Σ. -Χ. Μαρούδη: Ο ν. 5160/2024 και τα μέτρα προς απόκτηση υψηλού επιπέδου κυβερνοασφάλειας

73
2025
06
Μελέτες
ΕΙΔΙΚΑ ΘΕΜΑΤΑ ΑΣΤΙΚΟΥ ΔΙΚΑΙΟΥ

 

Ο ν. 5160/2024 και τα μέτρα προς απόκτηση 

υψηλού επιπέδου κυβερνοασφάλειας

Στεφανίας-Χρυσούλας Μαρούδη

Δικηγόρου, Υποψήφιας Διδάκτορος, LL.M.


 

Ι. Εισαγωγή στην προβληματική της κυβερνοασφάλειας 

Α. Η έννοια της κυβερνοασφάλειας 

Κυβερνοασφάλεια (cyber security), κατά τον Κανονισμό 2019/881, αποτελούν οι δραστηριότητες που απαιτούνται για την προστασία των συστημάτων δικτύου και των πληροφοριών των χρηστών των συστημάτων αυτών και άλλων επηρεαζόμενων από κυβερνοαπειλές προσώπων.  Από την άλλη, κυβερνοαπειλή συνιστά κάθε πιθανή περίπτωση,  συμβάν ή  ενέργεια, που θα μπορούσε να καταστρέψει, να διαταράξει ή να επηρεάσει, καθ’ οιονδήποτε τρόπο, δυσμενώς τα συστήματα δικτύου και πληροφοριών, τους χρήστες αυτών και  άλλα πρόσωπα. Τους ίδιους ορισμούς υιοθετεί και η Οδηγία EE/2022/2555 (εφεξής: Οδηγία NIS 2), η οποία θεσπίζει ενιαίο νομικό πλαίσιο για την προάσπιση της κυβερνοασφάλειας σε 18 κρίσιμους τομείς σε ολόκληρη την ΕΕ.  Οι ανωτέρω ορισμοί υιοθετούνται και από τον Κανονισμό 2024/2847- Cyber Resi­lience Act, που βρίσκεται σε ισχύ από τις 10.12. 2024, συμπληρώνει την Οδηγία NIS 2 και εφαρμόζεται σε όλα τα προϊόντα που συνδέονται, άμεσα ή έμμεσα, με άλλη συσκευή ή δίκτυο, εφαρμογή που έχει ιδιαίτερη σημασία για το οικοσύστημα του Internet of Things. 

 

Β. Οι διαρκώς αυξανόμενες προκλήσεις 

Λόγω της εντατικοποίησης των κυβερνοεπιθέσεων, ο αριθμός, το μέγεθος και ο αντίκτυπος των περιστατικών στον κυβερνοχώρο1 αυξάνονται και συνιστούν μείζονα απειλή για τη λειτουργία των συστημάτων δικτύου και πληροφοριών. Αυτό επηρεάζει τη λειτουργία υποδομών ζωτικής σημασίας, που βασίζεται σε πληροφοριακά συστήματα, και συχνά διαταράσσει την παροχή υπηρεσιών ζωτικών για την οικονομική και κοινωνική ζωή. Συγχρόνως, το κόστος των συνεπειών του κυβερνοεγκλήματος διαρκώς αυξάνεται, επηρεάζοντας αρνητικά την εμπιστοσύνη των πολιτών στην ψηφιακή μετάβαση. Επισημαίνεται ότι η κυβερνοασφάλεια είναι όρος με πολύ ευρύτερες προεκτάσεις από το «κυβερνοέγκλημα», καθώς η κυβερνοασφάλεια αφορά σε κρίσιμες υποδομές του κράτους, τις ηλεκτρονικές επικοινωνίες, την οικονομική δραστηριότητα κρίσιμων τομέων της οικονομίας και εν τέλει, το ίδιο το κράτος2.

Την ίδια στιγμή, σειρά ατομικών δικαιωμάτων βρίσκονται αντιμέτωπα με νέες απειλές στον κυβερνοχώρο3.Οι τεχνολογικές εξελίξεις τρέχουν με ιλιγγιώδεις ρυθμούς και περνούν σε νέα τροχιά εφαρμογών και δικτύωσης. Στο πλαίσιο της νέας τεχνολογίας δικτύων 5ης γενιάς, με ταχύτητες συνδεσιμότητας έως και 20 Gigabits ανά δευτερόλεπτο, επιτρέπεται η βελτιστοποίηση της αξιοποίησης νέων τεχνολογιών από τη μονάδα του οικιακού χώρου (smart home) και της επιχείρησης (smart business) μέχρι το επίπεδο των πόλεων, τις λεγόμενες έξυπνες πόλεις (smart cities), αλλά και ολόκληρους τομείς υπηρεσιών.

Οι νέες τεχνολογίες, όπως η τεχνητή νοημοσύνη (ΑrtificiaΙ Intelligence), η δυνατότητα περαιτέρω ανάπτυξης έξυπνων μηχανών, σε συνδυασμό με τεχνολογίες νέφους (cloud compu­ting) και τις νέες δυνατότητες δικτύωσης των δικτύων 5ης γενιάς, έχουν μεγάλο εύρος εφαρμογών στους τομείς της υγείας (Internet of Me­dical Things - IoMT, ψηφιακό σύστημα υγείας), των μεταφορών, στον κατασκευαστικό τομέα (Industry 4.0), στον αγροδιατροφικό τομέα, αλλά και σε άλλους τομείς όπως στην εθνική άμυνα. Έτσι, ήδη γίνεται λόγος για Internet of Eve­rything (IoE), ή άλλως για διαδικτύωση των πάντων4.

H πανδημία COVID-19, εξάλλου, έθεσε νέα δεδομένα σε όλο το φάσμα της οικονομικής και κοινωνικής ζωής. Η αδυναμία λειτουργίας της δια ζώσης επαφής των ανθρώπων, υπό όλες της τις προεκτάσεις,  υπογράμμισε την αναγκαιότητα διαθεσιμότητας εναλλακτικών λύσεων εντός του ψηφιακού κόσμου, όπως ενδεικτικά την τηλεδιάσκεψη (teleconference, telco), την απομακρυσμένη πρόσβαση (remote access), το ηλεκτρονικό κατάστημα (e-shop). 

