Tel: +30 210 6438276

Θέση σε Εφαρμογή Διατάξεων σχετικά με τη χρήση της τεχνολογίας του Διαδικτύου των Πραγμάτων (ΔτΠ)

  • News
Cybersecurity measures. Internet Of Things

ΘΕΣΗ ΣΕ ΕΦΑΡΜΟΓΗ ΔΙΑΤΑΞΕΩΝ ΣΧΕΤΙΚΑ ΜΕ ΤΗ ΧΡΗΣΗ ΤΗΣ ΤΕΧΝΟΛΟΓΙΑΣ ΤΟΥ ΔΙΑΔΙΚΤΥΟΥ ΤΩΝ ΠΡΑΓΜΑΤΩΝ (ΔτΠ)

Την 1η Μαρτίου 2023 τίθενται σε εφαρμογή οι διατάξεις των άρθρων 32 έως 42 του Ν 4961/2022 («Αναδυόμενες τεχνολογίες πληροφορικής και επικοινωνιών, ενίσχυση της ψηφιακής διακυβέρνησης και άλλες διατάξεις», ΦΕΚ 146/Α/27-7-2022), με τις οποίες δημιουργείται ένα αυστηρό νομοθετικό πλαίσιο σχετικά με τη χρήση της τεχνολογίας του διαδικτύου των πραγμάτων. Προβλέπεται η λήψη κατάλληλων μέτρων κυβερνοασφάλειας κατά την δημιουργία των συσκευών που την χρησιμοποιούν καθώς και υποχρεώσεις των κατασκευαστών των συσκευών αυτών, των εισαγωγέων, των διανομέων, των φορέων εκμετάλλευσης τους αλλά και της Εθνικής Αρχής Κυβερνοασφάλειας.

ΤΙ ΕΙΝΑΙ ΔΙΑΔΙΚΤΥΟ ΤΩΝ ΠΡΑΓΜΑΤΩΝ

Διαδίκτυο των πραγμάτων (ΔτΠ) καλείται κάθε τεχνολογία η οποία:

α) επιτρέπει σε συσκευές ή ομάδα διασυνδεδεμένων ή σχετιζόμενων συσκευών, μέσω της σύνδεσής τους με το διαδίκτυο, να εκτελούν, βάσει προγράμματος, αυτόματη επεξεργασία ψηφιακών δεδομένων, συμπεριλαμβανομένης της τεχνολογίας εκείνης που αφορά στη διασύνδεση φυσικών πραγμάτων, ιδίως συσκευών, οχημάτων και κτιρίων, με ηλεκτρονικά εξαρτήματα, λογισμικό, αισθητήρες (sensors), ελεγκτές ενεργοποίησης (actuators), ραδιοζεύξεις και σύνδεση δικτύου και

β) επιτρέπει τη συλλογή και ανταλλαγή ψηφιακών δεδομένων, προκειμένου να προσφέρουν ποικίλες υπηρεσίες στους χρήστες, με ή χωρίς την ανθρώπινη συμμετοχή.

ΔΙΑΤΑΞΕΙΣ ΤΟΥ Ν 4961/2022

Οι εν λόγω νομοθετικές παρεμβάσεις απευθύνονται κατά κύριο λόγο στους κατασκευαστές, εισαγωγείς, διανομείς και φορείς εκμετάλλευσης συσκευών που αξιοποιούν την τεχνολογία του διαδικτύου των πραγμάτων, στοχεύοντας στην διασφάλιση υψηλού επιπέδου ασφάλειας των πληροφοριών που διακινούνται μέσω αυτών, ιδίως όταν αλληλεπιδρούν με τον άνθρωπο είτε άμεσα είτε έμμεσα.

Οι κατασκευαστές των συσκευών αυτών καλούνται:

  • Να λαμβάνουν τα απαραίτητα μέτρα προς επίτευξη κατάλληλου επιπέδου κυβερνοασφάλειας.
  • Να συντάσσουν για κάθε συσκευή δήλωση συμμόρφωσης τους με τις τεχνικές προδιαγραφές ασφαλείας της υπουργικής απόφασης της παρ. 12α του άρθρου 113 Ν 4961/2022, η οποία θα συνοδεύεται από έγγραφο οδηγιών χρήσης και πληροφοριών ασφάλειας.
  • Να χαράξουν προπαρασκευαστικά την κατάλληλη πολιτική πρόβλεψης και αντιμετώπισης πιθανών επικίνδυνων φαινομένων.

Οι εισαγωγείς και διανομείς, πριν την διάθεση των εν λόγω συσκευών, οφείλουν:

  • Να επιβεβαιώνουν πως η συσκευή συνοδεύεται από τη δήλωση συμμόρφωσης του κατασκευαστή.
  • Να παραδίδουν την εν λόγω δήλωση στην αρμόδια Εθνική Αρχή Κυβερνοασφάλειας ή κάθε αρμόδια ομάδα απόκρισης έπειτα από σχετικό αίτημα της τελευταίας.

