LegalizeΝόμοι — ΦΕΚ A' 195/2024
Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις.
Η ΠΡΟΕΔΡΟΣ
ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ
Εκδίδομε τον ακόλουθο νόμο που ψήφισε η Βουλή: ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ
ΜΕΡΟΣ Α’: ΕΝΣΩΜΑΤΩΣΗ ΤΗΣ ΟΔΗΓΙΑΣ (ΕΕ) 2022/2555
ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΤΗΣ 14ΗΣ ΔΕΚΕΜΒΡΙΟΥ 2022
ΚΕΦΑΛΑΙΟ Α’: ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ
Άρθρο 1 Σκοπός
Άρθρο 2 Αντικείμενο (άρθρο 1 της Οδηγίας (ΕΕ)
2022/2555)
ΚΕΦΑΛΑΙΟ Β’: ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 3 Πεδίο εφαρμογής (άρθρο 2 της Οδηγίας (ΕΕ)
2022/2555)
Άρθρο 4 Βασικές και σημαντικές οντότητες (άρθρο 3
της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 5 Επιφύλαξη όσον αφορά τις τομεακές νομικές
πράξεις της Ένωσης (άρθρο 4 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 6 Ορισμοί (άρθρο 6 της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ Γ’: ΣΥΝΤΟΝΙΣΜΕΝΑ ΚΑΝΟΝΙΣΤΙΚΑ ΠΛΑΙΣΙΑ
ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ
Άρθρο 7 Εθνική Στρατηγική Κυβερνοασφάλειας (άρθρο 7 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 8 Αρμόδια αρχή και ενιαίο σημείο επαφής (άρθρο 8 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 9 Εθνικό πλαίσιο διαχείρισης κυβερνοκρίσεων
(άρθρο 9 της Οδηγίας (ΕΕ)2022/2555)
Άρθρο 10 Ομάδες απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 10
της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 11 Απαιτήσεις, τεχνικές ικανότητες και καθήκοντα των ομάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs) (άρθρο 11
της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 12 Συντονισμένη γνωστοποίηση ευπαθειών και
ευρωπαϊκή βάση δεδομένων ευπαθειών (άρθρο 12 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 13 Συνεργασία σε εθνικό επίπεδο (άρθρο 13
της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ Δ’: ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΣΤΟΝ
ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΑΝΑΦΟΡΑΣ ΠΕΡΙΣΤΑΤΙΚΩΝ
Άρθρο 14 Διακυβέρνηση (άρθρο 20 της Οδηγίας (ΕΕ)
2022/2555)
Άρθρο 15 Μέτρα διαχείρισης κινδύνων στον τομέα της
κυβερνοασφάλειας (άρθρο 21 και παρ. 1 άρθρου 24 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 16 Υποχρεώσεις αναφοράς περιστατικών (άρθρο 23 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 17 Τυποποίηση (άρθρο 25 της Οδηγίας (ΕΕ)
2022/2555)
ΚΕΦΑΛΑΙΟ Ε’: ΔΙΚΑΙΟΔΟΣΙΑ ΚΑΙ ΚΑΤΑΧΩΡΙΣΗ
Άρθρο 18 Δικαιοδοσία και εδαφικότητα (άρθρο 26 της
Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 19 Μητρώο οντοτήτων (άρθρο 27 της Οδηγίας
(ΕΕ) 2022/2555)
Άρθρο 20 Βάση δεδομένων καταχώρισης ονομάτων
τομέα (άρθρο 28 της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ ΣΤ’: ΑΝΤΑΛΛΑΓΗ ΠΛΗΡΟΦΟΡΙΩΝ