 Όσο ταχύτερα εξαπλώνεται ο ψηφιακός κόσμος σε κάθε έκφανση της καθημερινής οικονομικής και κοινωνικής ζωής, τόσο μεγεθύνεται το πεδίο για κακόβουλες ενέργειες. Επιπλέον, αυξάνονται οι κίνδυνοι για την εκμετάλλευση ή παραβίαση των προσωπικών μας δεδομένων, ενώ η έκθεσή μας σε ιστοτόπους κοινωνικής δικτύωσης (social networking)  μπορεί να αξιοποιηθεί για την πραγματοποίηση παράνομων πράξεων.

Όλα, όσα αναφέρονται ενδεικτικά προηγουμένως, φανερώνουν τη διεύρυνση των πεδίων αρμοδιότητας σχετικά με την κυβερνοασφάλεια: μέχρι πρότινος, ως μείζον ζήτημα κυβερνοασφάλειας θεωρείτο προεχόντως ένα καταστροφικό γεγονός, ικανό να θέσει, για αξιοσημείωτο χρόνο, μια πληροφοριακή υποδομή εκτός λειτουργίας. Έτσι, η κυβερνοασφάλεια ενέπιπτε σχεδόν αποκλειστικά στην αρμοδιότητα ειδικών της πληροφορικής.  Πλέον, δεδομένης της φύσης και της μορφής των απειλών, έχει καταστεί απαραίτητη η διεπιστημονική και διατομεακή προσέγγιση του ζητήματος της κυβερνοασφάλειας. Οι απειλές στον κυβερνοχώρο θα μπορούσαν να συστηματοποιηθούν ως εξής: 

-Πρώτη βασική υποενότητα απειλών κυβερνοασφάλειας αποτελούν αμιγώς εγκληματικές δραστηριότητες, οι οποίες αφορούν σε ζητήματα πνευματικής ιδιοκτησίας, κυβερνοπειρατείας και κλοπής/αγοραπωλησίας δεδομένων. Από νομικής απόψεως, τα αδικήματα αυτά αντιμετωπίζονται με βάση τη νομοθεσία περί ηλεκτρονικού εγκλήματος. 

- Δεύτερη υποενότητα συνιστούν δράσεις οι οποίες πραγματοποιούνται είτε στον κυβερνοχώρο, είτε δια του κυβερνοχώρου και αφορούν σε κατασκοπεία, δράσεις επηρεασμού της κοινής γνώμης (ιδίως μέσω των social media), μέχρι και σε απευθείας παρεμβάσεις σε εκλογικές διαδικασίες, με πρόκληση δυσλειτουργιών στους σχετικούς υποστηρικτικούς πληροφοριακούς ε­ξοπλισμούς. 

- Τρίτη υποενότητα αποτελούν οι λεγόμενες καταστροφικές απειλές. Στην κατηγορία αυτή εμπίπτουν τόσο η παραδοσιακή «τυπική επίθεση», όσο και επιθέσεις λυτρισμικού (ransom­ware), αλλά και επιθέσεις «κακόβουλων εμφυτευμάτων». Στην εν λόγω περίπτωση, οι προσ­βολείς αποβλέπουν προεχόντως σε μια σταδιακή και λανθάνουσα απομείωση και επηρεασμό της οντότητας, μέσω υποκλοπών ή/και μέσω ενεργοποίησης κακόβουλου λογισμικού, το οποίο θα θέσει τον στόχο εκτός λειτουργίας σε μεταγενέστερο χρόνο5.

Γ. Αναγκαιότητα διαρκούς εμπλουτισμού και επικαιροποίησης του νομοθετικού πλαισίου

Τα ανωτέρω φανερώνουν ότι όχι μόνο η ίδια η τεχνολογία, αλλά κυρίως ο τρόπος  με τον οποίο χρησιμοποιείται, εγκυμονεί κινδύνους. Για τους λόγους αυτούς, το νομοθετικό πλαίσιο πρέπει να εστιάζει  στην πρόβλεψη ειδικών δικλείδων ασφαλείας για τα δεδομένα του κυβερνοχώρου.

Ο ν. 5160/2024 καλύπτει κενά, τα οποία διαπιστώθηκαν κατά την περίοδο εφαρμογής της Οδηγίας NIS 1, η οποία είχε μεταφερθεί στην ελληνική έννομη τάξη με τον ν. 4577/2018, στον καθορισμό μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας και υποχρεώσεων αναφοράς περιστατικών σε όλους τους διευρυμένους τομείς στους οποίους αφορά∙ ενδεικτικά,  οι τομείς αυτοί είναι η ενέργεια, οι μεταφορές, η υγεία, η δημόσια διοίκηση, η εφοδιαστική αλυσίδα, η παραγωγή τροφίμων, οι τηλεπικοινωνίες και οι ψηφιακές υποδομές. 

Στη σύγχρονη εποχή, που χαρακτηρίζεται από την αυξημένη αξιοποίηση των Τεχνολογιών Πληροφορικής και Επικοινωνιών (εφεξής: ΤΠΕ) στον ιδιωτικό τομέα και από τον συνεχιζόμενο ψηφιακό μετασχηματισμό στον δημόσιο τομέα, η βελτίωση των ικανοτήτων και η ενίσχυση της ανθεκτικότητας του ψηφιακού κράτους και της κρίσιμης ψηφιακής υποδομής που υποστηρίζει την παροχή υπηρεσιών ιδιωτικών επιχειρήσεων, σε σημαντικούς τομείς για την κοινωνική και οικονομική ζωή της χώρας, αποτελούν επιτακτική ανάγκη για την αδιάλειπτη παροχή των αγαθών και υπηρεσιών αυτών και την προστασία των ατομικών δικαιωμάτων στον κυβερνοχώρο6.

Με άλλα λόγια, σύμφωνα και με την αιτιολογική έκθεση του ν. 5160/2024, η επίτευξη υψηλού επιπέδου κυβερνοασφάλειας αποτελεί ζήτημα με εθνική και υπερεθνική διάσταση. 

