Η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) εξέδωσε τον νέο «Κανονισμό για τη Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών», ο οποίος δημοσιεύτηκε στις 7 Αυγούστου 2025 στο ΦΕΚ Β’ 4268 και αποτελεί το ενιαίο πλέον πλαίσιο για την προστασία του απορρήτου, αντικαθιστώντας ρητά τις Αποφάσεις 165/2011 και 28/2024 από την έναρξη ισχύος του.
Ο κανονισμός ορίζει καταρχάς το πεδίο εφαρμογής και τον σκοπό: καθορίζει τα τεχνικά και οργανωτικά μέτρα που οφείλουν να λαμβάνουν όλοι οι πάροχοι που διαθέτουν στο κοινό δίκτυα ή/και υπηρεσίες ηλεκτρονικών επικοινωνιών, με έμφαση στη διαχείριση κινδύνου για την ασφάλεια των δικτύων και υπηρεσιών τους. Τα μέτρα καλύπτουν όχι μόνο το ίδιο το δίκτυο και τις υπηρεσίες, αλλά και κάθε δεδομένο που αποθηκεύεται, μεταδίδεται ή υφίσταται επεξεργασία μέσω αυτών. Μεταξύ των θεμελιωδών απαιτήσεων είναι και η ύπαρξη και εφαρμογή «Πολιτικής Ασφάλειας Δικτύων και Υπηρεσιών (Networks and Services Security Policy)».
Παρέχονται επίσης ρητές εξαιρέσεις για συγκεκριμένες κατηγορίες δικτύων/υπηρεσιών, όπως οι υπηρεσίες M2M (S014), η δορυφορική και επίγεια συλλογή ειδήσεων (S015, S016), ορισμένες υπηρεσίες ραδιοεπικοινωνιών (S025) και το δίκτυο μετάδοσης σημάτων επίγειας ψηφιακής ευρυεκπομπής (N010), όπως ορίζονται στον Κανονισμό Γενικών Αδειών της ΕΕΤΤ.
Η Πολιτική Ασφάλειας Δικτύων και Υπηρεσιών αποτελεί τον κορμό της συμμόρφωσης: έχει αρθρωτή δομή σε επιμέρους ενότητες που θέτουν συγκεκριμένες απαιτήσεις ασφάλειας ανά θεματική, ενώ αν εντάσσεται σε ευρύτερη πολιτική ασφάλειας πληροφοριών, ο πάροχος οφείλει να διατηρεί αρχείο αντιστοίχισης ανά άρθρο, παράγραφο και εδάφιο με τον παρόντα κανονισμό. Για τους παρόχους που υπάγονται στην υποχρέωση του άρθρου 12, η πολιτική υποβάλλεται στην ΑΔΑΕ προς έγκριση.
Στο σκέλος της διακυβέρνησης και του risk management, ο πάροχος υποχρεούται να διατηρεί τεκμηριωμένη Διαδικασία Αποτίμησης Κινδύνου, βασισμένη σε διεθνείς πρακτικές, για τον εντοπισμό, αξιολόγηση και αντιμετώπιση απειλών. Η αποτίμηση προηγείται της σύνταξης της Πολιτικής και επαναξιολογείται κατ’ ελάχιστον ανά διετία ή μετά από σημαντικό περιστατικό, λαμβάνοντας υπόψη την αποτελεσματικότητα μέτρων, νέες απειλές και τεχνολογικές/οργανωτικές αλλαγές.
Η ανάθεση ρόλων και αρμοδιοτήτων επανεξετάζεται τουλάχιστον ανά δύο έτη και τεκμηριώνεται, ώστε να διασφαλίζεται σαφής ευθύνη υλοποίησης της πολιτικής. Επιπρόσθετα, θεσπίζεται αυστηρό πλαίσιο για τους συνεργάτες: ο πάροχος ευθύνεται για το σύνολο των πράξεών τους, τηρεί επικαιροποιημένο μητρώο συνεργατών –με ειδική σήμανση εκείνων που αποκτούν πρόσβαση σε δεδομένα επικοινωνίας ή διαχειρίζονται ΠΕΣ– και οφείλει να διασφαλίζει ότι συμμορφώνονται πλήρως με τις απαιτήσεις του κανονισμού. Για κάθε παραβίαση συμβατικού όρου ενεργοποιείται η διαδικασία διαχείρισης περιστατικών ασφάλειας.