Άρθρο 21 Ρυθμίσεις για την ανταλλαγή πληροφοριών
στον τομέα της κυβερνοασφάλειας (άρθρο 29 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 22 Εθελούσια κοινοποίηση των σχετικών πληροφοριών (άρθρο 30 της Οδηγίας (ΕΕ) 2022/2555)
ΚΕΦΑΛΑΙΟ Ζ’: ΕΠΟΠΤΕΙΑ ΚΑΙ ΚΥΡΩΣΕΙΣ
παρ. 2 άρθρου 10, παρ. 2 άρθρου 11 και άρθρο 31 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 24 Μέτρα εποπτείας και επιβολής σε σχέση με
βασικές οντότητες (άρθρο 32 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 25 Μέτρα εποπτείας και επιβολής σε σχέση με σημαντικές οντότητες (άρθρο 33 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 26 Γενικοί όροι για την επιβολή διοικητικών
προστίμων σε βασικές και σημαντικές οντότητες - Κυρώσεις (άρθρα 34 και 36 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 27 Παραβάσεις που συνεπάγονται παραβίαση δεδομένων προσωπικού χαρακτήρα (άρθρο 35 της
Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 28 Αμοιβαία συνδρομή (άρθρο 37 της Οδηγίας
(ΕΕ) 2022/2555)
Άρθρο 29 Ειδικότερες ρυθμίσεις για παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων
στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών
ΚΕΦΑΛΑΙΟ Η’: ΕΞΟΥΣΙΟΔΟΤΙΚΕΣ, ΜΕΤΑΒΑΤΙΚΕΣ, ΤΕΛΙΚΕΣ ΚΑΙ ΚΑΤΑΡΓΟΥΜΕΝΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 30 Εξουσιοδοτικές διατάξεις
Άρθρο 31 Μεταβατικές και τελικές διατάξεις
Άρθρο 32 Καταργούμενες διατάξεις
ΜΕΡΟΣ Β’: ΡΥΘΜΙΣΕΙΣ ΠΡΟΣΩΠΙΚΟΥ ΕΘΝΙΚΗΣ ΑΡΧΗΣ
ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΛΟΙΠΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 33 Ρυθμίσεις προσωπικού Εθνικής Αρχής Κυβερνοασφάλειας - Τροποποίηση άρθρου 21 ν. 5086/2024
Άρθρο 34 Ρυθμίσεις για τον ορισμό Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών Τροποποίηση παρ. 1 άρθρου 18 ν. 4961/2022
Άρθρο 35 Ρυθμίσεις για τις περιοχές εκτός τηλεοπτικής
κάλυψης
Άρθρο 36 Νέα προθεσμία διόρθωσης πρώτων εγγραφών - Δυνατότητα διόρθωσης πρώτων εγγραφών σε
περιοχές που είχε λήξει η δυνατότητα αμφισβήτησης ανακριβούς εγγραφής με την ένδειξη «αγνώστου ιδιοκτήτη» - Τροποποίηση άρθρου 102 ν. 4623/2019
Άρθρο 37 Ρυθμίσεις για την υποστήριξη των πληροφοριακών συστημάτων μονάδων υγείας του Εθνικού
Συστήματος Υγείας
Άρθρο 38 Τοπική πρόσκληση για πρόσληψη προσωρινών αναπληρωτών εκπαιδευτικών - Προσθήκη άρθρου 63Α στον ν. 4589/2019
Άρθρο 39 Διδακτικά βιβλία - Μητρώο Διδακτικών Βιβλίων - Ψηφιακή Βιβλιοθήκη Διδακτικών Βιβλίων - Τροποποίηση παρ. 5, 6, 7, 17 και 20 και προσθήκη παρ. 23
και 24 στο άρθρο 84 ν. 4823/2021
Άρθρο 40 Ανώτατο όριο αμοιβών ιατρών του Ειδικού
Σώματος Ιατρών του Κέντρου Πιστοποίησης Αναπηρίας - Τροποποίηση παρ. 3 και 4 άρθρου 104 ν. 4961/2022
Άρθρο 41 Ρύθμιση αστικού συγκοινωνιακού έργου
Περιφερειακής Ενότητας Θεσσαλονίκης - Τροποποίηση άρθρου 3, παρ. 4 άρθρου 11 και παρ. 1 άρθρου 26 ν. 4482/2017
