N.5236/2025: Ενσωμάτωση της Οδηγίας CER, για την ανθεκτικότητα των κρίσιμων οντοτήτων

spyros-kaminaris

Τοπική Επαφή

30 Οκτ 2025
Θέματα Tax Alerts
Κατηγορίες Law Alert

Κατεβάστε το PDF

PDF (234 KB)

Με τον Ν.5236/2025 (ΦΕΚ Α’/175/10-10-2025) ενσωματώνεται στην Ελληνική έννομη τάξη η Οδηγία CER, η οποία θεσπίζει ένα ενιαίο πλαίσιο για την ενίσχυση της ανθεκτικότητας κρίσιμων οντοτήτων σε φυσικές, τεχνολογικές και υβριδικές απειλές, εγκαθιδρύοντας υποχρεώσεις αξιολόγησης κινδύνων, πρόληψης και αντιμετώπισης διαταραχών, καθώς και μηχανισμούς εποπτείας, συνεργασίας και επιβολής κυρώσεων.

Στις 10 Οκτωβρίου 2025, δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 5236/2025, με τον οποίο ενσωματώνεται η Οδηγία (ΕΕ) 2022/2557 για την ανθεκτικότητα των κρίσιμων οντοτήτων στην Ελληνική έννομη τάξη (ΦΕΚ 175/Α/10-10-2025) («Νόμος»).

Σύμφωνα με την αιτιολογική έκθεση του Νόμου, οι νέες διατάξεις αποσκοπούν στην ενίσχυση της ανθεκτικότητας των κρίσιμων οντοτήτων έναντι φυσικών και τεχνολογικών κινδύνων καθώς και στη διασφάλιση της απρόσκοπτης λειτουργίας κρίσιμων υπηρεσιών ουσιωδών για τη δημόσια ασφάλεια, οικονομία και κοινωνία.

Με τον νέο Νόμο προσδιορίζονται οι κρίσιμες οντότητες και εισάγονται υποχρεώσεις αυτών για την αξιολόγηση κινδύνων, τη λήψη μέτρων ανθεκτικότητας και την κοινοποίηση περιστατικών στις αρμόδιες αρχές.

Επιπλέον, ο Νόμος προβλέπει τη σύσταση της Γενικής Γραμματείας Προστασίας Κρίσιμων Οντοτήτων (ΓΓΠΚΟ) στο Υπουργείο Προστασίας του Πολίτη ως αρμόδιας αρχής και ενιαίου σημείου επαφής για την εφαρμογή του νέου πλαισίου, με καθήκοντα εποπτείας συμμόρφωσης, επιβολής μέτρων και κυρώσεων.

Εισάγεται, τέλος, καθεστώς αυξημένης λογοδοσίας των διοικήσεων των κρίσιμων οντοτήτων, καθώς και αυστηρότερες απαιτήσεις σε θέματα διακυβέρνησης, αναφοράς και διαχείρισης κρίσεων.

Τέλος, σε περίπτωση μη συμμόρφωσης των υπόχρεων οντοτήτων προβλέπονται πρόστιμα μέχρι και €10.000.000.

Ο Ν. 5236/2025 τίθεται σε ισχύ και εφαρμογή άμεσα από τη δημοσίευσή του στο ΦΕΚ. Εντούτοις, ο προσδιορισμός των κρίσιμων οντοτήτων από την ΓΓΠΚΟ, οπότε γεννώνται οι σχετικές υποχρεώσεις, θα λάβει χώρα ως την 17η Ιουλίου 2026.

1. Σκοπός και Αντικείμενο

Σκοπός του Νόμου αποτελεί η ενίσχυση της ανθεκτικότητας των κρίσιμων οντοτήτων, οι οποίες παρέχουν βασικές υπηρεσίες ζωτικής σημασίας για τη διατήρηση κοινωνικών λειτουργιών και οικονομικών δραστηριοτήτων.

