1. Η Εθνική Αρχή Κυβερνοασφάλειας δύναται να ενεργεί ελέγχους, στις εγκαταστάσεις, στον τεχνικό εξοπλισμό και στις τεχνολογικές υποδομές του Οργανισμού. Οι έλεγχοι διενεργούνται είτε σε τακτική βάση ή εκτάκτως.
2. Κάθε έλεγχος, τακτικός ή έκτακτος, διενεργείται από Ομάδα Επιθεώρησης Ελέγχου την οποία ορίζει και εξουσιοδοτεί η Εθνική Αρχή Κυβερνοασφάλειας, με την παρουσία του Υπεύθυνου Ασφάλειας Πληροφοριών και Δικτύων ή άλλου εξουσιοδοτημένου προς τούτο εργαζόμενου του ελεγχόμενου Οργανισμού.
3. Σε περίπτωση τακτικού ελέγχου ενημερώνεται ο Οργανισμός για την ημερομηνία διενέργειάς του. Η Ομάδα Επιθεώρησης Ελέγχου δύναται να ζητήσει να υπάρχουν διαθέσιμα πλήρη αντίγραφα των υφισταμένων Πολιτικών και των διαδικασιών για την ασφάλεια συστημάτων δικτύου και πληροφοριών. Η ενημέρωση θα πρέπει να έχει γίνει δεκαπέντε (15) ημέρες τουλάχιστον πριν τον έλεγχο.
4. Οι έκτακτοι έλεγχοι δύνανται να διενεργούνται αυτεπαγγέλτως ή κατόπιν έγγραφης αναφοράς/κοινοποίησης συμβάντος ασφάλειας, χωρίς προηγούμενη ενημέρωση του ελεγχόμενου υπόχρεου Οργανισμού.
5. Κατά τη διαδικασία του ελέγχου η Ομάδα Επιθεώρησης Ελέγχου μπορεί να ζητήσει πρόσβαση σε πάσης φύσεως εξοπλισμό, αρχεία, βιβλία, δεδομένα και λοιπά στοιχεία, να διενεργεί έρευνες στα γραφεία και λοιπές εγκαταστάσεις του Οργανισμού, να λαμβάνει ένορκες και ανωμοτί κατά την κρίση της καταθέσεις, με την επιφύλαξη του άρθρου 212 του Κώδικα Ποινικής Δικονομίας, για τη συλλογή κάθε πληροφορίας που εξυπηρετεί τους σκοπούς του ελέγχου.
6. Η Ομάδα Επιθεώρησης Ελέγχου, προβαίνει, όποτε απαιτείται, στην προσωρινή δέσμευση εξοπλισμού συστημάτων δικτύων και πληροφοριών, εάν κατά τη διενέργεια του ελέγχου, ειδικά εφόσον έχει προηγηθεί συμβάν ασφάλειας, διαπιστωθεί ότι τα τελευταία χρήζουν περαιτέρω εξέτασης προκειμένου να εξακριβωθεί η λειτουργικότητα και η ακεραιότητά τους.
7. Η Ομάδα Επιθεώρησης Ελέγχου προβαίνει σε έλεγχο στις εγκαταστάσεις του υπόχρεου Οργανισμού κατά τα ως άνω οριζόμενα, προκειμένου να διαπιστωθεί εάν συμμορφώνεται με τις επιταγές του ν. 4577/2018 (Α΄ 199) και των οριζόμενων στην παρούσα απόφαση. Για κάθε επιτόπιο έλεγχο συντάσσεται ειδικό έγγραφο με τίτλο «Πρακτικό Διενέργειας Επιτόπιου Ελέγχου στις εγκαταστάσεις του υπόχρεου Οργανισμού», το οποίο συνυπογράφεται από τον Υπεύθυνο Ασφάλειας Πληροφοριών και Δικτύων.
8. Μετά την ολοκλήρωση του επιτόπιου ελέγχου, η Ομάδα Επιθεώρησης Ελέγχου εξετάζει το σύνολο των συλλεχθέντων στοιχείων και συντάσσουν έγγραφο με τίτλο «Έκθεση διενέργειας τακτικού ελέγχου Ασφαλείας Πληροφοριών και Δικτύων στον υπόχρεο Οργανισμό», το οποίο περιλαμβάνει απαραιτήτως τα ακόλουθα στοιχεία:
α) Τα στοιχεία της απόφασης της ΕΑΚ με την οποία ορίστηκε η διενέργεια τακτικού ή έκτακτου ελέγχου.
β) Το ονοματεπώνυμο και την ιδιότητα των προσώπων που απαρτίζουν την Ομάδα Επιθεώρησης Ελέγχου και την ημερομηνία σύστασης της τελευταίας.
γ) Την επωνυμία του ελεγχόμενου υπόχρεου Οργανισμού, καθώς και το όνομα του Υπεύθυνο Ασφάλειας Πληροφοριών και Δικτύων.
δ) Το πρακτικό Διενέργειας Επιτόπιου Ελέγχου στις εγκαταστάσεις του υπόχρεου Οργανισμού καθώς και κάθε σχετική έγγραφη επικοινωνία μεταξύ της Αρχής και του Οργανισμού στο πλαίσιο της διεξαγωγής του τακτικού ελέγχου.
ε) Αναλυτική περιγραφή των ευρημάτων του ελέγχου και διαπίστωση τυχόν παραλείψεων καθώς και συστάσεις προς επίλυση αυτών.
στ) Την ημερομηνία έναρξης και περάτωσης του ελέγχου.
ζ) Τελικό πόρισμα του ελέγχου.
9. Η έκθεση κοινοποιείται από την ΕΑΚ στον υπόχρεο Οργανισμό το αργότερο εντός εξήντα (60) ημερών από την ημερομηνία περάτωσης του ελέγχου.
10. Οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τη διαδικασία ελέγχου, διενεργείται σύμφωνα με τον Κανονισμό (ΕΚ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 (ΕΕ L 119) και το ν. 2472/1997 (Α΄ 50).
