Το Νομικό Πλαίσιο για την Ασφάλεια των Δικτύων / Υπηρεσιών Ηλεκτρονικών Επικοινωνιών

Αναρτήθηκε στις από

Σύμφωνα με τον Ν. 4070/2012 «Ρυθμίσεις Ηλεκτρονικών Επικοινωνιών, Μεταφορών, Δημοσίων Έργων και άλλες διατάξεις» και ειδικότερα το άρθρο 37, οι πάροχοι δικτύων / υπηρεσιών ηλεκτρονικών επικοινωνιών έχουν τις ακόλουθες υποχρεώσεις για την ασφάλεια και την ακεραιότητα των δικτύων και υπηρεσιών τους:

  • Αρχικά, οφείλουν να Λαμβάνουν πρόσφορα τεχνικά και οργανωτικά μέτρα για την κατάλληλη διαχείριση του κινδύνου όσον αφορά στην ασφάλεια των δικτύων και των υπηρεσιών. Τα μέτρα αυτά, λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τον υφιστάμενο κίνδυνο. Οι επιχειρήσεις αυτές οφείλουν/δεσμεύονται  να λαμβάνουν μέτρα τόσο για την αποτροπή όσο  και την ελαχιστοποίηση των επιπτώσεων από περιστατικά ασφαλείας που επηρεάζουν τους χρήστες και τα διασυνδεμένα δίκτυα.
  • Έπειτα, Λαμβάνουν τα απαραίτητα μέτρα για την εξασφάλιση της ακεραιότητας των δικτύων τους έτσι ώστε να διασφαλίζεται η ακώλυτη/αδιάλειπτη παροχή των υπηρεσιών που διανέμονται μέσω των δικτύων αυτών.
  • Περαιτέρω, οφείλουν να Κοινοποιούν στην ΕΕΤΤ κάθε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας που είχαν σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών. Εν συνεχεία, η ΕΕΤΤ υποχρεούται/δεσμεύεται να κοινοποιεί κάθε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας στην ΑΔΑΕ.

Αρμόδια για την εποπτεία της προστασίας του απορρήτου των επιστολών, της ελεύθερης ανταπόκρισης ή επικοινωνίας καθώς και της ασφάλειας των δικτύων και πληροφοριών είναι η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών («ΑΔΑΕ»), που συστάθηκε ως ανεξάρτητη συνταγματική αρχή με το άρθρο 1 του Ν. 3115/2003 σε εκτέλεση του άρθρου 19 § 2 του Συντάγματος. Οι βασικές αρμοδιότητες της ΑΔΑΕ είναι:

  • Η διενέργεια τακτικών και έκτακτων ελέγχων στις υπόχρεες επιχειρήσεις.
  • Η εποπτεία της εφαρμογής της νομοθεσίας περί άρσης του απορρήτου.
  • Η διενέργεια ακροάσεων και η επιβολή των προβλεπόμενων διοικητικών κυρώσεων σε περίπτωση παραβιάσεων της νομοθεσίας περί απορρήτου των επικοινωνιών.
  • Η έκδοση κανονιστικών διοικητικών πράξεων για τα μέτρα διασφάλισης του απορρήτου των επικοινωνιών.
  • Η έκδοση γνωμοδοτήσεων, συστάσεων και υποδείξεων επί θεμάτων της αρμοδιότητας της Αρχής.
  • Η εξέταση καταγγελιών για παραβίαση του απορρήτου των επικοινωνιών.