Στο πλαίσιο αυτό, το αντικείμενο του Νόμου συνίσταται:

  • Στον καθορισμό της Γενικής Γραμματείας Προστασίας Κρίσιμων Οντοτήτων του Υπουργείου Προστασίας του Πολίτη ως αρμόδιας εθνικής αρχής και ενιαίου σημείου επαφής για την εφαρμογή και εποπτεία του Νόμου.
  • Στην κατάρτιση της Εθνικής Στρατηγικής και στην εκτίμηση κινδύνων για την ενίσχυση της ανθεκτικότητας κρίσιμων οντοτήτων.
  • Στην καθιέρωση υποχρεώσεων και μέτρων πρόληψης, προστασίας και απόκρισης για τη διασφάλιση της απρόσκοπτης παροχής βασικών υπηρεσιών στη χώρα.
  • Στην ενίσχυση της συνεργασίας μεταξύ δημοσίων αρχών και ιδιωτικών φορέων για την αποτελεσματική αντιμετώπιση κινδύνων και περιστατικών.
  • Στη θέσπιση μηχανισμών εποπτείας, συμμόρφωσης και επιβολής κυρώσεων για τη διασφάλιση της πλήρους εφαρμογής των υποχρεώσεων που απορρέουν από τον Νόμο.
     

2. Πεδίο Εφαρμογής του Νόμου

Ο νόμος εφαρμόζεται στις κρίσιμες οντότητες των τομέων:

  • Ενέργειας
  • Μεταφορών
  • Τραπεζικού κλάδου και χρηματοπιστωτικών αγορών
  • Υγείας
  • Πόσιμου νερού και λυμάτων
  • Ψηφιακών υποδομών
  • Δημόσιας διοίκησης
  • Διαστήματος
  • Παραγωγής, μεταποίησης και διανομής τροφίμων

Οι ρυθμίσεις αποσκοπούν στην ενίσχυση της ανθεκτικότητας των ανωτέρω τομέων έναντι φυσικών, ανθρωπογενών, τυχαίων ή εκούσιων κινδύνων, με σεβασμό στις ειδικότερες ευρωπαϊκές και εθνικές διατάξεις.

3. Ορισμοί-Κλειδιά

  • Ανθεκτικότητα: Ικανότητα κρίσιμης οντότητας να προλαμβάνει, προστατεύει, αντιδρά, αντιστέκεται, μετριάζει, απορροφά, προσαρμόζεται και ανακάμπτει από περιστατικό.
  • Βασική υπηρεσία: Υπηρεσία κρίσιμης σημασίας για τη διατήρηση ζωτικών κοινωνικών λειτουργιών, οικονομικών δραστηριοτήτων, της δημόσιας υγείας, ασφάλειας ή του περιβάλλοντος.
  • Εκτίμηση κινδύνων: Διαδικασία εντοπισμού, ανάλυσης και αξιολόγησης απειλών και ευπαθειών που θα μπορούσαν να οδηγήσουν σε διακοπή βασικής υπηρεσίας.

4. Αρμοδιότητες Γενικής Γραμματείας Προστασίας Κρίσιμων Οντοτήτων (Γ.Γ.Π.Κ.Ο.)

Η Γ.Γ.Π.Κ.Ο. είναι υπεύθυνη για τη διενέργεια εθνικών εκτιμήσεων κινδύνων, λαμβάνοντας υπόψη διατομεακές και διασυνοριακές απειλές, καθώς και τις επιπτώσεις της κλιματικής αλλαγής, με στόχο τη δημιουργία μιας ολοκληρωμένης βάσης δεδομένων και γνώσης για τη λήψη αποτελεσματικών μέτρων.

Παράλληλα, η Γ.Γ.Π.Κ.Ο.:

• προσδιορίζει με προθεσμία έως τις 17 Ιουλίου 2026 τις κρίσιμες οντότητες ανά τομέα και υποτομέα,

•καταρτίζει το Εθνικό Μητρώο Κρίσιμων Οντοτήτων

• εξασφαλίζει τη συνεργασία με την Εθνική Αρχή Κυβερνοασφάλειας

Επίσης, η ΓΓΠΚΟ καταρτίζει την Εθνική Στρατηγική για την ενίσχυση της ανθεκτικότητας των κρίσιμων οντοτήτων έως τις 17 Ιανουαρίου 2026. Η στρατηγική αυτή καθορίζει το πλαίσιο δράσεων και προτεραιοτήτων για την πρόληψη, προστασία και αντιμετώπιση φυσικών, ανθρωπογενών και τεχνολογικών κινδύνων που μπορούν να επηρεάσουν τη λειτουργία βασικών υπηρεσιών.

