31.1.2018   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 26/48

(1)

Σύμφωνα με την οδηγία (ΕΕ) 2016/1148, οι πάροχοι ψηφιακών υπηρεσιών έχουν τη δυνατότητα να λαμβάνουν τεχνικά και οργανωτικά μέτρα που θεωρούν κατάλληλα και αναλογικά για τη διαχείριση του κινδύνου που απειλεί την ασφάλεια των συστημάτων δικτύου και πληροφοριών, εφόσον τα μέτρα αυτά διασφαλίζουν κατάλληλο επίπεδο ασφάλειας και λαμβάνουν υπόψη τα στοιχεία που προβλέπει η εν λόγω οδηγία.

(2)

Κατά τον προσδιορισμό των κατάλληλων και αναλογικών τεχνικών και οργανωτικών μέτρων, ο πάροχος ψηφιακών υπηρεσιών θα πρέπει να υιοθετεί συστηματική προσέγγιση της ασφάλειας των πληροφοριών, χρησιμοποιώντας προσέγγιση βάσει κινδύνου.

(3)

Προκειμένου να κατοχυρωθεί η ασφάλεια συστημάτων και εγκαταστάσεων, οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να εκτελούν διαδικασίες αξιολόγησης και ανάλυσης. Οι δραστηριότητες αυτές θα πρέπει να αφορούν τη συστηματική διαχείριση των συστημάτων δικτύου και πληροφοριών, την υλική και περιβαλλοντική ασφάλεια, την ασφάλεια εφοδιασμού και τους ελέγχους πρόσβασης.

(4)

Κατά την ανάλυση κινδύνου στο πλαίσιο της συστηματικής διαχείρισης των συστημάτων δικτύου και πληροφοριών, οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να ενθαρρύνονται να προσδιορίζουν ειδικούς κινδύνους και να εκφράζουν ποσοτικά τη σημασία τους, για παράδειγμα εντοπίζοντας απειλές κατά περιουσιακών στοιχείων κρίσιμης σημασίας, καθώς και τον τρόπο με τον οποίο αυτές μπορούν να επηρεάσουν τις λειτουργίες, και προσδιορίζοντας ποιος είναι ο καλύτερος τρόπος αντιμετώπισης αυτών των απειλών με βάση τις υπάρχουσες ικανότητες και τους απαιτούμενους πόρους.

(5)

Οι πολιτικές για τους ανθρώπινους πόρους θα μπορούσαν να αναφέρονται σε διαχείριση δεξιοτήτων, συμπεριλαμβανομένων πτυχών που σχετίζονται με την ανάπτυξη δεξιοτήτων σχετικών με την ασφάλεια και την ευαισθητοποίηση. Κατά τη λήψη απόφασης σχετικά με την ενδεδειγμένη δέσμη πολιτικών για την ασφάλεια λειτουργίας, οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να ενθαρρύνονται να λαμβάνουν υπόψη πτυχές της διαχείρισης των αλλαγών, διαχείρισης τρωτών σημείων, τυποποίησης των επιχειρησιακών και διοικητικών πρακτικών και χαρτογράφησης του συστήματος.

(6)

Στις πολιτικές για την αρχιτεκτονική ασφάλειας θα μπορούσε να περιλαμβάνεται ιδίως ο διαχωρισμός των δικτύων και των συστημάτων, καθώς και ειδικά μέτρα ασφάλειας για κρίσιμες λειτουργίες όπως οι λειτουργίες διαχείρισης. Ο διαχωρισμός των δικτύων και των συστημάτων θα μπορούσε να επιτρέπει σε πάροχο ψηφιακών υπηρεσιών να διακρίνει ανάμεσα σε στοιχεία, όπως ροές δεδομένων και υπολογιστικούς πόρους, που ανήκουν σε πελάτες, σε ομάδα πελατών, στον πάροχο ψηφιακών υπηρεσιών ή σε τρίτα μέρη.

(7)

Τα μέτρα που έχουν ληφθεί όσον αφορά την υλική και περιβαλλοντική ασφάλεια θα πρέπει να εγγυώνται την ασφάλεια των συστημάτων δικτύου και πληροφοριών του οργανισμού από ζημία η οποία προκαλείται από συμβάντα όπως κλοπή, πυρκαγιά, πλημμύρα ή άλλα καιρικά φαινόμενα, διακοπές τηλεπικοινωνιών ή ηλεκτρικής ενέργειας.

(8)

Στην ασφάλεια του εφοδιασμού με ηλεκτρική ενέργεια, καύσιμα ή ψύξη θα μπορούσε να συγκαταλέγεται η ασφάλεια της αλυσίδας εφοδιασμού, στην οποία περιλαμβάνεται, ειδικότερα, η ασφάλεια τρίτων αντισυμβαλλόμενων και υπεργολάβων και η διαχείρισή τους. Η ιχνηλασιμότητα των κρίσιμων προμηθειών αναφέρεται στην ικανότητα του παρόχου ψηφιακών υπηρεσιών να προσδιορίζει και να καταγράφει τις πηγές αυτών των προμηθειών.