Οι φορείς των συσκευών αυτών οφείλουν:

  • Να χρησιμοποιούν τις συσκευές σύμφωνα με τις τεχνικές προδιαγραφές ασφαλείας της υπουργικής απόφασης της παρ. 12α του άρθρου 113 Ν 4961/2022.
  • Να ορίζουν Υπεύθυνο Ασφαλείας ΔτΠ.
  • Να τηρούν μητρώο διασυνδεδεμένων συσκευών, το οποίο και οφείλουν να επικαιροποιούν σε ετήσια βάση.
  • Να παρέχουν κάθε δυνατή πληροφορία προς τους χρήστες αυτών αναφορικά με την εγκατάσταση, χρήση, λειτουργία και εξασφάλιση της ασφάλειας της συσκευής.

Αρμόδια ρυθμιστική και ελεγκτική αρχή ορίζεται η Εθνική Αρχή Κυβερνοασφάλειας, η οποία αναλαμβάνει τον έλεγχο και αξιολόγηση της συμμόρφωσης των προαναφερόμενων ατόμων και λαμβάνει ειδοποιήσεις από τους φορείς εκμετάλλευσης ΔτΠ, σχετικά με την εμφάνιση συμβάντων ή ευπαθειών.

Υπερτονίζεται τέλος η διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις οικείες νομοθετικές προβλέψεις (ΓΚΠΔ, Ν 4624/2019 και 3471/2006), μέσω της διενέργειας εκτίμησης αντικτύπου της επεξεργασίας.

ΠΡΟΒΛΕΠΟΜΕΝΕΣ ΠΟΙΝΕΣ

Προβλέπεται η επιβολή κυρώσεων προς τους παραβάτες των εν λόγω νομοθετικών διατάξεων, με την αυστηρότερη αυτών να αποτελεί η επιβολή προστίμου ως εκατό χιλιάδες (100.000) ευρώ για τους υπότροπους παραβάτες.

Διαβάστε το σχετρικό ΦΕΚ εδώ FEK-2022-Tefxos A-00146-downloaded -15_02_2023

English Article

RULES IMPLEMENTED REGARDING THE USE OF THE TECHNOLOGY OF INTERNET OF THINGS (IoT) SET TO BE IN EFFECT

On March the 1st, 2023, the provisions of articles 32 to 42 of Law 4961/2022 (“Emerging IT and communications technologies, strengthening digital governance and other provisions”, Official Gazette 146/A/27-7-2022) are set to be in effect, with which a strict legislative framework regarding the use of Internet of Things technology has been implemented. The need for appropriate cyber security measures is highlighted as well as the obligations of the manufacturers of those devices, the importers, the distributors, their operators and the National Cyber Security Authority.

DEFINITION OF THE TERM “INTERNET OF THINGS”

The Internet of Things (IoT) is any technology that:

  1. a) allows devices or a group of interconnected or related devices, through their connection to the Internet, to perform, based on a program, automatic processing of digital data, including the technology related to the interconnection of physical things, such as devices, vehicles and buildings, with electronic components, software, sensors, actuators, radio links and network connection and
  2. b) allows the collection and exchange of digital data to offer a variety of services to users, with or without human participation.

THE PROVISIONS OF LAW 4961/2022

Those legislative interventions are primarily aimed at manufacturers, importers, distributors and operators of devices who make use of the Internet of Things technology, aiming to ensure a high level of security of the information that flows through them, especially when there an interaction with people, either directly or indirectly.

The manufacturers of these devices are obligated to:

  • Take the necessary measures to achieve an appropriate level of cyber security.
  • Draw up for each device a declaration of compliance to the technical and safety provisions of the ministerial decision of par. 12a of article 113 of law 4961/2022, which should be accompanied by a user manual and security information.
  • Draw up preliminarily the appropriate policy for predicting and addressing possible security infringements.

Importers and distributors, before the distribution of those said device, must:

  • Confirm that the device is accompanied by the manufacturer’s declaration of compliance.
  • Deliver the declaration in question to the National Cyber Security Authority or any competent response team, following a relevant request.

The operators of those devices must:

  • Make use of the devices in accordance with the technical and safety specifications, according to the ministerial decision of par. 12a of article 113 of Law 4961/2022.
  • Appoint an IoT Security Officer.
  • Maintain an archive of all interconnected devices, which should be updated on an annual basis.
  • Provide all possible information to users of the said devices regarding their installation and operation, while ensuring a high level of security.

The National Cyber Security Authority is authorized to undertake the inspection and evaluation of compliance of the above-mentioned people and receive notifications from the operators of IoT devices, regarding the occurrence of security infringements or detected vulnerabilities.

Finally, the protection of personal data in accordance with the relevant legislative provisions (GDPR, Laws 4624/2019 and 3471/2006) is emphasized, through the implementation of a data processing impact assessment.

 

SANCTIONS

Sanctions have been implemented for the violators of the legislative provisions, with the strictest of those being the imposition of a fine of up to one hundred thousand (100,000) euros for repeat offenders.

As published on the Official Government Gazette here FEK-2022-Tefxos A-00146-downloaded -15_02_2023

Subscribe to our newsletter
SUBSCRIBE

GREECE
Leof. Alexandras 83, Athens, 11474, Greece
T: +30 210 64 38 276

CYRPUS
Tefkrou 1, 1066 Nicosia
T: +357 22252591

LEARN MORE

MORE
FOLLOW US
Linkedin

All rights reserved.