5. Εξαιρέσεις και Συντονισμός με άλλες Νομοθεσίες

Ο νέος Νόμος δεν εφαρμόζεται σε θέματα που καλύπτονται από τον Ν. 5160/2024 (ενσωμάτωση της Οδηγίας NIS 2 για την κυβερνοασφάλεια).

Η ΓΓΠΚΟ και η Εθνική Αρχή Κυβερνοασφάλειας συνεργάζονται για συντονισμένη εφαρμογή του πλαισίου που αφορά τη φυσική ασφάλεια και την κυβερνοασφάλεια κρίσιμων οντοτήτων.

Εφόσον άλλες τομεακές νομικές πράξεις της ΕΕ επιβάλλουν ισοδύναμα μέτρα ανθεκτικότητας, οι αντίστοιχες διατάξεις του παρόντος νόμου δεν εφαρμόζονται (π.χ. Κανονισμός (ΕΚ) 300/2008 για την ασφάλεια της πολιτικής αεροπορίας).

6. Υποχρεώσεις των Κρίσιμων Οντοτήτων

Εκτίμηση κινδύνων

  • Διενέργεια εκτίμησης κινδύνων εντός εννέα (9) μηνών από τη λήψη ειδοποίησης και στη συνέχεια τουλάχιστον ανά τετραετία.
  • Συμπερίληψη όλων των φυσικών , ανθρωπογενών, τεχνολογικών και κοινωνικοοικονομικών κινδύνων, καθώς και διατομεακών ή διασυνοριακών απειλών.
  • Εξέταση των αλληλεξαρτήσεων με άλλους τομείς και οντότητες, εντός ή εκτός Ελλάδας.
  • Δυνατότητα αξιοποίησης ήδη υφιστάμενων εκτιμήσεων ή σχετικών εγγράφων άλλων νομικών υποχρεώσεων, εφόσον αυτά πληρούν τις απαιτήσεις του νόμου.

Μέτρα ανθεκτικότητας

  • Λήψη τεχνικών, οργανωτικών και μέτρων ασφάλειας για τη διασφάλιση της λειτουργικής και φυσικής ανθεκτικότητάς τους.
  • Πρόληψη περιστατικών και προσαρμογή στην κλιματική αλλαγή.
  • Φυσική προστασία εγκαταστάσεων και κρίσιμων υποδομών (π.χ. περιφράξεις, έλεγχοι πρόσβασης, επιτήρηση).
  • Αντίδραση και μετριασμό συνεπειών μέσω διαδικασιών διαχείρισης κρίσεων και έγκαιρης προειδοποίησης.
  • Ανάκαμψη και επιχειρησιακή συνέχεια με εναλλακτικές αλυσίδες εφοδιασμού.
  • Διαχείριση ασφάλειας προσωπικού, μέσω ελέγχων ιστορικού, καθορισμού κρίσιμων ρόλων και απαιτούμενων προσόντων.
  • Εκπαίδευση και εξοικείωση προσωπικού μέσω σεμιναρίων, ενημερώσεων και ασκήσεων.

Σχέδιο ανθεκτικότητας

  • Υποχρέωση κατοχής και εφαρμογής σχεδίου ανθεκτικότητας για τη διαχείριση περιστατικών και τη συνέχιση λειτουργιών.

Σημείο επαφής

  • Ορισμός εκπροσώπου ή εξουσιοδοτημένου στελέχους ως σημείο επαφής με τη Γ.Γ.Π.Κ.Ο.

Έλεγχοι ιστορικού προσωπικού

  • Δυνατότητα ελέγχου από την Ελληνική Αστυνομία σε άτομα σε ευαίσθητους ρόλους ή με πρόσβαση σε κρίσιμες υποδομές.

Κοινοποίηση περιστατικών

  • Ενημέρωση της Γ.Γ.Π.Κ.Ο. χωρίς καθυστέρηση για περιστατικά που επηρεάζουν τη λειτουργία τους.
  • Υποβολή αρχικής αναφοράς εντός 24 ωρών και αναλυτική εντός ενός μήνα.