 

ΙΙ. Ειδικότερα ο ν. 5160/2024

Α. Εισαγωγή

Όπως ήδη αναφέρθηκε, ο ν. 5160/2024 ενσωμάτωσε στην ελληνική έννομη τάξη την Οδηγία NIS II.

Ο ν. 5160/2024 διαρθρώνεται, ενδεικτικά, ως εξής: 

Μέρος Α΄

Κεφάλαιο Α’: Προσδιορίζεται ο σκοπός και οριοθετείται το αντικείμενό του. 

Κεφάλαιο Β’: Καθορίζεται το πεδίο εφαρμογής του, με τον ορισμό των βασικών και σημαντικών οντοτήτων και προβλέπονται οι αναγκαίοι ορισμοί για τους σκοπούς του νόμου. 

Κεφάλαιο Γ’: Θεσπίζονται συντονισμένα κανονιστικά πλαίσια κυβερνοασφάλειας με την εφαρμογή ενός ολοκληρωμένου πλαισίου στρατηγικής, τον ορισμό Εθνικής Αρχής Κυβερνοσφάλειας (εφεξής: EAK) ως αρμόδιας αρχής και ενιαίου σημείου επαφής, τον ορισμό των oμάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Secu­rity Incident Response Team - CSIRTs), τη θέσπιση εθνικού πλαισίου διαχείρισης κυβερνοκρίσεων και τη δημιουργία πλαισίου συνεργασίας μεταξύ της ΕΑΚ και άλλων αρμόδιων αρχών.

Κεφάλαιο Δ: Θεσπίζεται υποχρέωση λήψης μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας από τις βασικές και σημαντικές οντότητες, καθώς και υποχρεώσεις αναφοράς περιστατικών. 

Κεφάλαιο Ε: Ρυθμίζονται ζητήματα που αφορούν στη δικαιοδοσία και στην εδαφικότητα. 

Κεφάλαιο ΣΤ: Ρυθμίζονται ζητήματα που αφορούν στην ανταλλαγή πληροφοριών.

Κεφάλαιο Ζ: Καθορίζονται τα μέτρα εποπτείας και επιβολής για τις βασικές και σημαντικές οντότητες. 

Κεφάλαιο Η: περιλαμβάνονται οι μεταβατικές και τελικές διατάξεις. 

Μέρος Β’

Περιλαμβάνονται ρυθμίσεις για το προσωπικό της ΕΑΚ και για τον ορισμό υπεύθυνου ασφαλείας συστημάτων πληροφορικής. 

Οι ρυθμίσεις του ν. 5160/2024 αφορούν σε οργανισμούς και επιχειρήσεις του δημοσίου ή ιδιωτικού τομέα, οι οποίες δραστηριοποιούνται σε τομείς κρίσιμους για την οικονομική και κοινωνική ζωή της χώρας. Ειδικότερα, εισάγονται ιδιαίτερες υποχρεώσεις λήψης τεχνικών και οργανωτικών μέτρων κυβερνοασφάλειας, προεχόντως για μεσαίες επιχειρήσεις και άνω, οι οποίες δραστηριοποιούνται στους τομείς και υποτομείς ενδιαφέροντος του ν. 5160/2024.

 

Β. Αντικείμενο 

Το άρθρο 2 του ν. 5160/2024 ορίζει το αντικείμενό του, το οποίο είναι η εφαρμογή της Οδηγίας  NIS 2 και περιλαμβάνει:

- Θέσπιση Εθνικής Στρατηγικής Κυβερνοασφάλειας, τον ορισμό αρμόδιας αρχής για την κυβερνοασφάλεια και τη διαχείριση κυβερνοκρίσεων, τον ορισμό ενιαίου σημείου επαφής για την κυβερνοασφάλεια και ομάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών [CSIRT],

- Καθορισμό μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και επιβολή υποχρεώσεων υποβολής αναφορών για τις οντότητες που υπάγονται στο πεδίο εφαρμογής του ν. 5160/2024, συμπεριλαμβανομένων και των οντοτήτων που χαρακτηρίζονται κρίσιμες σύμφωνα με την Οδηγία NIS 2.

- Πρόβλεψη κανόνων και υποχρεώσεων σχετικά με την ανταλλαγή πληροφοριών για την κυβερνοασφάλεια και

- Θέσπιση διατάξεων για την εν γένει εποπτεία και επιβολή μέτρων και κυρώσεων για την εφαρμογή του ν. 5160/2024, έτσι ώστε να επιτυγχάνεται υψηλό επίπεδο κυβερνοασφάλειας στην Ελλάδα στο πλαίσιο των κανόνων και των στόχων της  Οδηγίας NIS 2. 

 

Γ. Πεδίο Εφαρμογής 

Το άρθρο 3 ν. 5160/2024 καθορίζει ποιες οντότητες υπάγονται στις ρυθμίσεις του. Αναλυτικότερα, ο ν. 5160/2024 εφαρμόζεται αναφορικά με:

- δημόσιες ή ιδιωτικές οντότητες των τύπων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ ν. 5160/20247, οι οποίες χαρακτηρίζονται ως μεσαίες επιχειρήσεις8, ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που αναφέρονται στο εν λόγω άρθρο και οι οποίες είναι εγκατεστημένες ή παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της Ελλάδας9,

-οντότητες, στους τομείς και υποτομείς που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, ανεξάρτητα από το μέγεθός τους, εφόσον: α) οι υπηρεσίες παρέχονται από: αα) παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, αβ) παρόχους υπηρεσιών εμπιστοσύνης, αγ) μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα, β) η οντότητα είναι ο μοναδικός πάροχος στη χώρα υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων, γ) η διατάραξη της υπηρεσίας που παρέχει η οντότητα θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία, δ) η διατάραξη της υπηρεσίας που παρέχεται από την οντότητα θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, συμπεριλαμβανομένων των τομέων στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο, ε) η οντότητα είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη χώρα, στ) η οντότητα είναι: στα) φορέας της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της § 1 του άρθρου 14 του ν. 4270/2014, στβ) Οργανισμός Τοπικής Αυτοδιοίκησης α’ βαθμού, στγ) Οργανισμός Τοπικής Αυτοδιοίκησης β’ βαθμού10.

- οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία NIS II.

- οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, ανεξάρτητα από το μέγεθός τους11.

Δ. Βασικές και σημαντικές οντότητες 

Για τις ανάγκες εφαρμογής του ν. 5160/2024, ως «βασικές οντότητες», με βάση το άρθρο 4 § 1, θεωρούνται οι ακόλουθες:

α) οντότητες στους τομείς και υποτομείς που αναφέρονται στο Παράρτημα Ι, οι οποίες υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις12.

Οι οντότητες του Παραρτήματος Ι ν. 5160/ 2024 είναι οι οντότητες που δραστηριοποιούνται στους εξής τομείς: ενέργεια, μεταφορές, χρηματοπιστωτικά ιδρύματα, υποδομές χρηματοπιστωτικών αγορών, υγεία, ύδρευση (πόσιμο νερό), λύματα, ψηφιακές υποδομές, διαχείριση υπηρεσιών ΤΠΕ. 

β) εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης και μητρώα ονομάτων τομέα ανωτάτου επιπέδου, καθώς και πάροχοι υπηρεσιών συστήματος ονομάτων τομέα (Domain Name System), ανεξάρτητα από το μέγεθός τους,

γ) πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, που χαρακτηρίζονται ως μεσαίες επιχειρήσεις13,

δ) οντότητες που αναφέρονται στο  άρθρο 3 § 2 υποπερ. στα) της περ. στ ν. 5160/2024,

ε) οποιεσδήποτε άλλες οντότητες των τομέων και υποτομέων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, οι οποίες προσδιορίζονται ως βασικές οντότητες σύμφωνα με τις περ. β) έως ε) της § 2 του άρθρου 3 ν. 5160/2024,

στ) οντότητες του άρθρου 3 § 3 ν. 5160/2024, που προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία NIS II,

ζ) οντότητες που αναγνωρίστηκαν, σύμφωνα με το άρθρο 4 ν. 4577/2018 και το άρθρο 16 της υπ’ αριθ. 1027/4.10.2019 απόφασης του Υπουργού Επικρατείας (Β’ 3739), πριν από τις 16 Ιανουαρίου 2023, ως φορείς εκμετάλλευσης βασικών υπηρεσιών.

Η έκδοση της εν λόγω Υ.Α. είχε αποτελέσει κρίσιμο βήμα για τη δημιουργία ενός πλέγματος αυτορρύθμισης και εποπτείας, αποτέλεσμα απαραίτητο για την επίτευξη ενός επαρκούς επιπέδου κυβερνοασφάλειας. 

 Για την εφαρμογή του ν. 5160/2024, οι οντότητες των τομέων και υποτομέων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, οι οποίες δεν θεωρούνται βασικές οντότητες σύμφωνα με το άρθρο 4 § 1 ν. 5160/2024, θεωρούνται σημαντικές οντότητες. Σε αυτές περιλαμβάνονται οντότητες που προσδιορίζονται ως σημαντικές οντότητες σύμφωνα με τις περ. β) έως ε) της § 2 του άρθρου 3. Στις οντότητες του Παραρτήματος ΙΙ ν. 5160/2024 περιλαμβάνονται οι οντότητες που δραστηριοποιούνται στους εξής τομείς: ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, διαχείριση αποβλήτων, παρασκευή, παραγωγή και διανομή χημικών προϊόντων, παραγωγή, μεταποίηση και διανομή τροφίμων, κατασκευαστικός τομέας, ψηφιακοί πάροχοι και έρευνα. 

Τονίζεται ότι οι διατάξεις του ν. 5160/2024 σχετικά με τις υποχρεώσεις κινδύνων κυβερνοασφάλειας, αναφοράς περιστατικών και εποπτείας δεν εφαρμόζονται για τις χρηματοπιστωτικές οντότητες που ρυθμίζονται από τον Κανονισμό (ΕΕ) 2022/2554 (Κανονισμός DORA), που θεσπίζει αυστηρότερες απαιτήσεις ειδικά για τις χρηματοοικονομικές υπηρεσίες και αποτελεί ειδικότερο δίκαιο σε σχέση με την Οδηγία NIS 2. 

Ε. Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας- Υποχρεώσεις αναφοράς περιστατικών- Κυρώσεις 

Εν όψει του  ότι οι απειλές για την ασφάλεια των συστημάτων δικτύου και πληροφοριών δύνανται να έχουν διαφορετικές προελεύσεις, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας θα πρέπει να βασίζονται σε μια ολιστική προσέγγιση των κινδύνων, με στόχο την προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από πληθώρα  περιστατικών∙ ενδεικτικά, κλοπή, πυρκαγιά, πλημμύρες, αστοχίες στις τηλεπικοινωνίες ή την ηλεκτροδότηση, ή η μη εξουσιοδοτημένη φυσική πρόσβαση, καταστροφή και παρέμβαση στις εγκαταστάσεις επεξεργασίας πληροφοριών της βασικής ή σημαντικής οντότητας, οι οποίες θα μπορούσαν να θέσουν σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των αποθηκευμένων, διαβιβαζόμενων ή υφιστάμενων επεξεργασία δεδομένων ή των υπηρεσιών που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριών. 

Συνεπώς, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας θα πρέπει επίσης να αφορούν στη φυσική και περιβαλλοντική ασφάλεια των συστημάτων δικτύου και πληροφοριών, υιοθετώντας μέτρα για την προστασία των εν λόγω συστημάτων από αστοχίες του συστήματος, ανθρώπινα σφάλματα, κακόβουλες πράξεις ή φυσικά φαινόμενα14.

Με τις διατάξεις του άρθρου 14 ν. 5160/2024, επιφορτίζεται η διοίκηση των βασικών και σημαντικών οντοτήτων με την ευθύνη για τη λήψη οργανωτικών και τεχνικών μέτρων κυβερνοασφάλειας. Ειδικότερα, τα όργανα διοίκησης καθίστανται αρμόδια για την έγκριση των αναγκαίων μέτρων, την αποτελεσματική εφαρμογή τους και τη συνεχή επικαιροποίηση αυτών, δυνάμει των περιοδικών αποτελεσμάτων εφαρμογής, καθώς και για την εκπαίδευση και εμφύσηση κουλτούρας κυβερνοασφάλειας σε κάθε οργανισμό. 

