Αρχική Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με...Άρθρο 15 Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας (άρθρα 21 και 25 της Οδηγίας (ΕΕ) 2022/2555)Σχόλιο του χρήστη Δημήτριος Κοκουτσίδης | 21 Οκτωβρίου 2024, 19:28
|
Υπουργείο Ψηφιακής Διακυβέρνησης Δικτυακός Τόπος Διαβουλεύσεων OpenGov.gr Ανοικτή Διακυβέρνηση |
Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Πολιτική Ασφαλείας και Πολιτική Cookies Όροι Χρήσης Πλαίσιο Διαλόγου |
Creative Commons License Με Χρήση του ΕΛ/ΛΑΚ λογισμικού Wordpress. |
1. Τροποποίηση Άρθρου 15 – Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας Προσθήκη νέας παραγράφου 5: «5. Οι βασικές και σημαντικές οντότητες υποχρεούνται να διασφαλίζουν ότι οι άμεσοι προμηθευτές και συνεργάτες τους, συμπεριλαμβανομένων των μικρότερων εταιρειών που δεν εμπίπτουν απευθείας στο πεδίο εφαρμογής του παρόντος νόμου, συμμορφώνονται με συγκεκριμένα πρότυπα κυβερνοασφάλειας. Συγκεκριμένα, οι οντότητες οφείλουν να απαιτούν από τους προμηθευτές και συνεργάτες τους: α) Να υποβάλλονται σε ετήσιους ελέγχους κυβερνοασφάλειας από πιστοποιημένους φορείς, σύμφωνα με διεθνώς αναγνωρισμένα πρότυπα, όπως το ISO/IEC 27001 ή το NIST Cybersecurity Framework. β) Να διενεργούν τακτικές δοκιμές διείσδυσης (penetration testing) στην IT υποδομή τους, από ανεξάρτητους και πιστοποιημένους επαγγελματίες. γ) Να παρέχουν εκπαίδευση στο προσωπικό τους σχετικά με θέματα κυβερνοασφάλειας και ασφαλείς πρακτικές ανάπτυξης λογισμικού. δ) Να αναφέρουν άμεσα οποιαδήποτε περιστατικά ασφαλείας που ενδέχεται να επηρεάσουν τις βασικές και σημαντικές οντότητες. Οι βασικές και σημαντικές οντότητες οφείλουν να ενσωματώνουν τις ανωτέρω απαιτήσεις στις συμβατικές τους σχέσεις με τους προμηθευτές και συνεργάτες τους.» 2. Προσθήκη νέου Άρθρου 15Α – Υποχρεώσεις Προμηθευτών και Συνεργατών των Βασικών και Σημαντικών Οντοτήτων «Άρθρο 15Α Υποχρεώσεις Προμηθευτών και Συνεργατών των Βασικών και Σημαντικών Οντοτήτων Οι προμηθευτές και συνεργάτες των βασικών και σημαντικών οντοτήτων που παρέχουν υπηρεσίες ή προϊόντα που επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών των οντοτήτων αυτών, υποχρεούνται να: α) Εφαρμόζουν κατάλληλα και αναλογικά μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, λαμβάνοντας υπόψη τις απαιτήσεις του άρθρου 15. β) Υποβάλλονται σε ετήσιους ελέγχους κυβερνοασφάλειας από πιστοποιημένους φορείς και να παρέχουν τα αποτελέσματα των ελέγχων αυτών στις βασικές και σημαντικές οντότητες με τις οποίες συνεργάζονται. γ) Διενεργούν τακτικές δοκιμές διείσδυσης (penetration testing) στην IT υποδομή τους και να λαμβάνουν τα απαραίτητα μέτρα για την αντιμετώπιση των ευπαθειών που εντοπίζονται. δ) Εκπαιδεύουν το προσωπικό τους σε θέματα κυβερνοασφάλειας και να προωθούν κουλτούρα ασφάλειας σε όλες τις βαθμίδες της επιχείρησης. ε) Αναφέρουν άμεσα στις βασικές και σημαντικές οντότητες και στην Εθνική Αρχή Κυβερνοασφάλειας οποιαδήποτε περιστατικά ασφαλείας που ενδέχεται να έχουν αντίκτυπο στην ασφάλεια των οντοτήτων αυτών. Η μη συμμόρφωση με τις υποχρεώσεις της παρούσας συνιστά λόγο επιβολής κυρώσεων, σύμφωνα με τα άρθρα 26 και 27.»