- Η Εθνική Αρχή Κυβερνοασφάλειας διαμορφώνει την Εθνική Στρατηγική Κυβερνοασφάλειας (Ε.Σ.Κ.) που προβλέπει τους στρατηγικούς στόχους, τους πόρους που απαιτούνται για την επίτευξη των εν λόγω στόχων και κατάλληλα μέτρα πολιτικής και ρυθμιστικά μέτρα, με σκοπό την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας. Η Ε.Σ.Κ. θεσπίζεται στο πλαίσιο της Στρατηγικής Εθνικής Ασφάλειας που διαμορφώνεται από το Κυβερνητικό Συμβούλιο Εθνικής Ασφάλειας, σύμφωνα με την παρ. 5 του άρθρου 7 του ν. 4622/2019 (Α’ 133).
Η Ε.Σ.Κ. περιλαμβάνει ιδίως:
α) στόχους και προτεραιότητες της στρατηγικής κυβερνοασφάλειας, που καλύπτουν ιδίως τους τομείς που αναφέρονται στα παραρτήματα I και II,
β) πλαίσιο διακυβέρνησης για την επίτευξη των στόχων και των προτεραιοτήτων που αναφέρονται στην περ. α), συμπεριλαμβανομένων των πολιτικών που αναφέρονται στην παρ. 2,
γ) πλαίσιο διακυβέρνησης που αποσαφηνίζει τους ρόλους και τις αρμοδιότητες των σχετικών ενδιαφερόμενων μερών σε εθνικό επίπεδο, το οποίο υποστηρίζει τη συνεργασία και τον συντονισμό σε εθνικό επίπεδο μεταξύ των αρμόδιων αρχών, του ενιαίου σημείου επαφής και των CSIRTs, δυνάμει του παρόντος μέρους, καθώς και τον συντονισμό και τη συνεργασία μεταξύ των εν λόγω φορέων και των αρμόδιων αρχών βάσει τομεακών νομικών πράξεων της Ευρωπαϊκής Ένωσης,
δ) μηχανισμό για τον προσδιορισμό των σχετικών πάγιων στοιχείων και εκτίμηση των κινδύνων,
ε) προσδιορισμό των μέτρων για τη διασφάλιση της ετοιμότητας, της απόκρισης και της αποκατάστασης από περιστατικά, συμπεριλαμβανομένης της συνεργασίας μεταξύ του δημόσιου και του ιδιωτικού τομέα,
στ) κατάλογο των αρχών και ενδιαφερόμενων μερών που συμμετέχουν στην εφαρμογή της Ε.Σ.Κ.,
ζ) πλαίσιο πολιτικής για ενισχυμένο συντονισμό μεταξύ των αρμόδιων αρχών δυνάμει του παρόντος μέρους και των αρμόδιων αρχών που προβλέπονται στην Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333) για την ανταλλαγή πληροφοριών, σχετικά με κινδύνους, κυβερνοαπειλές και περιστατικά, καθώς και σχετικά με κινδύνους, απειλές και περιστατικά εκτός κυβερνοχώρου, και την άσκηση εποπτικών καθηκόντων, κατά περίπτωση,
η) σχέδιο, συμπεριλαμβανομένων των αναγκαίων μέτρων, για την ενίσχυση του γενικού επιπέδου ευαισθητοποίησης των πολιτών στον τομέα της κυβερνοασφάλειας,
θ) τους κρίσιμους παράγοντες επιτυχίας για την επίτευξη των στρατηγικών και επιχειρησιακών στόχων.
