0
x

Σύνδεση

Δεν έχετε λογαριασμό; Εγγραφείτε
Μενού

Προεδρικό Διάταγμα 65/2025 - ΦΕΚ 126/Α/14-7-2025

Στρατηγική ασφάλειας εθνικών διαβαθμισμένων πληροφοριών και υλικών, βασικές αρχές και οργάνωση της προστασίας τους.

ΠΡΟΕΔΡΙΚΟ ΔΙΑΤΑΓΜΑ ΥΠ' ΑΡΙΘΜ. 65/2025

ΦΕΚ 126/Α/14-7-2025

Στρατηγική ασφάλειας εθνικών διαβαθμισμένων πληροφοριών και υλικών, βασικές αρχές και οργάνωση της προστασίας τους.

Ο ΠΡΟΕΔΡΟΣ

ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ

Έχοντας υπόψη:

1. Τις διατάξεις:

α) Του άρθρου 70 του ν. 5110/2024 «Ιδρυση Ελληνικού Κέντρου Αμυντικής Καινοτομίας, εκσυγχρονισμός θεσμικού πλαισίου των Ανωτάτων Στρατιωτικών Εκπαιδευτικών Ιδρυμάτων, σύσταση Κοινού Σώματος Πληροφορικής στις Ένοπλες Δυνάμεις και λοιπές διατάξεις» (Α' 75),

β) του ν. 3649/2008 «Εθνική Υπηρεσία Πληροφοριών και άλλες διατάξεις» (Α' 39),

γ) του άρθρου 90 του Κώδικα νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα (π.δ. 63/2005, Α' 98), το οποίο διατηρήθηκε σε ισχύ με την περ. 22 του άρθρου 119 του ν. 4622/2019 (Α' 133).

2. Την παρ. 3 του άρθρου 5 του π.δ. 81/2019 «Σύσταση, συγχώνευση, μετονομασία και κατάργηση Υπουργείων και καθορισμός των αρμοδιοτήτων τους - Μεταφορά υπηρεσιών και αρμοδιοτήτων μεταξύ Υπουργείων» (Α' 119).

3. Το π.δ. 27/2025 «Διορισμός Υπουργών, Αναπληρωτή Υπουργού, Υφυπουργών και Αντιπροέδρου της Κυβέρνησης» (Α' 44).

4. Την παρ. 3 του άρθρου 5 του π.δ. 81/2019 «Σύσταση, συγχώνευση, μετονομασία και κατάργηση Υπουργείων και καθορισμός των αρμοδιοτήτων τους - Μεταφορά υπηρεσιών και αρμοδιοτήτων μεταξύ Υπουργείων» (Α' 119).

5. Την Υ 8/01.04.2024 απόφαση του Πρωθυπουργού «Ανάθεση αρμοδιοτήτων στον Υπουργό Επικρατείας, Χρήστο-Γεώργιο Σκέρτσο» (Β' 2037).

6. Την 287/26.06.2024 εισηγητική έκθεση του Προϊσταμένου των Οικονομικών Υπηρεσιών του Υπουργείου Εθνικής Άμυνας, από την οποία προκύπτει ότι από τις διατάξεις του παρόντος δεν προκαλείται δαπάνη σε βάρος του κρατικού προϋπολογισμού.

7. Το γεγονός ότι οι διατάξεις του παρόντος δεν αφορούν σε διοικητική διαδικασία, για την οποία υπάρχει υποχρέωση καταχώρισης στο Εθνικό Μητρώο Διοικητικών Διαδικασιών «Μίτος».

8. Την 16/2025 γνωμοδότηση του Συμβουλίου της Επικρατείας.

Με πρόταση των Υπουργών Εθνικής Οικονομίας και Οικονομικών, Εξωτερικών, Εθνικής Άμυνας, Εσωτερικών, Προστασίας του Πολίτη, Ναυτιλίας και Νησιωτικής Πολιτικής, Ψηφιακής Διακυβέρνησης και του Υπουργού Επικρατείας, αποφασίζουμε:

 

ΚΕΦΑΛΑΙΟ Α': Γενικές ρυθμίσεις

 

Άρθρο 1

Σκοπός

Σκοπός του παρόντος διατάγματος είναι ο καθορισμός της στρατηγικής ασφάλειας Εθνικών Διαβαθμισμένων Πληροφοριών και Υλικών, των βασικών αρχών και των ελάχιστων προδιαγραφών ασφάλειας για την προστασία τους και για το προσωπικό που τις χειρίζεται, καθώς και της οργάνωσης και των αρμοδιοτήτων των Αρχών που τις προστατεύουν.

 

Άρθρο 2

Πεδίο εφαρμογής

1. Με το παρόν διάταγμα καθορίζονται, σε εθνικό επίπεδο, οι Αρχές Ασφάλειας, η οργάνωση και οι αρμοδιότητές τους, καθώς και τα ελάχιστα μέτρα ασφάλειας που πρέπει να εφαρμόζονται από τις Ένοπλες Δυνάμεις (ΕΔ), τα Σώματα Ασφαλείας (ΣΑ) (Ελληνική Αστυνομία - ΕΛΑΣ, Λιμενικό Σώμα Ελληνική Ακτοφυλακή - ΛΣ ΕΛΑΚΤ, Πυροσβεστικό Σώμα - ΠΣ), την Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ), τις κεντρικές και αποκεντρωμένες υπηρεσίες του Κράτους, τους Οργανισμούς Τοπικής Αυτοδιοίκησης (ΟΤΑ) και τα δημόσια νομικά πρόσωπα και οργανισμούς, για τον χειρισμό, τη διαφύλαξη και τη διακίνηση των εθνικών διαβαθμισμένων πληροφοριών και υλικών.

2. Με τις διατάξεις του παρόντος καθορίζονται επίσης οι ελάχιστες απαιτήσεις ασφάλειας που πρέπει να πληροί το προσωπικό που χειρίζεται εθνικές διαβαθμισμένες πληροφορίες και υλικά.

 

Άρθρο 3

Ορισμοί

Για την εφαρμογή του παρόντος ισχύουν οι παρακάτω ορισμοί:

α) «Εθνικές Διαβαθμισμένες Πληροφορίες και Υλικό» (ΕΔΠΥ) είναι κάθε πληροφορία και υλικό που έχει χαρακτηριστεί με βαθμό ασφάλειας, σύμφωνα με τις διατάξεις του παρόντος, και των οποίων η χωρίς άδεια κοινολόγηση μπορεί να βλάψει ποικιλοτρόπως τα εθνικά συμφέροντα,

β) «Σύστημα Επικοινωνιών και Πληροφορικής» (ΣΕΠ) είναι οποιοδήποτε σύστημα επιτρέπει τον χειρισμό πληροφοριών υπό ηλεκτρονική μορφή, με αυτόματα μέσα. Ένα ΣΕΠ περιλαμβάνει το σύνολο των στοιχείων που απαιτούνται για τη λειτουργία του, συμπεριλαμβανομένων της υποδομής, της οργάνωσης, του προσωπικού και των πληροφοριών,

γ) «χαρακτηρισμός» είναι ο βαθμός ασφάλειας που αποδίδεται σε ορισμένη πληροφορία ή υλικό, δ) «υποχαρακτηρισμός» είναι η μείωση του επιπέδου της διαβάθμισης ασφάλειας, ε) «αποχαρακτηρισμός» είναι η κατάργηση οποιασδήποτε διαβάθμισης ασφάλειας, στ) «υλικό» είναι κάθε έγγραφο, φορέας δεδομένων ή στοιχείο μηχανημάτων ή εξοπλισμού που έχει ήδη κατασκευαστεί ή βρίσκεται υπό κατασκευή, ζ) «αμυντικό υλικό» είναι εξοπλισμός ειδικά σχεδιασμένος ή προσαρμοσμένος για ειδικούς σκοπούς, ο οποίος προορίζεται για χρήση ως όπλο, πυρομαχικό ή πολεμικό υλικό. Στα παραπάνω περιλαμβάνονται και όλα τα κύρια υποσυστήματα και απάρτια, από τα οποία ο εξοπλισμός αυτός αποτελείται,

η) «πληροφορία» είναι κάθε είδους γνώση, η οποία μπορεί να μεταδοθεί με οποιοδήποτε μέσο και μορφή, θ) «ασφάλεια εις βάθος» είναι η εφαρμογή σειράς μέτρων ασφάλειας, τα οποία οργανώνονται ως πολλαπλά επίπεδα άμυνας,

ι) «οικονομικός φορέας» είναι κάθε εργολήπτης, εργολάβος, υπεργολάβος, προμηθευτής, πάροχος υπηρεσιών, δηλαδή κάθε φυσικό ή νομικό πρόσωπο, ένωση προσώπων ή φορέας του Δημοσίου ή κοινοπραξία των υπόψη προσώπων ή φορέων, που προσφέρει, αντίστοιχα, την εκτέλεση εργασιών ή έργων, την προμήθεια προϊόντων ή την παροχή υπηρεσιών στην αγορά, ια) «εργολάβος» είναι το φυσικό ή νομικό πρόσωπο που συμβάλλεται με τον κύριο του έργου και αναλαμβάνει την εκτέλεση ολόκληρου του έργου ή τμήματός του, ανεξάρτητα από την ιδιότητα με την οποία φέρεται ασφαλισμένος σε ασφαλιστικό οργανισμό, και προκειμένου για δημόσια έργα ο ανάδοχος, δηλαδή η εργοληπτική επιχείρηση, στην οποία έχει ανατεθεί με σύμβαση η κατασκευή έργου,

