Κατατέθηκε στη Βουλή το σχέδιο νόμου του Υπουργείου Ψηφιακής Διακυβέρνησης «Ενσωμάτωση της Οδηγίας (EE) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (EE) 910/2014 και της Οδηγίας (EE) 2018/1972, και την κατάργηση της Οδηγίας (EE) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις».
Το νομοσχέδιο, το οποίο κατατέθηκε από το Υπουργείο Ψηφιακής Διακυβέρνησης, θα εισαχθεί καταρχήν προς συζήτηση στην αρμόδια Διαρκή Επιτροπή Δημόσιας Διοίκησης, Δημόσιας Τάξης και Δικαιοσύνης.
Βασικά σημεία του σχεδίου νόμου:
ΜΕΡΟΣ Α
Ενσωματώνεται στην ελληνική έννομη τάξη η Οδηγία (ΕΕ) 2022/2555 και ρυθμίζονται θέματα σχετικά με την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας σε επίπεδο Ευρωπαϊκής Ένωσης.
Συγκεκριμένα:
1.α. Εξειδικεύεται ο σκοπός, το αντικείμενο, το πεδίο εφαρμογής και δίδονται οι αναγκαίοι ορισμοί για την εφαρμογή των προτεινόμενων διατάξεων.
β. Προβλέπεται η δημιουργία ψηφιακής πλατφόρμας για την εγγραφή των βασικών και σημαντικών οντοτήτων, κατά την οριζόμενη έννοια, που υπάγονται στις προτεινόμενες διατάξεις. (άρθρα 1-6 και 30 παρ.4)
- Εισάγονται ρυθμίσεις σχετικά με το κανονιστικό πλαίσιο κυβερνοασφάλειας στη χώρα μας, όπου μεταξύ άλλων:
α. Προσδιορίζεται, κατ’ ελάχιστον, το περιεχόμενο της Εθνικής Στρατηγικής Κυβερνοασφάλειας (Ε.Σ.Κ.), την οποία διαμορφώνει η Εθνική Αρχή Κυβερνοασφάλειας (άρθρο 3 του ν.5086/2024), που ορίζεται ως αρμόδια αρχή υπεύθυνη για την κυβερνοασφάλεια.
β. Καθορίζονται τα καθήκοντα και οι αρμοδιότητες της Εθνικής Αρχής Κυβερνοασφάλειας (Αρχή) αναφορικά με την κυβερνοασφάλεια και την εποπτεία αυτής σε εθνικό επίπεδο, τη διασφάλιση της συνεργασίας μεταξύ των αρμόδιων φορέων σε εθνικό και διασυνοριακό επίπεδο καθώς και τη διαχείριση περιστατικών και κρίσεων μεγάλης κλίμακας.
Περαιτέρω, η ανωτέρω Αρχή ορίζεται ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών για τις οντότητες που εντάσσονται στο πεδίο εφαρμογής των προτεινόμενων διατάξεων, με δυνατότητα σύστασης αντίστοιχων ομάδων για την ασφάλεια των υπολογιστών
του οικείου τομέα. Ειδικά για την αντιμετώπιση συμβάντων σε φορείς δημόσιας διοίκησης της κεντρικής κυβέρνησης και σε ο.τ.α. α’ και β’ βαθμού, αρμόδια ομάδα απόκρισης ορίζεται η μνημονευόμενη υπηρεσία της Εθνικής Υπηρεσίας Πληροφοριών (Ε.Υ.Π.).
γ. Παρέχεται επίσης η δυνατότητα σύστασης ειδικών ομάδων απόκρισης που αποτελούνται από εκπροσώπους των μνημονευόμενων υπηρεσιών, για την αντιμετώπιση συμβάντων στον τομέα της κυβερνοασφάλειας. Ο προϋπολογισμός της Αρχής επιβαρύνεται με τα έξοδα των μελών της ομάδας, για την εκτέλεση του έργου που τους ανατίθεται.
δ. Καθορίζονται οι απαιτήσεις, οι τεχνικές ικανότητες και τα καθήκοντα των ομάδων απόκρισης για την αντιμετώπιση συμβάντων που αφορούν στην ασφάλεια των υπολογιστών. (άρθρα 7 -13) -
Ρυθμίζονται θέματα σχετικά με τη λήψη μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τις υποχρεώσεις αναφοράς περιστατικών από τις βασικές και σημαντικές οντότητες.