- Στο πλαίσιο της Ε.Σ.Κ., θεσπίζονται ιδίως πολιτικές:
α) εμπέδωσης της κυβερνοασφάλειας στην αλυσίδα εφοδιασμού προϊόντων τεχνολογιών πληροφοριών και επικοινωνίας (ΤΠΕ) και υπηρεσιών ΤΠΕ, που χρησιμοποιούνται από οντότητες για την παροχή των υπηρεσιών τους,
β) σχετικά με τη συμπερίληψη και τον προσδιορισμό των σχετικών με την κυβερνοασφάλεια απαιτήσεων για τα προϊόντα ΤΠΕ και τις υπηρεσίες ΤΠΕ στις δημόσιες συμβάσεις, συμπεριλαμβανομένων των σχετικών με την πιστοποίηση της κυβερνοασφάλειας, την κρυπτογράφηση, σε συνεργασία με την αρμόδια εθνική αρχή CRYPTO, και τη χρήση προϊόντων κυβερνοασφάλειας ανοικτού κώδικα,
γ) διαχείρισης ευπαθειών, συμπεριλαμβανομένης της προώθησης και της διευκόλυνσης της συντονισμένης γνωστοποίησης ευπαθειών σύμφωνα με την παρ. 1 του άρθρου 12,
δ) σχετικές με τη διατήρηση της γενικής διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας του δημόσιου πυρήνα του ανοικτού διαδικτύου, συμπεριλαμβανομένης, κατά περίπτωση, της κυβερνοασφάλειας των υποβρύχιων καλωδίων επικοινωνιών,
ε) προώθησης της ανάπτυξης και της ενσωμάτωσης προηγμένων τεχνολογιών με στόχο την εφαρμογή προηγμένων μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας,
στ) προώθησης και ανάπτυξης της εκπαίδευσης και της κατάρτισης στην κυβερνοασφάλεια, ανάπτυξης δεξιοτήτων κυβερνοασφάλειας, ευαισθητοποίησης και ανάληψης πρωτοβουλιών έρευνας και ανάπτυξης, καθώς και σχετικά με την καθοδήγηση σε ορθές πρακτικές και ελέγχους κυβερνοϋγιεινής, με στόχο τους πολίτες, τα ενδιαφερόμενα μέρη και τις οντότητες,
ζ) στήριξης ακαδημαϊκών και ερευνητικών ιδρυμάτων για την ανάπτυξη, την ενίσχυση και την προώθηση της ανάπτυξης εργαλείων κυβερνοασφάλειας και ασφαλών υποδομών δικτύου,
η) συμπερίληψης σχετικών διαδικασιών και κατάλληλων εργαλείων ανταλλαγής πληροφοριών για τη στήριξη της εθελοντικής ανταλλαγής πληροφοριών για την κυβερνοασφάλεια μεταξύ οντοτήτων σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης και τον παρόντα νόμο,
θ) ενίσχυσης της κυβερνοανθεκτικότητας και της βάσης για την κυβερνοϋγιεινή των μικρών και μεσαίων επιχειρήσεων, ιδίως εκείνων που εξαιρούνται από το πεδίο εφαρμογής του παρόντος μέρους, με την παροχή εύκολα προσβάσιμης καθοδήγησης και συνδρομής για τις ειδικές ανάγκες τους,
ι) προώθησης της ενεργητικής κυβερνοπροστασίας.
- Η Εθνική Αρχή Κυβερνοασφάλειας κοινοποιεί την Ε.Σ.Κ. στην Ευρωπαϊκή Επιτροπή εντός τριών (3) μηνών από την έγκρισή της σύμφωνα με την παρ. 5 του άρθρου 29. Από την ανωτέρω κοινοποίηση εξαιρούνται πληροφορίες που αφορούν στην εθνική ασφάλεια.
- Η Ε.Σ.Κ. αξιολογείται σε τακτική βάση και τουλάχιστον ανά πέντε (5) έτη με βάση βασικούς δείκτες επιδόσεων και, όπου απαιτείται, επικαιροποιείται σύμφωνα με την παρ. 5 του άρθρου 29. Το Σχέδιο Δράσης για την υλοποίηση της Ε.Σ.Κ. αξιολογείται και, εφόσον είναι αναγκαίο, επικαιροποιείται τουλάχιστον ανά δύο (2) έτη σύμφωνα με την παρ. 5 του άρθρου 29.
- Η Εθνική Αρχή Κυβερνοασφάλειας δύναται να υποβάλει, εφόσον το κρίνει αναγκαίο, στον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια [European Union Agency for Cybersecurity (ENISA)] αίτημα για τη συνδρομή του, στην ανάπτυξη ή την επικαιροποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας και των βασικών δεικτών επιδόσεων για την αξιολόγησή της, με σκοπό την εναρμόνισή της με τον παρόντα νόμο.