Διαδίκτυο των πραγμάτων (Internet of things) και δίκαιο

2 Νοεμβρίου, 2022

Το Διαδίκτυο των πραγμάτων (ΔτΠ)- Internet of Things (IoTs)- έννοια και προδιαγραφές που πρέπει να πληροί μία συσκευή ΔτΠ που διατίθεται στην αγορά- Υποχρεώσεις του κατασκευαστή και του εμπόρου  

Το δεύτερο (Β’) και τρίτο (Γ’) μέρος του Ν.4961/2022, πραγματεύεται τις αναδυόμενες τεχνολογίες πληροφορικής και επικοινωνιών και κυρίως την ορθολογική αξιοποίηση των δυνατοτήτων που παρέχουν. Απώτερος σκοπός είναι ο ψηφιακός μετασχηματισμός της χώρας.

Σύμφωνα με το ανωτέρω πλαίσιο, διαδίκτυο των πραγμάτων είναι κάθε τεχνολογία η οποία: α) επιτρέπει σε συσκευές ή ομάδα διασυνδεδεμένων ή σχετιζόμενων συσκευών, μέσω της σύνδεσής τους με το διαδίκτυο, να εκτελούν, βάσει προγράμματος, αυτόματη επεξεργασία ψηφιακών δεδομένων, συμπεριλαμβανομένης της τεχνολογίας εκείνης που αφορά στη διασύνδεση φυσικών πραγμάτων, ιδίως συσκευών, οχημάτων και κτιρίων, με ηλεκτρονικά εξαρτήματα, λογισμικό, αισθητήρες (sensors), ελεγκτές ενεργοποίησης (actuators), ραδιοζεύξεις και σύνδεση δικτύου και β) επιτρέπει τη συλλογή και ανταλλαγή ψηφιακών δεδομένων, προκειμένου να προσφέρουν ποικίλες υπηρεσίες στους χρήστες, με ή χωρίς την ανθρώπινη συμμετοχή.

1. Υποχρεώσεις Κατασκευαστή

Α. Διαθεσιμότητα της συσκευής ΔτΠ και μέτρα κυβερνοασφάλειας

Σύμφωνα με το άρθρο 32, οι συσκευές τεχνολογίας ΔτΠ, οφείλουν να έχουν κατάλληλο επίπεδο κυβερνοασφάλειας, προκειμένου να είναι συνεχώς διαθέσιμες καθώς και να αποτρέπουν τυχόν απόπειρες μη εξουσιοδοτημένων τρίτων που επηρεάζουν τη χρήση και τις επιδόσεις της. 

Κατά περίπτωση, τα μέτρα κυβερνοασφάλειας είναι:

α) η χρήση ασφαλών κωδικών πρόσβασης στις συσκευές τεχνολογίας ΔτΠ,

β) η έγκαιρη ενημέρωση λογισμικού από αξιόπιστες πηγές,

γ) η κρυπτογράφηση κατά τη μεταφορά κρίσιμων δεδομένων ασφαλείας, συμπεριλαμβανομένων των δεδομένων ελέγχου και διαχείρισης της απομακρυσμένης πρόσβασης,

δ) ο προσδιορισμός από τον φορέα εκμετάλλευσης ΔτΠ ενός δημόσιου σημείου επαφής, στο οποίο μπορούν οι χρήστες να γνωστοποιούν περιστατικά ασφάλειας των συσκευών και

ε) η πρόβλεψη πολιτικής ή διαδικασίας γνωστοποίησης περιστατικών ευπάθειας ή ασφάλειας.

Τα ληφθέντα μέτρα ενσωματώνονται στη συσκευή ήδη κατά το στάδιο του σχεδιασμού της και δηλώνονται στο έγγραφο οδηγιών χρήσης του άρθρου 33.

Β. Δήλωση συμμόρφωσης

Συσκευή τεχνολογίας ΔτΠ που προορίζεται να διατεθεί σε φορείς εκμετάλλευσης ΔτΠ συνοδεύεται απαραιτήτως από δήλωση συμμόρφωσης του κατασκευαστή, στην οποία δηλώνεται η συμμόρφωση της συσκευής με τις τεχνικές προδιαγραφές ασφαλείας της υπουργικής απόφασης της παρ. 12α του άρθρου 113.

Τη δήλωση συμμόρφωσης συνοδεύει έγγραφο οδηγιών χρήσης και πληροφοριών ασφάλειας σε ορολογία εύκολα κατανοητή από τους τελικούς χρήστες (άρθρο 33 παρ.2).

