- Η Εθνική Αρχή Κυβερνοασφάλειας ορίζεται ως αρμόδια αρχή εποπτείας και ελέγχου για τη συμμόρφωση με τις διατάξεις του παρόντος μέρους και ασκεί εποπτεία και έλεγχο σύμφωνα με τα άρθρα 24 και 25.
Στις οντότητες που υπάγονται στην εποπτεία της Εθνικής Αρχής Κυβερνοασφάλειας, επιβάλλονται αναλογικό τέλος εποπτείας και αναλογικό τέλος ελέγχου, με βάση ιδίως το μέγεθος της οντότητας και την πολυπλοκότητα του ελέγχου που καθορίζονται με την κοινή απόφαση της παρ. 21 του άρθρου 29.
Η ανάθεση καθηκόντων ελέγχου και επιθεώρησης και ο ορισμός πιστοποιημένων τεχνικών εμπειρογνωμόνων (Subject Matter Experts, SMEs) γίνεται σύμφωνα με την παρ. 22 του άρθρου 29. Ειδικά η εποπτεία των οντοτήτων της παρ. 2 του άρθρου 3 ασκείται αποκλειστικά από τους επιθεωρητές της Εθνικής Αρχής Κυβερνοασφάλειας και από πιστοποιημένους από αυτήν επιθεωρητές της δημόσιας διοίκησης, οι οποίοι κατά περίπτωση μπορούν να επικουρούνται από πιστοποιημένο από την Εθνική Αρχή Κυβερνοασφάλειας SME σύμφωνα με τον Κανονισμό Ελέγχου και Εποπτείας της Εθνικής Αρχής Κυβερνοασφάλειας. Σε περίπτωση ορισμού και άσκησης εποπτικών αρμοδιοτήτων από National Sectorial Focal Points (NSFP) σύμφωνα με την παρ. 11 του άρθρου 29, καθήκοντα εποπτείας και ελέγχου σύμφωνα με τις διατάξεις του παρόντος νόμου ασκούνται από τους επιθεωρητές της Εθνικής Αρχής Κυβερνοασφάλειας και τους πιστοποιημένους από την Εθνική Αρχή Κυβερνοασφάλειας επιθεωρητές των National Sectorial Focal Points (NSFP). Τα όργανα που μετέχουν στην ελεγκτική διαδικασία, συμπεριλαμβανομένων των πιστοποιημένων επιθεωρητών και των πιστοποιημένων SMEs, λαμβάνουν αποζημίωση, το ύψος της οποίας καθορίζεται με την απόφαση της παρ. 20 του άρθρου 29.
- Τα έσοδα από τις χρηματικές κυρώσεις που επιβάλλονται σε βάρος φυσικών ή νομικών προσώπων σύμφωνα με το παρόν μέρος, καθώς και από το τέλος εποπτείας και το τέλος ελέγχου της παρ. 1, αποτελούν πόρους της Εθνικής Αρχής Κυβερνοασφάλειας και διατίθενται αποκλειστικά για την κάλυψη των λειτουργικών δαπανών της και για την εξυπηρέτηση των σκοπών της λειτουργίας της.
- Η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζεται με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην αντιμετώπιση περιστατικών που οδηγούν σε παραβιάσεις δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη της αρμοδιότητας και των καθηκόντων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σύμφωνα με τον Κανονισμό (EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119).
- Σε περίπτωση παραβίασης των διατάξεων του παρόντος μέρους επιβάλλονται κατά περίπτωση τα πρόστιμα που προβλέπονται στα άρθρα 26 και 29.
- Τα όργανα της Εθνικής Αρχής Κυβερνοασφάλειας απολαμβάνουν έναντι των εποπτευόμενων φορέων δημόσιας διοίκησης, λειτουργικής ανεξαρτησίας κατά την άσκηση των αρμοδιοτήτων τους εποπτείας και ελέγχου που προβλέπονται στο παρόν άρθρο και στα άρθρα 24 έως 27 και 29.
Στην τρίτη περίοδο της παρ. 1 του άρ. 23 αναφέρεται:
«Η ανάθεση καθηκόντων ελέγχου και επιθεώρησης και ο ορισμός πιστοποιημένων τεχνικών εμπειρογνωμόνων (Subject Matter Experts, SMEs) γίνεται σύμφωνα με την παρ. 22 του άρθρου 29.»
Η εν λόγω απόφαση όμως αναφέρεται στην παρ. 21 του άρ. 29.
Απαιτείται, λοιπόν, η μετατροπή της περιόδου σε:
«Η ανάθεση καθηκόντων ελέγχου και επιθεώρησης και ο ορισμός πιστοποιημένων τεχνικών εμπειρογνωμόνων (Subject Matter Experts, SMEs) γίνεται σύμφωνα με την παρ. 21 του άρθρου 29.»
Χρειάζεται να οριστεί ενα συγκεγκρμένο πλαίσιο μεθοδολογίας ελέγχου και ένα ενδεικτικό σχέδιο ελέγχου που θα είναι αποδεκτό σύμφωνα με τα διεθνές ελεγκτικά πρότυπα και διαδικασίες.
Θα πρέπει να διασφαλιστεί η τεχική κατάρτιση των επιθεωρητών και η αντίστοιχη εμπειρία τους σε παρόμοιους ελέγχους. Πιστοποιήσεις οπώς το CISA, CISM, CRISK, ISO 27001 LA θα πρέπει να ειναι προαπαιτούμενα για να μπορέσουν να κάνουν τον έλεγχο.
