Η παρ. 1 του άρθρου 15 του ν. 4577/2018 (Α΄199) τροποποιείται ως προς το όργανο επιβολής των κυρώσεων και ως προς τον τρόπο επιβολής τους και η παρ. 1 διαμορφώνεται ως εξής:
«1. Ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας επιβάλλει κυρώσεις σε φυσικό ή νομικό πρόσωπο, σε περίπτωση παραβίασης των διατάξεων του παρόντος νόμου, ως εξής:
α) Αν διαπιστωθεί ότι φορέας εκμετάλλευσης βασικών υπηρεσιών ή φορέας παροχής ψηφιακών υπηρεσιών δεν κοινοποιεί ή κοινοποιεί με αδικαιολόγητη καθυστέρηση συμβάν με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών του, επιβάλλεται:
αα) πρόστιμο μέχρι του ποσού των δεκαπέντε χιλιάδων (15.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων,
ββ) πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.
β) Αν διαπιστωθεί ότι φορέας εκμετάλλευσης βασικών υπηρεσιών ή φορέας παροχής ψηφιακών υπηρεσιών δεν λαμβάνει κατάλληλα και αναλογικά, τεχνικά και οργανωτικά, προληπτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και των συστημάτων πληροφοριών που χρησιμοποιεί για τις υπηρεσίες αυτές, επιβάλλεται:
αα) πρόστιμο μέχρι του ποσού των πενήντα χιλιάδων (50.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων,
ββ) πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.
γ) Αν διαπιστωθεί ότι φυσικό ή νομικό πρόσωπο δεν παρέχει ή παρέχει με αδικαιολόγητη καθυστέρηση οποιαδήποτε σχετική πληροφορία που ζητείται κατά τη διενέργεια ελέγχου ή τη διερεύνηση περιστατικού, επιβάλλεται:
αα) πρόστιμο μέχρι του ποσού των πενήντα χιλιάδων (50.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων,
ββ) πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.».
Να γίνει επαναδιατύπωση του άρθρου και όπου αναφέρεται ο όρος «φορέας εκμετάλλευσης βασικών υπηρεσιών» ή «φορέας παροχής ψηφιακών υπηρεσιών» να απαλοιφούν.
Πιο σωστό είναι να μπει: φορέας που εμπίπτει στις αρμοδιότητες της Αρχής ώστε να καλυφθεί και η επερχόμενη NIS2.
Στις περιπτώσεις υποτροπής να προβλέπεται το δικαίωμα επιβολής προσωρινής διακοπής των υπηρεσιών του νομικού προσώπου, σε περίπτωση παραβίασης των διατάξεων του παρόντος νόμου.
Τι θα είναι εκείνο που θα διαπιστώνει ότι ένας φορέας δεν κοινοποιεί συμβάντα ή δεν διορθώνει συμβάντα;
Η Αρχή δεν πρόκειται να αποκτήσει το απαραίτητο προσωπικό μέσω ΑΣΕΠ για να ελέγχει εκ των προτέρων τους φορείς για θέματα ασφάλειας. Στο εξωτερικό υπάρχουν τα red teams (ιδιωτικές εταιρίες) που παίρνουν άδεια για να ελέγξουν την ασφάλεια ενός φορέα.
Πρέπει να θεσμοθετηθεί η δυνατότητα για responsible disclosure όταν κάποιος πολίτης εντοπίσει θέμα ασφάλειας σε ένα φορέα. Σε τριτοκοσμικές χώρες, ένας τέτοιος πολίτης θα ήταν ο αποδιοπομπαίος τράγος. Η Αρχή πρέπει να προσφέρει προστασία στους πολίτες από τον φορέα για την αποκάλυψη συμβάντων ή αποκάλυψη πληροφοριών που μπορεί δυνητικά να προκαλέσουν συμβάντα. Αλλιώς ο φορέας θα καταφερθεί σε εκείνους που ανακαλύπτουν τις τρύπες στην ασφάλεια.
Στις περιπτώσεις υποτροπής να προβλέπεται το δικαίωμα επιβολής προσωρινής διακοπής των υπηρεσιών του νομικού πρόσωπου, σε περίπτωση παραβίασης των διατάξεων του παρόντος νόμου.
Το κρατος εχει ηδη αποτυχει διαχρονικα στην κυβερνοασφαλεια του πολιτη.
1) Και μονο οτι οι κωδικοι TAXISNET εχουν αντιγραφει ελευθερα απο τον εναν Server στον αλλον για πολλαπλες «εφαρμογες» του δημοσιου (κτηματολογιο, Covid-19, κτλ), ειναι μια παραβιαση διεθνων πρωτοκολλων κυβερνοασφαλειας (οι αρμοδιοι γνωριζουν τι λεμε). Ξεφραγο αμπελι για τους «hackers» με λιγα λογια…
2) Οι «συνεργασιες» με αλλα κρατη, που κατα συνηθεια συμπεριλαμβανει και την «αποστολη προσωπικων δεδομενων» Ελληνων πολιτων χωρις να υπαρχουν εγγυησεις / κυρωσεις / αποζημιωσεις απο την τριτη χωρα για ελλειψεις στην κυβερνοασφαλεια τους ειναι ενας μεγαλος κινδυνος για τους παντες.
3) Και αλλα πολλα….
Εαν δεν μπορει αυτη η αρχη να επιβαλλει κυρωσεις και ποινες σε δημοσιους υπαλληλους και υπουργους που τυχον προβουν σε ζημιωφορες ενεργειες, και εαν το ιδιο το δημοσιο δεν εμπιπτει στην ευθυνη της κυβερνοασφαλειας, τοτε το ολικο νομοσχεδιο παραμενει ενα «ημιμετρο» χωρις ουσια.
Να δέχεται καταγγελίες αιρετών της αυτοδιοίκησης ή υπάλληλων για ανώνυμα προφίλ που αναδημοσιεύουν με link συμβάσεις και τιμολόγια που έχουν αναρτηθεί στο διαύγεια. Να απαγορεύεται ρητά η αναδημοσίευση στα μέσα κοινωνικής δικτύωσης και να επιβάλλεται πρόστιμο.