Με την υπ’ αρ. 205/2013 απόφασή της με τίτλο «Κανονισμός για την Ασφάλεια και την Ακεραιότητα Δικτύων και Υπηρεσιών Ηλεκτρονικών Επικοινωνιών», όπως δημοσιεύθηκε και στο ΦΕΚ 1742/Β ́/15-7-2013, η ΑΔΑΕ εξειδίκευσε/ερμήνευσε τις διατάξεις του άρθρου 37 του Ν. 4070/2012 αναφορικά με την ασφάλεια και την ακεραιότητα των δικτύων / υπηρεσιών ηλεκτρονικών επικοινωνιών, προβλέποντας ενδεικτικά τις ακόλουθες υποχρεώσεις για τους παρόχους:

  • Κατάρτιση/Σχεδιασμός και τήρηση πολιτικής ασφάλειας δικτύων και υπηρεσιών.
  • Διορισμός υπευθύνου ασφάλειας δικτύων και υπηρεσιών.
  • Κατάρτιση/Δημιουργία και τήρηση σχεδίου έκτακτων αναγκών.
  • Συμμόρφωση με πρότυπα ασφαλείας, τεχνικές διεπαφές και στοιχεία λειτουργίας δικτύων που συμφωνούνται σε Ενωσιακό επίπεδο.
  • ανάλυση επιχειρησιακών επιπτώσεων και αξιολόγησης επικινδυνότητας αναφορικά με την ασφάλεια και την ακεραιότητα των δικτύων.
  • Κατάρτιση/Δημιουργία/Οργάνωση και τήρηση σχεδίου επιχειρησιακής συνέχειας/αδιάλειπτης λειτουργίας.
  • Διεξαγωγή ελέγχων αποτελεσματικότητας και κατάρτιση σχετικών σχεδίων και διαδικασιών (δοκιμών, penetration tests, vulnerability assessments).
  • Τήρηση κατάλληλων μέτρων φυσικής και λογικής/πληροφοριακής? ασφάλειας.
  • Σχεδιασμός/ Επιλογή και τήρηση διαδικασίας διαχείρισης περιστατικών ασφαλείας.
  • / Σχεδιασμός/ Επιλογήκαι τήρηση διαδικασίας εσωτερικού ελέγχου για την ασφάλεια και την ακεραιότητα των δικτύων / υπηρεσιών.
  • Τήρηση σχετικών αρχείων.

Περαιτέρω, με τον Ν. 4577/2018  (ΦΕΚ 199/Α’/03-12-2018) ενσωματώθηκε στην Ελληνική νομοθεσία η Οδηγία 2016/1148/EE του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση («Οδηγία ΝΙS»). Ο εν λόγω νόμος προβλέπει την κατάρτιση εθνικού σχεδίου κυβερνοασφάλειας, την σύσταση σχετικής Εθνικής Αρχής ως υπηρεσίας του Υπουργείου Ψηφιακής Διακυβέρνησης με εποπτικό και ρυθμιστικό ρόλο. Επίσης, προβλέπει την συγκρότηση Ομάδας Απόκρισης για Συμβάντα που Αφορούν την Ασφάλεια Υπολογιστών (CSIRT).

Ο Ν. 4577/2018 θεσπίζει σημαντικές υποχρεώσεις κυβερνοασφάλειας για παρόχους ψηφιακών υπηρεσιών καθώς και φορείς εκμετάλλευσης βασικών υπηρεσιών, μεταξύ άλλων και του τομέα των ψηφιακών υποδομών. Οι Υπόχρεες Επιχειρήσεις έχουν τις ακόλουθες βασικές υποχρεώσεις αναφορικά με την ασφάλεια των συστημάτων τους:

  • Θέσπιση τεχνικών και οργανωτικών μέτρων για την ασφάλεια των συστημάτων δικτύου και πληροφοριών.
  • Θέσπιση μέτρων για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων, που επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών.
  • Υποχρέωση κοινοποίησης στην Εθνική Αρχή Κυβερνοασφάλειας και στην CSIRT συμβάντων με σοβαρές επιπτώσεις στην επιχειρησιακή συνέχεια των υπηρεσιών. Η κοινοποίηση πρέπει να γίνεται χωρίς αδικαιολόγητη καθυστέρηση και να συνοδεύεται από την παροχή πρόσθετων πληροφοριών στην Αρχή για τον προσδιορισμό της σοβαρότητας του συμβάντος.
  • Υποχρέωση συνεργασίας με τις αρμόδιες αρχές.

