- Υπουργείο Ψηφιακής Διακυβέρνησης - http://www.opengov.gr/digitalandbrief -

Άρθρο 16 Υποχρεώσεις αναφοράς περιστατικών (άρθρο 23 της Οδηγίας 2022/2555)

Συγγραφέας: admin Στις Σε Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με... | 0 σχόλια

 

  1. Οι βασικές και σημαντικές οντότητες κοινοποιούν, αμελλητί, στην ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) της Εθνικής Αρχής Κυβερνοασφάλειας κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους, όπως αναφέρεται στην παρ. 3 (σημαντικό περιστατικό). Οι οργανισμοί της περ. στ) της παρ. 2 του άρθρου 3 κοινοποιούν τα περιστατικά του παρόντος άρθρου στην CSIRT της Εθνικής Υπηρεσίας Πληροφοριών με ταυτόχρονη ενημέρωση της Εθνικής Αρχής Κυβερνοασφάλειας από τους υπόχρεους φορείς. Κατά περίπτωση, οι οικείες οντότητες κοινοποιούν, χωρίς αδικαιολόγητη καθυστέρηση, στους αποδέκτες των υπηρεσιών τους σημαντικά περιστατικά που ενδέχεται να επηρεάσουν αρνητικά την παροχή των εν λόγω υπηρεσιών. Οι εν λόγω οντότητες αναφέρουν, μεταξύ άλλων, κάθε πληροφορία που επιτρέπει στην Εθνική Αρχή Κυβερνοασφάλειας να προσδιορίσει τυχόν διασυνοριακές επιπτώσεις του περιστατικού. Η απλή πράξη κοινοποίησης δεν συνεπάγεται ευθύνη της κοινοποιούσας οντότητας. Σε περίπτωση διασυνοριακού ή διατομεακού σημαντικού περιστατικού, η Εθνική Αρχή Κυβερνοασφάλειας παρέχει, αμελλητί, στα ενιαία σημεία επαφής της παρ. 8 τις σχετικές πληροφορίες που της κοινοποιούνται σύμφωνα με την παρ. 4.
  2. Οι βασικές και σημαντικές οντότητες κοινοποιούν, αμελλητί, στους κατά περίπτωση αποδέκτες των υπηρεσιών τους, που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, τυχόν μέτρα ή διορθωτικές ενέργειες που μπορούν αυτοί να λάβουν για την αντιμετώπιση της συγκεκριμένης απειλής. Οι οντότητες ενημερώνουν, επίσης, τους εν λόγω αποδέκτες για τη σημαντική κυβερνοαπειλή.
  3. Ένα περιστατικό θεωρείται σημαντικό αν:

α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα,

β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία.

  1. Για την κοινοποίηση της παρ. 1, οι οικείες οντότητες υποβάλλουν στην Εθνική Αρχή Κυβερνοασφάλειας:

α) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, προειδοποίηση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,

β) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες που αναφέρονται στην περ. α) και, επιπλέον, περιλαμβάνει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης,

γ) κατόπιν αιτήματος της Εθνικής Αρχής Κυβερνοασφάλειας, ενδιάμεση έκθεση σχετικά με τις σχετικές επικαιροποιήσεις της κατάστασης,

δ) τελική έκθεση το αργότερο εντός ενός (1) μήνα μετά από την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την περ. β), η οποία περιλαμβάνει τα ακόλουθα:

δα) λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του,

δβ) το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό,

δγ) εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού,

δδ) κατά περίπτωση, τον διασυνοριακό αντίκτυπο του περιστατικού,

ε) σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στην περ. δ), οι οικείες οντότητες υποβάλλουν έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός (1) μηνός από τον εκ μέρους τους χειρισμό του σημαντικού περιστατικού.

