1. Η Εθνική Αρχή Κυβερνοασφάλειας σε συνεργασία με την αρμόδια CSIRT και τους λοιπούς εμπλεκόμενους φορείς:
α) αξιολογεί τα τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων που πρέπει να λάβουν οι πάροχοι ψηφιακών υπηρεσιών, όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν στο πλαίσιο της παροχής, εντός της Ευρωπαϊκής Ένωσης, των υπηρεσιών του Παραρτήματος II. Τα μέτρα αυτά πρέπει να εξασφαλίζουν επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο και να συνεκτιμούν ιδίως τα εξής στοιχεία:
αα) την ασφάλεια των συστημάτων και των εγκαταστάσεων,
ββ) τη διαχείριση συμβάντων,
γγ) τη διαχείριση της επιχειρησιακής συνέχειας,
δδ) την παρακολούθηση, τους ελέγχους και τις δοκιμές δικτύων και πληροφοριακών συστημάτων,
εε) τη συμμόρφωση με διεθνή πρότυπα,
β) αξιολογεί τα μέτρα για την αποτροπή και την ελαχιστοποίηση των επιπτώσεων συμβάντων, τα οποία πρέπει να λάβουν οι πάροχοι ψηφιακών υπηρεσιών και επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν σε σχέση με τις υπηρεσίες του Παραρτήματος ΙΙ, οι οποίες προσφέρονται εντός της Ευρωπαϊκής Ένωσης, με σκοπό τη διασφάλιση της επιχειρησιακής συνέχειάς τους,
γ) καθορίζει τη διαδικασία κοινοποίησης που πρέπει να τηρούν οι πάροχοι ψηφιακών υπηρεσιών, προκειμένου να κοινοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT, χωρίς αδικαιολόγητη καθυστέρηση, κάθε συμβάν που έχει σημαντικές επιπτώσεις στην παροχή της υπηρεσίας, η οποία υπάγεται σε κατηγορία υπηρεσιών που αναφέρεται στο Παράρτημα ΙΙ και παρέχεται από αυτούς εντός της Ευρωπαϊκής Ένωσης. Οι ανωτέρω κοινοποιήσεις περιλαμβάνουν πληροφορίες που επιτρέπουν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT να προσδιορίσουν τόσο τη σοβαρότητα του συμβάντος όσο και τις διασυνοριακές επιπτώσεις. Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα πάροχο.
2. Για να προσδιοριστεί αν οι επιπτώσεις ενός συμβάντος είναι σημαντικές, λαμβάνονται υπόψη ειδικότερα οι εξής παράμετροι:
α) ο αριθμός των χρηστών που επηρεάζονται από το συμβάν, ιδίως αυτών που εξαρτώνται από την υπηρεσία για την παροχή των δικών τους υπηρεσιών,
β) η διάρκεια του συμβάντος,
γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν,
δ) το μέγεθος της διατάραξης της λειτουργίας της υπηρεσίας,
ε) η έκταση των επιπτώσεων στις οικονομικές και κοινωνικές δραστηριότητες.
Η υποχρέωση κοινοποίησης συμβάντος εφαρμόζεται μόνο αν ο πάροχος ψηφιακών υπηρεσιών έχει πρόσβαση στις πληροφορίες που απαιτούνται για να εκτιμηθεί ο αντίκτυπος του συμβάντος έναντι των παραμέτρων που αναφέρονται στις περιτπώσεις α΄ έως ε΄.
3. Όταν ένας φορέας εκμετάλλευσης βασικών υπηρεσιών εξαρτάται από τρίτο φορέα παροχής ψηφιακών υπηρεσιών για την παροχή υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων οικονομικών και κοινωνικών δραστηριοτήτων, κοινοποιείται από τον εν λόγω φορέα κάθε σοβαρή επίπτωση επί της συνέχειας των βασικών υπηρεσιών που οφείλεται σε συμβάν το οποίο επηρεάζει τον πάροχο ψηφιακών υπηρεσιών.
4. Κατά περίπτωση, και συγκεκριμένα αν το συμβάν με σημαντικές επιπτώσεις που αναφέρεται στην περίπτωση γ΄ της παραγράφου 1 αφορά δύο (2) ή περισσότερα κράτημέλη, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει τα άλλα κράτημέλη που επηρεάζονται από το συμβάν. Στο πλαίσιο της ενημέρωσης αυτής, το ενιαίο κέντρο επαφής σε συνεργασία με την αρμόδια CSIRT πρέπει, σύμφωνα με το ενωσιακό δίκαιο και την εθνική νομοθεσία που είναι σύμφωνη προς το ενωσιακό δίκαιο, να διαφυλάσσουν την ασφάλεια και τα εμπορικά συμφέροντα του παρόχου ψηφιακών υπηρεσιών, καθώς και το απόρρητο των πληροφοριών που ο τελευταίος έχει παράσχει. Το εθνικό ενιαίο κέντρο επαφής διαβιβάζει τις κοινοποιήσεις συμβάντων που αναφέρονται στο πρώτο εδάφιο της παρούσας στα ενιαία κέντρα επαφής των άλλων επηρεαζόμενων κρατώνμελών.
5. Ύστερα από διαβούλευση με τον ενδιαφερόμενο πάροχο ψηφιακών υπηρεσιών, η Εθνική Αρχή Κυβερνοασφάλειας, σε συνεργασία με την αρμόδια CSIRT, και, κατά περίπτωση, οι αρμόδιες αρχές ή τα αρμόδια CSIRT άλλων ενδιαφερόμενων κρατώνμελών μπορούν να ενημερώνουν το κοινό σχετικά με μεμονωμένα συμβάντα ή να απαιτούν από τον πάροχο ψηφιακών υπηρεσιών να το πράξει, όταν η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη ή αν η αποκάλυψη του συμβάντος εξυπηρετεί το δημόσιο συμφέρον.
6. Με την επιφύλαξη της παραγράφου 5 του άρθρου 1, δεν επιβάλλονται οποιεσδήποτε περαιτέρω υποχρεώσεις ασφάλειας ή κοινοποίησης στους παρόχους ψηφιακών υπηρεσιών.
7. Τα άρθρα 11 έως 13 δεν εφαρμόζονται σε πολύ μικρές και μικρές επιχειρήσεις, όπως αυτές ορίζονται στη σύσταση 2003/361/ΕΚ της Επιτροπής της 6ης Μαΐου 2003 (EE L 124).