Γ. Διαχείριση συμβάντων

Ο κατασκευαστής οφείλει να διαθέτει και να εφαρμόζει διαδικασία διαχείρισης συμβάντων, όταν διαπιστώνεται από τον χρήστη εμφάνιση συμβάντος ή ύπαρξη ευπάθειας που σχετίζεται με την ασφάλεια της συσκευής. Η διαδικασία αυτή περιέχει κατάλληλη τεκμηρίωση για τη φύση και τις πιθανές μορφές εμφάνισης του συμβάντος ή της ευπάθειας, αναλυτικές οδηγίες για την αντιμετώπισή τους, καθώς και τα ενδεικνυόμενα μέτρα για την άμβλυνση των ενδεχόμενων δυσμενών συνεπειών.

2. Υποχρεώσεις εισαγωγέων και διανομέων

Οι διανομείς και εισαγωγείς, πριν την διάθεση των συσκευών σε φορείς εκμετάλλευσης ΔτΠ, διασφαλίζουν ότι αυτές συνοδεύονται από την ανωτέρω δήλωση συμμόρφωσης.

Εφόσον περιέλθει εις γνώσιν των ανωτέρω, ότι η συσκευή δεν συμμορφώνεται με τις τεχνικές προδιαγραφές ασφαλείας της υπουργικής απόφασης της παρ. 12α του άρθρου 113, τότε α) αφενός απέχει από την περαιτέρω διάθεσή της έως ότου επιτευχθεί η συμμόρφωση και β) αφετέρου ενημερώνει άμεσα τον κατασκευαστή και, εφόσον η συσκευή έχει ήδη διατεθεί, την Εθνική Αρχή Κυβερνοασφάλειας, την αρμόδια ομάδα απόκρισης και τον διανομέα ή, σε περίπτωση απευθείας διάθεσης, τους φορείς εκμετάλλευσης ΔτΠ που κάνουν χρήση αυτής.

3. Υποχρεώσεις φορέων εκμετάλλευσης

Σύμφωνα με το κεφάλαιο Β του ανωτέρω νόμου, φορείς εκμετάλλευσης ΔτΠ είναι:

Α) οι Φ.Ε.Β.Υ. (φορέας εκμετάλλευσης βασικών υπηρεσιών) της περ. 4 του άρθρου 3 του ν. 4577/2018, δηλαδή η δημόσια ή ιδιωτική οντότητα είδους αναφερόμενου στο Παράρτημα Ι. Η οντότητα αυτή πρέπει να πληροί τα κριτήρια που ορίζονται στην παράγραφο 2 του άρθρου 4 του ανωτέρω νόμου, δηλαδή α) ο φορέας να παρέχει υπηρεσία ουσιώδη για τη διατήρηση κρίσιμων κοινωνικών ή και οικονομικών δραστηριοτήτων, β) η παροχή της υπηρεσίας αυτής να στηρίζεται σε συστήματα δικτύου και πληροφοριών και γ) η πρόκληση σοβαρής διατάραξης της παροχής της εν λόγω υπηρεσίας, κατά τα οριζόμενα στο άρθρο 5, από τυχόν συμβάν.

Ενδεικτικά οντότητες που υπάγονται στο Παράρτημα I είναι επιχειρήσεις ηλεκτρικής ενέργειας, αερομεταφορείς, ακτοπλοϊκές εταιρείες μεταφοράς επιβατών, τράπεζες, πάροχοι υγειονομικής περίθαλψης κλπ.

Β) οι Π.Ψ.Υ. (πάροχος ψηφιακών υπηρεσιών) της περ. 6 του άρθρου 3 του ιδίου νόμου, ήτοι νομικό πρόσωπο που παρέχει ψηφιακή υπηρεσία και

Γ) οι Ο.Τ.Α., εφόσον χρησιμοποιούν συσκευές τεχνολογίας ΔτΠ.

Α. Υποχρέωση τήρησης τεχνικών προδιαγραφών και ορισμού Υπευθύνου Ασφαλείας Διαδικτύου των Πραγμάτων (ΔτΠ)

Κατ’ αρχήν, οι φορείς χρησιμοποιούν τις συσκευές τεχνολογίας ΔτΠ σύμφωνα με τις τεχνικές προδιαγραφές ασφαλείας της υπουργικής απόφασης της παρ. 12α του άρθρου 113. Πιο σημαντικά, ορίζουν Υπεύθυνο Ασφαλείας ΔτΠ, ο οποίος είναι αρμόδιος για την παρακολούθηση της ορθής εκτέλεσης των τεχνικών και οργανωτικών μέτρων της ανωτέρω ΥΑ.

Ο Υπεύθυνος ασφαλείας ΔτΠ φροντίζει για την τήρηση αρχείου καταγραφής που δημιουργείται από τη συσκευή για εύλογο χρονικό διάστημα, αναλόγως του σκοπού.

