Σε διαβούλευση νομοσχέδιο για τις Κρίσιμες Οντότητες και τους Δήμους

Ο Υπουργός Προστασίας του Πολίτη κ. Μιχαήλ Χρυσοχοΐδης έθεσε, σε δημόσια ηλεκτρονική διαβούλευση το σχέδιο νόμου με τίτλο: «Προσδιορισμός κρίσιμων οντοτήτων, ορισμός της Γενικής Γραμματείας Προστασίας Κρίσιμων Οντοτήτων του Υπουργείου Προστασίας του Πολίτης ως αρμόδιας αρχής και ενιαίου σημείου επαφής – Εποπτεία συμμόρφωσης, επιβολή μέτρων και κυρώσεων -Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου».

Βασικός σκοπός είναι η ενίσχυση της ανθεκτικότητας των κρίσιμων οντοτήτων, ως παρόχων βασικών υπηρεσιών με θεμελιώδη ρόλο στη διατήρηση ζωτικών κοινωνικών λειτουργιών ή οικονομικών δραστηριοτήτων στην αγορά, έναντι ανθρωπογενών ή φυσικών κινδύνων και απειλών. Προς αυτή την κατεύθυνση ορίζεται η Γενική Γραμματεία Προστασίας Κρίσιμων Οντοτήτων (Γ.Γ.Π.Κ.Ο.) του Υπουργείου Προστασίας του Πολίτη ως αρμόδια εθνική αρχή και ενιαίο σημείο επαφής για την ανθεκτικότητα των κρίσιμων οντοτήτων και παράλληλα εισάγονται οι αναγκαίες ρυθμίσεις για την ανωτέρω αποστολή της Γ.Γ.Π.Κ.Ο., καθώς και υποχρεώσεις των κρίσιμων οντοτήτων με στόχο την ενίσχυση της ανθεκτικότητάς τους και της ικανότητάς τους για την απρόσκοπτη παροχή υπηρεσιών στη χώρα, οι οποίες είναι βασικές για τη διατήρηση ζωτικών κοινωνικών λειτουργιών ή οικονομικών δραστηριοτήτων.

Στο πλαίσιο αυτό, καλείται να συμμετάσχει στη δημόσια ηλεκτρονική διαβούλευση κάθε κοινωνικός εταίρος και κάθε ενδιαφερόμενος, καταθέτοντας τις προτάσεις του για την όποια βελτίωση των διατάξεων του ανωτέρω νομοθετήματος.

Η διαβούλευση θα ολοκληρωθεί την Παρασκευή 19 Σεπτεμβρίου 2025 και ώρα 09:00.

Κρίσιμες Οντότητες, είναι και οι δήμοι επειδή παρέχουν ουσιώδεις λειτουργίες για την κοινωνία.

Τι προβλέπεται για τους δήμους

1. Αναγνώριση κρίσιμων τομέων
   Οι δήμοι που δραστηριοποιούνται σε τομείς όπως:
   • Ύδρευση και αποχέτευση (ΔΕΥΑ ή υπηρεσίες ύδρευσης).
   • Διαχείριση αποβλήτων.
   • Δημόσια συγκοινωνία (όπου υπάρχει δημοτική εταιρεία).
   • Υγειονομικές και κοινωνικές δομές (π.χ. ΚΔΑΠ, δομές πρόνοιας, γηροκομεία, παιδικοί σταθμοί).
   • Ψηφιακές υπηρεσίες (πληροφοριακά συστήματα, δημοτικές πλατφόρμες).
     μπορούν να χαρακτηριστούν ως κρίσιμες οντότητες.
2. Κατάρτιση Σχεδίων Ανθεκτικότητας
   • Σχέδια συνέχειας λειτουργίας: για το τι θα κάνουν αν υπάρξει διακοπή νερού, βλάβη στο αποχετευτικό, κυβερνοεπίθεση στο δημοτικό δίκτυο ή φυσική καταστροφή.
   • Αξιολόγηση τρωτότητας: εντοπισμός κινδύνων (π.χ. υποδομές που κινδυνεύουν από πλημμύρες, ανεπαρκής ασφάλεια δημοτικών data centers).
3. Μέτρα Προστασίας & Ασφαλείας
   • Οφείλουν να λάβουν μέτρα φυσικής, τεχνολογικής και οργανωτικής ασφάλειας.
   • Να εξασφαλίσουν ότι οι κρίσιμες υπηρεσίες δεν θα διακοπούν εύκολα.
4. Υποχρεώσεις Αναφοράς
   • Οι δήμοι πρέπει να ενημερώνουν άμεσα τη Γενική Γραμματεία Προστασίας Κρίσιμων Οντοτήτων για περιστατικά που επηρεάζουν τις κρίσιμες υπηρεσίες τους.
5. Έλεγχοι & Κυρώσεις
   • Υπόκεινται σε ελέγχους συμμόρφωσης από την αρμόδια Γενική Γραμματεία.
   • Αν δεν λάβουν τα αναγκαία μέτρα, μπορεί να επιβληθούν διοικητικές κυρώσεις (πρόστιμα, διορθωτικά μέτρα).
6. Συνεργασία με την Πολιτεία
   • Οι δήμοι οφείλουν να συνεργάζονται με την κεντρική διοίκηση και με άλλους κρίσιμους φορείς (ΔΕΔΔΗΕ, ΕΥΔΑΠ, νοσοκομεία, περιφέρειες).
   • Συμμετοχή σε ασκήσεις ετοιμότητας και εκπαιδεύσεις προσωπικού.

