1. Οι επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό λαμβάνουν πρόσφορα τεχνικά και οργανωτικά μέτρα για την κατάλληλη διαχείριση του κινδύνου όσον αφορά στην ασφάλεια των δικτύων και υπηρεσιών. Τα μέτρα αυτά, λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τον υφιστάμενο κίνδυνο. Οι επιχειρήσεις αυτές λαμβάνουν ιδίως μέτρα για την αποτροπή και ελαχιστοποίηση των επιπτώσεων από περιστατικά ασφαλείας που επηρεάζουν τους χρήστες και τα διασυνδεμένα δίκτυα.
2. Οι επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών λαμβάνουν όλα τα κατάλληλα μέτρα για την εξασφάλιση της ακεραιότητας των δικτύων τους έτσι ώστε να διασφαλίζεται η συνέχεια της παροχής των υπηρεσιών που διανέμονται μέσω των δικτύων αυτών.
3. Προς υλοποίηση των παραγράφων 1 και 2, η Ε.Ε.Τ.Τ. έχει τη δυνατότητα να ζητά από τις επιχειρήσεις την παροχή σχετικών πληροφοριών και δύναται κατόπιν δημόσιας διαβούλευσης με τους φορείς να εκδίδει κανονιστικές πράξεις με τις οποίες καθορίζονται οι ελάχιστες υποχρεώσεις, προς τις οποίες οφείλουν να συμμορφώνονται οι επιχειρήσεις. Η Ε.Ε.Τ.Τ. δύναται να απαιτεί από τις επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό
α) να παρέχουν πληροφορίες απαραίτητες για την εκτίμηση της ασφάλειας και της ακεραιότητας των υπηρεσιών και δικτύων τους, συμπεριλαμβανομένων και των τεκμηριωμένων πολιτικών ασφάλειας, και
β) να υποβάλλονται σε έλεγχο ασφάλειας που διενεργείται από ειδικευμένο ανεξάρτητο φορέα και να θέτουν τα σχετικά πορίσματα στη διάθεση της Ε.Ε.Τ.Τ.. Το κόστος του ελέγχου επιβαρύνει την επιχείρηση.
4. Oι επιχειρήσεις που παρέχουν πρόσβαση σε δημόσια δίκτυα επικοινωνιών ή σε υπηρεσίες ηλεκτρονικών επικοινωνιών που διατίθενται στο κοινό κοινοποιούν στην EETT κάθε παραβίαση της ασφάλειας ή απώλεια της ακεραιότητας που είχε σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών. Η Ε.Ε.Τ.Τ. με κανονιστικές της πράξεις προσδιορίζει τις περιστάσεις, τη μορφή και τις διαδικασίες που ισχύουν για τις απαιτήσεις κοινοποίησης. Κατά περίπτωση, η Ε.Ε.Τ.Τ. ενημερώνει τις αρμόδιες εθνικές αρχές στα κράτη μέλη, καθώς και τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA). Η Ε.Ε.Τ.Τ. μπορεί να ενημερώσει το κοινό ή να απαιτήσει την ενημέρωση αυτή από τις επιχειρήσεις, εφόσον κρίνει ότι η αποκάλυψη της παραβίασης είναι προς το δημόσιο συμφέρον.
Η Ε.Ε.Τ.Τ. υποβάλλει κατ’ έτος στην Ευρωπαϊκή Επιτροπή και στον ENISA συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει και τη δράση που έχει αναλάβει σύμφωνα με την παρούσα παράγραφο.
5. Η Ε.Ε.Τ.Τ. ελέγχει τις επιχειρήσεις σχετικά με την τήρηση των ανωτέρω υποχρεώσεων και εξετάζει τις επιπτώσεις της μη συμμόρφωσής τους ως προς την ασφάλεια και ακεραιότητα των δικτύων και υπηρεσιών.