Σε περίπτωση εμφάνισης ή πιθανολόγησης κινδύνου από τη χρήση της συσκευής, ο Υπεύθυνος Ασφαλείας ΔτΠ εισηγείται σχετικά στον οικείο φορέα, ο οποίος ενημερώνει, χωρίς αδικαιολόγητη καθυστέρηση, την Εθνική Αρχή Κυβερνοασφάλειας, την αρμόδια ομάδα απόκρισης, τον κατασκευαστή, τον εισαγωγέα και τον διανομέα και αναστέλλει τη χρήση της συσκευής, στον βαθμό που το κρίνει απαραίτητο για την αποφυγή ή τον μετριασμό του κινδύνου.

Β) Τήρηση μητρώου

Κάθε φορέας εκμετάλλευσης ΔτΠ τηρεί μητρώο με τις συσκευές τεχνολογίας ΔτΠ που χρησιμοποιεί, το οποίο επικαιροποιεί σε ετήσια βάση και, σε κάθε περίπτωση, όταν θέτει σε λειτουργία νέα συσκευή τεχνολογίας ΔτΠ.

Στο μητρώο περιλαμβάνονται κατ` ελάχιστο πληροφορίες σχετικά με:

α) τις τεχνικές προδιαγραφές της συσκευής,

β) τα στοιχεία του κατασκευαστή,

γ) τον σκοπό χρήσης της συσκευής και

δ) τον τρόπο που οι συσκευές τεχνολογίας ΔτΠ του φορέα διαλειτουργούν μεταξύ τους.

Γ) Υποχρέωση ενημέρωσης χρηστών

Κάθε φορέας εκμετάλλευσης ΔτΠ φροντίζει, ώστε να:

α) παρέχεται στον χρήστη της συσκευής κάθε πληροφορία για την ασφαλή εγκατάσταση, παραμετροποίηση και λειτουργία της, σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή,

β) διασφαλίζεται η μικρότερη δυνατή συμμετοχή του χρήστη κατά την εγκατάσταση και λειτουργία της συσκευής και

γ) παρέχονται στον χρήστη αναλυτικές οδηγίες για τον έλεγχο της ασφάλειας της συσκευής.

Δ) Διενέργεια εκτίμησης αντικτύπου για τα προσωπικά δεδομένα

Κάθε φορέας εκμετάλλευσης ΔτΠ διενεργεί υποχρεωτικά εκτίμηση αντικτύπου των σχεδιαζόμενων πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα που σχετίζονται με τη λειτουργία της συσκευής τεχνολογίας ΔτΠ, σύμφωνα με την παρ. 1 του άρθρου 35 του Γ.Κ.Π.Δ..

4.Σημείωση

Έπεται η έκδοση της σημαντικής Υπουργικής Απόφασης αναφορικά με τις τεχνικές προδιαγραφές ασφαλείας των συσκευών τεχνολογίας, η οποία θα ληφθεί με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης, ύστερα από εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας.

Η συμμόρφωση, αξιολόγηση και εφαρμογή του παρόντος νόμου εναποτίθεται στην Εθνική Αρχή Κυβερνοασφάλειας, σε συνεργασία με την αρμόδια ομάδα απόκρισης ( για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team – CSIRT) του άρθρου 8 του ν. 4577/2018 ή την αρμόδια ομάδα αντιμετώπισης ηλεκτρονικών επιθέσεων (Εθνικό CERT) της περ. δ` της παρ. 5 του άρθρου 2 του π. δ. 1/2017.

Η Αρχή αυτή ελέγχει τη συμμόρφωση των κατασκευαστών, εμπόρων και φορέων εκμετάλλευσης, αξιολογεί τη συμμόρφωση των συσκευών και των μέτρων που λαμβάνουν οι φορείς εκμετάλλευσης. Πιο σημαντικά επιβάλλει στους φορείς αυτούς τη λήψη διορθωτικών μέτρων, ακόμα και την απόσυρση των συσκευών, ενώ δύναται να εισηγείται προς το αρμόδιο όργανο του Υπουργείου Ψηφιακής Διακυβέρνησης την επιβολή διοικητικών κυρώσεων έως 100.000 €.

 

 

M.D. Sioufas,
Attorney-at-law

Για να αποθηκεύσετε το άρθρο σε μορφή Pdf:

Σιούφας & Συνεργάτες | Γιώργος Σιούφας | Μάριος Σιούφας

Για περισσότερες πληροφορίες

Επικοινωνήστε με τη γραμματεία της Διεύθυνσης Νομικών Υπηρεσιών στο τηλ.: 213 017 5600, ή στείλτε mail στο info@sioufaslaw.gr και θα επικοινωνήσουμε άμεσα μαζί σας.

Μοιραστείτε το:

Θέλετε να συζητήσουμε περισσότερο για το άρθρο μας;
Συμπληρώστε τα στοιχεία επικοινωνίας σας
και εξειδικευμένος συνεργάτης μας
θα επικοινωνήσει μαζί σας σήμερα
μεταξύ 15:00 - 17:00.