Προβλέπονται εκτενείς υποχρεώσεις σχετικά με τους εργαζόμενους και συνεργάτες. Η εκπαίδευση και ενημέρωση για την Πολιτική είναι περιοδική, τουλάχιστον ετήσια, με τήρηση αναλυτικού αρχείου εκπαίδευσης (ύλη, εισηγητές, αξιολόγηση). Σε κάθε μεταβολή της Πολιτικής ή των διαδικασιών, η ενημέρωση γίνεται αμελλητί και τεκμηριώνεται. Σε μεταβολή καθηκόντων ή αποχώρηση, τα δικαιώματα πρόσβασης αναπροσαρμόζονται άμεσα. Οι εργαζόμενοι οφείλουν να συμμορφώνονται με την Πολιτική και να αναφέρουν αμέσως κενά ή περιστατικά ασφάλειας στον Υπεύθυνο Ασφάλειας.
Στο φυσικό επίπεδο, ο πάροχος εφαρμόζει μέτρα ελεγχόμενης πρόσβασης σε εγκαταστάσεις και χώρους όπου φιλοξενούνται ΠΕΣ, με τήρηση αρχείου εισόδων/εξόδων, αιτιολόγηση επισκέψεων και ορισμό «ασφαλών χώρων» με ισχυρούς μηχανισμούς ασφάλειας και ελέγχου πρόσβασης. Προβλέπονται επίσης μέτρα περιβαλλοντικής ασφάλειας και πρακτικές όπως η υπόγεια εγκατάσταση καλωδίων όπου είναι τεχνικά εφικτό, καθώς και τακτική συντήρηση εγκαταστάσεων.
Στο λογισμικό/λογικό επίπεδο πρόσβασης, ο κανονισμός επιτάσσει διαβάθμιση δικαιωμάτων, αυστηρούς μηχανισμούς αυθεντικοποίησης και, για κρίσιμα ΠΕΣ, εφαρμογή 2FA. Η χρήση κοινών ή συστημικών λογαριασμών αποθαρρύνεται και, όπου είναι αναγκαίοι, τεκμηριώνεται με αντιστοίχιση σε φυσικά πρόσωπα και πλήρες ιστορικό ενεργοποιήσεων/δικαιωμάτων. Για τους κωδικούς πρόσβασης προβλέπονται συγκεκριμένοι κανόνες ισχύος, περιοδική αλλαγή, απενεργοποίηση μετά από αποτυχημένες προσπάθειες και κρυπτογραφημένη αποθήκευση.
Η απομακρυσμένη πρόσβαση περιορίζεται αυστηρά στις επιχειρησιακά αναγκαίες περιπτώσεις και γίνεται με ασφαλείς μηχανισμούς αυθεντικοποίησης/κρυπτογράφησης (λ.χ. VPN). Ο πάροχος τηρεί ειδικό αρχείο για τα ΠΕΣ στα οποία επιτρέπεται απομακρυσμένη πρόσβαση, τους εξουσιοδοτημένους χρήστες, τα δικαιώματά τους και τον τεχνικό τρόπο πρόσβασης.
Στο επίπεδο ασφάλειας δικτύου, απαιτείται τεκμηριωμένη αρχιτεκτονική με λογικό διαχωρισμό και κατάτμηση των δικτύων, ενώ τα συστήματα που είναι εκτεθειμένα σε εξωτερικά δίκτυα (π.χ. mail servers) τοποθετούνται σε αποστρατικοποιημένες ζώνες (DMZ). Τα εσωτερικά ΠΕΣ που υποστηρίζουν κρίσιμες επιχειρησιακές λειτουργίες εντάσσονται σε έμπιστες ζώνες, με βάση την κρισιμότητά τους.