ιβ) «υπεργολάβος» είναι το φυσικό ή νομικό πρόσωπο που συμβάλλεται με εργολάβο και αναλαμβάνει την εκτέλεση ολόκληρου του έργου ή τμήματός του, ανεξάρτητα από την ιδιότητα με την οποία φέρεται ασφαλισμένος σε ασφαλιστικό οργανισμό. Ως υπεργολάβος θεωρείται και το πρόσωπο που συμβάλλεται με τον υπεργολάβο και αναλαμβάνει σύμφωνα με τα παραπάνω την εκτέλεση του έργου ή τμήματος του, ιγ) «εξουσιοδότηση ασφάλειας προσωπικού για τον χειρισμό ΕΔΠΥ» είναι το έγγραφο που εκδίδεται από το αρμόδιο διοικητικό όργανο, σύμφωνα με τις διατάξεις του παρόντος, με το οποίο πιστοποιείται η δυνατότητα ορισμένου προσώπου να λαμβάνει γνώση και να χειρίζεται ΕΔΠΥ μέχρι έναν συγκεκριμένο βαθμό ασφάλειας, για καθορισμένη ημερομηνία και θέση εργασίας, ιδ) «Πιστοποιητικό Ασφάλειας Εγκατάστασης» (ΠΑΕ) είναι το έγγραφο που εκδίδεται από την Εθνική Αρχή Ασφάλειας (ΕΑΑ), με το οποίο πιστοποιείται ότι η εγκατάσταση ενός οικονομικού φορέα μπορεί να παρέχει ασφάλεια σε ΕΔΠΥ. Όπου χρησιμοποιείται ο όρος «Πιστοποιητικό Βιομηχανικής Ασφάλειας» νοούνται από κοινού το ΠΑΕ και οι πράξεις εξουσιοδότησης ασφάλειας προσωπικού του οικονομικού φορέα, ιε) «διασφάλιση των πληροφοριών στον τομέα των συστημάτων επικοινωνίας και πληροφοριών» είναι η βεβαιότητα ότι τα εν λόγω συστήματα λειτουργούν απρόσκοπτα υπό τον έλεγχο των νόμιμων χρηστών, καθώς και ότι προστατεύονται οι πληροφορίες που αποτελούν αντικείμενο χειρισμού σε αυτά, ιστ) «παραβίαση της ασφάλειας των ΕΔΠΥ» είναι κάθε διαρροή, υποκλοπή, απώλεια και καταστροφή τους ή κάθε υποψία ενός τέτοιου συμβάντος, ανεξάρτητα από τους παράγοντες που την προκάλεσαν, ιζ) «TEMPEST» είναι η έρευνα, η μελέτη και ο έλεγχος του κινδύνου διαρροής ΕΔΠΥ μέσω ηλεκτρομαγνητικών εκπομπών, καθώς και τα μέτρα εξάλειψης των εκπομπών αυτών,

ιη) «κίνδυνος» είναι η πιθανότητα μία δεδομένη απειλή να εκμεταλλευθεί τα εσωτερικά και εξωτερικά τρωτά σημεία ενός οργανισμού ή των συστημάτων που χρησιμοποιεί και να προκαλέσει βλάβη στον οργανισμό και στα υλικά ή άυλα στοιχεία του. Μετράται ως ο συνδυασμός της ενδεχόμενης υλοποίησης των απειλών και των συνεπειών τους,

ιθ) «χώρος ΣΕΠ» είναι ο χώρος που περιέχει έναν ή περισσότερους ηλεκτρονικούς υπολογιστές, τις τοπικές περιφερειακές μονάδες τους και τις μονάδες αποθήκευσης, τις μονάδες ελέγχου, τον εξοπλισμό δικτύου και επικοινωνιών, συμπεριλαμβανομένου του χώρου απομακρυσμένων τερματικών / σταθμών εργασίας που περιέχει εξοπλισμό ηλεκτρονικών υπολογιστών με τις τοπικές του συσκευές, τα τερματικά / σταθμούς εργασίας και οποιονδήποτε σχετικό εξοπλισμό επικοινωνιών, κ) «αρχή ανάγκης γνώσης» είναι η αρχή ασφάλειας, σύμφωνα με την οποία ο χειρισμός και η γνώση ΕΔΠΥ δεν επεκτείνεται σε όλους όσους έχουν αντίστοιχη ή υψηλότερης βαθμίδας εξουσιοδότηση ασφάλειας, αλλά περιορίζεται στο προσωπικό που είναι απόλυτα αναγκαίο να λάβει γνώση,

κα) «επίπεδο ασφάλειας λειτουργίας» είναι ο ορισμός των προϋποθέσεων υπό τις οποίες λειτουργούν τα ΣΕΠ, βάσει της ταξινόμησης των πλη ροφοριών τις οποίες χειρίζονται και των επιπέδων διαβάθμισης, των τυπικών εγκρίσεων πρόσβασης και της ανάγκης γνώσης των χρηστών τους,

κβ) «αρχή των δύο ατόμων» είναι η αρχή ασφάλειας, σύμφωνα με την οποία για την τροποποίηση ή σκόπιμη υποβάθμιση του ΣΕΠ απαιτείται η συνεργασία μεταξύ δύο ή περισσότερων ατόμων, καθώς και η γνώση των κλείδων ασφάλειας και του λογισμικού από δύο οι περισσότερα άτομα. Εφαρμόζεται και σε χώρους διαφορετικούς από τους χώρους του ΣΕΠ, εάν αυτοί μπορούν να επηρεάσουν την ασφαλή λειτουργία του. Οι χώροι αυτοί προσδιορίζονται στην οικεία Δήλωση Πολιτικής Ασφάλειας Συστήματος (ΔΠΑΣ), κγ) «βιομηχανική ασφάλεια», όπως προβλέπεται στον Εθνικό Κανονισμό Βιομηχανικής Ασφάλειας (ΕΚΒΑ), είναι η εφαρμογή μέτρων διασφάλισης της προστασίας των ΕΔΠΥ από τους οικονομικούς φορείς κατά τις διαπραγματεύσεις πριν από την ανάθεση της σύμβασης και καθ' όλη τη διάρκεια του κύκλου ζωής των διαβαθμισμένων συμβάσεων.

 

ΚΕΦΑΛΑΙΟ Β': Οργάνωση ασφάλειας

 

Άρθρο 4

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Το Υπουργείο Εθνικής Άμυνας (ΥΠΕΘΑ) είναι η Εθνική Αρχή Ασφάλειας (ΕΑΑ), με αρμόδια Διεύθυνση τη Διεύθυνση Ασφάλειας και Αντιπληροφοριών του Ε' Κλάδου του Γενικού Επιτελείου Εθνικής Άμυνας (ΓΕΕΘΑ/Ε' ΚΛΑ- ΔΟΣ/Ε3). Στο πλαίσιο των αρμοδιοτήτων της, η ΕΑΑ: α) λαμβάνει κάθε απαραίτητο μέτρο και προβαίνει στην έκδοση των απαραίτητων εθνικών νομοθετικών διατάξεων και κανονιστικών πράξεων για την ασφάλεια και την προστασία των ΕΔΠΥ, β) συντονίζει τις αρμόδιες για θέματα ασφάλειας υπηρεσίες των ΕΔ επί των μέτρων ασφάλειας, για την προστασία των ΕΔΠΥ, με την ΕΥΠ να παραμένει αρμόδια, κατά τα οριζόμενα στον ν. 3649/2008, για τον συντονισμό των φορέων του Δημοσίου σε θέματα ασφάλειας, κοινοποιώντας στο ΓΕΕΘΑ/Ε' Κλάδο/Ε3, γ) εκδίδει το ΠΑΕ των οικονομικών φορέων, αφού λάβει υπόψη τη θετική εισήγηση της Διορισμένης Αρχής Ασφάλειας (ΔΑΑ),

δ) καθορίζει την οργάνωση, τους όρους και τις ελάχιστες διαδικασίες που απαιτούνται για την εξουσιοδότηση ασφάλειας προσωπικού, εκδίδοντας τις αναγκαίες κανονιστικές πράξεις,

ε) εξουσιοδοτεί το προσωπικό των οικονομικών φορέων για τον χειρισμό ΕΔΠΥ μέχρι έναν συγκεκριμένο βαθμό ασφάλειας για καθορισμένη ημερομηνία και θέση εργασίας εντός του οικονομικού φορέα, στ) καθορίζει, σε συνεργασία με τη ΔΑΑ, τις προϋποθέσεις, τις αρχές ασφάλειας και τις ελάχιστες διαδικασίες που πρέπει να τηρούνται προκειμένου να διασφαλιστεί ότι οι εργολάβοι και οι υπεργολάβοι που έχουν την έδρα τους στην ελληνική επικράτεια λαμβάνουν τα αναγκαία μέτρα για την προστασία των ΕΔΠΥ κατά τις διαπραγματεύσεις πριν από την ανάθεση της σύμβασης και κατά την εκτέλεση διαβαθμισμένης σύμβασης, ζ) εξασφαλίζει, σε συνεργασία με τη ΔΑΑ, ότι οι εργολάβοι ή υπεργολάβοι που έχουν την έδρα τους στην ελληνική επικράτεια και συμμετέχουν σε διαβαθμισμένες συμβάσεις ή συμβάσεις υπεργολαβίας που απαιτούν πρόσβαση σε πληροφορίες με διαβάθμιση ΕΜΠΙΣΤΕΥ- ΤΙΚΟ (ΕΠ) ή ΑΠΟΡΡΗΤΟ (ΑΠ) μέσα στις εγκαταστάσεις τους, είτε κατά την εκτέλεση των συμβάσεων αυτών είτε κατά το προσυμβατικό στάδιο, διαθέτουν εξουσιοδότηση ασφάλειας φορέα στο οικείο επίπεδο διαβάθμισης, σύμφωνα με την κείμενη νομοθεσία,

η) συμμετέχει στην Επιτροπή Επιθεώρησης Οικονομικών Φορέων που συγκροτεί η Διεύθυνση Αμυντικών Επενδύσεων και Τεχνολογικών Ερευνών της Γενικής Διεύθυνσης Αμυντικών Εξοπλισμών και Επενδύσεων του Υπουργείου Εθνικής Άμυνας (ΥΠΕΘΑ/ΓΔΑΕΕ/ΔΑΕΤΕ), θ) εκδίδει οδηγίες αναφορικά με τη διαδικασία μεταφοράς ΕΔΠΥ εντός και εκτός ελληνικής επικράτειας σε συνεννόηση με την αρμόδια αρχή διανομής κρυπτογραφικών μεθόδων, και

ι) εκπροσωπεί τη Χώρα σε διεθνείς οργανισμούς, όπου απαιτείται στο πλαίσιο των αρμοδιοτήτων της.

