Κοινή Υπουργική Απόφαση 51719 ΕΞ 2025 - ΦΕΚ 5335/Β/6-10-2025
Καθορισμός πρότυπου Μητρώου Κινδύνων και παροχή οδηγιών σχετικά με τον τρόπο τήρησης και επικαιροποίησής του σύμφωνα με την παρ. 3 του άρθρου 22Η του ν. 4795/2021.
Κοινή Υπουργική Απόφαση Αριθμ. 51719 ΕΞ 2025
ΦΕΚ 5335/Β/6-10-2025
Καθορισμός πρότυπου Μητρώου Κινδύνων και παροχή οδηγιών σχετικά με τον τρόπο τήρησης και επικαιροποίησής του σύμφωνα με την παρ. 3 του άρθρου 22Η του ν. 4795/2021.
ΟΙ ΥΠΟΥΡΓΟΙ
ΕΘΝΙΚΗΣ ΟΙΚΟΝΟΜΙΑΣ ΚΑΙ ΟΙΚΟΝΟΜΙΚΩΝ - ΕΣΩΤΕΡΙΚΩΝ - ΨΗΦΙΑΚΗΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ ΚΑΙ Η ΔΙΟΙΚΗΤΡΙΑ ΤΗΣ ΕΘΝΙΚΗΣ ΑΡΧΗΣ ΔΙΑΦΑΝΕΙΑΣ
Έχοντας υπόψη:
1. Τις διατάξεις:
α) Του άρθρου 22ΣΤ και της παρ. 3 του άρθρου 22Η του ν. 4795/2021 (Α' 62), όπως προστέθηκαν με τα άρθρα 25 και 27 του ν. 5013/2023 «Πολυεπίπεδη διακυβέρνηση, διαχείριση κινδύνων στον δημόσιο τομέα και άλλες διατάξεις» (Α' 12), αντίστοιχα, β) του ν. 4622/2019 «Επιτελικό Κράτος: οργάνωση, λειτουργία και διαφάνεια της Κυβέρνησης, των κυβερνητικών οργάνων και της κεντρικής δημόσιας διοίκησης» (Α' 133),
γ) της περ. (θ) της παρ. 2 του άρθρου 5 του ν. 3469/2006 «Εθνικό Τυπογραφείο, Εφημερίς της Κυβερνήσεως και λοιπές διατάξεις» (Α' 131),
δ) των άρθρων του Κεφαλαίου ΙΑ' και του άρθρου 84 του ν. 4727/2020 «Ψηφιακή Διακυβέρνηση [Ενσωμάτωση στην Ελληνική Νομοθεσία της Οδηγίας (ΕΕ) 2016/2012 και της Οδηγίας (ΕΕ) 2019/1024] - Ηλεκτρονικές Επικοινωνίες [Ενσωμάτωση στο Ελληνικό Δίκαιο της Οδηγίας (ΕΕ) 2018/1972] και άλλες διατάξεις» (Α' 184), ε) του άρθρου 47 του ν. 4623/2019 «Ρυθμίσεις του Υπουργείου Εσωτερικών, διατάξεις για την ψηφιακή διακυβέρνηση, συνταξιοδοτικές ρυθμίσεις και άλλα επείγοντα ζητήματα» (Α' 134),
στ) της παρ. 3 του άρθρου 77 και της περ. (ε) της παρ. 5 του άρθρου 24 του ν. 4270/2014 «Αρχές δημοσιονομικής διαχείρισης και εποπτείας (ενσωμάτωση της Οδηγίας 2011/85/ΕΕ) - δημόσιο λογιστικό και άλλες διατάξεις» (Α' 143),
ζ) το άρθρο 90 του Κώδικα νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα (π.δ. 63/2005, Α' 98), όπως διατηρήθηκε σε ισχύ με την περ. 22 του άρθρου 119 του ν. 4622/2019 (Α' 133), η) του π.δ. 40/2020 «Οργανισμός του Υπουργείου Ψηφιακής Διακυβέρνησης» (Α' 85), θ) του π.δ. 133/2017 «Οργανισμός Υπουργείου Διοικητικής Ανασυγκρότησης» (Α' 161), ι) του π.δ. 142/2017 «Οργανισμός Υπουργείου Οικονομικών» (Α' 181),
ια) του π.δ. 81/2019 «Σύσταση, συγχώνευση, μετονομασία και κατάργηση Υπουργείων και καθορισμός των αρμοδιοτήτων τους - Μεταφορά υπηρεσιών και αρμοδιοτήτων μεταξύ Υπουργείων» (Α' 119), ιβ) του π.δ. 84/2019 «Σύσταση και κατάργηση Γενικών Γραμματειών και Ειδικών Γραμματειών/Ενιαίων Διοικητικών Τομέων Υπουργείων» (Α' 123), ιγ) του π.δ. 77/2023 «Σύσταση Υπουργείου και μετονομασία Υπουργείων - Σύσταση, κατάργηση και μετονομασία Γενικών και Ειδικών Γραμματειών - Μεταφορά αρμοδιοτήτων, υπηρεσιακών μονάδων, θέσεων προσωπικού και εποπτευόμενων φορέων» (Α' 130), όπως τροποποιήθηκε και συμπληρώθηκε με το π.δ. 82/2023 (Α' 139),
ιδ) του π.δ. 32/2024 «Διορισμός Υπουργών και Υφυπουργών» (Α' 91),
ιε) του π.δ. 79/2023 «Διορισμός Υπουργών, Αναπληρωτών Υπουργών και Υφυπουργών (Α' 131).