Ακολούθως, το άρθρο 15 ν. 5160/2024 περιλαμβάνει έναν ευρύ κατάλογο κατάλληλων και αναλογικών τεχνικών, επιχειρησιακών και οργανωτικών μέτρων για τη διαχείριση των κινδύνων όσον αφορά στην ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων, που οι οντότητες αυτές χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες και οργανισμούς.

Τα εν λόγω μέτρα, για τις βασικές και σημαντικές οντότητες, εξειδικεύονται  στο  άρθρο 15 § 2 ν. 5160/2024. Κάποια εξ αυτών είναι:

α) πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων,

β) διαχείριση περιστατικών, 

γ) επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των κρίσεων,

δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών, που αφορούν στις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της15.

Σημειώνεται πως, όλως προσφάτως, τα εν λόγω μέτρα εξειδικεύθηκαν περαιτέρω με την Κοινή Υπουργική Απόφαση (‘’ΚΥΑ’’) υπ’ αριθμ. 1689/2025 - Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων16.

Επιπλέον, οι βασικές και σημαντικές οντότητες, με βάση το άρθρο 15 § 5 ν. 5160/2024:

α) Ορίζουν ένα αρμόδιο στέλεχός τους, ανάλογων προσόντων και εμπειρίας, ως Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.)17, το οποίο αναλαμβάνει: αα) τη διαχείριση πάσης φύσεως επικοινωνιών και επαφών με την ΕΑΚ, ββ) την επιμέλεια και τον εσωτερικό συντονισμό για τη συμμόρφωση της οικείας οντότητας με τις απαιτήσεις του άρθρου 15 ν. 5160/2024, καθώς και τις απαιτήσεις αναφοράς περιστατικών σύμφωνα με το άρθρο 16 ν. 5160/2024,

β) Τηρούν ενιαία πολιτική κυβερνοασφάλειας, με βάση το προτυποποιημένο υπόδειγμα του άρθρου 30 § 14 ν. 5160/2024, 

γ) Tηρούν συνολική καταγραφή των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών, τα οποία ιεραρχούνται βάσει της κρισιμότητάς τους.

 

Υποχρεώσεις αναφοράς περιστατικών 

Με το άρθρο 16 ν. 5160/2024 εξορθολογίζεται και αυστηροποιείται η υποχρέωση υποβολής αναφοράς σημαντικών περιστατικών στην αρμόδια CSIRT. Ως «περιστατικό» νοείται κάθε συμβάν που θέτει σε κίνδυνο τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή το απόρρητο των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία, ή των υπηρεσιών που προσφέρονται ή είναι προσ­βάσιμες μέσω συστημάτων δικτύου και πληροφοριακών συστημάτων18. Ένα περιστατικό θεωρείται σημαντικό, αν: α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα, β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία19.

Ο ν. 5160/2024 ακολουθεί προσέγγιση πολλαπλών σταδίων ως προς την αναφορά περιστατικών, επιτυγχάνοντας έτσι ταχεία αναφορά και ενημέρωση της αρμόδιας αρχής, συμβάλλοντας με τον τρόπο αυτό στον μετριασμό της πιθανής εξάπλωσης σοβαρών περιστατικών και στην έγκαιρη γνώση της κατάστασης σε εθνικό επίπεδο. Παράλληλα, διασφαλίζεται κατάλληλος συντονισμός σε ενωσιακό και εθνικό επίπεδο.

Πιο συγκεκριμένα, η διαδικασία ενημέρωσης διαμορφώνεται ως εξής. Οι οικείες οντότητες υποβάλλουν στην ΕΑΚ: 

α) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, προειδοποίηση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει διασυνοριακό αντίκτυπο. 

Η ΕΑΚ παρέχει στην κοινοποιούσα οντότητα, αμελλητί και ει δυνατόν εντός είκοσι τεσσάρων (24) ωρών από τη λήψη της ανωτέρω προειδοποίησης, απάντηση που περιέχει αρχική αντίδραση σχετικά με το σημαντικό περιστατικό και, κατόπιν αιτήματος της οντότητας, καθοδήγηση ή επιχειρησιακές συμβουλές σχετικά με την εφαρμογή πιθανών μέτρων μετριασμού20,

β) χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από τη στιγμή που οι υπόχρεες οντότητες αντιλήφθηκαν το σημαντικό περιστατικό, κοινοποίηση περιστατικού, δυνάμει της οποίας, κατά περίπτωση, επικαιροποιούνται οι πληροφορίες που αναφέρονται στην περ. α) και, επιπλέον, περιλαμβάνει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, καθώς και τις ενδείξεις της παραβίασης, εφόσον υφίστανται,

γ) κατόπιν αιτήματος της ΕΑΚ, ενδιάμεση έκθεση για τις σχετικές επικαιροποιήσεις της κατάστασης,

δ) τελική έκθεση, το αργότερο εντός ενός (1) μηνός μετά από την υποβολή της κοινοποίησης περιστατικού σύμφωνα με την περ. β21,

ε) σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης που αναφέρεται στην περ. δ), οι οικείες οντότητες υποβάλλουν έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός (1) μηνός από τον εκ μέρους τους χειρισμό του σημαντικού περιστατικού.

Σε κάθε περίπτωση, ο πάροχος υπηρεσιών εμπιστοσύνης ενημερώνει την ΕΑΚ αναφορικά με σημαντικά περιστατικά που επηρεάζουν την παροχή των υπηρεσιών εμπιστοσύνης του, χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που έλαβε γνώση του σημαντικού περιστατικού.