 

Άρθρο 5

Διορισμένη Αρχή Ασφάλειας (ΔΑΑ)

Η ΥΠΕΘΑ/ΓΔΑΕΕ/ΔΑΕΤΕ είναι η ΔΑΑ, με αρμοδιότητες: α) την παροχή οδηγιών προς τους οργανισμούς, τους οικονομικούς φορείς και τους εμπλεκόμενους με το αμυντικό υλικό, ή γενικότερα τον χειρισμό ΕΔΠΥ, β) τον έλεγχο για την εφαρμογή του παρόντος από φυσικά και νομικά πρόσωπα ή ενώσεις προσώπων που υλοποιούν ερευνητικά και αναπτυξιακά προγράμματα, ειδικές μελέτες επ'ωφελεία των ΕΔ, καθώς και προγράμματα ή συμβάσεις που περιέχουν ΕΔΠΥ, γ) την τήρηση μητρώου των εξουσιοδοτημένων οικονομικών φορέων και του προσωπικού τους, και δ) τη συγκρότηση Επιτροπής Επιθεωρήσεων Βιομηχανικής Ασφάλειας, στην οποία συμμετέχουν από κοινού η ΓΕΕΘΑ/Ε'Κλάδος/Ε3 και η ΕΥΠ, καθώς και τη διαβίβαση του ΠΑΕ στον οικονομικό φορέα που ελέγχθηκε.

 

Άρθρο 6

Αρχή Διασφάλισης Πληροφοριών

Η ΕΥΠ ορίζεται ως Αρχή Διασφάλισης Πληροφοριών και είναι αρμόδια για:

α) τη χάραξη πολιτικών ασφάλειας και κατευθυντήριων γραμμών για τη λήψη μέτρων διασφάλισης των πληροφοριών και την παρακολούθηση της αποτελεσματικότητας και της συνάφειάς τους, β) τη διαφύλαξη και τη διαχείριση τεχνικών πληροφοριών που αφορούν κρυπτογραφικά προϊόντα, γ) την εξασφάλιση ότι τα μέτρα διασφάλισης των πληροφοριών που επιλέγονται για την προστασία των ΕΔΠΥ, καθώς και τα κρυπτογραφικά προϊόντα, τηρούν τις σχετικές πολιτικές ως προς την επιλογή τους, δ) τον συντονισμό της εκπαίδευσης και της ευαισθητοποίησης ως προς τα ισχύοντα μέτρα διασφάλισης των πληροφοριών,

ε) τη στελέχωση της υποομάδας εμπειρογνωμόνων της Επιτροπής Ασφάλειας της Ευρωπαϊκής Ένωσης (ΕΕ) για ζητήματα διασφάλισης των πληροφοριών, προτείνοντας κατάλληλα καταρτισμένο προσωπικό, στ) την εκπροσώπηση της Χώρας σε διεθνείς οργανισμούς, όπου απαιτείται στο πλαίσιο των αρμοδιοτήτων της,

ζ) την αντιμετώπιση κυβερνοπεριστατικών σε φορείς αρμοδιότητάς της και την κοινοποίηση των αποτελεσμάτων στη ΓΕΕΘΑ/Ε' Κλάδο/Ε3.

 

Άρθρο 7

Αρχή TEMPEST

Η ΕΥΠ ορίζεται ως Αρχή TEMPEST και είναι αρμόδια για την εξασφάλιση της συμμόρφωσης των ΣΕΠ με τις πολιτικές και τις κατευθυντήριες γραμμές του TEMPEST, καθώς και για την εκπροσώπηση της χώρας στους διεθνείς οργανισμούς επί θεμάτων TEMPEST. Εγκρίνει αντίμετρα TEMPEST και αντίμετρα τεχνικής επιτήρησης για εγκαταστάσεις και προϊόντα που προορίζονται για την προστασία των ΕΔΠΥ μέχρι ένα ορισμένο επίπεδο διαβάθμισης στο επιχειρησιακό τους περιβάλλον.

 

Άρθρο 8

Αρχή Έγκρισης Κρυπτογραφικών Μεθόδων

Η ΕΥΠ ορίζεται ως Αρχή Έγκρισης Κρυπτογραφικών Μεθόδων και είναι αρμόδια για την αξιολόγηση των κρυπτογραφικών μεθόδων και τη διασφάλιση της συμβατότητας των κρυπτογραφικών προϊόντων με την εθνική κρυπτογραφική πολιτική. Εγκρίνει κρυπτογραφικά προϊόντα για την προστασία των ΕΔΠΥ μέχρι ένα ορισμένο επίπεδο διαβάθμισης στο επιχειρησιακό τους περιβάλλον.

 

Άρθρο 9

Αρχή Διανομής Κρυπτογραφικών Μεθόδων

1. Η ΕΥΠ ορίζεται ως Αρχή Διανομής Κρυπτογραφικών Μεθόδων και είναι αρμόδια για:

α) τη διαχείριση και καταμέτρηση του κρυπτογραφικού υλικού,

β) την εξασφάλιση της εφαρμογής των κατάλληλων διαδικασιών και της δημιουργίας διαύλων για την καταμέτρηση, τον ασφαλή χειρισμό, την αποθήκευση και τη διανομή του κρυπτογραφικού υλικού, και

γ) τη θέσπιση κανόνων για τη μεταφορά κρυπτογραφικού υλικού από και προς φυσικά πρόσωπα ή υπηρεσίες που κάνουν χρήση τους.

2. Για τον έλεγχο, την παρακολούθηση, διανομή, διακίνηση, μεταφορά, απογραφή, φύλαξη, τον εφοδιασμό, την τακτοποίηση, καταστροφή, υποστήριξη και τον χειρισμό των κρυπτοϋλικών και κρυπτοσυσκευών των ΕΔ, για λόγους επιχειρησιακών αναγκών, σε περιόδους ειρήνης, κρίσης, πολέμου, αρμόδια είναι η Διεύθυνση Επικοινωνιών του Γ' Κλάδου του ΓΕΕΘΑ (ΓΕΕΘΑ/Γ ΚΛΑΔΟΣ/Γ4), με εκτελεστικό φορέα το υπαγόμενο σε αυτή Γραφείο Διανομών (ΓΔ).

3. Το ΓΔ έχει ως αποστολή την κεντρική διαχείριση, διανομή, τήρηση και έλεγχο των κρυπτοϋλικών των ΕΔ, αποτελεί τον εθνικό φορέα διακίνησης κρυπτοϋλικών των ΕΔ με συμμαχικές χώρες και οργανισμούς και χειρίζεται τα θέματα διακίνησης των κρυπτοσυσκευών των ΕΔ που αποστέλλονται σε εταιρείες και φορείς είτε του εσωτερικού είτε του εξωτερικού.

 

Άρθρο 10

Αρχή Πιστοποίησης της Ασφάλειας (ΑΠΑ)

1. Η ΕΥΠ ορίζεται ως Αρχή Πιστοποίησης της Ασφάλειας (ΑΠΑ) και είναι αρμόδια για:

α) τη μέριμνα ώστε τα ΣΕΠ να είναι σύμφωνα με τις οικείες πολιτικές και κατευθυντήριες γραμμές ασφάλειας, καθώς και την παροχή δήλωσης έγκρισης των ΣΕΠ για τον χειρισμό ΕΔΠΥ μέχρι ένα ορισμένο επίπεδο διαβάθμισης εντός του επιχειρησιακού τους περιβάλλοντος. Στην ως άνω δήλωση περιέχεται μνεία των όρων της διαπίστευσης και των κριτηρίων, βάσει των οποίων απαιτείται νέα έγκριση,

β) τη θέσπιση διαδικασίας πιστοποίησης ασφάλειας, σύμφωνα με τις σχετικές πολιτικές, στις οποίες αναφέρονται οι προϋποθέσεις έγκρισης για το σύνολο των ΣΕΠ, γ) τη χάραξη στρατηγικής πιστοποίησης ασφάλειας, στην οποία ορίζεται ο βαθμός λεπτομέρειας για τη διαδικασία πιστοποίησης, ανάλογα με το απαιτούμενο επίπεδο βεβαιότητας,

δ) την εξέταση και έγκριση τεκμηρίωσης που αφορά στην ασφάλεια, περιλαμβανομένων των δηλώσεων διαχείρισης κινδύνου και υπολειπόμενου κινδύνου, των ΔΠΑΣ, της τεκμηρίωσης σχετικά με τον έλεγχο εφαρμογής της ασφάλειας και των Διαδικασιών Ασφαλούς Λειτουργίας (ΔΑΛ),

ε) τον έλεγχο της εφαρμογής των μέτρων ασφάλειας αναφορικά με τα ΣΕΠ μέσω της ανάληψης ή ανάθεσης αξιολογήσεων, επιθεωρήσεων ή ελέγχων ασφάλειας, στ) την έκδοση οδηγιών και την πραγματοποίηση των απαραίτητων ελέγχων με σκοπό την έγκριση των ΣΕΠ, που χειρίζονται ΕΔΠΥ, καθορίζοντας σε κάθε σύστημα την Επιχειρησιακή Αρχή Διασφάλισης Πληροφοριών (ΕΑΔΠ),