2. Την υπ' αρ. οικ. 11699/19.05.2020 απόφαση του Διοικητή της Εθνικής Αρχής Διαφάνειας «Οργανισμός της Εθνικής Αρχής Διαφάνειας (Ε.Α.Δ.)» (Β' 1991).
3. Την υπό στοιχεία Υ18/06.08.2025 διαπιστωτική πράξη του Πρωθυπουργού «Διαπιστωτική Πράξη για τον διορισμό της Διοικήτριας της Εθνικής Αρχής Διαφάνειας» (Υ.Ο.Δ.Δ. 997).
4. Την υπό στοιχεία 118944 ΕΞ 2019/23.10.2019 απόφαση του Υπουργού Επικρατείας «Λειτουργία Κέντρου Διαλειτουργικότητας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης» (Β' 3990).
5. Την υπό στοιχεία 29810 ΕΞ 2020/23.10.2020 απόφαση του Υπουργού Επικρατείας «Διαδικασία αυθεντικοποίησης υπαλλήλων του δημοσίου τομέα σε ψηφιακές δημόσιες υπηρεσίες» (Β' 4798).
6. Την υπό στοιχεία 19821 ΕΞ2023/20.04.2023 κοινή απόφαση των Υπουργών Εσωτερικών και Επικρατεί- ας «Υπηρεσία εξουσιοδότησης χρηστών οριζόντιων πληροφοριακών συστημάτων Δημόσιας Διοίκησης» (Β' 2690).
7. Την υπ' αρ. 19076/08.04.2025 εισήγηση της προϊσταμένης της Γενικής Διεύθυνσης Οικονομικών και Διοικητικών Υπηρεσιών και Ηλεκτρονικής Διακυβέρνησης της Εθνικής Αρχής Διαφάνειας βάσει του άρθρου 24 του ν. 4270/2014.
8. Την υπό στοιχεία ΔΙΠΔΑ/Φ4Π/21/6104/09.04.2025 εισήγηση της προϊσταμένης της Γενικής Διεύθυνσης Οικονομικών και Διοικητικών Υπηρεσιών του Υπουργείου Εσωτερικών βάσει του άρθρου 24 του ν. 4270/2014.
9. Την υπ' αρ. 24044/22.07.2025 εισήγηση της αναπληρώτριας προϊσταμένης της Γενικής Διεύθυνσης Οικονομικών και Διοικητικών Υπηρεσιών του Υπουργείου Ψηφιακής Διακυβέρνησης βάσει του άρθρου 24 του ν. 4270/2014.
10. Το γεγονός ότι:
α) Με τις διατάξεις της παρούσας θεσπίζεται νέα διοικητική διαδικασία με επίσημο τίτλο «Θέσπιση Μητρώου Κινδύνων, τήρηση και επικαιροποίησή του».
β) Από τις διατάξεις της παρούσας δεν προκαλείται δαπάνη στον προϋπολογισμό του Υπουργείου Εσωτερικών και στον προϋπολογισμό του Ειδικού Φορέα Εθνικής Αρχής Διαφάνειας, ενώ στον προϋπολογισμό του Υπουργείου Ψηφιακής Διακυβέρνησης προκαλείται δημοσιονομική επιβάρυνση, το ύψος της οποίας ανέρχεται στο ποσό των εκατόν πενήντα χιλιάδων ευρώ (150.000,00€), μη συμπεριλαμβανομένου του Φ.Π.Α, αποφασίζουμε:
Άρθρο 1
Αντικείμενο
Αντικείμενο της παρούσας αποτελεί ο καθορισμός πρότυπου Μητρώου Κινδύνων, η παροχή οδηγιών για τον τρόπο τήρησης και επικαιροποίησής του και η ρύθμιση κάθε αναγκαίας λεπτομέρειας για την εφαρμογή του άρθρου 22ΣΤ του ν. 4795/2021.
Άρθρο 2
Ορισμοί
Για την εφαρμογή της παρούσας ισχύουν οι κάτωθι ορισμοί:
1. «Μητρώο Κινδύνων» (εφεξής Μητρώο): Ηλεκτρονική βάση δεδομένων στην οποία καταγράφονται όλα τα στοιχεία σχετικά με τους αναγνωρισμένους κινδύνους του φορέα.
2. «Κίνδυνος»: Η οριζόμενη στην παρ. 10 του άρθρου 3 του ν. 4795/2021 πιθανότητα ή απειλή να επέλθει ζημία, απώλεια ή, γενικά, κάποια αρνητική συνέπεια για τους στόχους του φορέα, η οποία μπορεί να οφείλεται τόσο σε ενδογενείς, όσο και σε εξωγενείς παράγοντες και μπορεί να μετριαστεί μέσω προληπτικών δράσεων και δικλίδων ελέγχου.
3. «Εγγενής κίνδυνος»: Ο οριζόμενος στην παρ. 6 του άρθρου 3 του ν. 4795/2021 κίνδυνος που ενυπάρχει πριν ληφθεί οποιοδήποτε μέτρο για τον περιορισμό του, όπως όταν απουσιάζει η οποιαδήποτε δικλίδα ελέγχου.
4. «Υπολειμματικός κίνδυνος»: Ο οριζόμενος στην παρ. 19 του άρθρου 3 του ν. 4795/2021 κίνδυνος που απομένει μετά τη λήψη μέτρων από τη διοίκηση, για τη μείωση της πιθανότητας επέλευσης επιπτώσεων από την εκδήλωση ενός ανεπιθύμητου γεγονότος.
