(1) (α) Για τους σκοπούς του παρόντος Νόμου, βασικές οντότητες θεωρούνται οι ακόλουθες οντότητες:
(i) οντότητες των τύπων οι οποίες αναφέρονται στο Παράρτημα Ι, οι οποίες υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που προβλέπονται στο άρθρο 2 παράγραφος 1 του παραρτήματος της Σύστασης 2003/361/ΕΚ·
(ii) εγκεκριμένοι παροχείς υπηρεσιών εμπιστοσύνης και μητρώα ονομάτων τομέα ανωτάτου επιπέδου καθώς και παροχείς υπηρεσιών DNS, ανεξάρτητα από το μέγεθός τους·
(iii) παροχείς δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών που χαρακτηρίζονται ως μεσαίες επιχειρήσεις, δυνάμει των διατάξεων του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ·
(iv) οντότητες δημόσιας διοίκησης οι οποίες αναφέρονται στο σημείο (i) της παραγράφου (στ) του εδαφίου (2) του άρθρου 2Α·
(v) οποιεσδήποτε άλλες οντότητες των τύπων οι οποίες αναφέρονται στο Παράρτημα Ι ή ΙΙ, οι οποίες προσδιορίζονται από την Αρχή ως βασικές οντότητες δυνάμει των διατάξεων των παραγράφων (β) έως (ε) του εδαφίου (2) του άρθρου 2Α·
(vi) οντότητες οι οποίες προσδιορίζονται ως κρίσιμες οντότητες από την αρμόδια αρχή για την ανθεκτικότητα των κρίσιμων οντοτήτων, που αναφέρεται στις διατάξεις του εδαφίου (3) του άρθρου 2Α· και
(vii) οντότητες οι οποίες η Αρχή όρισε, πριν από την 16η Ιανουαρίου 2023, ως φορείς εκμετάλλευσης βασικών υπηρεσιών ή ως φορείς κρίσιμων υποδομών πληροφοριών, σύμφωνα με τις Αποφάσεις του Επιτρόπου ημερ. 17/08/2020 και 08/11/2021 που εκδοθήκαν ή αντικαταστάθηκαν δυνάμει των διατάξεων του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου του 2020:
(β) Για σκοπούς εφαρμογής των διατάξεων της παραγράφου (α) του εδαφίου (1), και εκτός εάν προβλέπεται διαφορετικά στον παρόντα Νόμο, η Αρχή δύναται να προσδιορίζει οντότητες ως βασικές οντότητες κατόπιν έργου αξιολόγησης κρισιμότητας, βάσει κριτηρίων που καθορίζει η Αρχή μετά από διαβούλευση με τον Υφυπουργό, τηρουμένων των διατάξεων του εδαφίου (7) του παρόντος άρθρου:
(2) Για τους σκοπούς του παρόντος Νόμου, οι οντότητες των τύπων που αναφέρονται στο Παράρτημα Ι ή ΙΙ, οι οποίες δεν θεωρούνται βασικές οντότητες σύμφωνα με το εδάφιο (1), θεωρούνται σημαντικές οντότητες και σε αυτές περιλαμβάνονται οντότητες που προσδιορίζονται από την Αρχή ως σημαντικές οντότητες βάσει των παραγράφων (β) έως (ε) του εδαφίου (2) του άρθρου 2Α.
(3) Η Αρχή καταρτίζει κατάλογο βασικών και σημαντικών οντοτήτων καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, τον οποίο επανεξετάζει και, κατά περίπτωση, επικαιροποιεί σε τακτική βάση και τουλάχιστον ανά διετία.