Με τη ρύθμιση του άρθρου 17 ν. 5160/2024, προβλέπεται δυνητικά η θέσπιση μέτρων ενθάρρυνσης της χρήσης ευρωπαϊκών και διεθνώς αποδεκτών προτύπων και τεχνικών προδιαγραφών, σχετικών με την ασφάλεια συστημάτων δικτύου και πληροφοριών, στο πλαίσιο της αποτελεσματικής εφαρμογής των μέτρων διαχείρισης κινδύνων. Εξάλλου, όπως επιτάσσει και η Οδηγία NIS II,  τα κράτη μέλη θα πρέπει να συνεχίσουν να προωθούν την ευθυγράμμιση με διεθνή πρότυπα και υπάρχουσες βέλτιστες πρακτικές της βιομηχανίας στον τομέα της διαχείρισης κινδύνων κυβερνοασφάλειας, για παράδειγμα στους τομείς των αξιολογήσεων ασφάλειας της αλυσίδας εφοδιασμού και της ανταλλαγής πληροφοριών. 

 

Αρμόδια αρχή ελέγχου και εποπτικές εργασίες

Σύμφωνα με τις επιταγές της Οδηγίας NIS II, για την επίτευξη και τη διατήρηση υψηλού επιπέδου κυβερνοασφάλειας, οι εθνικές στρατηγικές κυβερνοασφάλειας που απαιτούνται δυνάμει της Οδηγίας NIS II,  θα πρέπει να αποτελούνται από συνεκτικά πλαίσια που παρέχουν στρατηγικούς στόχους και προτεραιότητες στον τομέα της κυβερνοασφάλειας και της διακυβέρνησης για την επίτευξή τους. 

Οι στόχοι της Εθνικής Στρατηγικής Κυβερνοασφάλειας παρατίθενται αναλυτικά στο άρθρο 7 ν. 5160/2024. Η εν ισχύ Εθνική Στρατηγική Κυβερνοασφάλειας δημοσιεύθηκε στις 7 Δεκεμβρίου 2020.

Η ΕΑΚ, δυνάμει του άρθρου 8 ν. 5160/2024,  ορίζεται ως αρμόδια αρχή εποπτείας και ελέγχου και ασκεί εποπτεία και έλεγχο σύμφωνα με τα άρθρα 24 και 25 ν. 5160/2024.  Η ΕΑΚ αποτελεί ενιαίο σημείο επαφής της Ελλάδας, αποτελώντας σύνδεσμο για τη διασφάλιση της διασυνοριακής συνεργασίας της Ελλάδας με τις αρμόδιες αρχές άλλων κρατών μελών.  Αποτελεί την υψηλότερου επιπέδου εθνική μονάδα συντονισμού και χάραξης πολιτικής για την ασφάλεια στον κυβερνοχώρο και είναι επιφορτισμένη, μεταξύ άλλων, με το να εκπονεί την Εθνική Στρατηγική Κυβερνοασφάλειας και να εποπτεύει σχετικά αναφυόμενα ζητήματα22.

Τα μέτρα εποπτείας και επιβολής διαφοροποιούνται, ανάλογα με το αν η ελεγχόμενη οντότητα είναι βασική (άρθρο 24) ή σημαντική οντότητα (άρθρο 25). 

Με βάση το άρθρο 24 § 2 ν. 5160/2024, η ΕΑΚ, κατά την άσκηση των εποπτικών της καθηκόντων σε σχέση με βασικές οντότητες, έχει την αρμοδιότητα να υποβάλλει τις εν λόγω οντότητες σε διαδικασίες που αφορούν σε :

α) επιτόπιες επιθεωρήσεις και εποπτεία εκτός των εγκαταστάσεων, συμπεριλαμβανομένων δειγ­ματοληπτικών ελέγχων, που διεξάγονται από τους αρμόδιους επιθεωρητές23

β) τακτικούς και στοχευμένους ελέγχους ασφάλειας,

γ) έκτακτους ειδικούς ελέγχους, μεταξύ άλλων, όταν αυτό δικαιολογείται λόγω σημαντικού περιστατικού ή παραβίασης του ν. 5160/ 2024 από τη βασική οντότητα ή όταν έχει υποβληθεί σχετικώς καταγγελία ή υπάρχουν πληροφορίες ή αποχρώσες ενδείξεις για την ύπαρξη τέτοιου περιστατικού ή παραβίασης,

δ) σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου, όπου απαιτείται με τη συνεργασία της οικείας οντότητας,

ε) αιτήματα παροχής αναγκαίων πληροφοριών για την εκ των υστέρων αξιολόγηση των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνει η οικεία οντότητα, συμπεριλαμβανομένων τεκμηριωμένων πολιτικών κυβερνοασφάλειας, καθώς και της συμμόρφωσης με την υποχρέωση διαβίβασης πληροφοριών στην ΕΑΚ,

στ) αιτήματα πρόσβασης σε δεδομένα, έγγραφα και πληροφορίες που απαιτούνται για την εκτέλεση των εποπτικών καθηκόντων της,

ζ) αιτήματα για αποδεικτικά στοιχεία που αφορούν στην εφαρμογή των πολιτικών κυβερνοασφάλειας, όπως τα αποτελέσματα των ελέγχων ασφάλειας που διενεργούνται από εξουσιοδοτημένο επιθεωρητή του άρθρου 23 § 1  και τα αντίστοιχα υποκείμενα αποδεικτικά στοιχεία.

Οι ως άνω στοχευμένοι έλεγχοι ασφάλειας βασίζονται σε εκτιμήσεις κινδύνου, που διενεργούνται από την ΕΑΚ ή την ελεγχόμενη οντότητα, ή σε άλλες διαθέσιμες πληροφορίες. Στις περιπτώσεις ελέγχων των κατηγοριών ε, στ και ζ ανωτέρω, η ΕΑΚ οφείλει να δηλώνει τον σκοπό του αιτήματος και να προσδιορίζει τις ζητούμενες πληροφορίες. 