5. «Κατηγορία κινδύνου»: Κατηγορία στην οποία ανήκει ο κίνδυνος (ενδεικτικά κίνδυνος διαφθοράς).
6. «Πιθανές πηγές κινδύνου»: Συνθήκες ή ενέργειες που είναι πιθανό να προκαλέσουν την επέλευση του κινδύνου.
7. «Δικλίδα ελέγχου»: Κάθε δράση ή διαδικασία που αναλαμβάνει ο φορέας, για τη διαχείριση των κινδύνων και την αύξηση της πιθανότητας επίτευξης των καθορισμένων στόχων και σκοπών του.
8. «Πρόσθετες δικλίδες ελέγχου» (μέτρα αντιμετώπισης κινδύνου): Είναι τα μέτρα τα οποία πρέπει να λάβει ο φορέας για την αντιμετώπιση του κινδύνου, προκειμένου να είναι εντός του ορισμένου επιπέδου ανοχής κινδύνου.
9. «Υπεύθυνος έγκρισης μέτρων»: Ο Προϊστάμενος της Γενικής Διεύθυνσης ή της Διεύθυνσης, στην περίπτωση που δεν υφίσταται Γενική Διεύθυνση, ή της αυτοτελούς οργανικής μονάδας μη υπαγόμενης σε Γενική Διεύθυνση, καθώς και κάθε ανώτερο ιεραρχικά επίπεδο του φορέα που έχει την αποφασιστική αρμοδιότητα για τη λήψη των μέτρων αντιμετώπισης κινδύνου (πρόσθετες δικλίδες ελέγχου).
10. «Φορέας»: Κάθε φορέας του δημόσιου τομέα που εμπίπτει στο πεδίο εφαρμογής του άρθρου 2 του ν. 4795/2021.
11. «Χρήστης»: Κάθε πρόσωπο που έχει πρόσβαση στο Μητρώο Κινδύνων σύμφωνα με τα οριζόμενα στην παρούσα.
12. «Υπεύθυνος καταχώρισης»: Ο υπάλληλος στον οποίο ανατίθεται με απόφαση του επικεφαλής του φορέα η καταχώριση στο Μητρώο Κινδύνων των στοιχείων που του διαβιβάζονται από τους Υπεύθυνους Έγκρισης Μέτρων.
13. «Υπεύθυνος παρακολούθησης κινδύνων»: Ο Προϊστάμενος οποιουδήποτε επιπέδου οργανικής μονάδας στην οποία αφορά ο κίνδυνος.
14. «Υπεύθυνος υλοποίησης μέτρων»: Ο Προϊστάμενος οποιουδήποτε επιπέδου οργανικής μονάδας αρμόδιας για την υλοποίηση των μέτρων αντιμετώπισης του κινδύνου.
15. «Όργανα διαχείρισης κινδύνων»: Οι υπάλληλοι και ο Προϊστάμενος που υπηρετούν στη Μονάδα Διαχείρισης Κινδύνων ή τα μέλη της Ομάδας Διαχείρισης Κινδύνων ή ο υπάλληλος που έχει οριστεί ως Διαχειριστής Κινδύνων του φορέα, σύμφωνα με την παρ. 1 του άρθρου 22Γ του ν. 4795/2021.
16. «Διαχειριστής Χρηστών (ΔΧ)»: Ο/οι εξουσιοδοτημένος/οι από τον φορέα, υπάλληλος/οι που αναθέτει(ουν)/ αφαιρεί(ούν) ρόλους και εκχωρεί(ούν)/ανακαλεί(ούν) δικαιώματα χρηστών, σε υπαλλήλους του ίδιου φορέα που είναι καταχωρισμένοι στο Μητρώο Ανθρώπινου Δυναμικού του Ελληνικού Δημοσίου.
Άρθρο 3
Περιεχόμενο και λειτουργία Μητρώου Κινδύνων
1. Οι φορείς που υπάγονται στις διατάξεις της παρούσας είναι αποκλειστικά υπεύθυνοι για την ηλεκτρονική καταχώριση, τήρηση και διαχείριση των πληροφοριών που αφορούν στους κινδύνους, σε ειδική διαδικτυακή εφαρμογή με τον τίτλο «Μητρώο Κινδύνων Δημόσιου Τομέα». Η ανωτέρω εφαρμογή σχεδιάζεται, υλοποιείται, τηρείται και υποστηρίζεται, ως προς την παραγωγική της λειτουργία, από τη Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης, με τις προδιαγραφές και για τους σκοπούς που καθορίζονται από τον ν. 4795/2021 και την παρούσα.
2. Γ ια τη διαχείριση των κινδύνων που καταχωρίζονται σύμφωνα με την προηγούμενη παράγραφο αποκλειστικά υπεύθυνος είναι έκαστος φορέας.