ζ) τον ορισμό των απαιτήσεων ασφάλειας και ιδίως των επιπέδων διαβάθμισης του προσωπικού για ευαίσθητες θέσεις αναφορικά με τα ΣΕΠ, η) την έγκριση της επιλογής των εγκεκριμένων κρυπτογραφικών προϊόντων και προϊόντων TEMPEST, που χρησιμοποιούνται για την παροχή ασφάλειας σε ΣΕΠ, θ) την κατά περίπτωση έγκριση ή συμμετοχή στην κοινή έγκριση της διασύνδεσης ενός ΣΕΠ με άλλα, ι) την εκτέλεση της διαδικασίας διαπίστευσης, με τη συμμετοχή των κατά περίπτωση εμπλεκόμενων φορέων, ια) τον συντονισμό και τη συνεργασία με τις αρμόδιες αρχές ή υπηρεσίες της ΕΕ για τις διαδικασίες διαπίστευσης των εθνικών ΣΕΠ που πρόκειται να διασυνδεθούν με ΣΕΠ της ΕΕ,

ιβ) την εκπροσώπηση της Χώρας σε διεθνείς οργανισμούς, όπου απαιτείται στο πλαίσιο των αρμοδιοτήτων της, και

ιγ) τη διαβούλευση με τον κάτοχο του συστήματος, τους φορείς ασφάλειας και τους εκπροσώπους των χρηστών όσον αφορά τη διαχείριση του κινδύνου ασφάλειας και ειδικότερα του υπολειπόμενου κινδύνου, καθώς και τους όρους και τις προϋποθέσεις της δήλωσης έγκρισης.

2. Για τη διαπίστευση των διαβαθμισμένων ΣΕΠ των ΕΔ για λόγους επιχειρησιακών αναγκών σε περιόδους ειρήνης, κρίσης, πολέμου, αρμόδια είναι η Διεύθυνση Ασφάλειας και Αντιπληροφοριών του Ε' Κλάδου του ΓΕΕΘΑ (ΓΕΕΘΑ/Ε' ΚΛΑΔΟΣ/Ε3).

 

Άρθρο 11

Επιχειρησιακή Αρχή Διασφάλισης Πληροφοριών (ΕΑΔΠ)

Η ΕΥΠ ορίζεται ως ΕΑΔΠ και είναι αρμόδια για:

α) την ανάπτυξη τεκμηρίωσης ως προς την ασφάλεια, σύμφωνα με τις πολιτικές, συμπεριλαμβανομένων της δήλωσης υπολειπόμενου κινδύνου, των Διαδικασιών Ασφαλούς Λειτουργίας (ΔΑΛ) και του κρυπτογραφικού σχεδίου, στο πλαίσιο της διαδικασίας έγκρισης ΣΕΠ,

β) τη συμμετοχή στην επιλογή και δοκιμή των ειδικών για κάθε ΣΕΠ τεχνικών μέτρων, συσκευών και λογισμικού ασφάλειας, την επίβλεψη της εφαρμογής τους, καθώς και την εξασφάλιση της ασφαλούς εγκατάστασης, ρύθμισης και συντήρησής τους, σύμφωνα με τις οικείες ρυθμίσεις ασφάλειας,

γ) τη συμμετοχή στην επιλογή μέτρων και συσκευών ασφάλειας TEMPEST για κάθε ΣΕΠ και αντίμετρων τεχνικής επιτήρησης, εφόσον απαιτείται από την Πολιτική Ασφάλειας, καθώς και τη μέριμνα για την ασφαλή εγκατάσταση και συντήρησή τους,

δ) την παρακολούθηση της εφαρμογής των ΔΑΛ και, κατά περίπτωση, τη μεταβίβαση αρμοδιοτήτων σχετικών με τη λειτουργική ασφάλεια στον φορέα ΣΕΠ,

ε) τη διαχείριση και τον χειρισμό κρυπτογραφικών προϊόντων, με εξασφάλιση της φύλαξης των κρυπτογραφικών και των ελεγχόμενων προϊόντων και, εφόσον απαιτείται, διασφάλιση της παραγωγής κρυπτογραφικών μεταβλητών,

στ) την επανεξέταση αναλύσεων και τη διεξαγωγή δοκιμών στον τομέα της ασφάλειας ενός ΣΕΠ, ιδίως για την εκπόνηση των σχετικών εκθέσεων κινδύνου,

ζ) την παροχή ειδικής για κάθε ΣΕΠ κατάρτισης για τη διασφάλιση των πληροφοριών, και η) την εφαρμογή και λειτουργία ειδικών για κάθε ΣΕΠ μέτρων ασφάλειας.

 

ΚΕΦΑΛΑΙΟ Γ': Διαβάθμιση, διαχείριση και ασφάλεια των ΕΔΠΥ

 

Άρθρο 12

Διαβάθμιση πληροφορίας ή υλικού

1. Ο χαρακτηρισμός ορισμένης πληροφορίας ή υλικού πρέπει να είναι ανάλογος του κινδύνου που ενέχει για την εθνική ασφάλεια η κοινοποίησή του σε αναρμόδια πρόσωπα, σύμφωνα με τα οριζόμενα στο άρθρο 13.

2. Κάθε αρχή πρέπει να προβαίνει στη διαβάθμιση μίας πληροφορίας ή υλικού, με τον ανάλογο βαθμό ασφάλειας, σύμφωνα με το περιεχόμενο της πληροφορίας ή του υλικού.

3. Η κοινοποίηση των ΕΔΠΥ πρέπει να γίνεται προς περιορισμένο αριθμό Υπηρεσιών και προσώπων, με βάση την αρχή «ανάγκη γνώσης».

4. Ο χαρακτηρισμός μίας πληροφορίας ή υλικού, γίνεται από τον τελευταίο υπογράφοντα, με βάση τους βαθμούς ασφάλειας του άρθρου 13.

 

Άρθρο 13

Βαθμοί ασφάλειας

1. Οι ΕΔΠΥ διαβαθμίζονται σε ένα από τα παρακάτω επίπεδα και φέρουν την αντίστοιχη σήμανση ασφάλειας:

α) ΕΤΝΑ ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ (ΕΤΝΑ ΑΑΠ): ο χαρακτηρισμός αυτός αποδίδεται σε υλικό και πληροφορίες, των οποίων η αποκάλυψη σε μη εξουσιοδοτημένο προσωπικό πρόκειται να προκαλέσει εξαιρετικά σοβαρές ζημίες στην εθνική άμυνα και ασφάλεια, καθώς και στα ζωτικά συμφέροντα της Χώρας, όπως:

αα) μαζική απώλεια ζωής ανθρώπων,

αβ) δραστική μείωση της μαχητικής ισχύος της Χώρας, θέτοντας σε άμεσο κίνδυνο την εδαφική της ακεραιότητα,

αγ) ανεξέλεγκτη δράση εγχώριων ή/και διεθνών οργανώσεων εγκλήματος και τρομοκρατίας,

αδ) βλάβη στη λειτουργία κρίσιμων υποδομών της Χώρας,

αε) ανεπανόρθωτη ζημία στο περιβάλλον εσωτερικής ασφάλειας της Χώρας και στις διεθνείς της σχέσεις.

β) ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ (ΑΑΠ): ο χαρακτηρισμός αυτός αποδίδεται σε υλικό και πληροφορίες, των οποίων η αποκάλυψη σε μη εξουσιοδοτημένο προσωπικό είναι δυνατό να προκαλέσει σοβαρές ζημίες στην εθνική άμυνα και ασφάλεια, καθώς και στα ζωτικά συμφέροντα της Χώρας, όπως:

βα) απώλεια ζωής σημαντικού αριθμού ανθρώπων,

ββ) σημαντική μείωση της μαχητικής ισχύος των ΕΔ,

βγ) αδυναμία έρευνας και δίωξης, από τις Αρχές επιβολής του νόμου, εγχώριων ή/και διεθνικών, σοβαρών και οργανωμένων μορφών εγκλήματος και της τρομοκρατίας,

βδ) άμεση και υπαρκτή διακινδύνευση της λειτουργίας κρίσιμων υποδομών της Χώρας,

βε) πρόκληση σοβαρών ζημιών στο περιβάλλον εσωτερικής ασφάλειας της Χώρας και στις διεθνείς της σχέσεις.

γ) ΑΠΟΡΡΗΤΟ (ΑΠ): ο χαρακτηρισμός αυτός αποδίδεται σε υλικό και πληροφορίες, των οποίων η αποκάλυψη σε μη εξουσιοδοτημένο προσωπικό είναι δυνατό να προκαλέσει ζημίες στην εθνική άμυνα και ασφάλεια, καθώς και στα ζωτικά συμφέροντα της Χώρας, όπως:

γα) απώλεια ζωής ανθρώπων,

γβ) μείωση της μαχητικής ισχύος των ΕΔ,

γγ) παρεμπόδιση μακροπρόθεσμα της έρευνας και της δίωξης, από τις Αρχές επιβολής του νόμου, εγχώριων ή/και διεθνικών, σοβαρών και οργανωμένων μορφών εγκλήματος και της τρομοκρατίας,

γδ) σοβαρός κίνδυνος ως προς τις λειτουργίες κρίσιμων υποδομών της Χώρας,

γε) πρόκληση ζημιών στο περιβάλλον εσωτερικής ασφάλειας της Χώρας και στις διεθνείς της σχέσεις.