Άρθρο 42 Οδηγοί για την εκτέλεση του συγκοινωνιακού έργου Οργανισμού Αστικών Συγκοινωνιών Θεσσαλονίκης
Άρθρο 43 Αδειοδότηση αστικού σιδηροδρόμου
Άρθρο 44 Οικονομικές καταστάσεις και εκθέσεις δραστηριότητας εργοληπτικών επιχειρήσεων
ΜΕΡΟΣ Γ’: ΕΝΑΡΞΗ ΙΣΧΥΟΣ
Άρθρο 45 Έναρξη ισχύος
ΠΑΡΑΡΤΗΜΑ I: ΤΟΜΕΙΣ ΥΨΗΛΗΣ ΚΡΙΣΙΜΟΤΗΤΑΣ (Παράρτημα Ι της Οδηγίας (ΕΕ) 2022/2555)
ΠΑΡΑΡΤΗΜΑ ΙΙ: AΛΛΟΙ ΚΡΙΣΙΜΟΙ ΤΟΜΕΙΣ (Παράρτημα ΙΙ της Οδηγίας (ΕΕ) 2022/2555)
ΜΕΡΟΣ Α’
ΕΝΣΩΜΑΤΩΣΗ ΤΗΣ ΟΔΗΓΙΑΣ (ΕΕ) 2022/2555 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΤΗΣ 14ΗΣ ΔΕΚΕΜΒΡΙΟΥ 2022
ΚΕΦΑΛΑΙΟ Α’
ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ
Άρθρο 1
Σκοπός Σκοπός του παρόντος Μέρους είναι η επίτευξη υψηλού επιπέδου κυβερνοασφάλειας με την ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2, L 333).
Άρθρο 2
Αντικείμενο (άρθρο 1 της Οδηγίας (ΕΕ) 2022/2555) Αντικείμενο του παρόντος Μέρους αποτελούν:
- α) η εισαγωγή ρυθμίσεων για την Εθνική Στρατηγική
Κυβερνοασφάλειας, ο ορισμός αρμόδιας αρχής για την κυβερνοασφάλεια και τη διαχείριση κυβερνοκρίσεων, ο ορισμός ενιαίου σημείου επαφής για την κυβερνοασφάλεια και ομάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών [Computer Security Incident Response Team (CSIRT)],
- β) ο καθορισμός μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και η επιβολή υποχρεώσεων
υποβολής αναφορών για τις οντότητες που υπάγονται στο πεδίο εφαρμογής του παρόντος Μέρους, συμπεριλαμβανομένων και των οντοτήτων που χαρακτηρίζονται κρίσιμες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ ΕΚ του Συμβουλίου (L 333),
- γ) η πρόβλεψη κανόνων και υποχρεώσεων σχετικά με
την ανταλλαγή πληροφοριών για την κυβερνοασφάλεια και
- δ) η θέσπιση διατάξεων για την εν γένει εποπτεία και
επιβολή μέτρων και κυρώσεων για την εφαρμογή του παρόντος Μέρους, έτσι ώστε να επιτυγχάνεται υψηλό επίπεδο κυβερνοασφάλειας στην Ελλάδα στο πλαίσιο των κανόνων και των στόχων της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, (ΕΕ) 2016/1148 (Οδηγία NIS 2).
ΚΕΦΑΛΑΙΟ Β’
ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 3
Πεδίο εφαρμογής (άρθρο 2 της Οδηγίας (ΕΕ) 2022/2555)
Το παρόν Μέρος εφαρμόζεται σε δημόσιες ή ιδιωτικές οντότητες των τύπων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ του παρόντος νόμου, οι οποίες χαρακτηρίζονται ως μεσαίες επιχειρήσεις σύμφωνα με την παρ. 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (L 124), ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που αναφέρονται στο εν λόγω άρθρο και οι οποίες είναι εγκατεστημένες ή παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της ελληνικής επικράτειας. Η παρ. 4 του άρθρου 3 του Παραρτήματος της εν λόγω Σύστασης δεν εφαρμόζεται για τους σκοπούς του παρόντος.