3. Το Μητρώο κάθε φορέα αναλύεται σε ένα σύνολο διακριτών λειτουργιών, το οποίο περιλαμβάνει, κατ'ελάχιστον, τις ακόλουθες λειτουργίες:
α) Τήρηση των στοιχείων του Μητρώου, όπως αυτά περιγράφονται αναλυτικά στα πεδία 1 έως 21 του Παραρτήματος της παρούσας, διακριτά ανά Γενική Διεύθυνση ή Διεύθυνση στις περιπτώσεις που δεν υφίσταται Γενική Διεύθυνση ή αυτοτελή οργανική μονάδα μη υπαγόμενη σε Γενική Διεύθυνση,
β) βάση χρηστών του Μητρώου, στην οποία αποθηκεύονται και τηρούνται τα στοιχεία των χρηστών (ονοματεπώνυμο, φορέας που ανήκει, διεύθυνση ηλεκτρονικού ταχυδρομείου, ρόλος και θέση),
γ) μηχανισμό δημιουργίας αναφορών και δυνατότητα έκδοσης στατιστικών στοιχείων με πολλαπλά κριτήρια επιλογής,
δ) μηχανισμό αυτοματοποιημένων ειδοποιήσεων προς τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των χρηστών,
ε) απόδοση μοναδικού αναγνωριστικού, συνοδευόμενου από την ημερομηνία και ώρα για κάθε καταχώριση νέου κινδύνου,
στ) τήρηση του ιστορικού των ενεργειών των χρηστών, συμπεριλαμβανομένων της πρόσβασης στο Μητρώο καθώς και της προσθήκης και οποιασδήποτε άλλης τροποποίησης, επικαιροποίησης ή διαγραφής των στοιχείων του Μητρώου.
Στο ιστορικό καταγράφονται κατ' ελάχιστον:
i) Η ενέργεια του χρήστη (πρόσβαση, καταχώριση, προσθήκη, τροποποίηση, επικαιροποίηση ή διαγραφή).
ii) Η ημερομηνία και ώρα που έλαβε χώρα η ενέργεια.
iii) Ο προσδιορισμός του πεδίου στο οποίο πραγματοποιήθηκε η ενέργεια, εφόσον δεν αφορά αποκλειστικά σε απλή πρόσβαση στο Μητρώο (αριθμός πεδίου που συμπληρώθηκε, υπηρεσιακή μονάδα που αφορά).
4. Η διαδικτυακή εφαρμογή «Μητρώο Κινδύνων Δημόσιου Τομέα» διαμορφώνεται λαμβάνοντας υπόψη τις κατευθύνσεις των Προτύπων Πολιτικής και Πλαισίου Διαχείρισης Κινδύνων, όπως αυτά καθορίζονται από την Εθνική Αρχή Διαφάνειας σύμφωνα με το άρθρο 22 Β του ν. 4795/2021.
Άρθρο 4
Πρόσβαση στο Μητρώο
1. Η πρόσβαση των χρηστών στην ειδική ηλεκτρονική εφαρμογή «Μητρώο Κινδύνων Δημόσιου Τομέα» γίνεται μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης (ΕΨΠ-gov.gr) με τη χρήση Κωδικών Δημόσιας Διοίκησης, σύμφωνα με την υπό στοιχεία 29810 ΕΞ 2020/23.10.2020 απόφαση του Υπουργού Επικρατείας (Β'4798).
2. Οι χρήστες του Μητρώου πιστοποιούνται κατόπιν εξουσιοδότησης από τον φορέα απασχόλησής τους, μέσω της «Υπηρεσίας Εξουσιοδότησης Χρηστών Οριζόντιων Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης».
3. Οι προδιαγραφές του συστήματος περιλαμβάνουν την απαραίτητη λειτουργικότητα για την εύρυθμη υποστήριξη των ενεργειών που απαιτούνται σύμφωνα με το εφαρμοστέο νομοθετικό πλαίσιο, με το ισχύον Πλαίσιο Ασφάλειας των Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ.Ψ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης, την Πολιτική Ορθής Χρήσης διαδικτυακών υπηρεσιών και τις διατάξεις περί προστασίας δεδομένων προσωπικού χαρακτήρα.
Άρθρο 5
Διαδικασία απόκτησης δικαιωμάτων πρόσβασης στο Μητρώο
1. Στο Μητρώο αποκτούν πρόσβαση όλοι οι φορείς, όπως ορίζονται στο άρθρο 2 του ν. 4795/2021, σύμφωνα με τη διαδικασία Εξουσιοδότησης Χρηστών Οριζόντιων Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης. Κάθε φορέας του προηγούμενου εδαφίου, ορίζει αρμόδιο στέλεχος - Διαχειριστή Χρηστών για την εξουσιοδότηση των χρηστών του φορέα του. Κάθε φορέας έχει τη δυνατότητα δήλωσης περισσότερων του ενός Διαχειριστή Χρηστών.
2. Ο Διαχειριστής Χρηστών δηλώνει τους χρήστες του φορέα του που θα έχουν πρόσβαση στο Μητρώο και τους αποδίδει ρόλους σύμφωνα με το άρθρο 6 της παρούσας.
3. Τα στοιχεία των χρηστών του στοιχείου β. της παρ. 3 του άρθρου 3 αποθηκεύονται στη βάση χρηστών του Μητρώου Κινδύνων Δημόσιου Τομέα και παραμένουν σε αυτή για όσο χρόνο ο χρήστης έχει πρόσβαση στο Μητρώο και για διάστημα δέκα (10) ετών από την παύση της χρήσης.
4. Ο Διαχειριστής Χρηστών οφείλει να προβεί στην άμεση τροποποίηση ή άρση των δικαιωμάτων των χρηστών του φορέα του εφόσον ο χρήστης απωλέσει την ιδιότητα δυνάμει της οποίας του χορηγήθηκαν.
5. Ο Διαχειριστής Χρηστών οφείλει να ενημερώνει την αρμόδια υπηρεσία της Γ.Γ.Π.Σ.Ψ.Δ. για τυχόν δυσλειτουργίες της εφαρμογής, οι οποίες εντοπίζονται από τους χρήστες του φορέα του και αναφέρονται σε αυτόν.