δ) ΕΜΠΙΣΤΕΥΤΙΚΟ (ΕΠ): ο χαρακτηρισμός αυτός αποδίδεται σε υλικό και πληροφορίες, των οποίων η αποκάλυψη σε μη εξουσιοδοτημένο προσωπικό ενδέχεται να βλάψει την εθνική άμυνα και ασφάλεια, καθώς και τα ζωτικά συμφέροντα της Χώρας, όπως:

δα) κίνδυνος για την προσωπική ασφάλεια ανθρώπων ή ομάδων ανθρώπων,

δβ) βλάβη της μαχητικής ισχύος των ΕΔ,

δγ) παρεμπόδιση ή/και αποκάλυψη έρευνας και δίωξης, από τις Αρχές επιβολής του νόμου, εγχώριων ή/και διεθνικών, σοβαρών και οργανωμένων μορφών εγκλήματος και της τρομοκρατίας,

δδ) κίνδυνος για τις λειτουργίες κρίσιμων υποδομών της Χώρας,

δε) βλάβη στο περιβάλλον εσωτερικής ασφάλειας της Χώρας και τις διεθνείς της σχέσεις.

ε) ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΧΡΗΣΗΣ (ΠΧ): ο χαρακτηρισμός αυτός αποδίδεται σε υλικό και πληροφορίες, των οποίων η αποκάλυψη σε μη εξουσιοδοτημένο προσωπικό είναι δυνατό να επηρεάσει δυσμενώς την εθνική άμυνα και ασφάλεια, καθώς και τα ζωτικά συμφέροντα της Χώρας, όπως:

εα) δυσμενής επίδραση στη μαχητική ισχύ των ΕΔ,

εβ) διατάραξη της λειτουργίας κρίσιμων υποδομών της Χώρας,

εγ) δυσμενής επίδραση στο περιβάλλον εσωτερικής ασφάλειας της Χώρας και τις διεθνείς της σχέσεις.

2. Οι ΕΔΠΥ, οι οποίες ανάλογα με το περιεχόμενο ή το αντικείμενό τους απαιτούν ειδική μεταχείριση, επισημαίνονται με πρόσθετο χαρακτηρισμό, ο οποίος αναγράφεται σε παρένθεση αμέσως μετά τον βαθμό ασφάλειας, όπως παρακάτω:

α) ΕΙΔΙΚΟΥ ΧΕΙΡΙΣΜΟΥ (ΕΧ): ο χαρακτηρισμός αυτός χρησιμοποιείται, όταν κρίνεται αναγκαίο, μόνο σε υλικό ή πληροφορία που διαθέτει βαθμό ασφάλειας από «ΑΠΟΡΡΗΤΟ» και άνω, όπως «ΑΠΟΡΡΗΤΟ (ΕΧ)», β) ΠΡΟΣΩΠΙΚΟ (ΠΡΣΚΟ): ο χαρακτηρισμός αυτός ακολουθεί τη διαβάθμιση ασφάλειας ΕΔΠΥ όταν λαμβάνει γνώση του περιεχομένου ειδικά προσδιορισμένος παραλήπτης, όπως «ΑΠΟΡΡΗΤΟ (ΠΡΣΚΟ)», γ) ΚΡΥΠΤΟ - ΚΡΥΠΤΑΣΦΑΛΕΙΑ: ο χαρακτηρισμός αυτός χρησιμοποιείται σε ΕΔΠΥ που σχετίζονται με κρυπτοϋλικά - κρυπτασφάλεια.

3. Οι ΕΔΠΥ δεν λαμβάνουν χαμηλότερη διαβάθμιση ούτε αποχαρακτηρίζονται, ούτε τροποποιείται ή αφαιρείται οποιαδήποτε από τις επισημάνσεις που αναφέρονται στην παρ. 2, χωρίς προηγούμενη γραπτή συγκατάθεση της πηγής προέλευσης.

4. Η ανάρτηση ΕΔΠΥ στο διαδίκτυο απαγορεύεται.

5. Κάθε υλικό ή πληροφορία που δεν φέρει χαρακτηρισμό σύμφωνα με την παρ. 1, χαρακτηρίζεται ως ΑΔΙΑΒΑΘ- ΜΗΤΟ (ΑΔ). Ο χαρακτηρισμός αυτός δεν συνιστά βαθμό ασφάλειας.

6. Υλικό ή πληροφορία με χαρακτηρισμό «ΑΔΙΑΒΑΘΜΗΤΟ» επιτρέπεται να αναρτηθεί στο διαδίκτυο μόνο εφόσον αυτό ορίζεται ρητά στο προ του κειμένου μέρος, με την ένδειξη «ΑΝΑΡΤΗΤΕΟ ΣΤΟ ΔΙΑΔΙΚΤΥΟ», τηρουμένης πάντοτε της θεμελιώδους αρχής «ανάγκη γνώσης».

7. Οι βαθμοί ασφάλειας των ΕΔΠΥ, σε αντιστοιχία με τους συμμαχικούς (ΝΑΤΟ και Ευρωπαϊκής Ένωσης), έχουν ως εξής:

ΑΝΑΛΟΓΙΚΟΣ ΠΙΝΑΚΑΣ ΒΑΘΜΩΝ ΑΣΦΑΛΕΙΑΣ

ΕΔΠΥ

ΝΑΤΟ

ΕΕ

ΕΤΝΑ ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ

-

-

ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ

COSMIC TOP SECRET

EU TOP SECRET

ΑΠΟΡΡΗΤΟ

NATO SECRET

EU SECRET

ΕΜΠΙΣΤΕΥΤΙΚΟ

NATO CONFIDENTIAL

EU CONFIDENTIAL

ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΧΡΗΣΗΣ

NATO RESTRICTED

EU RESTRICTED
 

 

8. Η διακίνηση ΕΔΠΥ με βαθμό ασφάλειας «ΕΜΠΙΣΤΕΥΤΙΚΟ» και άνω απαγορεύεται στο διαδίκτυο. Για τα «ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΧΡΗΣΗΣ» η διακίνηση επιτρέπεται μόνο με τη χρήση εξειδικευμένων κρυπτογραφικών μεθόδων.

 

Άρθρο 14

Διαχείριση των ΕΔΠΥ- Μέτρα ασφάλειας

1. Διαχείριση των διαβαθμισμένων πληροφοριών είναι η εφαρμογή διοικητικών μέτρων για τον έλεγχο των ΕΔΠΥ, με στόχο την αποτροπή και ανίχνευση εσκεμμένων ή τυχαίων διαρροών ή απωλειών των εν λόγω πληροφοριών. Τα μέτρα ασφάλειας:

α) έχουν εφαρμογή σε όλα τα πρόσωπα, τα οποία με οποιονδήποτε τρόπο χειρίζονται ή λαμβάνουν γνώση ΕΔΠΥ ή έχουν πρόσβαση σε χώρους όπου φυλάσσονται ΕΔΠΥ,

β) τίθενται σε ισχύ για όλους τους χώρους, τα κτίρια, τα γραφεία, τις αίθουσες και άλλα μέρη όπου γίνεται χειρισμός ή αποθήκευση ΕΔΠΥ, συμπεριλαμβανομένων των χώρων όπου στεγάζονται ΣΕΠ, γ) σχεδιάζονται έτσι ώστε να ανιχνεύονται, να παρεμποδίζονται και να αποτρέπονται, το ταχύτερο δυνατό, οι μη εξουσιοδοτημένες ενέργειες ή η μη εξουσιοδοτημένη πρόσβαση προσώπων σε ΕΔΠΥ, καθώς και η πρόσβαση προσώπων τα οποία, μολονότι είναι εξουσιοδοτημένα, κρίνονται επικίνδυνα για την ασφάλειά τους, δ) είναι ανάλογα, καθ' όλη τη διάρκεια του κύκλου ζωής τους, ιδίως προς τη διαβάθμιση ασφάλειάς τους, τη μορφή και τον όγκο των πληροφοριών ή του υλικού, την τοποθεσία και την κατασκευή των εγκαταστάσεων όπου ευρίσκονται ΕΔΠΥ και την επιτόπου εκτιμώμενη απειλή δόλιων ή εγκληματικών δραστηριοτήτων και, ιδίως, κατασκοπείας, δολιοφθοράς και τρομοκρατίας, και ε) βασίζονται στη θεμελιώδη αρχή «ανάγκη γνώσης».

2. Οι χώροι στους οποίους εφαρμόζονται μέτρα ασφάλειας για τον έλεγχο των ΕΔΠΥ διακρίνονται σε διοικητικούς χώρους και χώρους ασφάλειας. Ως χώροι ασφάλειας είναι οι αυτοί, στους οποίους τηρούνται και διακινούνται ΕΔΠΥ διαβάθμισης «ΕΜΠΙΣΤΕΥΤΙΚΟ» και άνω. Οι χώροι αυτοί είναι οργανωμένοι και κατάλληλα διαμορφωμένοι με τέτοιο τρόπο, ώστε η είσοδος και η εκτέλεση εργασίας να επιτρέπονται μόνο σε κατάλληλα εξουσιοδοτημένο προσωπικό.

3. Η οργάνωση των μέτρων ασφάλειας των ΕΔΠΥ αποτελεί αρμοδιότητα του προϊσταμένου της υπηρεσίας ή του φορέα που τηρεί ΕΔΠΥ, ο οποίος, για τον σκοπό της προστασίας τους από οποιονδήποτε κίνδυνο παραβίασης, κλοπής, παραποίησης ή καταστροφής τους: α) συντάσσει σχέδιο ασφάλειας, στο οποίο εξατομικεύονται τα μέτρα που προβλέπονται στην κείμενη νομοθεσία, καθορίζοντας επακριβώς τις αρμοδιότητες των εμπλεκομένων, και

β) εποπτεύει την εφαρμογή των ως άνω μέτρων ασφάλειας.

