Ένα νέο, αναθεωρημένο κανονιστικό πλαίσιο για την προστασία του απορρήτου των επικοινωνιών τέθηκε σε ισχύ, με τη δημοσίευση του νέου Κανονισμού 304/2025 της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ). Η απόφαση, με τίτλο «Κανονισμός για τη Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών», δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως και επιβάλλει μια σειρά από δεσμευτικές τεχνικές και οργανωτικές υποχρεώσεις σε όλα τα πρόσωπα που παρέχουν δημόσια δίκτυα ηλεκτρονικών επικοινωνιών ή διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών, με στόχο την αποτελεσματική διαχείριση των κινδύνων ασφαλείας.

Η ανάγκη για την αναθεώρηση του υφιστάμενου πλαισίου προέκυψε από τις διατάξεις του νόμου 5160/2024, ο οποίος καθόριζε τις προϋποθέσεις και την περίοδο ισχύος για την προηγούμενη απόφαση της Αρχής. Ως εκ τούτου, ο Κανονισμός αντικαθιστά και καταργεί πλήρως τις προγενέστερες αποφάσεις υπ’ αρ. 165/2011 και 28/2024, καθώς και το σύνολο των πολιτικών ασφαλείας που είχαν εγκριθεί βάσει αυτών. Από το πεδίο εφαρμογής του εξαιρούνται συγκεκριμένες κατηγορίες, όπως οι υπηρεσίες M2M και η δορυφορική συλλογή ειδήσεων. Ο κεντρικός σκοπός του είναι ο καθορισμός των μέτρων που οφείλουν να λαμβάνουν οι πάροχοι για τη διασφάλιση του απορρήτου, καλύπτοντας τόσο τα δίκτυα και τις υπηρεσίες, όσο και τα δεδομένα που αποθηκεύονται, μεταδίδονται ή υφίστανται επεξεργασία μέσω αυτών.

Στον πυρήνα των νέων υποχρεώσεων βρίσκεται η απαίτηση για κάθε πάροχο να συντάξει και να εφαρμόσει μια λεπτομερή «Πολιτική Ασφάλειας Δικτύων και Υπηρεσιών». Παράλληλα, καθίσταται υποχρεωτικός ο ορισμός ενός συγκεκριμένου εργαζομένου ως «Υπεύθυνου Ασφάλειας Δικτύων και Υπηρεσιών», τα πλήρη στοιχεία του οποίου (ονοματεπώνυμο, ΑΔΤ, διεύθυνση, τηλέφωνο επικοινωνίας και διεύθυνση ηλεκτρονικού ταχυδρομείου) πρέπει να κοινοποιούνται στην ΑΔΑΕ. Η διαρκής επαγρύπνηση ενισχύεται μέσω της υποχρέωσης για διενέργεια «Αποτίμησης Κινδύνου» τουλάχιστον κάθε δύο έτη ή μετά από την εκδήλωση σημαντικού περιστατικού ασφαλείας.

Ιδιαίτερη βαρύτητα αποδίδεται στη διαχείριση και αναφορά των περιστατικών ασφαλείας, καθώς θεσπίζεται μια αυστηρή διαδικασία γνωστοποίησης προς την ΑΔΑΕ. Συγκεκριμένα, σε κάθε περιστατικό που επηρεάζει το απόρρητο, ο πάροχος υποχρεούται να υποβάλει αμελλητί «Έκθεση Αρχικής Αναφοράς Περιστατικού Ασφάλειας». Η διαδικασία ολοκληρώνεται με την υποβολή μιας αναλυτικής «Τελικής Έκθεσης Αναφοράς» το αργότερο ένα μήνα μετά την αρχική γνωστοποίηση, παρέχοντας πλήρη εικόνα για τα αίτια, τις επιπτώσεις και τα διορθωτικά μέτρα που ελήφθησαν.