Με την ΥΑ 1027/04-10-2019 ορίζονται με αντικειμενικά κριτήρια οι υπόχρεοι φορείς βασικών υπηρεσιών του Ν. 4577/2018 (όπως δημοσιεύτηκε στο ΦΕΚ 3739/Β/08-10-2019) σε όλους τους τομείς της οικονομίας και προβλέπονται γι’ αυτούς οι ακόλουθες υποχρεώσεις:

  • Συνεργάτες: Οι υπόχρεοι οργανισμοί ευθύνονται για πράξεις / παραλείψεις των συνεργατών, που χρησιμοποιούν για την κατασκευή, εγκατάσταση, συντήρηση ή λειτουργία των συστημάτων δικτύου και πληροφοριών τους για την παροχή των βασικών υπηρεσιών τους.
  • Πολιτική Ασφαλείας: Οι υπόχρεοι οργανισμοί οφείλουν να καταρτίζουν πολιτική ασφάλειας με συγκεκριμένο περιεχόμενο, το οποίο αναμένεται περαιτέρω να εξειδικευτεί με αποφάσεις της Αρχής Κυβερνοασφάλειας.
  • Βασικές Απαιτήσεις Ασφαλείας: Οι υπόχρεοι οργανισμοί οφείλουν να καταρτίζουν ένα πλαίσιο βασικών απαιτήσεων ασφάλειας με βάση τις συγκεκριμένες ανάγκες και κινδύνους, το οποίο προηγείται της κατάρτισης της πολιτικής ασφαλείας.
  • Υπεύθυνος Ασφαλείας Πληροφοριών: Οι υπόχρεοι οργανισμοί οφείλουν να καταρτίζουν ένα πλαίσιο βασικών απαιτήσεων ασφάλειας με βάση τις συγκεκριμένες ανάγκες και κινδύνους, το οποίο προηγείται της κατάρτισης της πολιτικής ασφαλείας.
  • Διαχείριση Συμβάντων Ασφαλείας: Οι υπόχρεοι οργανισμοί οφείλουν να διαχειρίζονται συμβάντα ασφαλείας και υπό προϋποθέσεις να τα κοινοποιούν στο αρμόδιο CSIRT και στην Εθνική Αρχή Κυβερνοασφάλειας καθώς και στο κοινό.

Αξιοσημείωτο είναι, ότι η νεοσύστατη Εθνική Αρχή Κυβερνοασφάλειας έχει τις ακόλουθες αρμοδιότητες:

  • Αξιολογεί την συμμόρφωση των Υπόχρεων Επιχειρήσεων με τον Ν. 4577/2018.
  • Απαιτεί από τις Υπόχρεες Επιχειρήσεις την παροχή των απαραίτητων πληροφοριών, συμπεριλαμβανομένων των πολιτικών ασφαλείας.
  • Απαιτεί από τις Υπόχρεες Επιχειρήσεις την διόρθωση οποιασδήποτε παράλειψης συμμόρφωσης.
  • Διεξάγει επιτόπιους ελέγχους στους υπόχρεους οργανισμούς.

Περαιτέρω, ο Υπουργός Ψηφιακής Πολιτικής δύναται να επιβάλλει συστάσεις ή επιπλήξεις σε υπόχρεους οργανισμούς. Σε περίπτωση μη συμμόρφωσης σε συστάσεις / επιπλήξεις επιβάλλει, ύστερα από εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας, τις εξής κυρώσεις:

  • Πρόστιμο μέχρι του ποσού των 15.000 Ευρώ σε περίπτωση μη κοινοποίησης / καθυστέρησης κοινοποίησης.
  • Πρόστιμο μέχρι του ποσού των 200.000 Ευρώ σε περίπτωση μη λήψης των κατάλληλων οργανωτικών / τεχνικών μέτρων για την διαχείριση των κινδύνων ως προς την ασφάλεια των δικτύων και των συστημάτων πληροφοριών.
  • Πρόστιμο μέχρι του ποσού των 50.000 Ευρώ σε περίπτωση μη παροχής ή αδικαιολόγητης καθυστέρησης στην παροχή πληροφοριών, εφόσον ζητηθούν από την αρμόδια αρχή.