 

Άρθρο 15

Μεταφορά των ΕΔΠΥ

1. Κατά τη μεταφορά των ΕΔΠΥ λαμβάνονται μέτρα για την προστασία τους από οποιονδήποτε κίνδυνο, παραβίαση, κλοπή, παραποίηση ή καταστροφή.

2. Για τη μεταφορά των ΕΔΠΥ συντάσσεται σχέδιο με τα κατάλληλα μέτρα ασφάλειας, καθώς και τις αναγκαίες προπαρασκευαστικές πράξεις, ώστε να μην περιέλθουν σε μη εξουσιοδοτημένο προσωπικό. Το σχέδιο υποβάλλεται για έγκριση στην ΕΑΑ και περιλαμβάνει, κατ' ελάχιστο, τις παρακάτω ενότητες:

α) περιγραφή ΕΔΠΥ,

β) αναγνώριση εξουσιοδοτημένων εκπροσώπων συμμετέχοντος κράτους,

γ) σημεία παράδοσης,

δ) καθορισμό εξουσιοδοτημένων μεταφορέων,

ε) εγκατάσταση αποθήκευσης ή διεκπεραίωσης και σημεία μεταβίβασης,

στ) ασφάλεια λιμένων και τελωνειακές αρχές,

ζ) στοιχεία μεταφορέων, και

η) αρμοδιότητες αποδεκτών.

 

ΚΕΦΑΛΑΙΟ Δ': Ασφάλεια προσωπικού

 

Άρθρο 16

Ασφάλεια προσωπικού

1. Ως ασφάλεια προσωπικού νοείται η εφαρμογή μέτρων, προκειμένου να εξασφαλίζεται ότι πρόσβαση στις ΕΔΠΥ επιτρέπεται μόνο στα πρόσωπα τα οποία έχουν:

α) ανάγκη γνώσης,

β) εξουσιοδότηση ασφάλειας του αντίστοιχου επιπέδου, εφόσον απαιτείται, και γ) ενημέρωση ως προς τις αρμοδιότητές τους.

2. Οι διαδικασίες ελέγχου ασφάλειας του προσωπικού αποσκοπούν στην εξακρίβωση του κατά πόσο μπορεί να επιτραπεί σε ένα πρόσωπο, βάσει της φερεγγυότητας και της αξιοπιστίας του, η πρόσβαση σε ΕΔΠΥ.

3. Ο έλεγχος και η έγκριση πρόσβασης σε ΕΔΠΥ για τα πρόσωπα της παρ. 1 γίνεται ως ακολούθως:

α) για το στρατιωτικό προσωπικό και τους δημόσιους υπαλλήλους από τους καθ' ύλην αρμόδιους φορείς, και β) για τα λοιπά φυσικά πρόσωπα από την ΕΑΑ.

 

Άρθρο 17

Εξουσιοδοτήσεις για χειρισμό ΕΔΠΥ

1. Πρόσβαση σε ΕΔΠΥ μπορεί να έχει μόνο προσωπικό το οποίο έχει λάβει εξουσιοδότηση χειρισμού ΕΔΠΥ, με την επιφύλαξη της παραγράφου 8.

2. Προσωπικό, το οποίο δεν είναι κατάλληλα εξουσιοδοτημένο για τον χειρισμό ΕΔΠΥ, απαγορεύεται να υπηρετεί σε θέσεις εργασίας που παρέχουν πρόσβαση ή προϋποθέτουν την παροχή πρόσβασης σε ΕΔΠΥ.

3. Ως εξουσιοδότηση προσωπικού για τον χειρισμό ΕΔΠΥ νοείται το έγγραφο που εκδίδεται από το αρμόδιο διοικητικό όργανο, σύμφωνα με τις διατάξεις του παρόντος, με το οποίο πιστοποιείται η δυνατότητα ορισμένου προσώπου να λαμβάνει γνώση και να χειρίζεται ΕΔΠΥ μέχρι ενός ορισμένου επιπέδου, για προκαθορισμένη ημερομηνία και για προκαθορισμένη θέση εργασίας.

4. Η εξουσιοδότηση παρέχεται προς πολίτες ελληνικής ιθαγένειας. Κατ' εξαίρεση μπορεί να εξουσιοδοτηθεί αλλοδαπό προσωπικό, όπου κρίνεται απολύτως αναγκαίο.

5. Η εξουσιοδότηση παρέχεται στο απολύτως αναγκαίο προσωπικό για την εκπλήρωση της αποστολής μίας Υπηρεσίας και ανακαλείται ελεύθερα από την εκδούσα Αρχή, εφόσον η αποστολή της εξυπηρετείται από μικρότερο αριθμό εξουσιοδοτημένου προσωπικού.

6. Οι εξουσιοδοτήσεις προσωπικού είναι πέντε (5) κατηγοριών:

α) ΕΤΝΑ ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ

β) ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ

γ) ΑΠΟΡΡΗΤΟ

δ) ΕΜΠΙΣΤΕΥΤΙΚΟ

ε) ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΧΡΗΣΗΣ.

7. Το προσωπικό που έχει εξουσιοδότηση ασφάλειας ανώτερου βαθμού μπορεί να χειρίζεται και να λαμβάνει γνώση πληροφορίας κατώτερης βαθμίδας, εφόσον αυτό απαιτείται.

8. Οι εξουσιοδοτήσεις ασφάλειας του προσωπικού, ως εκ της ιδιότητάς του, έχουν όπως παρακάτω:

α) Βουλευτές, Ανώτατοι Κρατικοί Αξιωματούχοι, Δικαστικοί και Εισαγγελικοί Λειτουργοί, μέλη συνταγματικώς κατοχυρωμένων Ανεξάρτητων Αρχών, Ανώτατοι και Ανώτεροι Αξιωματικοί των ΕΔ, της ΕΛΑΣ, του ΛΣ ΕΛΑΚΤ και του ΠΣ, θεωρούνται, ως εκ της ιδιότητάς τους, εξουσιοδοτημένοι και για τις πέντε κατηγορίες ΕΔΠΥ, β) Περιφερειάρχες, Αντιπεριφερειάρχες, Δήμαρχοι, κατώτεροι Αξιωματικοί των ΕΔ, της ΕΛΑΣ, του ΛΣ ΕΛΑΚΤ και του ΠΣ, θεωρούνται, ως εκ της ιδιότητάς τους, εξουσιοδοτημένοι για τον χειρισμό ΕΔΠΥ βαθμού ασφάλειας μέχρι και «ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ». Απαιτείται εξουσιοδότηση για τον χειρισμό ΕΔΠΥ βαθμού ασφάλειας «ΕΤΝΑ ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ»,

γ) Ανθυπασπιστές, μόνιμοι Υπαξιωματικοί, μονιμοποιημένοι Εθελοντές Μακράς Θητείας (ΕΜΘ) και Επαγγελματίες Οπλίτες (ΕΠΟΠ) των ΕΔ, καθώς και Υπαξιωματικοί της ΕΛΑΣ, του ΛΣ ΕΛΑΚΤ και του ΠΣ, θεωρούνται, ως εκ της ιδιότητάς τους, εξουσιοδοτημένοι για τον χειρισμό ΕΔΠΥ βαθμού ασφάλειας μέχρι και «ΑΠΟΡΡΗΤΟ». Απαιτείται εξουσιοδότηση για τον χειρισμό ΕΔΠΥ βαθμού ασφάλειας «ΑΚΡΩΣ ΑΠΟΡΡΗΤΟ» και άνω, δ) Έφεδροι Αξιωματικοί και μη μονιμοποιημένοι ΕΠΟΠ των ΕΔ, θεωρούνται εξουσιοδοτημένοι για τον χειρισμό ΕΔΠΥ βαθμού ασφάλειας μέχρι και «ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΧΡΗΣΗΣ». Απαιτείται εξουσιοδότηση για τον χειρισμό ΕΔΠΥ, βαθμού ασφάλειας «ΕΜΠΙΣΤΕΥΤΙΚΟ» και άνω.

9. Για το προσωπικό οποιασδήποτε ιδιότητας και προέλευσης, συμπεριλαμβανομένων των μετακλητών υπαλλήλων, το οποίο δεν ανήκει στις κατηγορίες της προηγούμενης παραγράφου, απαιτείται εξουσιοδότηση χειρισμού ΕΔΠΥ.

10. Για τον χειρισμό υλικού ασφάλειας ΚΡΥΠΤΟ (κρυπτοϋλικού) απαιτείται εξουσιοδότηση για όλο το στρατιωτικό και πολιτικό προσωπικό, ανεξαρτήτως βαθμού και ιδιότητας.

 

Άρθρο 18

Ενημέρωση- εκπαίδευση εξουσιοδοτημένου προσωπικού

1. Οι αρχές και οι φορείς, στους οποίους υπηρετεί προσωπικό που χειρίζεται ΕΔΠΥ, είναι αρμόδιοι για την ενημέρωσή του επί των ισχυουσών οδηγιών ασφάλειας, με τη συνδρομή της ΕΥΠ. Η ενημέρωση του προσωπικού που χειρίζεται ΕΔΠΥ πραγματοποιείται αρχικά κατά την ανάληψη των καθηκόντων του και επαναλαμβάνεται περιοδικά.

2. Εκτός από τη γενική εκπαίδευση σε θέματα ασφάλειας, οι αρχές καταρτίζουν ειδικό πρόγραμμα εκπαίδευσης του προσωπικού σε θέματα ασφάλειας.

 

Άρθρο 19

Έλεγχος εξουσιοδοτημένου προσωπικού

Οι αρχές που εκδίδουν πράξεις εξουσιοδότησης ασφάλειας του προσωπικού προβαίνουν σε περιοδική εξέταση και επανέλεγχό του και, εφόσον απαιτείται, τροποποιούν ή ανακαλούν την εξουσιοδότηση ασφάλειας. Ο έλεγχος γίνεται τακτικά, μία φορά τον χρόνο κατά τον μήνα Ιανουάριο, ή έκτακτα, όταν κρίνεται απαραίτητο.

