Στις 5 Απριλίου 2018 ιδρύθηκε, βάσει νομοθεσίας, η ΑΨΑ ως ανεξάρτητη αρχή, για την εφαρμογή των διατάξεων του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2018 (17(Ι)/2018) στα πλαίσια εναρμόνισης με την ευρωπαϊκή Οδηγία 2016/1148 για την Ασφάλεια Δικτύων και Συστημάτων Πληροφοριών (Οδηγία NIS), η οποία αφορά μέτρα για υψηλό κοινό επίπεδο ασφάλειας δικτύων και συστημάτων πληροφοριών.    Ο Νόμος της ΑΨΑ έχει επικαιροποιηθεί εντός του 2020 (Νόμος Ν.89(Ι)/2020).

Τα κράτη μέλη, και η Κύπρος μαζί, είναι υποχρεωμένα να αυξήσουν τις ικανότητες τους στο θέμα της κυβερνοασφάλειας (Εθνική Αρμόδια Αρχή, Εθνικό CSIRT, κλπ.), να συνεργάζονται με τους απαραίτητους εμπλεκόμενους σε εθνικό και Ευρωπαϊκό επίπεδο, να διαχειρίζονται τους κινδύνους στον κυβερνοχώρο με δομημένο τρόπο, και να κοινοποιούν πληροφορίες για δυσμενή συμβάντα οι εμπλεκόμενοι φορείς.  Η Αρχή Ψηφιακής Ασφάλειας λειτουργεί ως η εθνική αρμόδια αρχή για την ασφάλεια δικτύων και συστημάτων πληροφοριών και κυβερνοασφάλειας, και μέρος της οποίας αποτελεί ο εθνικός φορέας άμεσης ανταπόκρισης σε συμβάντα που σχετίζονται με την ασφάλεια δικτύων και πληροφοριών (το Εθνικό CSIRT).  Με τη λειτουργία της Αρχής διασφαλίζεται η προστασία των κρίσιμων υποδομών πληροφοριών της Δημοκρατίας τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, καθώς και των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών του κράτους.  Η ΑΨΑ χρηματοδοτείται από τους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών, τους Φορείς Κρίσιμων Υποδομών Πληροφοριών και τους Παροχείς δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών στην Κύπρο, σύμφωνα με τη μεθοδολογία υπολογισμού τελών που καθορίζεται σε κανονισμούς που εκδίδονται δυνάμει των διατάξεων σχετικού νόμου.

Στη νομοθεσία της ΑΨΑ, αναγνωρίζονται οι εξής κατηγορίες φορέων:

  • Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ)
  • Φορείς Κρίσιμων Υποδομών Πληροφοριών (ΦΚΥΠ)
  • Παροχείς Ηλεκτρονικών Επικοινωνιών (ΠΗΕ)
  • Παροχείς Ψηφιακών Υπηρεσιών (ΠΨΥ).

Η ΑΨΑ αναπτύσσει σειρά δραστηριοτήτων, με σκοπό την πλήρη εφαρμογή της Οδηγίας NIS.

Νόμος 17(Ι)/2018 περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (καταργήθηκε)

Στις 5 Απριλίου 2018, ψηφίστηκε ο Νόμος 17(Ι)/2018 περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (https://dsa.cy/legislation/laws), ο οποίος ίδρυσε την Αρχή Ψηφιακής Ασφάλειας και περιγράφει τις αρμοδιότητες της.

Νέος Νόμος (2020) περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών

Ο Νόμος της ΑΨΑ, ο οποίος μεταφέρει στην ΑΨΑ τις αρμοδιότητες στον τομέα της ασφάλειας δικτύων και πληροφοριών και της κυβερνοασφάλειας από το ΓΕΡΗΕΤ, επικαιροποιήθηκε εντός του 2020 και περιγράφει με πλήρη λεπτομέρεια τις ολοκληρωμένες αρμοδιότητες της ΑΨΑ.

Αξιολόγηση Κρισιμότητας Πληροφοριών και Κοινοποιήσεις Περιστατικών

Η ΑΨΑ σύναψε συμφωνία με εξωτερικούς συμβούλους για την «παροχή υπηρεσιών υποστήριξης για την Αρχή Ψηφιακής Ασφάλειας (ΑΨΑ) – διεξαγωγή αξιολόγησης κρισιμότητας και ετοιμασία νομοθεσίας για κοινοποιήσεις περιστατικών ψηφιακής ασφάλειας». Το έργο αυτό ξεκίνησε τον Αύγουστο του 2018 και είχε ως αντικείμενο την έρευνα και ανάλυση κρισιμότητας για δυνητικά κρίσιμες υποδομές πληροφοριών στην Κυπριακή Δημοκρατία, σύμφωνα με τις πρόνοιες του Νόμου 17(Ι)/2018 περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών. Το έργο κάλυψε επίσης την ετοιμασία προσχεδίου δευτερογενούς νομοθεσίας που συμπεριλαμβάνει τις διαδικασίες κοινοποίησης περιστατικών που θα υποβάλλουν οι διάφοροι φορείς στην Αρχή Ψηφιακής Ασφάλειας, δηλαδή (α) οι φορείς εκμετάλλευσης βασικών υπηρεσιών και (β) οι παροχείς ψηφιακών υπηρεσιών, καθώς επίσης τις διαδικασίες διασυνοριακών κοινοποιήσεων σύμφωνα με τις πρόνοιες της Οδηγίας NIS.