Το παρόν Μέρος εφαρμόζεται, επίσης, στις οντότητες, στους τομείς και υποτομείς που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, ανεξάρτητα από το μέγεθός τους, εφόσον:
- α) οι υπηρεσίες παρέχονται από: αα) παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων
στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, αβ) παρόχους υπηρεσιών εμπιστοσύνης, αγ) μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα,
- β) η οντότητα είναι ο μοναδικός πάροχος στη χώρα
υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων,
- γ) η διατάραξη της υπηρεσίας που παρέχει η οντότητα
θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία,
- δ) η διατάραξη της υπηρεσίας που παρέχεται από την
οντότητα θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, συμπεριλαμβανομένων των τομέων στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,
- ε) η οντότητα είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο για τον
συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη χώρα,
- στ) η οντότητα είναι: στα) φορέας της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της παρ. 1 του
άρθρου 14 του ν. 4270/2014 (Α’ 143), στβ) Οργανισμός Τοπικής Αυτοδιοίκησης α’ βαθμού, στγ) Οργανισμός Τοπικής Αυτοδιοίκησης β’ βαθμού.
Το παρόν Μέρος εφαρμόζεται σε οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), ανεξάρτητα από το μέγεθός τους.
Το παρόν Μέρος εφαρμόζεται σε οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, ανεξάρτητα από το μέγεθός τους.
Το παρόν Μέρος εφαρμόζεται με την επιφύλαξη των μέτρων που λαμβάνει η χώρα για την προστασία της εθνικής ασφάλειας και του κυριαρχικού της δικαιώματος να διαφυλάσσει άλλες ουσιώδεις κρατικές λειτουργίες, συμπεριλαμβανομένων της διασφάλισης της εδαφικής ακεραιότητάς της και της διατήρησης της δημόσιας τάξης.
Το παρόν Μέρος δεν εφαρμόζεται σε οντότητες δημόσιας διοίκησης που ασκούν τις δραστηριότητές τους στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων της πρόληψης, της διακρίβωσης, της διαπίστωσης και της δίωξης ποινικών αδικημάτων. Τα μέτρα εποπτείας και επιβολής που αναφέρονται στο Κεφάλαιο Ζ’ του παρόντος Μέρους δεν εφαρμόζονται στις οντότητες που εξαιρούνται σύμφωνα με το πρώτο εδάφιο της περ. β) της παρ. 2 του άρθρου 30.
Η παρ. 6 και η περ. β) της παρ. 2 του άρθρου 30 δεν εφαρμόζονται όταν μια οντότητα ενεργεί ως πάροχος υπηρεσιών εμπιστοσύνης, σύμφωνα με την περ. 16 του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Ιουλίου 2014.
Το παρόν Μέρος δεν εφαρμόζεται σε οντότητες τις οποίες η Ελλάδα εξαιρεί από το πεδίο εφαρμογής του Κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333), σύμφωνα με την παρ. 4 του άρθρου 2 του εν λόγω Κανονισμού.
Οι υποχρεώσεις που προβλέπονται στο παρόν Μέρος δεν περιλαμβάνουν την παροχή πληροφοριών, η γνωστοποίηση των οποίων θα ήταν αντίθετη προς ουσιώδη συμφέροντα εθνικής ασφάλειας, δημόσιας τάξης ή άμυνας της χώρας.
Ο παρών νόμος εφαρμόζεται με την επιφύλαξη του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119), του ν. 4624/2019 (Α’ 137), του ν. 3471/2006 (Α’ 133), του ν. 4267/2014 (Α’ 137), του ν. 4411/2016 (Α’ 142) και της Οδηγίας (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333).
Με την επιφύλαξη του άρθρου 346 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, πληροφορίες που είναι εμπιστευτικές σύμφωνα με ενωσιακούς ή εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές σύμφωνα με τον παρόντα νόμο, μόνον εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρ πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των οικείων οντοτήτων.
