1. Η Εθνική Αρχή Κυβερνοασφάλειας, σε συνεργασία με την αρμόδια CSIRT και τους λοιπούς, ανά τομέα βασικής υπηρεσίας, εμπλεκόμενους φορείς:
α) αξιολογεί τα τεχνικά και οργανωτικά μέτρα που λαμβάνουν οι φορείς εκμετάλλευσης βασικών υπηρεσιών για τη διαχείριση των κινδύνων που αφορούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους, ως προς την καταλληλότητα και την αναλογικότητά τους,
β) αξιολογεί την καταλληλότητα των μέτρων που λαμβάνουν οι φορείς εκμετάλλευσης βασικών υπηρεσιών για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούνται για την παροχή των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της επιχειρησιακής συνέχειάς τους,
γ) καθορίζει τη διαδικασία κοινοποίησης που πρέπει να τηρούν οι φορείς εκμετάλλευσης βασικών υπηρεσιών, προκειμένου να κοινοποιήσουν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT συμβάντα με σοβαρές επιπτώσεις στην επιχειρησιακή συνέχεια των βασικών υπηρεσιών που αυτοί παρέχουν. Οι ανωτέρω κοινοποιήσεις εκ μέρους των φορέων εκμετάλλευσης βασικών υπηρεσιών πρέπει να πραγματοποιούνται χωρίς αδικαιολόγητη καθυστέρηση και να περιλαμβάνουν πληροφορίες που να επιτρέπουν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT να προσδιορίσουν τόσο τη σοβαρότητα όσο και τις διασυνοριακές επιπτώσεις, λόγω του κοινοποιούμενου περιστατικού. Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα.
2. Για να προσδιοριστεί η σοβαρότητα του αντίκτυπου ενός συμβάντος, λαμβάνονται υπόψη ειδικότερα οι εξής παράμετροι:
α) ο αριθμός των χρηστών που επηρεάζονται από τη διατάραξη της βασικής υπηρεσίας,
β) η διάρκεια του συμβάντος,
γ) το γεωγραφικό εύρος της περιοχής που επηρεάζεται από το συμβάν.
3. Βάσει των πληροφοριών που παρέχονται στην κοινοποίηση από το φορέα εκμετάλλευσης βασικών υπηρεσιών, η Εθνική Αρχή Κυβερνοασφάλειας ενημερώνει το ή τα άλλα επηρεαζόμενα κράτημέλη, εφόσον το κοινοποιούμενο συμβάν έχει σοβαρό αντίκτυπο στην επιχειρησιακή συνέχεια των βασικών υπηρεσιών στο εν λόγω κράτος-μέλος. Στο πλαίσιο της ανωτέρω ενημέρωσης, διαφυλάσσεται, σύμφωνα με το ενωσιακό δίκαιο ή με την εθνική νομοθεσία, η ασφάλεια και τα εμπορικά συμφέροντα του κοινοποιούντος φορέα εκμετάλλευσης βασικών υπηρεσιών, καθώς και το απόρρητο των πληροφοριών που έχουν παρασχεθεί στην κοινοποίησή του.
Όταν οι περιστάσεις το επιτρέπουν, η Εθνική Αρχή Κυβερνοασφάλειας ή η αρμόδια CSIRT παρέχει στον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών πληροφορίες όσον αφορά τις ενέργειες που έλαβαν χώρα σε συνέχεια της κοινοποίησής του, όπως πληροφορίες που θα μπορούσαν να υποστηρίξουν την αποτελεσματική διαχείριση του περιστατικού.
Μετά από αίτηση της αρμόδιας αρχής ή του CSIRT, το ενιαίο κέντρο επαφής διαβιβάζει τις κοινοποιήσεις συμβάντων που αναφέρονται στο πρώτο εδάφιο της παρούσας στα ενιαία κέντρα επαφής των άλλων επηρεαζόμενων κρατώνμελών.
4. Ύστερα από διαβούλευση με τον κοινοποιούντα φορέα εκμετάλλευσης βασικών υπηρεσιών, η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να ενημερώνει το κοινό σχετικά με μεμονωμένα συμβάντα, αν η ενημέρωση του κοινού είναι απαραίτητη για την πρόληψη μελλοντικού συμβάντος ή την αντιμετώπιση συμβάντος που βρίσκεται σε εξέλιξη.
5. Η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να καταρτίζει και να εκδίδει κατευθυντήριες γραμμές σχετικά με τις περιστάσεις υπό τις οποίες οι φορείς εκμετάλλευσης βασικών υπηρεσιών είναι υποχρεωμένοι να κοινοποιούν συμβάντα, συμπεριλαμβανομένων μεταξύ άλλων των παραμέτρων που προσδιορίζουν τη σοβαρότητα των επιπτώσεων ενός συμβάντος, όπως αυτές αναφέρονται στην παράγραφο 2.