7. Κρίσιμες οντότητες ιδιαίτερου ευρωπαϊκού ενδιαφέροντος

Μια οντότητα θεωρείται κρίσιμη ιδιαίτερου ευρωπαϊκού ενδιαφέροντος όταν:

  • Είναι ήδη κρίσιμη οντότητα (άρθρο 7).
  • Παρέχει βασικές υπηρεσίες σε τουλάχιστον 6 κράτη μέλη.
  • Έχει ειδοποιηθεί για αυτή την κατηγορία.

Η Γ.Γ.Π.Κ.Ο. ενημερώνει την οντότητα για την απόφαση της Ευρωπαϊκής Επιτροπής και τις υποχρεώσεις της χωρίς καθυστέρηση.

8. Κυρώσεις

  • Μη συμμόρφωση με βασικές υποχρεώσεις που αφορούν τον προσδιορισμό ή αναγνώριση της κρίσιμης οντότητας: έως €1.000.000
  • Μη λήψη ή ανεπαρκής εφαρμογή μέτρων για τη διαχείριση κινδύνων και την ασφάλεια των υποδομών ζωτικής σημασίας: έως €10.000.000
  • Παραβίαση υποχρεώσεων ενημέρωσης ή κοινοποίησης κρίσιμων πληροφοριών στις αρμόδιες αρχές: έως €1.000.000
  • Μη συμμόρφωση με την κοινοποίηση ή απόφαση της Ευρωπαϊκής Επιτροπής ότι η οντότητα είναι κρίσιμη ιδιαίτερου ευρωπαϊκού ενδιαφέροντος: έως €1.000.000
  • Μη τήρηση ειδικών υποχρεώσεων, όπως μέτρα ασφάλειας δικτύων, υποδομών ή παροχή πληροφοριών σε περιπτώσεις κρίσης: έως €5.000.000
  • Γενικές παραβάσεις ή παράλειψη συνεργασίας/ανταλλαγής πληροφοριών με τις αρμόδιες αρχές: έως €5.000.000

9. Συμπεράσματα

Από κοινού με τον Ν. 5160/2024, που ενσωματώνει την Οδηγία NIS2 για την κυβερνοασφάλεια, οι διατάξεις του νέου Ν. 5236/2025 θέτουν ένα ολοκληρωμένο πλαίσιο κανόνων για την εύρυθμη και ασφαλή λειτουργία των κρίσιμων οντοτήτων στην Ελληνική επικράτεια.

Η Γ.Γ.Π.Κ.Ο. προσδιορίζει τις κρίσιμες οντότητες έως τη 17η Ιουλίου 2026. Εντός ενός (1) μηνός από τον εν λόγω προσδιορισμό οι εν λόγω κρίσιμες οντότητες ειδοποιούνται από τη Γ.Γ.Π.Κ.Ο. ότι έχουν προσδιοριστεί ως τέτοιες, προκειμένου να ενταχθούν στο σχετικό μητρώο της ΓΓΠΚΟ και να ενημερωθούν για τις υποχρεώσεις τους. Συνεπώς, η θέση σε ισχύ των σχετικών υποχρεώσεων για τις κρίσιμες οντότητες λογίζεται ότι εκκινείται χρονικά από την γνωστοποίηση του χαρακτηρισμού τους από την Γ.Γ.Π.Κ.Ο.

Στο πλαίσιο αυτό, οι οντότητες που εμπίπτουν στους τομείς της οικονομίας, οι οποίοι προβλέπονται στον νόμο, συνιστάται να εκδιπλώσουν ήδη από τώρα πλάνο συμμόρφωσης για την έγκαιρη και προσήκουσα τήρηση των υποχρεώσεών τους μετά τον προσδιορισμό τους.

Ο Νόμος είναι διαθέσιμος εδώ.

Ο όρος EY αναφέρεται στον παγκόσμιο οργανισμό, και μπορεί να αναφέρεται σε μία ή περισσότερες, από τις εταιρείες μέλη της Ernst & Young Global Limited, καθεμία από τις οποίες αποτελεί ξεχωριστή νομική οντότητα. Η Ernst & Young Global Limited, μια βρετανική εταιρεία περιορισμένης ευθύνης δια εγγυήσεως, δεν παρέχει υπηρεσίες σε πελάτες.