(9)

Στους χρήστες ψηφιακών υπηρεσιών θα πρέπει να συγκαταλέγονται τα φυσικά και νομικά πρόσωπα που είναι πελάτες ή συνδρομητές διαδικτυακής αγοράς ή υπηρεσίας υπολογιστικού νέφους, ή που επισκέπτονται ιστότοπο μηχανής αναζήτησης προκειμένου να πραγματοποιήσουν αναζήτηση με λέξεις-κλειδιά.

(10)

Όταν προσδιορίζεται η σημασία του αντίκτυπου ενός συμβάντος, οι περιπτώσεις που προβλέπονται στον παρόντα κανονισμό θα πρέπει να θεωρείται ότι δεν αποτελούν εξαντλητικό κατάλογο σημαντικών συμβάντων. Διδάγματα μπορούν να αντληθούν από την εφαρμογή του παρόντος κανονισμού και από τις εργασίες της ομάδας συνεργασίας σχετικά με τη συλλογή πληροφοριών για τις βέλτιστες πρακτικές για κινδύνους και συμβάντα, καθώς και από συζητήσεις σχετικά με τις λεπτομέρειες για την υποβολή κοινοποιήσεων συμβάντων που προβλέπονται στο άρθρο 11 παράγραφος 3 σημεία θ) και ιγ) της οδηγίας (ΕΕ) 2016/1148. Ως αποτέλεσμα θα μπορούσαν να προκύψουν ολοκληρωμένες κατευθυντήριες γραμμές σχετικά με ποσοτικά κατώτατα όρια των παραμέτρων κοινοποίησης που ενδέχεται να ενεργοποιούν την υποχρέωση κοινοποίησης για τους παρόχους ψηφιακών υπηρεσιών σύμφωνα με το άρθρο 16 παράγραφος 3 της οδηγίας (ΕΕ) 2016/1148. Όπου ενδείκνυται, η Επιτροπή θα μπορούσε επίσης να εξετάσει το ενδεχόμενο αναθεώρησης των κατώτατων ορίων που προβλέπονται σήμερα στον παρόντα κανονισμό.

(11)

Για να μπορούν οι αρμόδιες αρχές να ενημερώνονται σχετικά με δυνητικούς νέους κινδύνους, οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να ενθαρρύνονται να αναφέρουν αυτοβούλως κάθε συμβάν τα χαρακτηριστικά του οποίου αγνοούσαν προηγουμένως, όπως νέα προγράμματα εκμετάλλευσης ατελειών, διανύσματα επιθέσεων ή παράγοντες απειλής, τρωτά σημεία και κινδύνους.

(12)

Ο παρών κανονισμός θα πρέπει να αρχίσει να εφαρμόζεται την επόμενη ημέρα από τη λήξη της προθεσμίας μεταφοράς της οδηγίας (ΕΕ) 2016/1148 στο εθνικό δίκαιο.

(13)

Τα μέτρα που προβλέπει ο παρών κανονισμός είναι σύμφωνα με τη γνώμη της επιτροπής για την ασφάλεια συστημάτων δικτύου και πληροφοριών, που αναφέρεται στο άρθρο 22 της οδηγίας (ΕΕ) 2016/1148,

α)

συστηματική διαχείριση των συστημάτων δικτύου και πληροφοριών: χαρτογράφηση των συστημάτων πληροφοριών και θέσπιση δέσμης κατάλληλων πολιτικών για τη διαχείριση της ασφάλειας των πληροφοριών, στην οποία συμπεριλαμβάνεται η ανάλυση των κινδύνων, οι ανθρώπινοι πόροι, η ασφάλεια των λειτουργιών, η αρχιτεκτονική ασφάλειας, η ασφάλεια της διαχείρισης του κύκλου ζωής των δεδομένων και του συστήματος και, κατά περίπτωση, η κρυπτογράφηση και η διαχείρισή της.

β)

υλική και περιβαλλοντική ασφάλεια: η ύπαρξη δέσμης μέτρων για την προστασία της ασφάλειας των συστημάτων δικτύου και πληροφοριών των παρόχων ψηφιακών υπηρεσιών από ζημία με χρήση προσέγγισης βασισμένης στην επικινδυνότητα όλων των πιθανών κινδύνων, η οποία καλύπτει, για παράδειγμα, βλάβες του συστήματος, ανθρώπινα σφάλματα, κακόβουλες ενέργειες ή φυσικά φαινόμενα·

γ)

ασφάλεια προμηθειών: η δημιουργία και συντήρηση των κατάλληλων πολιτικών που διασφαλίζουν την προσβασιμότητα και, κατά περίπτωση, την ιχνηλασιμότητα των κρίσιμων προμηθειών που χρησιμοποιούνται για την παροχή των υπηρεσιών·

δ)

ελέγχους πρόσβασης στα συστήματα δικτύου και πληροφοριών: η ύπαρξη δέσμης μέτρων με τα οποία εξασφαλίζεται η φυσική και λογική πρόσβαση σε συστήματα δικτύων και πληροφοριών, συμπεριλαμβανομένης της ασφάλειας διαχείρισης των συστημάτων δικτύου και πληροφοριών, παρέχεται με εξουσιοδοτήσεις και περιορισμούς βάσει απαιτήσεων εμπορικής λειτουργίας και ασφάλειας.