Κατά παρέκκλιση της περ. β), ο πάροχος υπηρεσιών εμπιστοσύνης ενημερώνει την Εθνική Αρχή Κυβερνοασφάλειας αναφορικά με σημαντικά περιστατικά που επηρεάζουν την παροχή των υπηρεσιών εμπιστοσύνης του, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που έλαβε γνώση του σημαντικού περιστατικού.

  1. Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει στην κοινοποιούσα οντότητα, αμελλητί και ει δυνατόν εντός είκοσι τεσσάρων (24) ωρών από τη λήψη της έγκαιρης προειδοποίησης που αναφέρεται στην περ. α) της παρ. 4, απάντηση που συμπεριλαμβάνει αρχική αντίδραση σχετικά με το σημαντικό περιστατικό και, κατόπιν αιτήματος της οντότητας, καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού. Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει πρόσθετη τεχνική υποστήριξη, εφόσον το ζητήσει η οικεία οντότητα. Όταν υπάρχουν υπόνοιες ότι το σημαντικό περιστατικό είναι ποινικού χαρακτήρα, η Εθνική Αρχή Κυβερνοασφάλειας παρέχει, επίσης, καθοδήγηση σχετικά με την αναφορά του σημαντικού περιστατικού στις αρμόδιες εισαγγελικές αρχές ή στην αρμόδια Διεύθυνση της Ελληνικής Αστυνομίας.
  2. Κατά περίπτωση, και ιδίως όταν το σημαντικό περιστατικό αφορά και άλλα κράτη μέλη της Ευρωπαϊκής Ένωσης, η CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας ενημερώνει, αμελλητί, τα άλλα επηρεαζόμενα κράτη μέλη και τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) σχετικά με το σημαντικό περιστατικό. Οι πληροφορίες αυτές περιλαμβάνουν το είδος των πληροφοριών που λαμβάνονται σύμφωνα με την παρ. 4. Στο πλαίσιο αυτό, η Εθνική Αρχή Κυβερνοασφάλειας διαφυλάσσει, σύμφωνα με το ενωσιακό και το εθνικό δίκαιο, την ασφάλεια και τα εμπορικά συμφέροντα της οντότητας, καθώς και την εμπιστευτικότητα των παρεχόμενων πληροφοριών.
  3. Όταν η ευαισθητοποίηση του κοινού είναι αναγκαία για την πρόληψη σημαντικού περιστατικού ή για την αντιμετώπιση σημαντικού εν εξελίξει περιστατικού, ή όταν η γνωστοποίηση του σημαντικού περιστατικού είναι προς το δημόσιο συμφέρον, η Εθνική Αρχή Κυβερνοασφάλειας δύναται, κατόπιν διαβούλευσης με την οικεία οντότητα, να ενημερώσει το κοινό σχετικά με το σημαντικό περιστατικό ή να απαιτήσει από την οντότητα να ενημερώσει το κοινό εντός ορισμένης προθεσμίας.
  4. Η Εθνική Αρχή Κυβερνοασφάλειας διαβιβάζει τις κοινοποιήσεις που λαμβάνει σύμφωνα με την παρ. 1 στα ενιαία σημεία επαφής τυχόν άλλων επηρεαζόμενων κρατών μελών της Ευρωπαϊκής Ένωσης.
  5. Η Εθνική Αρχή Κυβερνοασφάλειας ως ενιαίο σημείο επαφής υποβάλλει στον ENISA ανά τρεις (3) μήνες συνοπτική έκθεση, η οποία περιλαμβάνει ανωνυμοποιημένα και συγκεντρωτικά δεδομένα σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται σύμφωνα με την παρ. 1 του παρόντος και με το άρθρο 22.
  6. Η Εθνική Αρχή Κυβερνοασφάλειας παρέχει στις αρμόδιες αρχές, που ορίζονται σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), πληροφορίες σχετικά με σημαντικά περιστατικά, περιστατικά, κυβερνοαπειλές και παρ’ ολίγον περιστατικά που κοινοποιούνται σύμφωνα με την παρ. 1 και το άρθρο 22 του παρόντος από οντότητες που προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557.