Μεταξύ άλλων, προβλέπεται η υποχρέωση των εν λόγω οντοτήτων σχετικά με:
α. την εκπαίδευση των μελών διοίκησής τους καθώς και την κατάρτιση των υπαλλήλων τους τουλάχιστον σε ετήσια βάση, αναφορικά με τον εντοπισμό και τις πρακτικές διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας,
β. τη λήψη κατάλληλων και αναλογικών μέτρων για τη διαχείριση των κινδύνων όσον αφορά στην ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους, τη λήψη διορθωτικών μέτρων σε περίπτωση μη συμμόρφωσης με τα οριζόμενα μέτρα, καθώς και τη χρησιμοποίηση συγκεκριμένων προϊόντων Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ),
γ. την ενημέρωση αφενός της Αρχής για κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους, αφετέρου των αποδεκτών των υπηρεσιών τους που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή. Στην περίπτωση αυτή, η Αρχή παρέχει πρόσθετη τεχνική υποστήριξη, εφόσον το ζητήσει η οικεία οντότητα.
Περαιτέρω, προβλέπεται:
– η παροχή των αναγκαίων πόρων στον Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), από την οικεία οντότητα, για την εκτέλεση των καθηκόντων του,
– η τήρηση ειδικής βάσης δεδομένων από τις οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα,
– η θέσπιση μέτρων ενθάρρυνσης της χρήσης εγκεκριμένων υπηρεσιών εμπιστοσύνης καθώς και ευρωπαϊκών και διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων. (άρθρα 14 – 22 και 30 παρ.12)
- Εισάγονται ρυθμίσεις σχετικά με την εποπτεία, τον έλεγχο και την επιβολή κυρώσεων σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις που αφορούν στην κυβερνοασφάλεια. Συγκεκριμένα:
α. Ορίζεται η Αρχή ως αρμόδια αρχή εποπτείας και ελέγχου των μνημονευόμενων οντοτήτων, με ανάθεση καθηκόντων ελέγχου και επιθεώρησης στους επιθεωρητές της Αρχής και σε πιστοποιημένους τεχνικούς εμπειρογνώμονες, κατά τα ειδικότερα οριζόμενα.
β. Επιβάλλεται αναλογικό παράβολο εποπτείας και αναλογικό τέλος ελέγχου στις ανωτέρω οντότητες, με βάση ιδίως το μέγεθος αυτών και την πολυπλοκότητα του ελέγχου, το ύψος δε του ανωτέρω παραβόλου και του τέλους καθορίζεται με κ.υ.α..
γ. Προβλέπεται η καταβολή αποζημίωσης στα όργανα που μετέχουν στην ελεγκτική διαδικασία, συμπεριλαμβανομένων των πιστοποιημένων επιθεωρητών και των πιστοποιημένων τεχνικών εμπειρογνωμόνων, το ύψος της οποίας καθορίζεται με κ.υ.α.
δ. Τα έσοδα από τις χρηματικές κυρώσεις που επιβάλλονται σε βάρος των φυσικών ή νομικών προσώπων καθώς και από το παράβολο εποπτείας και το τέλος ελέγχου αποτελούν πόρους της Αρχής και διατίθενται αποκλειστικά για την κάλυψη των λειτουργικών της δαπανών και για την εξυπηρέτηση των σκοπών της.
ε. Εξειδικεύονται τα μέτρα εποπτείας, ελέγχου και επιβολής προστίμων, στις βασικές και στις σημαντικές οντότητες.
στ. Προσδιορίζονται, κατ’ ανώτατο όριο, τα πρόστιμα εν γένει που επιβάλλονται, από την Αρχή σε βάρος: i) των φυσικών ή νομικών προσώπων, ii) των βασικών και των σημαντικών οντοτήτων και iii) των οντοτήτων δημόσιας διοίκησης, που παραβιάζουν τις προτεινόμενες διατάξεις, κατά τα ειδικότερα οριζόμενα.
ζ. Προβλέπεται η παροχή αμοιβαίας συνδρομής από την Αρχή σε άλλη αρμόδια αρχή κράτους μέλους της Ευρωπαϊκής Ένωσης, ανάλογη προς τους πόρους που διαθέτει, σε περίπτωση που μια οντότητα παρέχει υπηρεσίες και σε άλλα κράτη μέλη. (άρθρα 23 – 29 και 30 παρ.20,23)
5.α. Παρέχονται οι απαιτούμενες νομοθετικές εξουσιοδοτήσεις για την εφαρμογή των προτεινόμενων διατάξεων.
β. Παρατίθενται οι μεταβατικές καθώς και οι καταργούμενες διατάξεις της κείμενης νομοθεσίας, μεταξύ των οποίων προβλέπεται η κατάργηση επιβολής εφεξής προστίμων από την Ανεξάρτητη Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.), σε βάρος των παρόχων δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, για παραβίαση των υποχρεώσεών τους. (άρθρα 30 – 32).
