03/05/2019 16:37
Η Ευρωπαϊκή Κεντρική Τράπεζα προτείνει να διευκρινιστεί ότι το πεδίο εφαρμογής του σχεδίου νόμου σχετικά με τη σύσταση, τις αρμοδιότητες και τη λειτουργία της Αρχής Ψηφιακής Ασφάλειας (ΑΨΑ) και οι εξουσίες που χορηγούνται στην ΑΨΑ βάσει αυτού δεν θίγουν τις αρμοδιότητες, τα καθήκοντα και τις εξουσίες που ανατίθενται στην ΕΚΤ και στην ΚΤ βάσει ευρωπαϊκού κανονισμού και της σχετικής εθνικής νομοθεσίας.
Σε γνώμη που υπογράφει ο πρόεδρος της ΕΚΤ Mario Draghi σημειώνεται ότι προκειμένου η ΕΚΤ και η ΚΤ να είναι σε θέση να εκπληρώνουν τα καθήκοντά τους στο πλαίσιο του ΕΕΜ, η ΕΚΤ προτείνει, για τους σκοπούς του σχεδίου νόμου, τη θέσπιση ρυθμίσεων συνεργασίας και ανταλλαγής πληροφοριών όχι μόνο μεταξύ της ΑΨΑ και της ΚΤ, αλλά και μεταξύ της ΑΨΑ και της ΕΚΤ, μέσω της ΚΤ.
Παραδείγματα τομέων στους οποίους θα ήταν χρήσιμες οι εν λόγω ρυθμίσεις συνεργασίας και ανταλλαγής πληροφοριών αποτελούν, ενδεικτικά, οι απαιτήσεις παροχής στοιχείων που επιβάλλονται στα πιστωτικά ιδρύματα, η διαδικασία λήψης αποφάσεων σχετικά με τη δημοσίευση πληροφοριών όσον αφορά επιμέρους συμβάντα που αφορούν την ασφάλεια στον κυβερνοχώρο, καθώς και η διασφάλιση της συνέχειας των κρίσιμων λειτουργιών των πιστωτικών.
Στις 4 Μαρτίου 2019 η Ευρωπαϊκή Κεντρική Τράπεζα (ΕΚΤ) έλαβε αίτημα της Αρχής Ψηφιακής Ασφάλειας (ΑΨΑ) της Κυπριακής Δημοκρατίας για την έκδοση γνώμης επί του σχεδίου ορισμένων νομοθετικών διατάξεων περιλαμβανόμενων σε σχέδιο νόμου σχετικά με τη σύσταση, τις αρμοδιότητες και τη λειτουργία της ΑΨΑ το οποίο θα αντικαταστήσει τον Νόμο 17(I) του 2018 περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών.
Το σχέδιο νόμου ιδρύει την ΑΨΑ, δημιουργεί την εθνική ομάδα απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών και διασφαλίζει την ασφάλεια, ακεραιότητα και ανθεκτικότητα των δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών.
Το σχέδιο νόμου προβλέπει ότι σε περίπτωση που μια τομεακή πράξη της Ένωσης απαιτεί από τους φορείς εκμετάλλευσης βασικών υπηρεσιών ή τους παρόχους ψηφιακών υπηρεσιών είτε να εξασφαλίζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών τους είτε να κοινοποιούν συμβάντα, με την προϋπόθεση ότι οι εν λόγω απαιτήσεις είναι τουλάχιστον ισοδύναμες ως προς το αποτέλεσμα με τις υποχρεώσεις που θεσπίζονται στο σχέδιο νόμου, θα εφαρμόζονται οι διατάξεις της εν λόγω τομεακής πράξης της Ένωσης όπως αυτή ισχύει στην εθνική έννομη τάξη, σύμφωνα με το άρθρο 1 παράγραφος 7 της οδηγίας (ΕΕ) 2016/1148.
Στο πλαίσιο των αρμοδιοτήτων και των καθηκόντων της, η ΑΨΑ δύναται α) να εξασφαλίζει ότι οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι φορείς κρίσιμων υποδομών πληροφοριών λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους, καθώς και κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντικτύπου συμβάντων που επηρεάζουν την ασφάλεια των δικτύων και συστημάτων πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των υπηρεσιών, β) να επιβάλλει διοικητικά πρόστιμα και άλλες κυρώσεις, γ) να αιτείται, στο πλαίσιο συγκεκριμένων δραστηριοτήτων της, την παροχή από τους φορείς εκμετάλλευσης βασικών υπηρεσιών και φορείς κρίσιμων υποδομών πληροφοριών κάθε σχετικών τεχνικών, οικονομικών και νομικών πληροφοριών, δ) να κλητεύει και να εξαναγκάζει την παρουσία μαρτύρων σε έρευνες, και ε) να διενεργεί επιτόπιες επιθεωρήσεις.
Όπως έχει επισημάνει στο παρελθόν, η ΕΚΤ υποστηρίζει τους σκοπούς της οδηγίας (ΕΕ) 2016/1148, ήτοι την εξασφάλιση ενός κοινού υψηλού επιπέδου ασφάλειας δικτύου και πληροφοριών (ΑΔΠ) σε ολόκληρη την Ένωση και την επίτευξη συνεκτικής προσέγγισης μεταξύ πλειόνων επιχειρηματικών τομέων και κρατών μελών σε αυτό το πεδίο.
«Είναι σημαντικό να διασφαλιστεί ότι η εσωτερική αγορά αποτελεί ασφαλές πεδίο επιχειρηματικής δραστηριότητας και ότι όλα τα κράτη μέλη διαθέτουν ένα ελάχιστο επίπεδο ετοιμότητας σε περίπτωση εκδήλωσης συμβάντος ασφάλειας στον κυβερνοχώρο», τονίζεται .
Ταυτόχρονα, θα πρέπει να διασφαλιστεί ότι οι διατάξεις της εθνικής νομοθεσίας που μεταφέρουν στο εθνικό δίκαιο την οδηγία (ΕΕ) 2016/1148 συνάδουν με τις αρμοδιότητες του Ευρωσυστήματος και σέβονται την αρχή της ανεξαρτησίας των κεντρικών τραπεζών που κατοχυρώνεται στο άρθρο 130 της Συνθήκης.
Πράγματι, σύμφωνα και με την πρόταση της ΕΚΤ, η αιτιολογική σκέψη 14 της οδηγίας (ΕΕ) 2016/1148 αναφέρει ότι η οδηγία δεν θίγει την επίβλεψη των συστημάτων πληρωμών και διακανονισμού από το Ευρωσύστημα. Εξάλλου, η ΑΔΠ αποκομίζει οφέλη από συνέργειες και οικονομίες κλίμακας. Ειδικότερα, εξειδικευμένες εθνικές ΑΨΑ δύνανται να συγκεντρώνουν σημαντικούς πόρους και εμπειρογνωμοσύνη, τα οποία μπορεί να χρησιμοποιήσει το Ευρωσύστημα στο τομέα της ΑΔΠ.