 

ΚΕΦΑΛΑΙΟ Ε': Προστασία ΕΔΠΥ που αποτελούν αντικείμενο χειρισμού σε ΣΕΠ

 

Άρθρο 20

Προστασία ΕΔΠΥ που αποτελούν αντικείμενο χειρισμού σε ΣΕΠ

1. Οι ΕΔΠΥ, είτε έχουν τη μορφή έντυπου κειμένου είτε είναι αποθηκευμένες στη μνήμη ηλεκτρονικού υπολογιστή, έχουν την ίδια διαβάθμιση με τη διαβάθμιση των πληροφοριών που χρησιμοποιήθηκαν για την παραγωγή τους και εφαρμόζονται τα αντίστοιχα για τη διαβάθμισή τους μέτρα ασφάλειας. Το σύνολο των πληροφοριών ενός ΣΕΠ είναι δυνατό να φέρει διαβάθμιση ανώτερη αυτής των επιμέρους πληροφοριών.

2. Όταν οι ΕΔΠΥ διακινούνται από ένα ΣΕΠ σε άλλο, προστατεύονται τόσο κατά τη διάρκεια της μεταφοράς όσο και στο ΣΕΠ που είναι αποδέκτης τους κατά τρόπο ανάλογο με την αρχική διαβάθμιση και κατηγορία δια- βάθμισης των πληροφοριών.

3. Τα μέσα αποθήκευσης ΕΔΠΥ φυλάσσονται με τρόπο που αρμόζει είτε στην ανώτερη διαβάθμιση των απο- θηκευμένων ΕΔΠΥ είτε στο επίπεδο διαβάθμισης κάθε μέσου.

4. Τα επαναχρησιμοποιούμενα αποθηκευτικά μέσα, που χρησιμοποιούνται για την καταχώριση ΕΔΠΥ, διατηρούν την ανώτερη διαβάθμιση, για την οποία χρησιμοποιήθηκαν στο παρελθόν, μέχρι οι ΕΔΠΥ να υποβαθμιστούν, να λάβουν νέα διαβάθμιση, να αποχαρακτηριστούν ή να καταστραφούν.

 

Άρθρο 21

Επίπεδο ασφάλειας λειτουργίας ΣΕΠ

Για τον χειρισμό ή τη διαβίβαση διαβαθμισμένων πληροφοριών υφίστανται τέσσερα (4) επίπεδα ασφάλειας ΣΕΠ:

α) απόλυτο επίπεδο ασφάλειας: το επίπεδο λειτουργίας, στο οποίο όλα τα πρόσωπα που έχουν πρόσβαση στο ΣΕΠ ελέγχονται σύμφωνα με τον ανώτατο βαθμό διαβάθμισης των πληροφοριών που χειρίζεται το ΣΕΠ και έχουν την ίδια ανάγκη γνώσης αυτών, β) υψηλό επίπεδο ασφάλειας: το επίπεδο λειτουργίας, στο οποίο όλα τα πρόσωπα που έχουν πρόσβαση στο ΣΕΠ ελέγχονται σύμφωνα με τον ανώτατο βαθμό διαβάθμισης των πληροφοριών που χειρίζεται το ΣΕΠ, αλλά δεν έχουν την ίδια ανάγκη γνώσης των πληροφοριών που χειρίζεται το ΣΕΠ,

γ) τμηματικό επίπεδο ασφάλειας: το επίπεδο λειτουργίας, στο οποίο όλα τα πρόσωπα που έχουν πρόσβαση στο ΣΕΠ ελέγχονται σύμφωνα με τον ανώτατο βαθμό διαβάθμισης των πληροφοριών που χειρίζεται το ΣΕΠ, αλλά δεν διαθέτουν τυπική έγκριση πρόσβασης σε όλες τις πληροφορίες που χειρίζεται το ΣΕΠ, δ) πολλαπλό επίπεδο ασφάλειας: το επίπεδο λειτουργίας, στο οποίο δεν ελέγχονται όλα τα πρόσωπα που έχουν πρόσβαση στο ΣΕΠ σύμφωνα με τον ανώτατο βαθμό διαβάθμισης των πληροφοριών που χειρίζεται το σύστημα, ούτε έχουν την ίδια ανάγκη γνώσης των πληροφοριών που χειρίζεται το ΣΕΠ.

 

Άρθρο 22

Μέτρα ασφάλειας σε ΣΕΠ

1. Τα ΣΕΠ καλύπτονται από μέτρα ασφάλειας που αφορούν στη φυσική ασφάλεια, την ασφάλεια προσωπικού, την ασφάλεια επικοινωνιών - πληροφορικής και την ασφάλεια ΕΔΠΥ και παρέχουν προστασία από τη μη εξουσιοδοτημένη αποκάλυψη πληροφοριών, δηλαδή την απώλεια του εμπιστευτικού τους χαρακτήρα.

2. Οι αρχές διασφάλισης των πληροφοριών, για την εφαρμογή δράσεων στο πλαίσιο των ΣΕΠ, είναι οι παρακάτω:

α) εμπιστευτικότητα, που αφορά στην μη κοινολόγηση πληροφοριών σε μη εξουσιοδοτημένα πρόσωπα, φορείς ή διαδικασίες,

β) ακεραιότητα, που αφορά στη διαφύλαξη της ακρίβειας και της πληρότητας των πληροφοριών και των στοιχείων,

γ) μη άρνηση αναγνώρισης των πληροφοριών, που αφορά στην ικανότητα απόδειξης της διεξαγωγής μίας ενέργειας ή ενός γεγονότος, ώστε να μην είναι δυνατή η άρνηση της εν λόγω ενέργειας ή του γεγονότος, δ) γνησιότητα, που αφορά στην εγγύηση ότι οι πληροφορίες είναι γνήσιες και από καλόπιστες πηγές, και ε) διαθεσιμότητα, που αφορά στην ιδιότητα του ΣΕΠ να είναι διαθέσιμο και έτοιμο προς χρήση κατόπιν αιτήματος εξουσιοδοτημένου φορέα.

 

Άρθρο 23

Διαπίστευση ΣΕΠ

1. Τα ΣΕΠ που περιέχουν ΕΔΠΥ υποβάλλονται, πριν από την έναρξη λειτουργίας τους, σε διαδικασία διαπίστευσης, προκειμένου να βεβαιωθεί ότι έχουν εφαρμοστεί τα ενδεδειγμένα μέτρα ασφάλειας και έχει επιτευχθεί ικανοποιητικό επίπεδο προστασίας τόσο των ΕΔΠΥ όσο και των ΣΕΠ. Η διαδικασία διαπίστευσης εξουσιοδοτεί το σύστημα για χειρισμό πληροφοριών ορισμένου βαθμού ασφάλειας, λαμβάνοντας υπόψη τα μέτρα ασφάλειας του περιβάλλοντος λειτουργίας του συστήματος.

2. Ο βαθμός ασφάλειας των ΣΕΠ καθορίζεται κατά τη σύνταξη της Πολιτικής Ασφάλειας Συστήματος.

 

Άρθρο 24

Πολιτική Ασφάλειας Συστήματος

1. Για κάθε ΣΕΠ που περιέχει ΕΔΠΥ με διαβάθμιση «ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΧΡΗΣΗΣ» και άνω, απαιτείται η σύνταξη Πολιτικής Ασφάλειας από τους αρμόδιους φορείς, η οποία εγκρίνεται από την αρμόδια ΕΑΔΠ.

2. Η Πολιτική Ασφάλειας αποτελεί πλήρη και σαφή δήλωση των απαιτήσεων ασφάλειας ενός ΣΕΠ. Βασίζεται στην Εθνική Πολιτική Ασφάλειας και σε ανάλυση κινδύνων ή επιβάλλεται από παραμέτρους που καλύπτουν το επιχειρησιακό περιβάλλον, το κατώτατο επίπεδο εξουσιοδότησης προσωπικού, την ανώτατη διαβάθμιση των πληροφοριών, τους ασφαλείς τρόπους λειτουργίας ή τα αιτήματα του χρήστη.

3. Η Πολιτική Ασφάλειας συντάσσεται στο αρχικό στάδιο της σχεδίασης ενός συστήματος και επικαιροποιείται κατά την αναβάθμιση ή εξέλιξή του στα διάφορα στάδια του κύκλου ζωής του.

 

Άρθρο 25

Ασφάλεια προσωπικού σε ΣΕΠ

1. Οι χρήστες του ΣΕΠ εξουσιοδοτούνται για χειρισμό ΕΔΠΥ αντίστοιχου βαθμού ασφάλειας με αυτόν του συστήματος και ευθύνονται για την ασφάλειά του.

2. Η εκπαίδευση των χρηστών του ΣΕΠ επί των νέων απειλών και κινδύνων, που προκύπτουν από τις τεχνολογικές εξελίξεις, είναι διαρκής και πραγματοποιείται σε διάφορα επίπεδα, ανάλογα με τα καθήκοντα του ως άνω προσωπικού.

3. H ΑΠΑ καθορίζει τις ευαίσθητες θέσεις των ΣΕΠ από τα πρώτα στάδια της σχεδίασής τους, ορίζοντας επακριβώς το επίπεδο ασφάλειας και εποπτείας που απαιτείται για το προσωπικό που τις στελεχώνει.

 

Άρθρο 26

Φυσική ασφάλεια σε ΣΕΠ

1. Οι χώροι ΣΕΠ και οι απομακρυσμένοι χώροι τερματικών ή σταθμών εργασίας, στους οποίους πραγματοποιείται χειρισμός ΕΔΠΥ ή είναι δυνατή η πρόσβαση σε τέτοιες πληροφορίες, ορίζονται ως ελεγχόμενοι χώροι, για τους οποίους εφαρμόζονται μέτρα ασφάλειας.