Η ΕΑΚ, κατά την άσκηση των εποπτικών καθηκόντων της σε σχέση με βασικές οντότητες, έχει τις εξής αρμοδιότητες (ενδεικτικά):

α) εκδίδει προειδοποιήσεις ή συστάσεις σχετικά με παραβιάσεις του ν. 5160/2024 από τις οικείες οντότητες,

β) εκδίδει δεσμευτικές οδηγίες και κατευθύνσεις, μεταξύ άλλων όσον αφορά στα μέτρα που είναι αναγκαία για την πρόληψη ή την αποκατάσταση περιστατικού, και τάσσει προθεσμίες για την εφαρμογή των εν λόγω μέτρων και για την υποβολή εκθέσεων σχετικά με την εφαρμογή τους, ή εντέλλει τις οικείες οντότητες να αποκαταστήσουν τις ελλείψεις που εντοπίστηκαν ή τις παραβιάσεις του ν. 5160/2024,

γ) εντέλλει τις οικείες οντότητες να παύσουν συμπεριφορά που παραβιάζει τον ν. 5160/2024  και να απόσχουν από την επανάληψη της εν λόγω συμπεριφοράς,

δ) εντέλλει τις οικείες οντότητες να διασφαλίσουν ότι τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας εναρμονίζονται με το άρθρο 15 ή να εκπληρώσουν τις υποχρεώσεις υποβολής εκθέσεων που ορίζονται στο άρθρο 16 με συγκεκριμένο τρόπο και εντός ορισμένου χρονικού διαστήματος24.

Παρόμοιες προβλέψεις εισάγει το άρθρο 25 ν. 5160/2024, το οποίο αφορά σε σημαντικές οντότητες. 

 

Κυρώσεις

Με το άρθρο 26  εισάγονται γενικοί όροι για την επιβολή προστίμων και κυρώσεων σε βασικές και σημαντικές οντότητες, με στόχο τη θέσπιση  ενός αποτελεσματικού, αναλογικού και αποτρεπτικού κυρωτικού πλαισίου, τηρουμένων των αρχών της προηγούμενης ακρόασης, της αναλογικότητας και της αποτελεσματικότητας. Επίσης, λαμβάνεται ειδική μέριμνα για τις οντότητες δημόσιας διοίκησης, οι οποίες εμπίπτουν στο πεδίο εφαρμογής του ν. 5160/2024. 

Κατά των φυσικών προσώπων που ασκούν διευθυντικά καθήκοντα σε επίπεδο διευθύνοντος συμβούλου ή νομίμου εκπροσώπου μπορεί να επιβληθεί προσωρινή απαγόρευση άσκησης διευθυντικών καθηκόντων. 

Για τις σημαντικές οντότητες τα μέτρα συνίστανται σε κατασταλτική εποπτεία, εντός και εκτός των εγκαταστάσεων, στοχευμένους ελέγχους ασφαλείας, επιτόπιες επιθεωρήσεις, δειγματοληπτικούς ελέγχους κλπ. 

Επίσης στον ν. 5160/2024 προβλέπονται διοικητικά πρόστιμα που για τις βασικές οντότητες διαμορφώνονται, κατ’ ανώτατο όριο, στα 10.000.000 ευρώ ή στο 2% του παγκόσμιου ετήσιου κύκλου εργασιών, και για τις σημαντικές στα 7.000.000 ευρώ ή στο 1,4% του παγκόσμιου ετήσιου κύκλου εργασιών.

Επιπλέον, ο ν. 5160/2024 εισάγει πρόστιμα αναλόγως του είδους της εκάστοτε παράβασης. Ενδεικτικά25:

α) Σε περίπτωση παράβασης των διατάξεων σχετικά με την έγκριση μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, από τα μέλη της διοίκησης των βασικών και σημαντικών οντοτήτων26, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο διακοσίων χιλιάδων (200.000) ευρώ,

β) Σε περίπτωση παράβασης των μέτρων περί εκπαίδευσης27, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο εκατό χιλιάδων (100.000) ευρώ.

γ) Σε περίπτωση παράβασης υποχρεώσεων οι οποίες επιβάλλονται στις βασικές και σημαντικές οντότητες, στο πλαίσιο διεξαγωγής ελέγχων από την ΕΑΚ28, επιβάλλεται πρόστιμο ύψους κατ’ ανώτατο όριο πεντακοσίων χιλιάδων (500. 000) ευρώ. 

ΙΙΙ. Επίλογος

 Ενόψει της πολυπλοκότητας των κινδύνων των ΤΠΕ, μεγεθύνεται διαρκώς και η συχνότητα των περιστατικών στον κυβερνοχώρο. Δεδομένης, μάλιστα, της διασύνδεσης κρίσιμων τομέων της οικονομίας και του κράτους, τα συμβάντα σχετικά με τις ΤΠΕ δύνανται να οδηγήσουν σε αξιοσημείωτες συστημικές επιπτώσεις. 

Ως εκ τούτου, είναι επιτακτική η θέσπιση ενός συνεκτικού πλαισίου για τη διακυβέρνηση της κυβερνοασφάλειας, ως διακριτής, οριζόντιου χαρακτήρα δημόσιας πολιτικής, καθώς και μηχανισμών βέλτιστης συνεργασίας των οντοτήτων, οι οποίες παρέχουν κρίσιμες υπηρεσίες για την οικονομική και κοινωνική ζωή με τις εποπτεύουσες αρχές. 

 Ο ν. 5160/2024 κινείται προς την ορθή κατεύθυνση, επιχειρώντας να επιτύχει τους μακροπρόθεσμους στόχους του, με κυριότερους την ενίσχυση της ανθεκτικότητας του κράτους και των κρίσιμων, βασικών και σημαντικών υποδομών έναντι απειλών και επιθέσεων στον κυβερνοχώρο και την ενίσχυση του ψηφιακού οικοσυστήματος στη χώρα, μέσω της διαμόρφωσης ενός περιβάλλοντος με ασφαλείς υποδομές. 

Ο καθορισμός, εξάλλου, της αρμόδιας Εθνικής Αρχής Κυβερνοασφάλειας για την εποπτεία και εφαρμογή του ν. 5160/2024, σε τεχνικό, επιχειρησιακό και στρατηγικό επίπεδο συνιστά την απάντηση στις διαρκώς εξελισσόμενες απειλές στον κυβερνοχώρο. 

 

 

  • 1

    Ο όρος «κυβερνοχώρος» εισήχθη όταν ο μαθηματικός του ΜΙΤ Norbert Wienner επινόησε τον όρο «κυβερνητική», βλ. Σ. Τάσση, Το νέο ευρωπαϊκό πλαίσιο κυβερνοασφάλειας, σ. 174 επ,  σε Δίκαιο και Επιχειρήσεις. «Η Καθημερινή» (Σε συνεργασία με τη Νομική Βιβλιοθήκη), 2025. 