1. Αντικείμενο του Νομοσχεδίου

• Ενσωμάτωση στο εθνικό δίκαιο της Οδηγίας (ΕΕ) 2022/2557 για την ανθεκτικότητα κρίσιμων οντοτήτων, η οποία αντικαθιστά την Οδηγία 2008/114/ΕΚ.
• Καθορισμός πλαισίου για την προστασία κρίσιμων υποδομών και οργανισμών από φυσικές, τεχνολογικές, υβριδικές και άλλες απειλές.

2. Ορισμός Κρίσιμων Οντοτήτων

• Κρίσιμες οντότητες θεωρούνται δημόσιοι και ιδιωτικοί φορείς που παρέχουν ουσιώδεις υπηρεσίες στους τομείς:
  • Ενέργεια (ηλεκτρισμός, φυσικό αέριο, πετρέλαιο, τηλεθέρμανση)
  • Μεταφορές (αεροπορικές, σιδηροδρομικές, θαλάσσιες, οδικές)
  • Τραπεζικός και χρηματοπιστωτικός τομέας
  • Υγεία
  • Πόσιμο νερό και λύματα
  • Ψηφιακές υποδομές (data centers, δίκτυα, υπηρεσίες cloud)
  • Δημόσια διοίκηση
  • Διαστημικές υποδομές
  • Ταχυδρομικές και ταχυμεταφορικές υπηρεσίες
  • Παραγωγή και διανομή τροφίμων

3. Αρμόδια Αρχή

• Ορίζεται η Γενική Γραμματεία Προστασίας Κρίσιμων Οντοτήτων του Υπουργείου Προστασίας του Πολίτη:
  • Ως αρμόδια εθνική αρχή και
  • Ως ενιαίο σημείο επαφής με την ΕΕ και τα κράτη-μέλη.

4. Υποχρεώσεις Κρίσιμων Οντοτήτων

• Υιοθέτηση μέτρων ανθεκτικότητας για:
  • Αντιμετώπιση κινδύνων και απειλών.
  • Σχέδια συνέχειας λειτουργίας.
  • Αξιολόγηση τρωτότητας και μέτρων ασφαλείας.
• Υποχρέωση άμεσης αναφοράς περιστατικών ή συμβάντων που επηρεάζουν τη λειτουργία τους.

5. Εποπτεία – Έλεγχοι

• Η Γενική Γραμματεία εποπτεύει τη συμμόρφωση των κρίσιμων οντοτήτων.
• Διενέργεια ελέγχων, αξιολογήσεων, ασκήσεων.
• Δυνατότητα επιβολής μέτρων και κυρώσεων σε περίπτωση μη συμμόρφωσης.

6. Μέτρα και Κυρώσεις

• Προβλέπονται διοικητικά πρόστιμα και διορθωτικά μέτρα.
• Οι οντότητες υποχρεούνται σε συνεργασία και παροχή στοιχείων.
• Σε σοβαρές περιπτώσεις, δυνατότητα περιορισμού ή αναστολής δραστηριότητας.

7. Διεθνής Συνεργασία

• Προβλέπεται ανταλλαγή πληροφοριών με:
  • Θεσμούς της ΕΕ (Κομισιόν, Συμβούλιο, Ευρωκοινοβούλιο).
  • Κράτη-μέλη.
  • Ευρωπαϊκό Δίκτυο Σημείων Επαφής.

8. Μεταβατικές & Τελικές Διατάξεις

• Καθορισμός προθεσμιών για την πλήρη συμμόρφωση κρίσιμων οντοτήτων.
• Εναρμόνιση με το ενωσιακό πλαίσιο μέχρι την πλήρη εφαρμογή της Οδηγίας.

Τα Σχέδια Συνέχειας Λειτουργίας (business continuity plans – BCP) είναι επίσημα έγγραφα/διαδικασίες που καταρτίζουν οι οργανισμοί, ώστε να μπορούν να συνεχίσουν τη λειτουργία τους – ή να την επαναφέρουν το ταχύτερο δυνατό – σε περίπτωση που συμβεί ένα σοβαρό περιστατικό, απειλή ή κρίση.