2. Με βάση τον κίνδυνο κατά της ασφάλειας και ανάλογα με τη διαβάθμιση των πληροφοριών που υφίστανται επεξεργασία εφαρμόζεται η αρχή των «δύο ατόμων».

3. Όταν ένα ΣΕΠ πρόκειται να διαχωριστεί από αυτό στο οποίο ανήκε αρχικά, είναι δυνατό να τροποποιούνται οι κανόνες ασφάλειας, λαμβάνοντας υπόψη το φυσικό περιβάλλον, τα διαδικαστικά ή τεχνικά μέτρα ασφάλειας, την αρχιτεκτονική υλικού και τον ρόλο του. Στην περίπτωση αυτή, η ΑΠΑ ορίζει τις προδιαγραφές για τη σύνθεση του ΣΕΠ, το επίπεδο των διαβαθμισμένων πληροφοριών που τυγχάνουν επεξεργασίας και τα ειδικά χαρακτηριστικά, που αναγνωρίζονται στο νέο ΣΕΠ.

 

Άρθρο 27

Έλεγχος πρόσβασης σε ΣΕΠ

1. Οι πληροφορίες και το υλικό, με βάση τα οποία ελέγχεται η πρόσβαση σε ΣΕΠ, όπως ιδίως τα ονόματα χρηστών και οι αντίστοιχοι κωδικοί πρόσβασης, ελέγχονται και προστατεύονται με μέτρα ανάλογα με την ανώτερη διαβάθμιση των δεδομένων που χειρίζεται το ΣΕΠ.

2. Οι πληροφορίες και το υλικό ελέγχου πρόσβασης, όταν δεν χρησιμοποιούνται και εφόσον η διατήρησή τους δεν επιβάλλεται από άλλες διατάξεις, καταστρέφονται με τέτοιο τρόπο ώστε να αποκλείεται η ανάκτησή τους, συντάσσονται δε σχετικά πρωτόκολλα καταστροφής.

 

ΚΕΦΑΛΑΙΟ ΣΤ': Βιομηχανική ασφάλεια

 

Άρθρο 28

Αρχές βιομηχανικής ασφάλειας

Οι αρχές βιομηχανικής ασφάλειας που εφαρμόζονται από κάθε οικονομικό φορέα, είναι:

α) η εξουσιοδότηση του προσωπικού που πρόκειται να χειριστεί ΕΔΠΥ ή να αποκτήσει πρόσβαση σε αυτές, καθώς και η τήρηση των μέτρων ασφάλειας από το προσωπικό που χειρίζεται ή αποκτά πρόσβαση σε ΕΔΠΥ, σύμφωνα με την κείμενη νομοθεσία,

β) η άρση της εξουσιοδότησης ασφάλειας και η απομάκρυνση από τα καθήκοντα χειρισμού ΕΔΠΥ του προσωπικού για το οποίο επήλθε μεταγενέστερα κώλυμα, κατόπιν αίτησης του οικονομικού φορέα ή αυτοδίκαια από την ΕΑΑ,

γ) ο αποκλεισμός της πρόσβασης μη εξουσιοδοτημένων ατόμων σε ΕΔΠΥ και στους χώρους φύλαξής τους,

δ) ο καθορισμός τρόπων διασφάλισης της προστασίας ΕΔΠΥ σε περιπτώσεις καταστάσεων έκτακτης ανάγκης και

ε) η εφαρμογή της θεμελιώδους αρχής «ανάγκη γνώσης», όπως αυτή ορίζεται στο άρθρο 3.

 

Άρθρο 29

Διαβάθμιση ασφάλειας συμβάσεων

Για την προστασία των ΕΔΠΥ, που περιλαμβάνονται σε διαβαθμισμένες συμβάσεις, ισχύουν τα εξής:

α) ο καθορισμός της διαβάθμισης είναι αρμοδιότητα του φορέα που αναθέτει τη σύμβαση,

β) η διαβάθμιση ασφάλειας χορηγείται για τα τμήματα της σύμβασης που απαιτείται να προστατεύονται, σύμφωνα με το επίπεδο διαβάθμισης ΕΔΠΥ που περιέχουν, χωρίς να γίνεται κατάχρηση των χαρακτηρισμών δια- βάθμισης,

γ) η συνολική διαβάθμιση ασφάλειας της σύμβασης δεν επιτρέπεται να είναι κατώτερη από την ανώτατη διαβάθμιση οποιουδήποτε τμήματός της. Τα τμήματα της σύμβασης, που φέρουν κατώτερο βαθμό ασφάλειας από τη συνολική διαβάθμιση ασφάλειάς της, προστατεύονται ανάλογα με τον βαθμό ασφάλειας που αντιστοιχεί σε κάθε τμήμα και

δ) ο υποχαρακτηρισμός μίας σύμβασης ή τμήματός της γίνεται μόνο από τον φορέα που αναθέτει τη σύμβαση, σε συνεργασία με την ΕΑΑ και τη ΔΑΑ.

 

Άρθρο 30

Διαδικασία επί παραβιάσεων βιομηχανικής ασφάλειας

Οι οικονομικοί φορείς και εργολάβοι αναφέρουν άμεσα στην ΕΑΑ, στη ΔΑΑ, στον φορέα που αναθέτει τη σύμβαση και στην αρμόδια εισαγγελική αρχή κάθε ένδειξη παραβίασης της ασφάλειας των ΕΔΠΥ. Οι αναφορές των ως άνω συμβάντων περιλαμβάνουν κατ' ελάχιστο τα εξής:

α) τη γενική περιγραφή των συνθηκών, β) τον πιθανό τόπο και χρόνο (ημέρα και ώρα) κατά τον οποίο έλαβε χώρα το συμβάν, γ) τον χρόνο και τα στοιχεία του προσώπου που ανέφερε και του προσώπου που διαπίστωσε το συμβάν, δ) τη διαβάθμιση ασφάλειας των ΕΔΠΥ που παραβιάστηκαν,

ε) μία σύντομη περιγραφή του περιεχομένου των ΕΔΠΥ, και

στ) την εκτίμηση της πιθανότητας παραβίασης της ασφάλειας των ΕΔΠΥ ως «βέβαιη», «δυνατή», «πιθανή» ή «απίθανη».

 

Άρθρο 31

Χορήγηση πιστοποιητικού ασφάλειας εγκατάστασης (ΠΑΕ)

1. Οι οικονομικοί φορείς που αποκτούν πρόσβαση σε ΕΔΠΥ απαιτείται να διαθέτουν ΠΑΕ.

2. Κάθε χωριστή εγκατάσταση του οικονομικού φορέα, στην οποία γίνεται χειρισμός ΕΔΠΥ, επιθεωρείται από την Επιτροπή Βιομηχανικής Ασφάλειας που συγκροτείται με μέριμνα της ΔΑΑ και λαμβάνει ξεχωριστό ΠΑΕ.

3. Κατά τη διαδικασία χορήγησης ΠΑΕ ή μετά από αυτή, η ΕΑΑ δύναται να λαμβάνει γνώση για την κατάσταση ασφάλειας του οικονομικού φορέα.

4. Σε περίπτωση που δεν πληρούνται επιγενομένως οι προϋποθέσεις έκδοσης του ΠΑΕ, η ΕΑΑ δύναται να το ανακαλεί. Για τους ίδιους λόγους, η ΔΑΑ δύναται να αιτείται από την ΕΑΑ την εξέταση ανάκλησης του ΠΑΕ.

5. Σε περίπτωση αλλαγής των στοιχείων ή των προδιαγραφών ασφάλειας της εγκατάστασης που ίσχυαν κατά την οικεία επιθεώρηση και έκδοση του ΠΑΕ του οικονομικού φορέα, επέρχεται αυτοδίκαια παύση της ισχύος του και διενεργείται επανέλεγχος κατόπιν νέας αίτησης του φορέα.

6. Σε περίπτωση λήξης ισχύος ή ανάκλησης του ΠΑΕ του οικονομικού φορέα, αυτός υποχρεούται, με μέριμνα του διευθύνοντος συμβούλου και του υπεύθυνου ασφάλειας, να επιστρέψει τις ΕΔΠΥ που έχει στην κατοχή του στους εκδότες/δημιουργούς τους.

 

ΚΕΦΑΛΑΙΟ Ζ': Τελικές διατάξεις

 

Άρθρο 32

Έναρξη ισχύος

Η ισχύς του παρόντος διατάγματος αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.

Στον Υπουργό Εθνικής Άμυνας αναθέτουμε τη δημοσίευση και εκτέλεση του παρόντος διατάγματος.

Αθήνα, 4 Ιουλίου 2025

 

 

Προεδρικό Διάταγμα 65/2025 - ΦΕΚ 126/Α/14-7-2025

Στρατηγική ασφάλειας εθνικών διαβαθμισμένων πληροφοριών και υλικών, βασικές αρχές και οργάνωση της προστασίας τους.

34 Προβολές, προστέθηκε 14 Ιουλίου 2025 18:25

 

Έχει διαβαστεί 631 φορές
Ετικέτες: προεδρικό διάταγμα 65/2025 652025 διαβαθμισμένες πληροφορίες ασφάλεια διαβαθμισμένων πληροφοριών
Προηγούμενο άρθρο
Νόμος 5223/2025 - ΦΕΚ 137/Α/31-7-2025
Επόμενο άρθρο
Προεδρικό Διάταγμα 60/2025 - ΦΕΚ 114/Α/2-7-2025

Τελευταία Νέα

e-nomothesia alpha ecommerce Payment-Methods

Do NOT follow this link or you will be banned!