  • 2

    Βλ. Σ. Τάσση, Το Ευρωπαϊκό Πλαίσιο Κυβερνοασφάλειας, ΔιΜΕΕ 2024. 78 επ., 81. 

  • 3

    Βλ. αιτιολογική έκθεση ν. 5160/2024.

  • 4

    Βλ. Εθνική Στρατηγική Κυβερνοασφάλειας 2020-2025. 

  • 5

    Βλ. Α. Κοσμόπουλο, Προκλήσεις και προοπτικές στο νέο τοπίο κυβερνοασφάλειας, ΔιΜΕΕ 2021. 230. 

  • 6

    Βλ. αιτιολογική έκθεση ν. 5160/2024. 

  • 7

    Βλ. κατωτέρω για την παράθεση των εν λόγω Παραρτημάτων. 

  • 8

    Σύμφωνα με το άρθρο 2 § 1 του Παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.

  • 9

    Άρθρο 3 § 1 ν. 5160/2024.

  • 10

    Άρθρο 3 § 2 ν. 5160/2024. 

  • 11

    Άρθρο 3 § 4 ν. 5160/2024.

  • 12

    Που προβλέπονται στην § 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων.

  • 13

    Δυνάμει της § 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ.

  • 14

    Αιτιολ. Σκέψη 79 Οδηγίας NIS 2. 

  • 15

    Ακόμη: 

    ε) ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένων του χειρισμού και της γνωστοποίησης ευπαθειών,

    στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας,

    ζ) βασικές πρακτικές κυβερνοϋγιεινής και κατάρτιση στην κυβερνοασφάλεια,

    η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης, σε συνεργασία με την εθνική αρχή CRYPTO, όπου απαιτείται,

    θ) ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων,

    ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.

  • 16

    ΦΕΚ Β' 2186/2025. 

  • 17

    Σημειώνεται ότι τα καθήκοντα του Υ.Α.Σ.Π.Ε είναι ασυμβίβαστα με εκείνα του Υπευθύνου Προστασίας Δεδομένων, του άρθρου 37 του Κανονισμού (ΕΕ) 2016/ 679. Ο Υ.ΑΣ.Π.Ε πρέπει να διαθέτει κατάλληλο επίπεδο αυτονομίας στη λήψη αποφάσεων, δυνατότητα εφαρμογής τους από τις επιμέρους οργανικές μονάδες της οντότητας, απευθείας ενημέρωση των ανώτατων οργάνων διοίκησης, συντονισμό της διαχείρισης περιστατικών ασφαλείας, καθώς και των διαδικασιών εφαρμογής των σχεδίων επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή. 

  • 18

    Bλ. Άρθρο 6 περ. στ ν. 5160/2024. 

  • 19

    Άρθρο 16 § 3 ν. 5160/2024. 

  • 20

    Η ΕΑΚ παρέχει πρόσθετη τεχνική υποστήριξη, εφόσον το ζητήσει η οικεία οντότητα. Όταν υπάρχουν υπόνοιες ότι το σημαντικό περιστατικό είναι ποινικού χαρακτήρα, η ΕΑΚ παρέχει, επίσης, καθοδήγηση σχετικά με την αναφορά του σημαντικού περιστατικού στις αρμόδιες εισαγγελικές αρχές ή στην αρμόδια Διεύθυνση της Ελληνικής Αστυνομίας. Βλ. άρθρο 16 § 5 ν. 5160/ 2024. 

  • 21

    Η εν λόγω έκθεση περιλαμβάνει  τα ακόλουθα: α) λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, β) το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό, γ) εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού, δ) κατά περίπτωση, τον διασυνοριακό αντίκτυπο του περιστατικού. 

  • 22

    Στις οντότητες που υπάγονται στην εποπτεία της ΕΑΚ επιβάλλονται αναλογικό παράβολο εποπτείας και αναλογικό τέλος ελέγχου, με βάση ιδίως το μέγεθος της οντότητας και την πολυπλοκότητα του ελέγχου, που καθορίζονται με ΚΥΑ των Υπουργών Εθνικής Οικονομίας και Οικονομικών και Ψηφιακής Διακυβέρνησης.

  • 23

    Άρθρο 23 § 1 ν. 5160/2024. 

  • 24

    Ακόμη:

     ε) εντέλλει τις οικείες οντότητες να ενημερώσουν τα φυσικά ή νομικά πρόσωπα, σε σχέση με τα οποία παρέχουν υπηρεσίες ή ασκούν δραστηριότητες που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, σχετικά με τη φύση της απειλής, καθώς και σχετικά με τυχόν μέτρα προστασίας ή αποκατάστασης που μπορούν να λάβουν τα εν λόγω φυσικά ή νομικά πρόσωπα για την αντιμετώπιση της εν λόγω απειλής,

    στ) εντέλλει τις οικείες οντότητες να εφαρμόσουν τις συστάσεις που διατυπώθηκαν ως αποτέλεσμα ελέγχου ασφάλειας εντός εύλογης προθεσμίας,

    ζ) ορίζει αρμόδιο επιβλέποντα με σαφώς καθορισμένα καθήκοντα για καθορισμένο χρονικό διάστημα, προκειμένου να επιβλέπει τη συμμόρφωση των οικείων οντοτήτων με τα άρθρα 15 και 16,

    η) εντέλλει τις οικείες οντότητες να δημοσιοποιούν στοιχεία των σχετικών παραβιάσεων με συγκεκριμένο τρόπο και διαδικασία,

    θ) επιβάλλει διοικητικά πρόστιμα σύμφωνα με το άρθρο 26, επιπλέον των μέτρων των περ. α) έως η).

  • 25

    Αναλυτικά όλες οι περιπτώσεις προβλέπονται στο άρθρο 26 § 9 ν. 5160/2024. 

  • 26

    Άρθρο 14 § 1 ν. 5160/2024. 

  • 27

    Άρθρο 14 § 2 ν. 5160/2024. 

  • 28

    Άρθρο 24 §§ 2 και 4 ν. 5160/2024. 

Close
Δείτε σε Pdf