Στον τομέα της διατήρησης δεδομένων και του ελέγχου, οι υποχρεώσεις γίνονται πιο συγκεκριμένες. Τα αρχεία καταγραφής των συστημάτων πρέπει να διατηρούνται για χρονικό διάστημα τουλάχιστον δύο ετών. Ωστόσο, για τα συστήματα που σχετίζονται με την άρση του απορρήτου των επικοινωνιών, όπως αυτά της νόμιμης επισύνδεσης και διατήρησης δεδομένων, η περίοδος υποχρεωτικής διατήρησης των αρχείων καταγραφής επεκτείνεται σε τουλάχιστον δέκα έτη. Παράλληλα, οι πάροχοι οφείλουν να διενεργούν εσωτερικό έλεγχο, ο οποίος συμπεριλαμβάνει τεχνικούς ελέγχους διείσδυσης, τουλάχιστον ανά διετία.

Ο Κανονισμός εισάγει επίσης συγκεκριμένες τεχνικές απαιτήσεις για την ενίσχυση της ασφάλειας. Καθίσταται υποχρεωτική η εφαρμογή μηχανισμών αυθεντικοποίησης δύο παραγόντων για την πρόσβαση στα κρίσιμα Πληροφοριακά και Επικοινωνιακά Συστήματα. Επιπλέον, προβλέπεται η υποχρεωτική χρήση κατάλληλων αλγορίθμων κρυπτογράφησης για την προστασία των δεδομένων επικοινωνίας, τόσο κατά την αποθήκευσή τους στα συστήματα όσο και κατά τη μεταφορά τους μέσω δικτύων, ακολουθώντας διεθνώς αποδεκτά πρότυπα.

Οι προθεσμίες συμμόρφωσης για τους παρόχους είναι αυστηρά καθορισμένες. Όλοι οι πάροχοι που λειτουργούν υπό καθεστώς Γενικής Άδειας οφείλουν εντός δύο μηνών από τη δημοσίευση του Κανονισμού να υποβάλουν στην ΑΔΑΕ υπεύθυνη δήλωση για τις δραστηριότητές τους. Οι πάροχοι που εμπίπτουν στο πεδίο εφαρμογής του ν. 3674/2008, όπως αυτοί που παρέχουν «Σταθερές υπηρεσίες διαπροσωπικών επικοινωνιών βάσει αριθμών» (κωδικός 5001) και «Κινητές υπηρεσίες διαπροσωπικών επικοινωνιών βάσει αριθμών» (κωδικός 5002), υποχρεούνται να υποβάλουν την Πολιτική Ασφαλείας τους προς έγκριση εντός τριών μηνών. Μετά την έγκρισή της, οφείλουν να την υλοποιήσουν εντός έξι μηνών. Για όλους τους υπόλοιπους παρόχους, η προθεσμία για τη σύνταξη και υλοποίηση της Πολιτικής τους ορίζεται σε εννέα μήνες.

Η τήρηση του νέου πλαισίου θα επιβλέπεται στενά από την ΑΔΑΕ, η οποία θα διενεργεί τόσο τακτικούς περιοδικούς ελέγχους, όσο και έκτακτους ελέγχους οι οποίοι μπορούν να πραγματοποιηθούν αυτεπάγγελτα, κατόπιν καταγγελίας ή μετά από περιστατικό ασφαλείας, χωρίς προηγούμενη ειδοποίηση του παρόχου. Σημειώνεται ότι από την έναρξη ενός ελέγχου και μέχρι την ολοκλήρωσή του, ο πάροχος δεν επιτρέπεται να προβεί σε οποιαδήποτε αναθεώρηση της Πολιτικής Ασφαλείας του ή των σχετικών διαδικασιών. Η μη συμμόρφωση με τις διατάξεις του Κανονισμού θα επιφέρει τις προβλεπόμενες κυρώσεις από την κείμενη νομοθεσία, όπως ορίζεται στους νόμους 3115/2003 και 3674/2008.