Ο Επίτροπος Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομείων ανακοινώνει τη διεξαγωγή Δημόσιας Διαβούλευσης επί του περιεχομένου του Πλαισίου Μέτρων και Ενεργειών Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών.
Το πλαίσιο παρέχει έναν κατάλογο μέτρων και ενεργειών ασφάλειας πληροφοριών για τους φορείς εκμετάλλευσης βασικών υπηρεσιών, τους φορείς κρίσιμων υποδομών πληροφοριών και τους φορείς Ηλεκτρονικών Επικοινωνιών στην Κυπριακή Δημοκρατία. Το συγκεκριμένο πλαίσιο έχει ως κύριο σκοπό την λήψη, την δημιουργία, την υλοποίηση και την διατήρηση μέτρων και ενεργειών ασφάλειας, στη βάση εφαρμογής ενός συστήματος διαχείρισης κινδύνων ασφάλειας πληροφοριών. Το πλαίσιο αποτελεί το κύριο μέσο για την συνεχή διαδικασία εντοπισμού, ανάλυσης, αξιολόγησης και αντιμετώπισης απειλών, ευπαθειών και κινδύνων σε σχέση με την εμπιστευτικότητα, τη διαθεσιμότητα, την αυθεντικότητα και την ανθεκτικότητα των δικτύων και των συστημάτων πληροφοριών.
Η Αρχή Ψηφιακής Ασφάλειας (ΑΨΑ) έχει την υποχρέωση να επιβάλει την εφαρμογή του πλαισίου στους φορείς εκμετάλλευσης βασικών υπηρεσιών, στους φορείς κρίσιμων υποδομών πληροφοριών και στους φορείς Ηλεκτρονικών Επικοινωνιών στην Κυπριακή Δημοκρατία, προκειμένου να ενισχύσει το επίπεδο κυβερνοασφάλειας στην Κύπρο και να εφαρμόσει μέρος της Εθνικής Στρατηγικής Κυβερνοασφάλειας (Εθνικό πλαίσιο Κυβερνοασφάλειας). Με αυτό τον τρόπο συμβάλει ενεργά στην υποστήριξη της ευρωπαϊκής ασφάλειας στον κυβερνοχώρο, στο πλαίσιο της εφαρμογής της οδηγίας για την ασφάλεια των δικτύων και συστημάτων πληροφοριών (οδηγία για τα NIS).
Πιο κάτω αναλύεται το προτεινόμενο χρονοδιάγραμμα για σταδιακή υλοποίηση του Πλαισίου Κυβερνοασφάλειας από τους Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών, τους Φορείς Κρίσιμων Υποδομών Πληροφοριών και τους Παροχείς Ηλεκτρονικών Επικοινωνιών. Τα ενδιαφερόμενα μέρη μπορούν να υποβάλουν τις απόψεις τους για το Πλαίσιο και για το προτεινόμενο χρονοδιάγραμμα υλοποίησης του, ως μέρος της παρούσας Δημόσιας Διαβούλευσης.
- Μέχρι 30/6/2019
- Αποστολή έκθεσης στην ΑΨΑ στην οποία θα καταγράφεται η παρούσα κατάσταση ασφάλειας δικτυών και συστημάτων πληροφοριών στον φορέα
- Ο φορέας θα ενημερώσει την ΑΨΑ περιληπτικά για το πρόγραμμα ασφάλειας που ακολουθεί κατά την ημερομηνία αυτή, με αναφορά στα σημεία της νομοθεσίας (ενότητες 6.1 και 6.2 στο Πλαίσιο) που τα οποία ο φορέας πληροί ήδη. Επίσης, ο φορέας θα ενημερώσει την ΑΨΑ σχετικά με τα έγγραφα και τις πληροφορίες (βλ. ενότητα 6.3 Accountability στο Πλαίσιο) που είναι ήδη διαθέσιμα, όπου αυτό εφαρμόζεται.
- Για την ομοιόμορφη αποτύπωση της υφιστάμενης κατάστασης η ΑΨΑ θα παρέχει πρότυπο έγγραφο (π.χ. excel file), με συγκεκριμένα πεδία.
- Μέχρι 31/12/2019
- Υποβολή των εγγράφων και πληροφοριών που αναφέρονται στην ενότητα 6.3 Accountability του Πλαισίου
- Ο φορέας θα υποβάλει όλα τα προβλεπόμενα έγγραφα της ενότητας 6.3 Accountability στην ΑΨΑ, η οποία θα τα μελετήσει και η οποία δύναται να ζητήσει βελτιώσεις. Όπως αναφέρεται στα σημεία 4 και 7 της ενότητας 3, τα έγγραφα θα συνοδεύονται από λεπτομερές πρόγραμμα υλοποίησης των απαραίτητων μέτρων ασφάλειας για μείωση των κινδύνων που έχουν εντοπισθεί, σε αποδεκτά επίπεδα.
- Τα έγγραφα θα υποβάλλονται ηλεκτρονικά σε συγκεκριμένη πλατφόρμα που θα θέσει σε λειτουργία προς αυτό το σκοπό, η ΑΨΑ.