Τι περιλαμβάνουν συνήθως:

• Ανάλυση Κινδύνων & Επιπτώσεων (Risk & Impact Assessment): εντοπίζει πιθανούς κινδύνους (φυσικές καταστροφές, κυβερνοεπιθέσεις, βλάβες, απεργίες, διακοπές ρεύματος κ.λπ.) και αξιολογεί τον αντίκτυπό τους.
• Κρίσιμες Λειτουργίες: καταγραφή των απολύτως απαραίτητων υπηρεσιών/δραστηριοτήτων που πρέπει να διατηρηθούν ώστε ο οργανισμός να μη σταματήσει να εξυπηρετεί τους πολίτες ή τους πελάτες.
• Εναλλακτικές Διαδικασίες: μέτρα για να εξασφαλιστεί η συνέχιση παροχής υπηρεσιών (π.χ. εφεδρικά data centers, εναλλακτικές προμήθειες, σχέδια εκκένωσης, τηλεργασία).
• Διαχείριση Προσωπικού: καθορισμός ρόλων και ευθυνών σε περίπτωση κρίσης, καθώς και εκπαίδευση για σενάρια ανάγκης.
• Σχέδιο Επικοινωνίας: πώς ενημερώνονται οι εργαζόμενοι, οι συνεργάτες, οι πολίτες και οι αρχές.
• Χρονοδιαγράμματα Αποκατάστασης (Recovery Time Objectives): πόσο γρήγορα πρέπει να αποκατασταθεί κάθε κρίσιμη λειτουργία.
• Ασκήσεις & Επικαιροποίηση: δοκιμές του σχεδίου σε τακτά διαστήματα και προσαρμογή του σε νέες απειλές.

Στο πλαίσιο του νομοσχεδίου για τις κρίσιμες οντότητες, αυτά τα σχέδια είναι υποχρεωτικά για οργανισμούς που παρέχουν βασικές υπηρεσίες (ύδρευση, ενέργεια, μεταφορές, υγεία, ψηφιακές υποδομές κ.ά.), ώστε ακόμη και σε περίπτωση κρίσης (σεισμός, κυβερνοεπίθεση, διακοπή εφοδιασμού) να μην σταματήσει η λειτουργία τους.

Η υποχρέωση «Αξιολόγηση τρωτότητας και μέτρων ασφαλείας» σημαίνει ότι κάθε κρίσιμη οντότητα (δημόσια ή ιδιωτική) που εμπίπτει στο νομοσχέδιο πρέπει:

1. Να εντοπίσει τις τρωτότητές της

• Δηλαδή τα αδύναμα σημεία στις εγκαταστάσεις, στα δίκτυα, στα πληροφοριακά συστήματα και στις διαδικασίες της.
• Παραδείγματα τρωτότητας:
  • Έλλειψη εφεδρικής παροχής ρεύματος.
  • Εξάρτηση από έναν μόνο προμηθευτή.
  • Ανεπαρκής φύλαξη κτιρίων.
  • Κενά στην κυβερνοασφάλεια (μη κρυπτογράφηση δεδομένων, παλιοί servers).
  • Έλλειψη εκπαιδευμένου προσωπικού για καταστάσεις κρίσης.

2. Να αξιολογήσει τον βαθμό επικινδυνότητας

• Για κάθε τρωτότητα, πρέπει να εξετάσει:
  • Πόσο πιθανό είναι να συμβεί ένα περιστατικό.
  • Ποιες θα είναι οι συνέπειες (π.χ. διακοπή παροχής νερού, μπλακ άουτ, κατάρρευση δικτύου).

3. Να λάβει και να τεκμηριώσει μέτρα ασφαλείας

• Προληπτικά μέτρα (π.χ. ενίσχυση φυσικής ασφάλειας, firewalls, αντι-ιικά συστήματα).
• Ανθεκτικά μέτρα (π.χ. εφεδρικά δίκτυα, γεννήτριες, πολλαπλοί προμηθευτές).
• Διαδικαστικά μέτρα (π.χ. τακτικοί έλεγχοι ασφαλείας, εκπαίδευση προσωπικού).
• Οργανωτικά μέτρα (π.χ. σαφείς ρόλοι διαχείρισης κρίσεων, σχέδια εκκένωσης).

4. Να τα υποβάλλει στην αρμόδια αρχή

• Η Γενική Γραμματεία Προστασίας Κρίσιμων Οντοτήτων έχει το δικαίωμα να ελέγχει αν οι οντότητες έχουν κάνει σωστή αξιολόγηση και αν τα μέτρα είναι επαρκή.
• Σε περίπτωση ελλείψεων, μπορεί να ζητήσει διορθώσεις ή να επιβάλει κυρώσεις.

Δείτε εδώ την διαβούλευση