Αρχική Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με...Άρθρο 15 Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας (άρθρα 21 και 25 της Οδηγίας (ΕΕ) 2022/2555)

Άρθρο 15 Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας (άρθρα 21 και 25 της Οδηγίας (ΕΕ) 2022/2555)

 

  1. Οι βασικές και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες και οργανισμούς. Λαμβάνοντας υπόψη τα πλέον σύγχρονα και, κατά περίπτωση, σχετικά εθνικά, ευρωπαϊκά και διεθνή πρότυπα, καθώς και το κόστος εφαρμογής, τα μέτρα που αναφέρονται στο πρώτο εδάφιο εξασφαλίζουν επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριακών συστημάτων ανάλογο προς τον εκάστοτε κίνδυνο. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνονται υπόψη ο βαθμός έκθεσης της οντότητας σε κινδύνους, το μέγεθος της οντότητας, η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένων των κοινωνικών και οικονομικών επιπτώσεών τους.
  2. Τα μέτρα της παρ. 1 βασίζονται σε ολιστική προσέγγιση του κινδύνου που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά, περιλαμβάνουν δε τουλάχιστον τα ακόλουθα:

α) πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων,

β) διαχείριση περιστατικών,

γ) επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των κρίσεων,

δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών που αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της,

ε) ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένων του χειρισμού και της γνωστοποίησης ευπαθειών,

στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας,

ζ) βασικές πρακτικές κυβερνοϋγιεινής και κατάρτιση στην κυβερνοασφάλεια,

η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης, σε συνεργασία με την εθνική αρχή CRYPTO, όπου απαιτείται,

θ) ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων,

ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.

  1. Εφόσον το μέτρο της περ. δ) της παρ. 2 κριθεί, σύμφωνα με την απόφαση της παρ. 16 του άρθρου 29, ως κατάλληλο, οι οντότητες λαμβάνουν υπόψη τις ευπάθειες που χαρακτηρίζουν κάθε άμεσο προμηθευτή και πάροχο υπηρεσιών, τη συνολική ποιότητα των προϊόντων και των πρακτικών κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους, καθώς και τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με την παρ. 1 του άρθρου 22 της Οδηγίας 2022/2555.
  2. Κάθε οντότητα που διαπιστώνει ότι δεν συμμορφώνεται με τα μέτρα που προβλέπονται στην παρ. 2 λαμβάνει, αμελλητί, όλα τα αναγκαία, κατάλληλα και αναλογικά διορθωτικά μέτρα.
  3. Οι βασικές και οι σημαντικές οντότητες:

α) Ορίζουν ένα αρμόδιο στέλεχός τους, ανάλογων προσόντων και εμπειρογνωμοσύνης, ως Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), ο οποίος αναλαμβάνει:

αα) τη διαχείριση πάσης φύσεως επικοινωνιών και επαφών με την Εθνική Αρχή Κυβερνοασφάλειας,

ββ) την επιμέλεια και τον εσωτερικό συντονισμό για τη συμμόρφωση της οικείας οντότητας με τις απαιτήσεις του παρόντος άρθρου, καθώς και τις απαιτήσεις αναφοράς περιστατικών σύμφωνα με το άρθρο 16.

Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.) του άρθρου 37 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) και των άρθρων 7 και 8 του ν. 4624/2019 (Α’ 137). Ο Υ.Α.Σ.Π.Ε. διαθέτει κατάλληλο επίπεδο αυτονομίας στη λήψη αποφάσεων, τη δυνατότητα εφαρμογής τους από τις επιμέρους οργανικές μονάδες της οντότητας, την ενημέρωση των οργάνων διοίκησης, τον συντονισμό της διαχείρισης περιστατικών ασφαλείας, καθώς και των διαδικασιών εφαρμογής των σχεδίων επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή. Για τους φορείς της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143), εφαρμόζονται τα άρθρα 18 και 19 του ν. 4961/2022 (Α’ 146), σχετικά με τον ορισμό, τα προσόντα και τα καθήκοντα του Υ.Α.Σ.Π.Ε..