α)

διεργασίες και διαδικασίες ανίχνευσης που συντηρούνται και ελέγχονται προκειμένου να εξασφαλιστεί έγκαιρη και κατάλληλη ενημέρωση για μη φυσιολογικά συμβάντα·

β)

διαδικασίες και πολιτικές για την υποβολή εκθέσεων σχετικά με συμβάντα και τον εντοπισμό αδυναμιών και τρωτών σημείων των οικείων συστημάτων πληροφοριών·

γ)

αντίδραση σύμφωνα με καθιερωμένες διαδικασίες και υποβολή εκθέσεων σχετικά με τα αποτελέσματα του ληφθέντος μέτρου·

δ)

αξιολόγηση της σοβαρότητας του συμβάντος, τεκμηρίωση των γνώσεων που αποκομίστηκαν από την ανάλυση των συμβάντων και συλλογή των σχετικών πληροφοριών που μπορούν να χρησιμεύσουν ως αποδεικτικά στοιχεία και να στηρίξουν μια διαδικασία συνεχούς βελτίωσης.

α)

την εγκατάσταση και τη χρήση σχεδίων έκτακτης ανάγκης βασισμένων σε ανάλυση του επιχειρηματικού αντίκτυπου για τη διασφάλιση της συνέχειας των υπηρεσιών που παρέχουν οι πάροχοι ψηφιακών υπηρεσιών που αξιολογούνται και ελέγχονται σε τακτική βάση, για παράδειγμα, μέσω ασκήσεων·

β)

ικανότητες ανάκαμψης μετά από καταστροφές που αξιολογούνται και ελέγχονται σε τακτική βάση, για παράδειγμα, μέσω ασκήσεων.

α)

την εκτέλεση σχεδιασμένης αλληλουχίας παρατηρήσεων ή μετρήσεων με τις οποίες αξιολογείται κατά πόσον τα συστήματα δικτύου και πληροφοριών λειτουργούν όπως προβλέπεται·

β)

την επιθεώρηση και την επαλήθευση ότι πρότυπο ή σειρά κατευθυντήριων γραμμών τηρείται, ότι τα πρακτικά είναι ακριβή και ότι επιτυγχάνονται οι στόχοι σχετικά με την αποδοτικότητα και την αποτελεσματικότητα·

γ)

τη διαδικασία που προορίζεται να αποκαλύψει ελλείψεις στο πλαίσιο των μηχανισμών ασφάλειας των συστημάτων δικτύου και πληροφοριών που προστατεύουν τα δεδομένα και διατηρούν τις λειτουργικές δυνατότητες όπως προβλέπεται. Η διαδικασία αυτή περιλαμβάνει τεχνικές διαδικασίες και το προσωπικό που απασχολείται στη ροή λειτουργίας.

α)

τον αριθμό των πληγέντων φυσικών και νομικών προσώπων με τα οποία έχει συναφθεί σύμβαση για την παροχή της υπηρεσίας· ή

β)

τον αριθμό των θιγόμενων χρηστών που έχουν χρησιμοποιήσει την υπηρεσία ιδίως με βάση προηγούμενα δεδομένα κίνησης.

α)

η υπηρεσία που παρέχεται από πάροχο ψηφιακών υπηρεσιών δεν ήταν διαθέσιμη για περισσότερες από 5 000 000 χρηστοώρες· ο όρος χρηστοώρα αναφέρεται στο πλήθος των θιγόμενων χρηστών στην Ένωση επί χρονικό διάστημα εξήντα λεπτών·

β)

το συμβάν είχε ως αποτέλεσμα την απώλεια της ακεραιότητας, της αυθεντικότητας, ή της εμπιστευτικότητας των αποθηκευμένων ή μεταδοθέντων ή των επεξεργασμένων δεδομένων ή τις συναφείς υπηρεσίες που προσφέρονται ή είναι προσβάσιμες μέσω συστήματος δικτύου και πληροφοριών του παρόχου ψηφιακών υπηρεσιών, επηρεάζοντας περισσότερους από 100 000 χρήστες εντός της Ένωσης·

γ)

το συμβάν προκάλεσε κίνδυνο για τη δημόσια ασφάλεια, τη δημόσια προστασία ή κίνδυνο απώλειας ανθρώπινων ζωών·

δ)

το συμβάν έχει προκαλέσει υλικές ζημίες σε τουλάχιστον έναν χρήστη στην Ένωση, εφόσον η ζημία που προκλήθηκε στον εν λόγω χρήστη υπερβαίνει το 1 000 000 EUR.