Εκδόθηκε η Υπουργική Απόφαση 1899/2025, που δημοσιεύθηκε στο ΦΕΚ 4250/Β/5-8-2025, που καθορίζει τα προσόντα, τα καθήκοντα, τα ασυμβίβαστα και τις υποχρεώσεις των Υπεύθυνων Ασφαλείας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), για τους οργανισμούς (βασικές και σημαντικές οντότητες) που οφείλουν να συμμορφωθούν με το NIS2. Η απόφαση τίθεται σε ισχύ από τη 1η Νοεμβρίου 2025.
Σύμφωνα με την Υπουργική Απόφαση:
Ο Υ.Α.Σ.Π.Ε. πρέπει να διαθέτει επαρκή γνώση των επιχειρηματικών διαδικασιών της Οντότητας, καθώς και τα κάτωθι ελάχιστα προσόντα:
α) Προπτυχιακό ή μεταπτυχιακό τίτλο ετήσιας τουλάχιστον διάρκειας σε συναφές με τους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας γνωστικό αντικείμενο ή
β) Εμπειρογνωσία στους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας τουλάχιστον 5 ετών ή
γ) Πιστοποιημένη γνώση μεθοδολογιών, διαδικασιών, τεχνικών, εργαλείων και προτύπων ασφάλειας πληροφοριών και ψηφιακών συστημάτων και εμπειρογνωσία στους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας τουλάχιστον 2 ετών.
Υπάρχουν τα εξής ασυμβίβαστα:
Ο υποψήφιος Υ.Α.Σ.Π.Ε. δεν μπορεί να έχει καταδικαστεί για εγκλήματα κατά των τηλεπικοινωνιών και άλλων κοινωφελών εγκαταστάσεων. Ως εκ τούτου, οι Οντότητες οφείλουν να ζητούν από τον υποψήφιο
Υ.Α.Σ.Π.Ε, την προσκόμιση αντιγράφου ποινικού μητρώου. Η Εθνική Αρχή Κυβερνοασφάλειας (Ε.Α.Κ.) δύναται να ζητεί οποτεδήποτε να της επιδειχθεί από την Οντότητα το αντίγραφο ποινικού μητρώου του ορισθέντος Υ.Α.Σ.Π.Ε.
Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.) και του Υπευθύνου για τα αντικείμενα των τεχνολογιών πληροφορικής και επικοινωνίας (Τ.Π.Ε) και της ηλεκτρονικής διακυβέρνησης της Οντότητας.
Οι Οντότητες οφείλουν να ελέγχουν το ιστορικό του Υ.Α.Σ.Π.Ε. πριν τον ορισμό του και την ανάληψη των καθηκόντων του.
Τα καθήκοντα του Υ.Α.Σ.Π.Ε. συγκεντρωτικά είναι τα εξής:
- Η διαρκής μέριμνα για την ασφάλεια των συστημάτων δικτύου και πληροφοριών της Οντότητας και η εποπτεία της υλοποίησης των μέτρων κυβερνοασφάλειας.
- Η διαχείριση των πάσης φύσεως επικοινωνιών και επαφών με την Εθνική Αρχή Κυβερνοασφάλειας, συμπεριλαμβανομένου και της αρμόδιας ομάδας απόκρισης για συμβάντα ασφαλείας (CSIRT).
- Η ανάπτυξη επαφών με εξειδικευμένα fora ασφάλειας πληροφοριών.
- Η επιμέλεια και ο συντονισμός για τη συμμόρφωση της Οντότητας με τις απαιτήσεις του Ν. 5160/2024 και της Υπουργικής Απόφασης 1689/30.04.2025, για τη συμμόρφωση με το NIS2.
- Η εποπτεία της τήρησης και ο συντονισμός της εφαρμογής της ενιαίας πολιτικής κυβερνοασφάλειας της Οντότητας.
- Η συνεργασία με τις λοιπές αρμόδιες αρχές για θέματα κυβερνοασφάλειας και η μέριμνα για την εφαρμογή των κατευθυντήριων οδηγιών, απαιτήσεων και μέτρων ασφαλείας που εκδίδουν.
- Η παρουσίαση της στρατηγικής και της πολιτικής κυβερνοασφάλειας στα όργανα διοίκησης της Οντότητας για έγκριση και η ενημέρωση αυτών.
- Η μέριμνα για την εκπαίδευση και ευαισθητοποίηση των μελών των οργάνων διοίκησης και των λοιπών στελεχών της Οντότητας, σχετικά με τους κινδύνους κυβερνοασφάλειας και τα μέτρα προστασίας που απαιτούνται.
- Η μέριμνα για τη συμμόρφωση των αρμόδιων οργανικών δομών της Οντότητας με τα μέτρα ασφάλειας της αλυσίδας εφοδιασμού.
- Η επιμέλεια και ο συντονισμός για τον καθορισμό, έγκριση και εφαρμογή διαδικασιών για την ανάλυση κινδύνων, την επιχειρησιακή συνέχεια και την ανάκαμψη της Οντότητας από καταστροφές.
- Η επιμέλεια της τήρησης μητρώου της Οντότητας με τις υποδομές πληροφορικής και επικοινωνιών.
- Η συμμετοχή στη διενέργεια ελέγχων και επιτόπιων επιθεωρήσεων από πιστοποιημένους επιθεωρητές και τεχνικούς εμπειρογνώμονες ή αρμόδια όργανα της Εθνική Αρχής Κυβερνοασφάλειας, για τη διακρίβωση του υφιστάμενου επιπέδου ασφάλειας και για τη διενέργεια σαρώσεων ασφαλείας στις Οντότητες.
- Η παρακολούθηση και αξιοποίηση νέων τεχνολογιών και εργαλείων ασφάλειας συστημάτων πληροφορικής και επικοινωνιών για την ενίσχυση του επιπέδου κυβερνοασφάλειας της Οντότητας.
Οι Οντότητες οφείλουν να διασφαλίσουν ότι ο Υ.Α.Σ.Π.Ε. διαθέτει κατάλληλο και επαρκές επίπεδο αυτονομίας στη λήψη αποφάσεων και λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο της Οντότητας.
Διαβάστε αναλυτικά την Υπουργική Απόφαση εδώ.