Νέο χτύπημα στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) από την κυβέρνηση Μητσοτάκη καθώς με εν κρυπτώ διάταξη επιχειρούν να αφαιρέσουν κρίσιμες αρμοδιότητες από την ανεξάρτητη αρχή, όπως ο έλεγχος σε παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών και η επιβολή προστίμων έως 1,5 εκατ. ευρώ για παραβάσεις σχετικές με την ασφάλεια δικτύων και υπηρεσιών.
Πρόκειται για το νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης για την «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση» που κατατέθηκε χθες το βράδυ στη Βουλή. Μέσα στις 67 σελίδες του νομοσχεδίου, υπάρχει το άρθρο 32 που εν μέσω του σκανδάλου των υποκλοπών, επισημαίνει ότι καταργούνται παλαιότερες διατάξεις.
Συγκεκριμένα, το άρθρο 32 γράφει τα εξής:
Από την έναρξη ισχύος του παρόντος μέρους καταργούνται:
α) τα άρθρα 148, περί ασφάλειας δικτύων και υπηρεσιών, και 149, περί εφαρμογής και επιβολής, του ν. 4727/2020 (Α’ 184) και
β) τα άρθρα 1 έως 16 του ν. 4577/2018 (Α’ 199), περί ενσωμάτωσης στην ελληνική νομοθεσία της Οδηγίας 2016/1148/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση.
Τι προβλέπουν όμως οι διατάξεις που καταργούνται;
Το άρθρο 148 αναφέρει μεταξύ άλλων ότι «οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών κοινοποιούν αμελλητί στην ΑΔΑΕ κάθε συμβάν ασφάλειας που είχε σημαντικό αντίκτυπο στη λειτουργία των δικτύων και υπηρεσιών».
Το άρθρο 149 είναι ακόμα πιο κομβικό, καθώς προβλέπει τα εξής:
1. Η ΑΔΑΕ, σε εφαρμογή του άρθρου 148, εκδίδει κανονιστικές πράξεις, συμπεριλαμβανομένων εκείνων που αφορούν τα μέτρα που απαιτούνται για την αντιμετώπιση συμβάντων ασφάλειας ή για την αποτροπή τους, όταν εντοπιστεί σημαντική απειλή, καθώς και τις προθεσμίες εφαρμογής τους, προς τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών.
2. Η ΑΔΑΕ απαιτεί από τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών:
α) να παρέχουν πληροφορίες απαραίτητες για την εκτίμηση της ασφάλειας των δικτύων και υπηρεσιών τους, περιλαμβανομένων τεκμηριωμένων πολιτικών ασφάλειας, και
β) να υποβάλονται στον έλεγχό της ως προς την ασφάλεια. Το κόστος του ελέγχου επιβαρύνει τον πάροχο.
Η πληροφόρηση για την εκτίμηση ασφάλειας δικτύων και υπηρεσιών, περιλαμβανομένων των πολιτικών ασφαλείας, σύμφωνα με την περ. α΄, καθώς και τα αποτελέσματα των ελέγχων, σύμφωνα με τα οριζόμενα στην περ. β΄΄, κοινοποιούνται από την ΑΔΑΕ στην Εθνική Αρχή Κυβερνοασφάλειας, όποτε αυτό απαιτηθεί από τη δεύτερη.
3. Η ΑΔΑΕ διαθέτει όλες τις απαραίτητες εξουσίες για τη διενέργεια ελέγχων για τη διερεύνηση της συμμόρφωσης προς το τεθέν κανονιστικό πλαίσιο, καθώς και για τη διερεύνηση περιπτώσεων μη συμμόρφωσης με αυτό και των επιπτώσεών τους στην ασφάλεια των δικτύων και υπηρεσιών.
4. Όταν παραβιάζονται οι υποχρεώσεις του παρόντος άρθρου, επιβάλλεται από την ΑΔΑΕ για κάθε παράβαση στους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, ανάλογα με τη βαρύτητα της παράβασης, τον βαθμό υπαιτιότητας και την περίπτωση υποτροπής, μία από τις παρακάτω κυρώσεις:
α) σύσταση για συμμόρφωση μέσα στα χρονικά όρια της τασσόμενης προθεσμίας με προειδοποίηση επιβολής προστίμου σε περίπτωση παράλειψης συμμόρφωσης,
β) πρόστιμο από δεκαπέντε χιλιάδες ευρώ (15.000 €) έως ένα εκατομμύριο πεντακόσιες χιλιάδες ευρώ (1.500.000 €).
Οι εν λόγω κυρώσεις επιβάλλονται με αιτιολογημένη απόφαση της ΑΔΑΕ ύστερα από προηγούμενη κλήση του ενδιαφερομένου για παροχή εξηγήσεων. Οι αποφάσεις που εκδίδονται κατ’ εφαρμογή των διατάξεων του παρόντος άρθρου, υπόκεινται σε προσφυγή ουσίας ενώπιον του Διοικητικού Εφετείου Αθηνών.
5. Για την εφαρμογή του άρθρου 148, η Α.Δ.Α.Ε. επικουρείται από Ομάδα Απόκρισης για συμβάντα που αφορούν την Ασφάλεια Υπολογιστών («Computer Security Incident Response Team», «CSIRT»), η οποία ορίζεται σύμφωνα με την παρ. 1 του άρθρου 8 του ν. 4577/2018.
6. Η ΑΔΑΕ συνεργάζεται κατά περίπτωση, σύμφωνα με τις διατάξεις της κείμενης νομοθεσίας, με τις αρμόδιες αρχές επιβολής του νόμου, με την Εθνική Αρχή Κυβερνοασφάλειας, και με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.).