6. Ο Διαχειριστής Χρηστών δεν έχει πρόσβαση στα συμπληρωμένα πεδία (1-21) του Μητρώου.
Άρθρο 6
Δικαιώματα πρόσβασης
Στο Μητρώο έχουν πρόσβαση οι παρακάτω κατηγορίες χρηστών:
α) «Υπεύθυνος Καταχώρισης»: Έχει πρόσβαση στα στοιχεία του Μητρώου για την καταχώριση των οποίων έχει ορισθεί υπεύθυνος.
β) «Υπεύθυνος Έγκρισης Μέτρων»: Έχει πρόσβαση στα στοιχεία του Μητρώου που αφορούν στους κινδύνους για τους οποίους έχει αποφασιστική αρμοδιότητα έγκρισης μέτρων, με δικαίωμα καταχώρισης νέων στοιχείων ή/και τροποποίησης οποιουδήποτε στοιχείου έχει καταχωριστεί.
γ) «Υπεύθυνος Παρακολούθησης Κινδύνων»: Έχει πρόσβαση στα στοιχεία του Μητρώου που αφορούν στην οργανική μονάδα ή στις οργανικές μονάδες στις οποίες προΐσταται, χωρίς δικαίωμα καταχώρισης νέων στοιχείων ή τροποποίησης οποιουδήποτε στοιχείου έχει καταχωριστεί.
δ) «Όργανα Διαχείρισης Κινδύνων»: Έχουν δικαίωμα πρόσβασης στο σύνολο των στοιχείων του Μητρώου του φορέα, χωρίς δικαίωμα καταχώρισης νέων στοιχείων ή τροποποίησης οποιουδήποτε στοιχείου έχει καταχωριστεί, προκειμένου να ασκήσουν τις εκ του νόμου αρμοδιότητές τους (άρθρο 22Δ του ν. 4795/2021).
ε) «Εσωτερικός Ελεγκτής»: Έχει πρόσβαση στο σύνολο των στοιχείων του Μητρώου του φορέα, χωρίς δικαίωμα καταχώρισης νέων στοιχείων ή τροποποίησης οποιουδήποτε στοιχείου έχει καταχωριστεί, στο μέτρο που είναι απαραίτητο για την υλοποίηση του έργου του.
Άρθρο 7
Διαδικασία καταχώρισης στοιχείων στο Μητρώο
1. Οι χρήστες κάθε φορέα έχουν πρόσβαση αποκλειστικά και μόνο στο Μητρώο του φορέα τους, ήτοι στα δεδομένα που αφορούν στον φορέα τους.
2. Η καταχώριση των στοιχείων στο Μητρώο πραγματοποιείται με την ακόλουθη διαδικασία:
α. Ο Προϊστάμενος της Γενικής Διεύθυνσης ή της Διεύθυνσης, στην περίπτωση που δεν υφίσταται Γενική Διεύθυνση ή της αυτοτελούς οργανικής μονάδας μη υπαγόμενης σε Γενική Διεύθυνση, κατόπιν διαβούλευσης με τους προϊσταμένους των υποκείμενων οργανικών μονάδων, συμπληρώνει όλα τα πεδία του Μητρώου (1-21), εφόσον έχει την αποφασιστική αρμοδιότητα έγκρισης των σχετικών μέτρων. Σε διαφορετική περίπτωση, συμπληρώνονται μόνο τα πεδία 1-15 του Μητρώου και για τα λοιπά πεδία αποστέλλεται αυτόματη ειδοποίηση στο ανώτερο ιεραρχικά επίπεδο που έχει την αποφασιστική αρμοδιότητα έγκρισης των σχετικών μέτρων, για τις ενέργειές του.
β. Το ανώτερο ιεραρχικά επίπεδο, μπορεί:
βα) Είτε να εγκρίνει τα σχετικά μέτρα,
ββ) είτε να τροποποιήσει αιτιολογημένα, όλα τα πεδία του Μητρώου ή/και να προσθέσει κινδύνους με νέα εγγραφή, κατόπιν διαβούλευσης με τους αρμόδιους προϊσταμένους.
3. Με την ολοκλήρωση των παραπάνω ενεργειών, ο επικεφαλής οριστικοποιεί το Μητρώο και αποστέλλεται αυτόματη ειδοποίηση επιτυχούς ολοκλήρωσης σε όσους έχουν πρόσβαση σε αυτό σύμφωνα με το άρθρο 6.
4. Η καταχώριση των στοιχείων στο Μητρώο σύμφωνα με το παρόν άρθρο δύναται να πραγματοποιείται μέσω του/των Υπεύθυνου/ων Καταχώρισης.
Άρθρο 8
Επικαιροποίηση Μητρώου Κινδύνων
1. Το Μητρώο επικαιροποιείται:
α. Με την τροποποίηση ενός ή περισσότερων, από τα πεδία 4-21 του Μητρώου, εφόσον προκύψουν νεότερα δεδομένα,
β. με την προσθήκη νέων κινδύνων,
γ. με την επισκόπηση του συνόλου των στοιχείων του Μητρώου (αναθεώρηση), η οποία πραγματοποιείται τουλάχιστον ετησίως, προκειμένου να αποτυπωθούν ενδεχόμενες αλλαγές και να διασφαλιστεί ότι τα στοιχεία που συμπεριλαμβάνονται σε αυτό παραμένουν επίκαιρα.