Επίσης θα μπορούσε να ζητηθεί απο τις εταιρείες που εμπίπτουν στον κανονισμό να είναι υποχρεώμενες να έχουν τύπου ISAE 3000 αναφορές από τρίτους ανεξάρτητους ελεγκτές που θα πιστοποιούν την συμορφωσή τους με το συγκεκριμένο προτυπο και θα αναφέρουν τα σημεία που υπάρχει μη συμόρφωση.
Παρ.1 To τέλος εποπτείας, σε αντιδιαστολή με την καταβολή του κόστους συγκεκριμένου ελέγχου, δεν προβλέπεται στην Οδηγία NIS-2 και ως εκ τούτου προτείνεται η διαγραφή του. Σε κάθε περίπτωση εφαρμογής οιουδήποτε τέλους, θα πρέπει αυτό να είναι εύλογο, αναλογικό σε σχέση με τα λειτουργικά έξοδα της Αρχής και το σκοπό που καλύπτει και να μην επιβαρύνει δυσανάλογα τις εποπτευόμενες οντότητες που υπάγονται στην εποπτεία της Εθνικής Αρχής Κυβερνοασφάλειας.
παρ.3
Έχοντας υπόψη τις παρατηρήσεις μας επί του άρθρου 3 παρ.10 του παρόντος σχεδίου νόμου, και το γεγονός ότι, ως προς τον τομέα των διαθέσιμων στο κοινό δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών, η Οδηγία 2002/58/ΕΚ (e-privacy) συνιστά lex specialis σε σχέση με τον Κανονισμό (ΕΕ) 2016/679 (Γενικό Κανονισμό για τα Προσωπικά Δεδομένα), θα πρέπει να υπάρξει αντίστοιχη πρόβλεψη για τη συνεργασία της Εθνικής Αρχής Κυβερνοασφάλειας με την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) και επιφύλαξη ως προς την αρμοδιότητά της και τα εποπτικά καθήκοντά της δυνάμει της Οδηγίας 2002/58/ΕΚ.
Στην περίπτωση των Qualified Trust Service Providers (QTSPs), αυτοί ελέγχονται από Conformity Assessment Bodies (CABs) σύμφωνα με τον Κανονισμό eIDAS, τα οποία διαπιστεύονται από National Accreditation Bodies (NABs) ως κατάλληλα να διενεργούν ελέγχους για τη συμμόρφωση των QTSPs με τις υποχρεώσεις του Κανονισμού eIDAS και της Οδηγίας NIS2. Λαμβάνοντας υπόψη τη διατύπωση της 1ης παραγράφου περί πιστοποιημένων από την ΕΑΚ ελεγκτών και του γεγονότος ότι οι συγκεκριμένοι CABs πιστοποιούνται και ακολουθούν σχήματα πιστοποίησης από NABs Κρατών Μελών και όχι από την ΕΑΚ, πώς θα γίνονται δεκτά τα αποτελέσματα του ελέγχου τους όπως αυτά περιλαμβάνονται στις Εκθέσεις Αξιολόγησης Συμμόρφωσης που υποβάλlονται στον αρμόδιο εποπτικό φορέα (ΕΕΤΤ) και στη συνέχεια προωθούνται στην ΕΑΚ; Ιδίως όταν η υποχρέωση ελέγχου των QTSPs από CABs ανά 2 έτη το πολύ προβλέπεται από τον Κανονισμό eIDAS. Θεωρείτε ότι δεν χρειάζεται να οριστεί κάπου κάποια εξαίρεση ειδικά για τη συγκεκριμένη περίπτωση;
Στην δεύτερη περίοδο της παρ. 1 αναφέρεται:
«Στις οντότητες που υπάγονται στην εποπτεία της Εθνικής Αρχής Κυβερνοασφάλειας, επιβάλλονται αναλογικό τέλος εποπτείας και αναλογικό τέλος ελέγχου, με βάση ιδίως το μέγεθος της οντότητας και την πολυπλοκότητα του ελέγχου που καθορίζονται με την κοινή απόφαση της παρ. 21 του άρθρου 29».
Η εν λόγω απόφαση όμως αναφέρεται στην παρ. 20 του άρ. 29.
Απαιτείται, λοιπόν, η μετατροπή της περιόδου σε:
«Στις οντότητες που υπάγονται στην εποπτεία της Εθνικής Αρχής Κυβερνοασφάλειας, επιβάλλονται αναλογικό τέλος εποπτείας και αναλογικό τέλος ελέγχου, με βάση ιδίως το μέγεθος της οντότητας και την πολυπλοκότητα του ελέγχου που καθορίζονται με την κοινή απόφαση της παρ. 20 του άρθρου 29».
Πως διασφαλίζεται η τεχνική κατάρτιση των επιθεωρητών; Θα πρέπει να έχουν πολύ συγκεκριμένες γνώσεις/διεθνείς πιστοποιήσεις καθώς και να έχουν υπογεγραμμένο κώδικα δεοντολογίας απο τον διεθνή φορέα πιστοποίησης.
Να αναφέρεται η αποζημίωση που λαμβάνουν οι επιθεωρητές καθώς και το αναλογικό τέλος εποπτείας και αναλογικό τέλος ελέγχου. Αν δεν είναι δυνατό να υπάρχουν ποσά, ίσως κάποια κριτήρια/φόρμουλα.