1. Οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών λαμβάνουν πρόσφορα και αναλογικά τεχνικά και οργανωτικά μέτρα για την κατάλληλη διαχείριση του κινδύνου όσον αφορά την ασφάλεια των δικτύων και υπηρεσιών. Τα μέτρα αυτά, λαμβάνοντας υπόψη τις πλέον προηγμένες τεχνικές δυνατότητες, πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τον υπάρχοντα κίνδυνο.
2. Ειδικότερα, οι πάροχοι λαμβάνουν μέτρα, συμπεριλαμβανομένης της κρυπτογράφησης, όπου κρίνεται σκόπιμο, για την αποτροπή και ελαχιστοποίηση των επιπτώσεων από συμβάντα ασφάλειας που επηρεάζουν τους χρήστες και άλλα δίκτυα και υπηρεσίες. Οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών κοινοποιούν αμελλητί στην Α.Δ.Α.Ε. κάθε συμβάν ασφάλειας που είχε σημαντικό αντίκτυπο στη λειτουργία των δικτύων και υπηρεσιών. Η Α.Δ.Α.Ε. με τη σειρά της: α) κοινοποιεί αμελλητί κάθε συμβάν, του οποίου λαμβάνει γνώση σύμφωνα με το προηγούμενο εδάφιο, στην Εθνική Αρχή Κυβερνοασφάλειας που έχει οριστεί σύμφωνα με τις διατάξεις του ν. 4577/2018 (Α΄ 199) και β) κοινοποιεί τα συμβάντα που έχουν αντίκτυπο στη διαθεσιμότητα ή στην ακεραιότητα δικτύων ή υπηρεσιών στην Ε.Ε.Τ.Τ.
Για να προσδιοριστεί η σοβαρότητα του αντίκτυπου ενός συμβάντος ασφάλειας, λαμβάνονται υπόψη ιδίως, οι ακόλουθες παράμετροι όπου είναι διαθέσιμες:
α) ο αριθμός των χρηστών που επηρεάζονται από το συμβάν ασφάλειας,
β) η διάρκεια του συμβάντος ασφάλειας,
γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν ασφάλειας,
δ) ο βαθμός στον οποίο επηρεάζεται η ασφάλεια ή/και η λειτουργία του δικτύου ή της υπηρεσίας,
ε) η έκταση του αντίκτυπου στις οικονομικές και κοινωνικές δραστηριότητες. Κατά περίπτωση, η Α.Δ.Α.Ε. ενημερώνει τις αρμόδιες αρχές στα άλλα κράτη - μέλη, καθώς και τον Οργανισμό της Ε.Ε. για την Ασφάλεια Δικτύων και Πληροφοριών («ENISA»).
Η Α.Δ.Α.Ε. μπορεί να ενημερώσει το κοινό ή να απαιτήσει την ενημέρωση αυτή από τους παρόχους, εφόσον κρίνει ότι η αποκάλυψη του συμβάντος ασφάλειας είναι προς το δημόσιο συμφέρον. Η Α.Δ.Α.Ε. υποβάλλει κατ’ έτος στην Ευρωπαϊκή Επιτροπή και στον ENISA συνοπτική έκθεση σχετικά με τις κοινοποιήσεις που έχει παραλάβει και τη δράση που έχει αναλάβει σύμφωνα με την παρούσα παράγραφο. Η έκθεση του προηγούμενου εδαφίου κοινοποιείται και στην Εθνική Αρχή Κυβερνοασφάλειας.
3. Σε περίπτωση ιδιαίτερης και σημαντικής απειλής για συμβάν ασφάλειας σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών ή διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών, οι πάροχοι των εν λόγω δικτύων ή υπηρεσιών ενημερώνουν τους χρήστες τους, που θα μπορούσαν να επηρεαστούν από μια τέτοια απειλή, σχετικά με τυχόν πιθανά προστατευτικά ή διορθωτικά μέτρα τα οποία μπορούν να ληφθούν από τους χρήστες. Κατά περίπτωση, οι πάροχοι ενημερώνουν επίσης τους χρήστες τους για την ίδια την απειλή.
4. Το παρόν άρθρο ισχύει με την επιφύλαξη του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (L 119), του ν. 4624/2019 (Α΄ 137) και του ν. 3471/2006 (A΄ 133).