2. Οι υπεύθυνοι παρακολούθησης κινδύνων ενημερώνουν εγγράφως κατά λόγο αρμοδιότητας, το αμέσως ανώτερο ιεραρχικά επίπεδο για τις μεταβολές στο Μητρώο Κινδύνων, βάσει των οποίων, απαιτείται επικαιροποίηση των καταχωρήσεων. Για την επικαιροποίηση του Μητρώου ακολουθείται η διαδικασία του άρθρου 7.
3. Το Μητρώο επικαιροποιείται και βάσει των συστάσεων και προτάσεων του Οργάνου Διαχείρισης Κινδύνων, όπως αυτές διατυπώνονται στην ετήσια έκθεση ή στις περιοδικές και έκτακτες αναφορές του άρθρου 22Δ του ν. 4795/2021.
Άρθρο 9
Προβολή ιστορικού ενεργειών χρηστών και έκδοση αναφορών και στατιστικών
1. Οι αρμόδιοι χρήστες κάθε φορέα δύνανται:
α) Να προβαίνουν σε αναζήτηση του ιστορικού των ενεργειών των χρηστών του φορέα τους για λόγους εποπτείας της καλής λειτουργίας της διαδικασίας, β) να εξάγουν αναφορές βάσει κριτηρίων καθώς και στατιστικά στοιχεία που αφορούν αποκλειστικά τον φορέα τους.
2. Η Εθνική Αρχή Διαφάνειας, στο πλαίσιο της άσκησης των αρμοδιοτήτων της για την ανάπτυξη και παρακολούθηση της εφαρμογής του Εθνικού Συστήματος Εσωτερικού Ελέγχου, δύναται να έχει πρόσβαση σε συγκεντρωτικά στατιστικά στοιχεία, όπως σε υπόχρεους φορείς και κατηγορίες κινδύνων, μέσω της ειδικής διαδικτυακής εφαρμογής.
Άρθρο 10
Τήρηση Εμπιστευτικότητας
1. Oι χρήστες του Μητρώου οφείλουν να διασφαλίζουν την εμπιστευτικότητα των πληροφοριών που χειρίζονται, σύμφωνα με τη νομοθεσία που διέπει τον φορέα τους.
2. Οι φορείς που εμπίπτουν στις διατάξεις της παρούσας, οφείλουν να λαμβάνουν τα απαιτούμενα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της εμπιστευτικότητας, τόσο κατά την εισαγωγή/καταχώριση όσο και για την τήρηση των στοιχείων στο Μητρώο.
Άρθρο 11
Τήρηση και επεξεργασία δεδομένων προσωπικού χαρακτήρα
1. Οι ρόλοι των εμπλεκομένων φορέων σύμφωνα με την νομοθεσία περί προστασίας προσωπικών δεδομένων είναι οι εξής: α) Κάθε φορέας που υπάγεται στις διατάξεις της παρούσας ορίζεται ως αυτοτελώς υπεύθυνος επεξεργασίας κατά την έννοια της περ. 7 του άρθρου 4 του Γενικού Κανονισμού Προστασίας Δεδομένων - Γ.Κ.Π.Δ. (Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, ΕΕ L 119) για τα δεδομένα προσωπικού χαρακτήρα των υπαλλήλων του. β) Το Υπουργείο Ψηφιακής Διακυβέρνησης ορίζεται υπεύθυνος επεξεργασίας για την ασφάλεια της διαδικτυακής εφαρμογής κατά την έννοια της περ. 7 του άρθρου 4 του Γ.Κ.Π.Δ. Για τη δε διαβίβαση δεδομένων μέσω διαλειτουργούντων πληροφοριακών συστημάτων για τη διασταύρωση της ακρίβειας των στοιχείων του άρθρου 4 της παρούσης και της ιδιότητας του φυσικού προσώπου ως δημοσίου υπαλλήλου ή ως ανώτατου διοικητικού ή πολιτικού οργάνου του φορέα, το Υπουργείο Ψηφιακής Διακυβέρνησης ορίζεται ως υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 26 του Κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός Προστασίας Δεδομένων), σύμφωνα με το άρθρο 47 παρ. 2 του ν. 4623/2019 (Α' 134). γ) Το Υπουργείο Ψηφιακής Διακυβέρνησης μέσω της Γενικής Γραμματείας Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) αναλαμβάνει την ανάπτυξη, υλοποίηση, συντήρηση και φιλοξενία στις υποδομές Κυβερνητικού Νέφους (g-cloud) της ηλεκτρονικής εφαρμογής «Μητρώο Κινδύνων Δημόσιου Τομέα», την τήρηση των προσωπικών δεδομένων υπό συνθήκες που διασφαλίζουν την ασφάλεια της επεξεργασίας, την ακεραιότητα, την εμπιστευτικότητα και τη διαθεσιμότητα των δεδομένων, καθώς και κάθε άλλο ζήτημα σχετικό με την ομαλή λειτουργία της εφαρμογής. Τα μέρη οφείλουν να τηρούν όλες τις υποχρεώσεις που απορρέουν από τον Γενικό Κανονισμό για την Προστασία Δεδομένων, καθώς και τις διατάξεις του ν. 4624/2019 (Α' 137).
2. Η νομική βάση της επεξεργασίας των προσωπικών δεδομένων για τη λειτουργία της ηλεκτρονικής βάσης του Μητρώου Κινδύνων είναι η περ. γ' της παρ. 1 του άρθρου 6 του Γ.Κ.Π.Δ. και απορρέει από τις διατάξεις του κεφαλαίου Ζ'του ν. 4795/2021. Σκοπός της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι η απόδοση δικαιωμάτων πρόσβασης στο Μητρώο.