Κρίσιμο κεφάλαιο αποτελεί η παρακολούθηση, τα αρχεία καταγραφής και ο εσωτερικός έλεγχος. Ο πάροχος θεσπίζει διαδικασία διαχείρισης παρακολούθησης και ελέγχου ΠΕΣ και εγκαταστάσεων, με κατηγοριοποίηση συμβάντων/συναγερμών και ενημέρωση του Υπεύθυνου Ασφάλειας. Τηρούνται κατ’ ελάχιστον αρχεία καταγραφής προσβάσεων στα ΠΕΣ, ενεργειών σε λειτουργικά/βάσεις/εφαρμογές (με ρητή αιτιολόγηση κάθε πρόσβασης σε δεδομένα επικοινωνίας) και συμβάντων/συναγερμών, μέσω ειδικού σχεδίου αρχείων καταγραφής που περιγράφει αρχιτεκτονική, συλλογή, αποθήκευση, διαχείριση, καθώς και τεχνικές διασφάλισης ακεραιότητας, εμπιστευτικότητας, διαθεσιμότητας και χρονοσήμανσης. Σε διακοπή καταγραφών ή παραβίαση της ακεραιότητάς τους ενεργοποιείται χωρίς καθυστέρηση η διαδικασία διαχείρισης περιστατικών.
Η διαχείριση περιστατικών ασφάλειας θεσπίζεται αναλυτικά: ο πάροχος διατηρεί διαδικασία που ενεργοποιείται αμελλητί με σαφείς ρόλους, εντοπισμό, καταγραφή και αρχειοθέτηση, διερεύνηση αιτιών, υλοποίηση διορθωτικών μέτρων με χρονοδιάγραμμα και ενημέρωση Υπεύθυνου Ασφάλειας, αρμοδίων αρχών και θιγόμενων συνδρομητών/χρηστών κατά την κείμενη νομοθεσία. Η ΑΔΑΕ δύναται να ζητήσει συμπληρωματικές πληροφορίες, γι’ αυτό οι πάροχοι οφείλουν να διατηρούν όλα τα σχετικά στοιχεία για δύο έτη μετά την υποβολή της τελικής αναφοράς συμβάντος.
Ως προς τη διάρκεια τήρησης αρχείων, ο κανονισμός ορίζει ότι, με την επιφύλαξη της νομοθεσίας για την προστασία δεδομένων, τα αρχεία για τον έλεγχο της Πολιτικής τηρούνται τουλάχιστον δύο έτη· για τα συστήματα άρσης απορρήτου (νόμιμη επισύνδεση/διατήρηση δεδομένων) τα σχετικά logs τηρούνται τουλάχιστον δέκα έτη, και σε περίπτωση εν εξελίξει ελέγχου της ΑΔΑΕ παρατείνονται μέχρι σχετικής απόφασης.
Τέλος, προβλέπονται περιοδικοί έλεγχοι συμμόρφωσης στα δικαιώματα και λογαριασμούς πρόσβασης, καθώς και δειγματοληπτικοί έλεγχοι στα access logs, με ελάχιστη συχνότητα ανά έξι μήνες για τα κρίσιμα ΠΕΣ και ανά δώδεκα μήνες για τα λοιπά. Τα ευρήματα εσωτερικού ελέγχου οδηγούν σε διορθωτικές ενέργειες με σαφείς υπευθυνότητες και χρονοδιάγραμμα, ενώ, ανάλογα με την κρισιμότητά τους, μπορεί να ενεργοποιήσουν τη διαδικασία διαχείρισης περιστατικών.
Με τον νέο Κανονισμό η ΑΔΑΕ συγκροτεί ένα συνεκτικό, τεχνικά συγκεκριμένο και νομικά δεσμευτικό πλαίσιο, που αγγίζει όλο το φάσμα της προστασίας του απορρήτου: από τη διακυβέρνηση και τη διαχείριση κινδύνου, μέχρι τη φυσική/λογική πρόσβαση, την απομακρυσμένη πρόσβαση, την αρχιτεκτονική δικτύων (DMZ/έμπιστες ζώνες), τα logs, τους ελέγχους και την απόκριση σε περιστατικά.
Η κατάργηση των παλαιών κανονισμών και η άμεση έναρξη ισχύος με τη δημοσίευση στο ΦΕΚ κλείνουν έναν κύκλο κατακερματισμού και ανοίγουν τον δρόμο για ένα ενιαίο, σύγχρονο πρότυπο συμμόρφωσης που ενισχύει την εμπιστοσύνη στις υπηρεσίες ηλεκτρονικών επικοινωνιών.