Οι οντότητες, η Εθνική Αρχή Κυβερνοασφάλειας του άρθρου 3 του ν. 5086/2024 (Α’ 23) και οι CSIRTs του άρθρου 10 του παρόντος επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στον βαθμό που είναι αναγκαίο για τους σκοπούς του παρόντος νόμου και σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, μόνον εφόσον η εν λόγω επεξεργασία βασίζεται στο άρθρο 6 του εν λόγω Κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος μέρους από παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών πραγματοποιείται σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων και για την προστασία της ιδιωτικότητας, καθώς και με τον ν. 4624/2019 και τον ν. 3471/2006.
Άρθρο 4
Βασικές και σημαντικές οντότητες (άρθρο 3 της Οδηγίας (ΕΕ) 2022/2555)
Για την εφαρμογή του παρόντος Μέρους, «βασικές οντότητες» θεωρούνται οι ακόλουθες οντότητες:
- α) οντότητες στους τομείς και υποτομείς που αναφέρονται στο Παράρτημα Ι, οι οποίες υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που προβλέπονται
στην παρ. 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (L 124),
- β) εγκεκριμένοι πάροχοι υπηρεσιών εμπιστοσύνης και
μητρώα ονομάτων τομέα ανωτάτου επιπέδου, καθώς και πάροχοι υπηρεσιών συστήματος ονομάτων τομέα (Domain Name System), ανεξάρτητα από το μέγεθός τους,
- γ) πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών
επικοινωνιών που χαρακτηρίζονται ως μεσαίες επιχειρήσεις, δυνάμει της παρ. 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ,
- δ) οντότητες που αναφέρονται στην υποπερ. στα) της
περ. στ) της παρ. 2 του άρθρου 3 του παρόντος,
- ε) οποιεσδήποτε άλλες οντότητες των τομέων και
υποτομέων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, οι οποίες προσδιορίζονται ως βασικές οντότητες σύμφωνα με τις περ. β) έως ε) της παρ. 2 του άρθρου 3 του παρόντος,
- στ) οντότητες της παρ. 3 του άρθρου 3 του παρόντος,
που προσδιορίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333),
- ζ) οντότητες που αναγνωρίστηκαν, σύμφωνα με το
άρθρο 4 του ν. 4577/2018 (Α’ 199) και το άρθρο 16 της υπ’ αρ. 1027/4.10.2019 απόφασης του Υπουργού Επικρατείας (Β’ 3739), πριν από τις 16 Ιανουαρίου 2023, ως φορείς εκμετάλλευσης βασικών υπηρεσιών.
Για την εφαρμογή του παρόντος Μέρους, οι οντότητες των τομέων και υποτομέων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ, οι οποίες δεν θεωρούνται βασικές οντότητες σύμφωνα με την παρ. 1, θεωρούνται σημαντικές οντότητες. Σε αυτές περιλαμβάνονται οντότητες που προσδιορίζονται ως σημαντικές οντότητες σύμφωνα με τις περ. β) έως ε) της παρ. 2 του άρθρου 3.
Η Εθνική Αρχή Κυβερνοασφάλειας, σε συνεργασία με τις ανά τομέα αρμόδιες ρυθμιστικές/εποπτικές αρχές και λοιπούς εμπλεκόμενους εθνικούς φορείς, προσδιορίζει, τις βασικές ή σημαντικές οντότητες των περ. γ) έως
- ε) της παρ. 2 του άρθρου 3 που εμπίπτουν στο πεδίο
⋯
Η ανάγνωση του παρόντος εγγράφου δεν αντικαθιστά την ανάγνωση του αντίστοιχου τεύχους της Εφημερίδας της Κυβερνήσεως. Δεν αναλαμβάνουμε ευθύνη για τυχόν ανακρίβειες που οφείλονται στη μετατροπή του πρωτοτύπου σε αυτή τη μορφή.