3. Οι κατηγορίες των υποκειμένων των οποίων τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, είναι τα εξουσιοδοτημένα στην εφαρμογή φυσικά πρόσωπα που ενεργούν ως χρήστες του Μητρώου.
4. Τα δεδομένα προσωπικού χαρακτήρα, τα οποία τυγχάνουν επεξεργασίας, περιορίζονται στα απολύτως απαραίτητα, προκειμένου για την απόδοση δικαιωμάτων πρόσβασης στο «Μητρώο Κινδύνων Δημοσίου Τομέα» για την εφαρμογή των διατάξεων της παρούσας και αφορούν στο ονοματεπώνυμο, τους κωδικούς δημόσιας διοίκησης, την υπηρεσιακή διεύθυνση ηλεκτρονικού ταχυδρομείου, τον φορέα που ανήκουν, τον ρόλο και τη θέση τους.
5. Τα προσωπικά δεδομένα αποθηκεύονται στη βάση χρηστών του «Μητρώου Κινδύνων Δημόσιου Τομέα» και παραμένουν σε αυτή για όσο χρονικό διάστημα ο χρήστης έχει πρόσβαση στο Μητρώο και για χρονικό διάστημα δέκα (10) ετών από την παύση της χρήσης.
6. Τα κατά τα ανωτέρω υποκείμενα των δεδομένων μπορούν να ασκούν τα δικαιώματα που τους αναγνωρίζει ο Γ.Κ.Π.Δ. και ο ν. 4624/2019. Προβλέπεται δικαίωμα καταγγελίας ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σύμφωνα με την ισχύουσα νομοθεσία.
Άρθρο 12
Μεταβατικές διατάξεις
Μέχρι την έναρξη λειτουργίας της ειδικής διαδικτυακής εφαρμογής, οι φορείς οφείλουν να τηρούν το Μητρώο Κινδύνων ηλεκτρονικά, με κάθε πρόσφορο μέσο, τηρώντας αναλογικά τα προβλεπόμενα στις διατάξεις και το Παράρτημα της παρούσας.
Άρθρο 13
Έναρξη ισχύος
Η ισχύς της παρούσας αρχίζει από τη δημοσίευσή της στην Εφημερίδα της Κυβερνήσεως.
ΠΑΡΑΡΤΗΜΑ
ΥΠΟΔΕΙΓΜΑ ΜΗΤΡΩΟΥ ΚΙΝΔΥΝΩΝ
|
1 |
Αναγνωριστικό Κινδύνου |
|
2 |
Κατηγορία Κινδύνου |
|
3 |
Περιγραφή Κινδύνου |
|
4 |
Πιθανές πηγές Κινδύνου |
|
5 |
Εμπλεκόμενα μέρη |
|
6 |
Πιθανότητα Εγγενούς Κινδύνου |
|
7 |
Αντίκτυπος Εγγενούς Κινδύνου |
|
8 |
Σπουδαιότητα Εγγενούς Κινδύνου |
|
9 |
Υφιστάμενες Δικλίδες Ελέγχου |
|
10 |
Πιθανότητα υπολειμματικού Κινδύνου |
|
11 |
Αντίκτυπος Υπολειμματικού Κινδύνου |
|
12 |
Σπουδαιότητα Υπολειμματικού Κινδύνου |
|
13 |
Αποδεκτός ή όχι Υπολειμματικός Κίνδυνος |
|
14 |
Βραχυπρόθεσμα Μέτρα Αντιμετώπισης Κινδύνου (πρόσθετες δικλίδες) |
|
15 |
Μακροπρόθεσμα Μέτρα Αντιμετώπισης Κινδύνου (πρόσθετες δικλίδες) |
|
16 |
Υπεύθυνος Έγκρισης μέτρων αντιμετώπισης κινδύνου |
|
17 |
Αιτιολόγηση τροποποίησης μέτρων αντιμετώπισης κινδύνου |
|
18 |
Υπεύθυνος υλοποίησης μέτρων |
|
19 |
Προθεσμία Υλοποίησης |
|
20 |
Υπεύθυνος Παρακολούθησης Κινδύνου |
|
21 |
Ένδειξη Κατάστασης Κινδύνου |
Περιγραφή πεδίων υποδείγματος Μητρώου Κινδύνων
1. «Αναγνωριστικό κινδύνου»: Μοναδικό αναγνωριστικό για κάθε κίνδυνο που δίδεται από την ηλεκτρονική βάση του Μητρώου.
2. «Κατηγορία κινδύνου»: Κατηγορία στην οποία ανήκει ο κίνδυνος, (ενδεικτικά κίνδυνος διαφθοράς).
3. «Περιγραφή κινδύνου»: Σύντομη περιγραφή του ενδεχόμενου κινδύνου.
4. «Πιθανές πηγές κινδύνου»: Συνθήκες ή ενέργειες που είναι πιθανό να προκαλέσουν την επέλευση του κινδύνου.
5. «Εμπλεκόμενα μέρη»: Υπηρεσιακές μονάδες ή/και τα άτομα του φορέα που εμπλέκονται με οποιονδήποτε τρόπο στον ενδεχόμενο κίνδυνο.
6. «Πιθανότητα εγγενούς κινδύνου»: Ένδειξη για το πόσο συχνά μπορεί να προκύψει ο κίνδυνος που ενυπάρχει πριν ληφθεί οποιοδήποτε μέτρο για τον περιορισμό του, όπως όταν απουσιάζει οποιαδήποτε δικλίδα ελέγχου.