- Μέχρι 30/6/2020
- Ολοκλήρωση της υλοποίησης και εφαρμογής των μέτρων ασφάλειας που αντιμετωπίζουν τους υψηλότερους σε κρισιμότητα, κινδύνους που έχουν εντοπιστεί
- Ο φορέας θα μεριμνήσει ώστε να υλοποιηθούν και να εφαρμοστούν όσα μέτρα χρειάζονται ή/και περισσότερα (από τον κατάλογο μέτρων που περιλαμβάνονται στο Πλαίσιο Κυβερνοασφάλειας) για μείωση των υψηλότερων σε κρισιμότητα, κινδύνων που έχουν εντοπιστεί, σε αποδεκτά επίπεδα.
- Πρόγραμμα υλοποίησης του συνόλου του Πλαισίου
- Ο φορέας θα υποβάλει επικαιροποιημένη κατάσταση κινδύνων, όπου θα φαίνεται η υλοποίηση των μέτρων για τους υψηλότερους κινδύνους, και θα καθορίζεται το πρόγραμμα υλοποίησης του συνόλου του Πλαισίου, για μείωση και των υπολοίπων κινδύνων σε αποδεκτά επίπεδα.
- Μέχρι 31/12/2020 (και μετέπειτα, σε ετήσια βάση)
- Ολοκλήρωση της υλοποίησης του υπόλοιπου Πλαισίου
- Ο φορέας θα μεριμνήσει ώστε να υλοποιηθεί το σύνολο του Πλαισίου, και θα υποβάλει επικαιροποιημένη κατάσταση κινδύνων, όπου θα φαίνεται η υλοποίηση τους και η συνεπαγόμενη μείωση των κινδύνων, που έχουν εντοπισθεί, σε αποδεκτά επίπεδα.
- Υποβολή των εγγράφων και πληροφοριών που αναφέρονται στην ενότητα 6.3 Accountability του Πλαισίου
- Ο φορέας θα υποβάλει όλα τα προβλεπόμενα έγγραφα της ενότητας 6.3 Accountability στην ΑΨΑ, επικαιροποιημένα για το νέο έτος, και συνέχιση του κύκλου εφαρμογής του Πλαισίου.
- Ολοκλήρωση της υλοποίησης του υπόλοιπου Πλαισίου
- Ολοκλήρωση της υλοποίησης και εφαρμογής των μέτρων ασφάλειας που αντιμετωπίζουν τους υψηλότερους σε κρισιμότητα, κινδύνους που έχουν εντοπιστεί
- Υποβολή των εγγράφων και πληροφοριών που αναφέρονται στην ενότητα 6.3 Accountability του Πλαισίου
- Αποστολή έκθεσης στην ΑΨΑ στην οποία θα καταγράφεται η παρούσα κατάσταση ασφάλειας δικτυών και συστημάτων πληροφοριών στον φορέα
Τα έγγραφα θα υποβάλλονται ηλεκτρονικά σε συγκεκριμένη πλατφόρμα που θα θέσει σε λειτουργία προς αυτό το σκοπό, η ΑΨΑ.
Σημειώνεται ότι η ΑΨΑ θα προγραμματίζει εποπτικούς ελέγχους για την επιβεβαίωση εφαρμογής του Πλαισίου και των λοιπών υποχρεώσεων που προκύπτουν από τη Νομοθεσία, με βάση προτεραιοποίηση η οποία θα απορρέει από τον βαθμό κρισιμότητας του κάθε φορέα, του επιπέδου των κινδύνων που έχουν εντοπιστεί, και σε περιπτώσεις σημαντικών αλλαγών στο περιβάλλον των φορέων ή του κυβερνοχώρου ευρύτερα.
Το προαναφερόμενο πλαίσιο Κυβερνοασφάλειας θα περιλαμβάνεται σε δευτερογενή νομοθεσία (Κανονιστική Διοικητική Πράξη) που θα εκδοθεί δυνάμει της σχετικής νομοθεσίας, από τον Επίτροπο (Νόμος 17(Ι)2018).
Η ενότητα 6 του εγγράφου που επισυνάπτεται στη παρούσα Διαβούλευση (NIS Cyber Security Framework), καλύπτει τις κυριότερες πρόνοιες της δευτερογενούς νομοθεσίας που προτίθεται να εκδώσει ο Επίτροπος. Τα ενδιαφερόμενα μέρη καλούνται να υποβάλουν τις απόψεις τους τόσο για το περιεχόμενο της δευτερογενούς νομοθεσίας όσο και για το Πλαίσιο των μέτρων Ασφάλειας που αναφέρονται στην ενότητα 7 (NIS Security Measures) του ίδιου εγγράφου.
Το σχετικό έγγραφο είναι διαθέσιμο στον διαδικτυακό χώρο με τίτλο «Δημόσιες Διαβουλεύσεις”, στη ιστοσελίδα του ΓΕΡΗΕΤ.
Οι θέσεις των ενδιαφερομένων μερών πρέπει να υποβληθούν το αργότερο μέχρι τις 20 Φεβρουαρίου 2019 και ώρα 14:30, στην Αρχή Ψηφιακής Ασφάλειας, Ηλιουπόλεως 6, Λευκωσία, Τ.Κ. 1101, και στην ηλεκτρονική διεύθυνση Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.
Η Δημόσια Διαβούλευση απευθύνεται σε όλους τους εμπλεκόμενους φορείς αλλά είναι επίσης, ανοικτή για όλα τα ενδιαφερόμενα μέρη.
Λευκωσία, 22 Ιανουαρίου 2019
