξεων που παραβιάζονται. Ως σοβαρές παραβάσεις θεωρούνται σε κάθε περίπτωση ιδίως:
αα) οι επανειλημμένες παραβάσεις,
αβ) μη κοινοποίηση ή αποκατάσταση σημαντικών περιστατικών,
αγ) η μη αποκατάσταση ελλείψεων σύμφωνα με δεσμευτικές οδηγίες των κατά περίπτωση αρμόδιων αρχών,
αδ) η παρεμπόδιση των ελέγχων ή των δραστηριοτήτων επίβλεψης που διατάσσονται από την Εθνική Αρχή Κυβερνοασφάλειας μετά από τη διαπίστωση παράβασης,
αε) η παροχή ψευδών ή ανακριβών πληροφοριών σε σχέση με τα μέτρα διαχείρισης κινδύνου ή τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στα άρθρα 15 και 16,
β) τη διάρκεια της παράβασης,
γ) σχετικές προηγούμενες παραβάσεις από την οικεία οντότητα,
δ) οποιαδήποτε υλική ή μη υλική ζημία που προκλήθηκε, συμπεριλαμβανομένης της χρηματοοικονομικής ή οικονομικής ζημίας, τις επιπτώσεις σε άλλες υπηρεσίες και τον αριθμό των θιγόμενων χρηστών,
ε) οποιαδήποτε υπαιτιότητα εκ μέρους του δράστη της παράβασης,
στ) οποιαδήποτε μέτρα που λαμβάνει η οντότητα για την πρόληψη ή τον μετριασμό της υλικής ή μη υλικής ζημίας,
ζ) οποιαδήποτε τήρηση εγκεκριμένων κωδίκων δεοντολογίας ή εγκεκριμένων μηχανισμών πιστοποίησης,
η) τον βαθμό συνεργασίας των υπαίτιων φυσικών ή νομικών προσώπων με τις αρμόδιες αρχές.
- Η Εθνική Αρχή Κυβερνοασφάλειας αιτιολογεί τα μέτρα επιβολής και πριν από τη λήψη τους κοινοποιεί στις ενδιαφερόμενες οντότητες τα προκαταρκτικά πορίσματά της και τις τυχόν προειδοποιήσεις της. Παρέχει εύλογο, κατά τις περιστάσεις, χρονικό διάστημα στις οικείες οντότητες για να υποβάλουν παρατηρήσεις, εκτός από αιτιολογημένες περιπτώσεις στις οποίες διαφορετικά θα παρεμποδιζόταν η ανάληψη άμεσης δράσης για την πρόληψη ή την αντιμετώπιση περιστατικών.
- Η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει τις αρχές που ασκούν κατά περίπτωση συναφείς αρμοδιότητες κατά την άσκηση των εποπτικών και εκτελεστικών αρμοδιοτήτων τους σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), με στόχο τη διασφάλιση της συμμόρφωσης μιας οντότητας που προσδιορίζεται ως κρίσιμη οντότητα βάσει της Οδηγίας (ΕΕ) 2022/2557 με τις υποχρεώσεις του παρόντος μέρους. Οι αρμόδιες αρχές που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 δύνανται να ζητούν σύμφωνα με το παρόν μέρος από την Εθνική Αρχή Κυβερνοασφάλειας να ασκούν τις εποπτικές και εκτελεστικές αρμοδιότητές της σε σχέση με οντότητα, η οποία προσδιορίζεται ως κρίσιμη οντότητα δυνάμει της Οδηγίας (ΕΕ) 2022/2557.
- Η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται με τις εθνικές αρμόδιες αρχές που ορίζονται σύμφωνα με τον Κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333). Ειδικότερα, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει το φόρουμ εποπτείας που συστήθηκε σύμφωνα με την παρ. 1 του άρθρου 32 του Κανονισμού (ΕΕ) 2022/2554 κατά την άσκηση των εποπτικών και εκτελεστικών εξουσιών της που αποσκοπούν στη διασφάλιση της συμμόρφωσης βασικής οντότητας, που έχει οριστεί ως κρίσιμος τρίτος πάροχος υπηρεσιών τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) σύμφωνα με το άρθρο 31 του Κανονισμού (ΕΕ) 2022/2554, με τις υποχρεώσεις του παρόντος νόμου.
