9.1. Σκοπός – Εύρος Πολιτικής
Η Πολιτική Διαχείρισης Περιστατικών Ασφάλειας έχει ως σκοπό (α) να καταγραφούν οι λεπτομέρειες κάθε περιστατικού ασφάλειας, (β) να διερευνηθούν τα αίτια και να προσδιοριστούν οι τεχνικές ή/και οργανωτικές αδυναμίες στις οποίες ενδεχομένως οφείλεται το περιστατικό ασφάλειας, (γ) να καθοριστούν οι συνέπειες και να υλοποιηθούν οι ενέργειες αποκατάστασης με συγκεκριμένο χρονοδιάγραμμα, ανάλογα με την περίπτωση και (δ) να ενημερωθούν: i. ο Υπεύθυνος Διασφάλισης του Απορρήτου των Επικοινωνιών και τα αρμόδια στελέχη του υπόχρεου προσώπου, ii. οι αρμόδιες Αρχές και iii. οι θιγόμενοι συνδρομητές ή χρήστες των παρεχομένων δικτύων ή υπηρεσιών, σύμφωνα με την κείμενη νομοθεσία.
9.2. Γενικές Απαιτήσεις
9.2.1. Το υπόχρεο πρόσωπο οφείλει να καταρτίζει και να εφαρμόζει Διαδικασία Διαχείρισης Περιστατικών Ασφάλειας, η οποία θα ενεργοποιείται αμελλητί σε κάθε περίπτωση περιστατικού ασφάλειας.
9.2.2. Στη Διαδικασία Διαχείρισης Περιστατικών Ασφάλειας προβλέπεται η καταγραφή όλων των στοιχείων που αναφέρονται στην παράγραφο 9.1 του παρόντος άρθρου, καθώς και η σύνταξη και διατήρηση σε αρχείο όλων των εγγράφων που σχετίζονται με τα περιστατικά ασφάλειας, από τα οποία θα τεκμηριώνεται και η εκτέλεση των αντίστοιχων προβλεπόμενων ενεργειών. Κατ’ ελάχιστον, καταγράφονται τα ακόλουθα:
α. Ημερομηνία, ώρα εκδήλωσης και περιγραφή του περιστατικού,
β. Ημερομηνία και ώρα που έγινε αντιληπτό το περιστατικό από το υπόχρεο πρόσωπο,
γ. Σημείο στο οποίο εκδηλώθηκε το περιστατικό (ενδεικτικά, σύστημα, υπηρεσία, εφαρμογή, πρωτόκολλα, τύπος δεδομένων),
δ. Εκτιμούμενη αιτία εκδήλωσης του περιστατικού,
ε. Συνέπειες του περιστατικού (ενδεικτικά, πλήθος χρηστών που επηρεάστηκαν, τύπος και όγκος των δεδομένων που επηρεάστηκαν),
στ. Συλλεχθέντα στοιχεία από το υπόχρεο πρόσωπο για τη διερεύνηση του περιστατικού (ενδεικτικά, αρχεία καταγραφής, στοιχεία παραβίασης, κ.α.),
ζ. Ενημέρωση για την ενδεχόμενη εμφάνιση του περιστατικού περισσότερες φορές,
η. Χρόνος επίλυσης του προβλήματος,
θ. Διορθωτικά μέτρα και σχετικό χρονοδιάγραμμα,
ι. Ενημέρωση θιγόμενων συνδρομητών ή άλλων ατόμων που επηρεάστηκαν από το περιστατικό και γνωστοποίηση στις αρμόδιες αρχές σύμφωνα με την κείμενη νομοθεσία,
ια. Ενδεχόμενες συστάσεις σε θιγόμενους συνδρομητές ή άλλα άτομα που επηρεάστηκαν από το περιστατικό, με σκοπό τον μετριασμό των αρνητικών επιπτώσεων του.
9.2.3. Σε περίπτωση περιστατικού ασφάλειας, τα υπόχρεα πρόσωπα που αναφέρονται στο άρθρο 1 παρ.2 του παρόντος Κανονισμού υποχρεούνται να ενημερώνουν αμελλητί την Α.Δ.Α.Ε., υποβάλλοντας, για κάθε περιστατικό, έγγραφο με τίτλο «Έκθεση Άμεσης Αναφοράς Περιστατικού Ασφάλειας». Στην «Έκθεση Άμεσης Αναφοράς Περιστατικού Ασφάλειας» καταγράφονται, κατ’ ελάχιστον, οι αναφερόμενες στην παράγραφο 9.2.2 του παρόντος άρθρου πληροφορίες, σύμφωνα με τα δεδομένα που είναι διαθέσιμα κατά τον χρόνο πραγματοποίησης της ενημέρωσης. Μετά την ολοκλήρωση της αντιμετώπισης και της διερεύνησης του περιστατικού, τα υπόχρεα πρόσωπα της παρούσας παραγράφου υποβάλλουν στην Α.Δ.Α.Ε. έγγραφο με τίτλο «Τελική Έκθεση Αναφοράς Περιστατικού Ασφάλειας», στο οποίο καταγράφονται με λεπτομέρεια όλες οι αναφερόμενες στην παράγραφο 9.2.2 του παρόντος άρθρου πληροφορίες, καθώς και κάθε πρόσθετη πληροφορία που τυχόν έχει στη διάθεσή του το υπόχρεο πρόσωπο.
9.2.4. Στη Διαδικασία Διαχείρισης Περιστατικών Ασφάλειας ορίζονται τα αρμόδια στελέχη του υπόχρεου προσώπου, στα οποία θα πρέπει να αναφέρονται άμεσα τα περιστατικά ασφάλειας, καθώς και τα σχετικά στοιχεία επικοινωνίας αυτών.
9.2.5. Το υπόχρεο πρόσωπο οφείλει να παρέχει στους συνδρομητές ή χρήστες των δικτύων ή υπηρεσιών του τη δυνατότητα να καταγγέλλουν με απλά μέσα (π.χ. μέσω της ιστοθέσης του) την ενδεχόμενη παραβίαση του απορρήτου των επικοινωνιών τους.
9.2.6. Το υπόχρεο πρόσωπο οφείλει να ελέγχει σε τακτά χρονικά διαστήματα την ετοιμότητα ενεργοποίησης της Διαδικασίας Διαχείρισης Περιστατικών Ασφάλειας, σε συμφωνία με τις αρχές της Πολιτικής Ελέγχου Εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών του άρθρου 11 του παρόντος Κανονισμού.
