Κυβερνοασφάλεια: Προσόντα, καθήκοντα, ασυμβίβαστα και υποχρεώσεις των Υπεύθυνων Ασφαλείας Συστημάτων Πληροφορικής και Επικοινωνιών

Δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως η υπουργική απόφαση για τον καθορισμό των προσόντων, καθηκόντων, ασυμβιβάστων και υποχρεώσεων των Υπεύθυνων Ασφαλείας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) των βασικών και σημαντικών
οντοτήτων των παρ. 1 και 2, αντίστοιχα, του άρθρου  4 του ν. 5160/2024 (ΦΕΚ Β’/4250/5-8-2025).

Σύμφωνα με το άρθρο 3 της απόφασης, οι Οντότητες επιλέγουν και ορίζουν ως Υ.Α.Σ.Π.Ε. στέλεχός τους, που διαθέτει κατάλληλα για τα καθήκοντα της θέσης προσόντα και εμπειρογνωμοσύνη στους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας. Η επιλογή βασίζεται ιδίως σε κριτήρια που αφορούν την εμπειρία και τη γνώση στους ανωτέρω τομείς, την ακεραιότητα, την ευσυνειδησία, τις εν γένει ικανότητες και δεξιότητές του, ιδίως αναφορικά με τη διαχείριση κρίσεων, τη λήψη αποφάσεων και τον συντονισμό ενεργειών, καθώς και το επίπεδο κατανόησης της σημασίας του ρόλου του για την ασφάλεια και την προστασία κρίσιμων για την Οντότητα συστημάτων και δεδομένων.

Κατ’ εξαίρεση, δύναται να ορίζεται στέλεχος άλλης Οντότητας ως Υ.Α.Σ.Π.Ε., εφόσον πρόκειται για Οντότητες στο πλαίσιο του ίδιου ομίλου επιχειρήσεων.

Οι Οντότητες επανεξετάζουν περιοδικά τη συνδρομή των ανωτέρω προσόντων και δεξιοτήτων στο πρόσωπο του ορισθέντος Υ.Α.Σ.Π.Ε. και τον αντικαθιστούν, εφόσον κρίνουν ότι δεν είναι πλέον σε θέση να ασκεί προσηκόντως τα καθήκοντά του.

Όσον αφορά στα προσόντα, κωλύματα και ασυμβίβαστα  του Υ.Α.Σ.Π.Ε., στο άρθρο 4 της απόφασης ορίζεται ότι ο τελευταίος πρέπει να διαθέτει επαρκή γνώση των επιχειρηματικών διαδικασιών της Οντότητας, καθώς και τα κάτωθι ελάχιστα προσόντα:

α) Προπτυχιακό ή μεταπτυχιακό τίτλο ετήσιας τουλάχιστον διάρκειας σε συναφές με τους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας γνωστικό αντικείμενο ή β) Εμπειρογνωσία στους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας τουλάχιστον 5 ετών ή γ) Πιστοποιημένη γνώση μεθοδολογιών, διαδικασιών, τεχνικών, εργαλείων και προτύπων ασφάλειας πληροφοριών και ψηφιακών συστημάτων και εμπειρογνωσία στους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας τουλάχιστον 2 ετών.

Κώλυμα για τον ορισμό στελέχους ως Υ.ΑΣ.Π.Ε. συνιστά η προηγούμενη αμετάκλητη καταδίκη του για την τέλεση ενός ή περισσότερων από τα κακουργήματα ή τα πλημμελήματα των παρ. 1 και 2 του άρθρου 6 του ν. 5002/2022 (Α’ 228), των άρθρων 292Α έως 293 του Δεκάτου Τετάρτου Κεφαλαίου του Π.Κ. περί εγκλημάτων κατά των τηλεπικοινωνιών και άλλων κοινωφελών εγκαταστάσεων και των άρθρων 370 έως 370ΣΤ του Εικοστού Δεύτερου Κεφαλαίου του Π.Κ. περί προσβολών ατομικού απορρήτου και επικοινωνίας. Προς απόδειξη της απουσίας του κωλύματος του πρώτου εδαφίου οι Οντότητες οφείλουν να ζητούν από τον υποψήφιο Υ.Α.Σ.Π.Ε, την προσκόμιση αντιγράφου ποινικού μητρώου.

Η Εθνική Αρχή Κυβερνοασφάλειας δύναται να ζητεί οποτεδήποτε να της επιδειχθεί από την Οντότητα το αντίγραφο ποινικού μητρώου του ορισθέντος Υ.Α.Σ.Π.Ε.

Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.), καθώς και με αυτά του Υπευθύνου για τα αντικείμενα των τεχνολογιών πληροφορικής και επικοινωνίας (Τ.Π.Ε) και της ηλεκτρονικής διακυβέρνησης της Οντότητας.

Περαιτέρω, στην απόφαση ορίζονται οι υποχρεώσεις των Οντοτήτων σχετικά με τη διασφάλιση ότι ο Υ.Α.Σ.Π.Ε. υπόκειται σε κατάλληλους ελέγχους ιστορικού προτού αναλάβει τα καθήκοντά του, προκειμένου να διασφαλιστεί ότι διαθέτει τα απαιτούμενα προσόντα και δεξιότητες. Επιπλέον, αναφέρονται αναλυτικά τα καθήκοντα και οι υποχρεώσεις Υ.Α.Σ.Π.Ε.

Επισημαίνεται ότι οι Οντότητες δηλώνουν υποχρεωτικά τον ορισθέντα Υ.Α.Σ.Π.Ε. στην ψηφιακή πλατφόρμα του τρίτου εδαφίου της παρ. 3 του άρθρου 4 του ν. 5160/2024 σύμφωνα με τα οριζόμενα στην υπό στοιχεία 1381/23.01.2025 κοινή απόφαση του Υφυπουργού Εθνικής Οικονομίας και Οικονομικών και του Υπουργού Ψηφιακής Διακυβέρνησης ( Β’ 463).

Δείτε αναλυτικά την απόφαση στο et.gr.