Το Νοέμβριο του 2018, και σύμφωνα με τις διατάξεις του Νόμου 17(Ι)2018, και τις πρόνοιες της οδηγίας NIS επανακαθορίστηκαν από το Υπουργικό Συμβούλιο οι φορείς εκμετάλλευσης βασικών υπηρεσιών, και οι φορείς κρίσιμων υποδομών πληροφοριών. Για το θέμα έγινε σχετική κοινοποίηση στην Ευρωπαϊκή Επιτροπή.  Επίσης, ετοιμάστηκαν προσχέδια Αποφάσεων για τις κοινοποιήσεις περιστατικών και τις εγγραφές των παροχέων ψηφιακών υπηρεσιών στην Κύπρο. Οι Αποφάσεις αυτές τέθηκαν σε δημόσια διαβούλευση στις αρχές του 2019, με την ολοκλήρωση του έργου.

Η Απόφαση για τις κοινοποιήσεις περιστατικών δημοσιεύτηκε το 2019, ενώ η Απόφαση για τις εγγραφές των παροχέων ψηφιακών υπηρεσιών δημοσιεύτηκε το 2020.

Μέτρα Ασφάλειας NIS

Η ΑΨΑ σύναψε συμφωνία με εξωτερικούς συμβούλους για την «ετοιμασία πλαισίου μέτρων ασφάλειας NIS». Το έργο αυτό ξεκίνησε τον Οκτώβριο του 2018 και είχε ως αντικείμενο την έρευνα βέλτιστων πρακτικών (και άλλων πηγών), και η ετοιμασία ενός ολοκληρωμένου πλαισίου μέτρων ασφάλειας για υλοποίηση από τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους φορείς κρίσιμων υποδομών πληροφοριών στην Κύπρο.

Εντός του 2018, ολοκληρώθηκε το προσχέδιο του εν λόγω πλαισίου, με τη συμβολή των κρίσιμων υποδομών πληροφοριών, καθώς και οι προτεινόμενες λεπτομέρειες για την υλοποίηση του πλαισίου στην Κύπρο. Το πλαίσιο τέθηκε σε δημόσια διαβούλευση στις αρχές του 2019, με την ολοκλήρωση του έργου.

Η τελική Απόφαση για τα μέτρα ασφάλειας δημοσιεύτηκε το 2020.

Ολοκληρωμένη Πλατφόρμα Διαχείρισης ΑΨΑ

Η ΑΨΑ σύναψε συμφωνία με εξωτερικούς συνεργάτες για την «Παροχή Υπηρεσιών Υποστήριξης για την Αρχή Ψηφιακής Ασφάλειας (ΑΨΑ) – Αναβάθμιση Υφιστάμενου Συστήματος RCMS (Risk and Compliance Management System). Το έργο αυτό ξεκίνησε τον Δεκέμβριο του 2018, και έχει ως αντικείμενο την αναβάθμιση του υφιστάμενου συστήματος RCMS (Risk and Compliance Management System) της Αρχής Ψηφιακής Ασφάλειας, το οποίο απέκτησε το ΓΕΡΗΕΤ (Γραφείο Επιτρόπου Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομείων) ως μέρος της υλοποίησης του έργου για την ανάλυση επικινδυνότητας, σε εθνικό επίπεδο, για θέματα κυβερνοασφάλειας (National Level Cyber Risk Assessment – αρ. προσφοράς ΓΕΡΗΕΤ 06/2014).  Το σύστημα αυτό μεταφέρθηκε στην ΑΨΑ μετά την ίδρυση της, καθώς αναλαμβάνει όλες τις προηγούμενες αρμοδιότητες του ΓΕΡΗΕΤ στον τομέα της ασφάλειας δικτύων και πληροφοριών και της κυβερνοασφάλειας.

Το σύστημα RCMS της ΑΨΑ περιλαμβάνει αριθμό από modules, τα οποία είναι σχεδιασμένα για τη διαχείριση κινδύνων σε ένα οργανισμό: risk management, incident and loss management, compliance management, κ.α.  Επειδή η ΑΨΑ εποπτεύει μεγάλο αριθμό φορέων (~80-100) για τα σχετικά θέματα ασφάλειας δικτύων και πληροφοριών, κρίθηκε αναγκαία η ανάπτυξη ολοκληρωμένου συστήματος διαχείρισης εμπλεκομένων (stakeholder management platform) για την υποστήριξη των εργασιών της.  Με τις κατάλληλες αλλαγές και αναβαθμίσεις εντός του εν λόγω έργου, η υφιστάμενη πλατφόρμα RCMS, που διαθέτει η ΑΨΑ, μπορεί να καλύψει τις αρχικές ανάγκες που εντοπίζονται για τη λειτουργία της.

Το έργο αυτό ξεκίνησε εντός του 2019, όπου η ΑΨΑ πέτυχε σημαντική Ευρωπαϊκή συγχρηματοδότηση.