ΜΕΡΟΣ Β
- Τροποποιούνται οι μεταβατικής ισχύος διατάξεις του ν.5086/2024, αναφορικά με την καταβολή της μισθοδοσίας του προσωπικού της Αρχής και συγκεκριμένα, παρατείνεται, μέχρι την οριζόμενη ημερομηνία, η κάλυψη του συνολικού κόστους μισθοδοσίας και των κάθε είδους αποδοχών του ανωτέρω προσωπικού, περιλαμβανόμενης και της μισθολογικής διαφοράς, από τον προϋπολογισμό του Υπουργείου Ψηφιακής Διακυβέρνησης, μετά το πέρας της οποίας επιβαρύνεται η ανωτέρω Αρχή με την εν λόγω δαπάνη. (άρθρο 33)
-
Προβλέπεται ο ορισμός υπαλλήλου οποιουδήποτε κλάδου κατηγορίας ΠΕ ή ΤΕ ως Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) σε κάθε φορέα Κεντρικής Κυβέρνησης, ελλείψει υπαλλήλου κατηγορίας ΠΕ ή ΤΕ κλάδου Πληροφορικής. (άρθρο 34)
-
Επανακαθορίζεται το πλαίσιο σχετικά με την εξυπηρέτηση των αναγκών τηλεοπτικής κάλυψης περιοχών της Ελληνικής επικράτειας που δεν διαθέτουν ικανοποιητική πρόσβαση σε σήμα επίγειας ψηφιακής ευρυεκπομπής. Παράλληλα, καταργείται η μνημονευόμενη κ,υ.α. (άρθρο 9 του ν.4563/2018), που αναφέρεται στην εξασφάλιση της πρόσβασης των μόνιμων κατοίκων των Περιοχών Εκτός Τηλεοπτικής Κάλυψης (ΠΕΤΚ) στα προγράμματα των ελληνικών τηλεοπτικών σταθμών ελεύθερης λήψης εθνικής εμβέλειας. Ειδικότερα:
α. Προβλέπεται η δυνατότητα χρηματοδότησης από το Υπουργείο Ψηφιακής Διακυβέρνησης των πάσης φύσεως εξόδων για την προμήθεια, την αναβάθμιση και τη συντήρηση Σταθμών Συμπληρωματικής Κάλυψης (Σ.Σ.Κ.), συμπεριλαμβανομένου του κόστους αδειοδότησης κατασκευών κεραιών, που εγκαθίστανται για εξυπηρέτηση των προαναφερόμενων αναγκών, καθορίζεται δε ο τρόπος κάλυψης των σχετικών δαπανών.
β. Προσδιορίζονται:
– η αρμόδια Υπηρεσία, η οποία αναλαμβάνει τον ρόλο του φορέα συντονισμού της υλοποίησης των επιμέρους δράσεων,
– οι αρμοδιότητες του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας (Ε.Δ.Υ.Τ.Ε. Α.Ε.), ως φορέα υλοποίησης των εν λόγω δράσεων,
– ο υπεύθυνος για την εγκατάσταση, τη θέση σε λειτουργία, τη χρήση και τη συντήρηση των Σ.Σ.Κ. (άρθρο 35)
- Παρατείνεται, εκ νέου, μέχρι την προβλεπόμενη ημερομηνία, η προθεσμία διόρθωσης πρώτων εγγραφών κτηματολογίου για τις μνημονευόμενες περιοχές καθώς και διόρθωσης αυτών σε περιοχές που είχε λήξει η δυνατότητα αμφισβήτησης ανακριβούς εγγραφής, με την ένδειξη «αγνώστου ιδιοκτήτη». (άρθρο 36)
- Παρατείνεται, αυτοδίκαια από τη λήξη της μέχρι την προβλεπόμενη ημερομηνία, η από 30.1.2024 σύμβαση μεταξύ της ανώνυμης εταιρείας μη κερδοσκοπικού χαρακτήρα με την επωνυμία «ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΚΟΙΝΩΝΙΚΗΣ ΑΣΦΑΛΙΣΗΣ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ» «Η.ΔΙ.Κ.Α. Α.Ε.» και της Ένωσης Εταιρειών NETCOMPANY-INTRASOFT S.A.-CCS-IKNOWHOW S.A., με τίτλο «Ενιαίο Πληροφοριακό Σύστημα για την υποστήριξη των επιχειρησιακών λειτουργιών μονάδων υγείας του ΕΣΥ (ΕΠΣΜΥ) της ΗΔΙΚΑ ΑΕ», Υποέργο 3 «Παροχή υπηρεσιών ανάπτυξης και παραγωγικής λειτουργίας πληροφοριακών συστημάτων της ΗΔΙΚΑ ΑΕ στον τομέα της υγείας».
Η σύμβαση λήγει αυτοδικαίως και πριν το πέρας της ανωτέρω ημερομηνίας, την ημέρα κατά την οποία θα υπογραφεί σύμβαση του ίδιου αντικειμένου στο πλαίσιο της νέας διαγωνιστικής διαδικασίας που διενεργεί η Η.ΔΙ.Κ.Α. Α.Ε. (άρθρο 37).