β) Τηρούν ενιαία πολιτική κυβερνοασφάλειας, στην οποία συμπεριλαμβάνεται το σύνολο των επιμέρους μέτρων, πολιτικών και διαδικασιών που τηρούνται σύμφωνα με την παρ. 2 του παρόντος. Σε περίπτωση τήρησης από τον φορέα επιμέρους καταγεγραμμένων πολιτικών και διαδικασιών, που αφορούν κατ’ ελάχιστο τα μέτρα συμμόρφωσης της παρ. 2 του παρόντος, η ενιαία πολιτική κυβερνοασφάλειας παραπέμπει για τις επιμέρους λεπτομέρειες στις πολιτικές και διαδικασίες αυτές.

γ) Tηρούν συνολική καταγραφή των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών, τα οποία ιεραρχούνται βάσει της κρισιμότητάς τους.

 

Σχολιάστε

Πριν υποβάλλετε το σχόλιο σας παρακαλούμε να συμπληρώσετε τα παρακάτω στοιχεία * Time limit is exhausted. Please reload CAPTCHA.

Όροι Συμμετοχής

  1. Φροντίστε να διατυπώνετε προτάσεις, σχόλια ή ερωτήσεις που σχετίζονται άμεσα με το υπό διαβούλευση ζήτημα. Προφανώς κάθε ζήτημα εντάσσεται σε ένα γενικότερο πλαίσιο αλλά ο δημόσιος διάλογος διευκολύνεται με στοχευμένες και συγκεκριμένες προτάσεις και παρεμβάσεις.
  2. Φροντίστε να διατυπώνετε τις προτάσεις, σχόλια ή ερωτήσεις με τρόπο σύντομο και περιεκτικό.
  3. Προσπαθήστε να τεκμηριώνετε αυτά που γράφετε με αναφορές, παραπομπές σε άλλα κείμενα, υλικό ή συνδέσμους με αντίστοιχο περιεχόμενο, εκτός αν η χρήση τους είναι καταχρηστική και στην περίπτωση αυτή θα αφαιρούνται.
  4. Βεβαιωθείτε ότι το περιεχόμενο που υποβάλετε δεν προσβάλλει δικαιώματα άλλων προσώπων.
  5. Είναι γόνιμο να υπάρχει ανταλλαγή απόψεων μεταξύ των συμμετεχόντων αλλά είναι σημαντικό για την ποιότητα και αποτελεσματικότητα του διαλόγου να αποφεύγονται οι προσωπικές αντιπαραθέσεις με άλλους συμμετέχοντες.
  6. Προτάσεις, σχόλια, υπερσύνδεσμοι ή οποιοδήποτε άλλο περιεχόμενο, τα οποία διατυπώνονται σε γλώσσα και με τρόπο υβριστικό, χυδαίο ή περιέχουν ή υποκινούν μισαλλοδοξία και διακρίσεις που βασίζονται σε φύλο, ηλικία, σεξουαλικό προσανατολισμό, φυλετική ή εθνική καταγωγή ή θρησκευτικές πεποιθήσεις δεν θα δημοσιεύονται στο OpenGov.gr. Επίσης δε θα δημοσιεύονται σχόλια τα οποία παραπέμπουν σε άλλους δικτυακούς τόπους για λόγους διαφήμισης, δημοσιότητας ή οποιονδήποτε άλλο σκοπό που κρίνεται από το OpenGov.gr ως καταχρηστικός.
  7. Οι προτάσεις, σχόλια ή ερωτήσεις που υποβάλετε υπόκεινται σε έλεγχο ως προς την τήρηση των παρόντων όρων χρήσης και συμμετοχής.
  8. Με τη συμμετοχή σας αποδέχεστε τη χρήση του ηλεκτρονικού σας ταχυδρομείου για ενημερωτικούς λόγους σχετικούς με τους στόχους του OpenGov.gr.
  9. Με τη συμμετοχή σας αποδέχεστε τη διάθεση των προτάσεων, σχολίων ή ερωτήσεων που υποβάλετε με την άδεια «Creative Commons».