7. «Αντίκτυπος εγγενούς κινδύνου»: Ένδειξη για το πόσο σοβαρές θα ήταν οι συνέπειες σε περίπτωση που δεν έχει ληφθεί οποιοδήποτε μέτρο για τον περιορισμό του, όπως όταν απουσιάζει οποιαδήποτε δικλίδα ελέγχου.
8. «Σπουδαιότητα εγγενούς κινδύνου»: Κατάταξη του κινδύνου αφού εξεταστεί η πιθανότητα και ο αντίκτυπός του, σε περίπτωση που δεν έχει ληφθεί οποιοδήποτε μέτρο για τον περιορισμό του, όπως όταν απουσιάζει οποιαδήποτε δικλίδα ελέγχου.
9. «Υφιστάμενες δικλίδες ελέγχου»: Υφιστάμενες δράσεις ή διαδικασίες του φορέα για τη διαχείριση των κινδύνων και την αύξηση της πιθανότητας επίτευξης των καθορισμένων στόχων και σκοπών του.
10. «Πιθανότητα υπολειμματικού κινδύνου»: Ένδειξη για το πόσο συχνά μπορεί να προκύψει ο κίνδυνος που απομένει μετά τη λήψη μέτρων από τη διοίκηση (υφιστάμενες δικλίδες ελέγχου).
11. «Αντίκτυπος υπολειμματικού κινδύνου»: Ένδειξη για το πόσο σοβαρές θα ήταν οι συνέπειες σε περίπτωση που ο κίνδυνος επέλθει, λαμβάνοντας υπόψη τα μέτρα που έχουν ληφθεί από την διοίκηση (υφιστάμενες δικλίδες ελέγχου).
12. «Σπουδαιότητα υπολειμματικού κινδύνου»: Κατάταξη του κινδύνου αφού εξεταστεί η πιθανότητα και ο αντίκτυπός του, λαμβάνοντας υπόψη τα μέτρα που έχουν ληφθεί από τη διοίκηση (υφιστάμενες δικλίδες ελέγχου).
13. «Αποδεκτός ή όχι υπολειμματικός κίνδυνος»: Προσδιορίζεται εάν το επίπεδο του κινδύνου είναι αποδεκτό ή όχι λαμβάνοντας υπόψη την αποτελεσματικότητα των υφιστάμενων δικλίδων ελέγχου, σύμφωνα με το ορισμένο επίπεδο ανοχής κινδύνου.
14. «Βραχυπρόθεσμα μέτρα αντιμετώπισης κινδύνου (πρόσθετες δικλίδες)»: Βραχυπρόθεσμα μέτρα τα οποία πρέπει να λάβει ο φορέας για την αντιμετώπιση του κινδύνου, προκειμένου να είναι εντός του ορισμένου επιπέδου ανοχής κινδύνου.
15. «Μακροπρόθεσμα μέτρα αντιμετώπισης κινδύνου (πρόσθετες δικλίδες)»: Μακροπρόθεσμα μέτρα τα οποία πρέπει να λάβει ο φορέας για την αντιμετώπιση του κινδύνου, προκειμένου να είναι εντός του ορισμένου επιπέδου ανοχής κινδύνου.
16. «Υπεύθυνος έγκρισης μέτρων αντιμετώπισης κινδύνων»: Ο Προϊστάμενος της Γενικής Διεύθυνσης ή της Διεύθυνσης, στην περίπτωση που δεν υφίσταται Γενική Διεύθυνση, ή της αυτοτελούς οργανικής μονάδας μη υπαγόμενης σε Γενική Διεύθυνση καθώς και κάθε ανώτερο ιεραρχικά επίπεδο του φορέα που έχει την αποφασιστική αρμοδιότητα για τη λήψη των μέτρων αντιμετώπισης κινδύνου (πρόσθετες δικλίδες ελέγχου).
17. «Αιτιολόγηση τροποποίησης μέτρων αντιμετώπισης κινδύνου»: Αιτιολόγηση για την τροποποίηση των μέτρων που έχουν καταχωρισθεί στο Μητρώο.
18. «Υπεύθυνος υλοποίησης μέτρων»: Ο Προϊστάμενος οποιουδήποτε επιπέδου οργανικής μονάδας αρμόδιας για την υλοποίηση των μέτρων αντιμετώπισης του κινδύνου (πρόσθετες δικλίδες).
19. «Προθεσμία υλοποίησης μέτρων»: Η προθεσμία για την υλοποίηση των μέτρων αντιμετώπισης του κινδύνου (πρόσθετες δικλίδες).
20. «Υπεύθυνος παρακολούθησης κινδύνων»: Ο Προϊστάμενος οποιουδήποτε επιπέδου οργανικής μονάδας στην οποία αφορά ο κίνδυνος.
21. «Ένδειξη κατάστασης κινδύνου»: Ένδειξη του κατά πόσο ο κίνδυνος έχει αντιμετωπιστεί (π.χ. «ανοιχτός», «σε εξέλιξη», «κλειστός»).
Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.
Αθήνα, 30 Σεπτεμβρίου 2025
Κοινή Υπουργική Απόφαση 51719 ΕΞ 2025 - ΦΕΚ 5335/Β/6-10-2025
Καθορισμός πρότυπου Μητρώου Κινδύνων και παροχή οδηγιών σχετικά με τον τρόπο τήρησης και επικαιροποίησής του σύμφωνα με την παρ. 3 του άρθρου 22Η του ν. 4795/2021.