(4) Για τους σκοπούς κατάρτισης του αναφερόμενου στο εδάφιο (3) καταλόγου, η Αρχή απαιτεί από τις οντότητες που αναφέρονται στο εν λόγω εδάφιο να υποβάλλουν τουλάχιστον τις ακόλουθες πληροφορίες σε αυτήν:
(α) Την επωνυμία της οντότητας·
(β) τη διεύθυνση και τα επικαιροποιημένα στοιχεία επικοινωνίας, συμπεριλαμβανομένων των ηλεκτρονικών διευθύνσεων, των πεδίων IP και των αριθμών τηλεφώνου·
(γ) κατά περίπτωση, τον σχετικό τομέα και υποτομέα που αναφέρεται στο Παράρτημα Ι ή ΙΙ· και
(δ) κατά περίπτωση, κατάλογο των κρατών μελών στα οποία παρέχουν υπηρεσίες που εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου:
(5) Η Αρχή, ανά διετία, κοινοποιεί:
(α) στην Επιτροπή και στην Ομάδα Συνεργασίας τον αριθμό των βασικών και σημαντικών οντοτήτων που απαριθμούνται σύμφωνα με το εδάφιο (3) για κάθε τομέα και υποτομέα που αναφέρεται στο Παράρτημα Ι ή ΙΙ· και
(β) στην Επιτροπή σχετικές πληροφορίες σχετικά με τον αριθμό των βασικών και σημαντικών οντοτήτων που προσδιορίζονται βάσει των παραγράφων (β) έως (ε) του εδαφίου (2) του άρθρου 2Α, τον τομέα και υποτομέα που αναφέρονται στο Παράρτημα Ι ή ΙΙ στον οποίο ανήκουν, το είδος της υπηρεσίας που παρέχουν και τη διάταξη βάσει της οποίας προσδιορίστηκαν, μεταξύ εκείνων που ορίζονται στις παραγράφους (β) έως (ε) του εδαφίου (2) του άρθρου 2Α.
(6) Η Αρχή δύναται, κατόπιν αιτήματος της Επιτροπής, να κοινοποιεί στην Επιτροπή τα ονόματα των βασικών και σημαντικών οντοτήτων που αναφέρονται στην παράγραφο (β) του εδαφίου (5).
(7) Τα αποτελέσματα του έργου αξιολόγησης που διενεργεί η Αρχή καθώς και ο κατάλογος των βασικών και σημαντικών οντοτήτων, των οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα και των οντοτήτων που εξαιρούνται δυνάμει του εδαφίου (4) του άρθρου 2 του παρόντος Νόμου, τον οποίο καταρτίζει η Αρχή δυνάμει των διατάξεων του παρόντος άρθρου, εγκρίνονται με Απόφαση του Υπουργικού Συμβουλίου, η οποία χαρακτηρίζεται ως απόρρητη και δεν δημοσιεύεται στην Επίσημη Εφημερίδα της Δημοκρατίας:
(8) Οι βασικές και σημαντικές οντότητες που εγκρίνονται με Απόφαση του Υπουργικού Συμβουλίου κατ’ εφαρμογή των διατάξεων του εδαφίου (7), ορίζονται με Απόφαση που εκδίδει η Αρχή και η οποία επιδίδεται στην εν λόγω βασική ή σημαντική οντότητα.
27Α. Οι νεοσυσταθείσες οντότητες στη Δημοκρατία, οι οποίες εμπίπτουν στο πεδίο εφαρμογής του παρόντος Νόμου και δύναται να προσδιοριστούν ως βασικές ή σημαντικές οντότητες, δυνάμει των διατάξεων του άρθρου 27, ενημερώνουν και να ζητούν τη γνώμη ή/και καθοδήγηση της Αρχής για τα μέτρα ασφάλειας που πρέπει να λαμβάνουν από τον σχεδιασμό/δημιουργία (security by design) των μηχανογραφικών υποδομών τους καθώς και τις υποχρεώσεις στις οποίες υπόκεινται από την ημέρα έναρξης παροχής των υπηρεσιών τους, τηρουμένων των διατάξεων του άρθρου 39.
27Β. Χωρίς επηρεασμό των διατάξεων του άρθρου 27, νεοσυστα-θείσες οντότητες ή/και οντότητες που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 2Α του παρόντος Νόμου και δεν συμπεριλήφθηκαν στον κατάλογο των βασικών και σημαντικών οντότητων που καταρτίζει η Αρχή σύμφωνα με το έδαφιο (3) του άρθρου 27, οφείλουν να ενημερώνουν την Αρχή για σκοπούς αξιολόγησής τους.