Να συμμορφωθούν εντός του 2025 με το νέο πλαίσιο της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια, οφείλουν περισσότεροι από 2.000 φορείς του δημόσιου και ιδιωτικού τομέα. Πρόκειται για τους κανονισμούς που φέρνει η εφαρμογή της NIS 2, δηλαδή η πιο πρόσφατη οδηγία της ΕΕ για το ευαίσθητο αυτό θέμα.
Αυτό ήταν το συμπέρασμα της χθεσινής άτυπης ενημέρωσης που παραχώρησε ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ), Μιχάλης Μπλέτσας, σημειώνοντας ότι σε διαφορετική περίπτωση, είναι πιθανό να επιβληθούν σημαντικές κυρώσεις.
Όπως εξήγησε ο κ. Μπλέτσας, η νέα οδηγία υιοθετεί την υποχρέωση αναφοράς περιστατικών κυβερνοασφάλειας. Η υποχρέωση της πρώτης αναφοράς πρέπει να γίνεται από τις επιχειρήσεις και τους φορείς εντός 24 ωρών από τη στιγμή που εντοπίζουν το κρούσμα, ωστόσο πλέον η ευθύνη για την ψηφιακή ασφάλεια μεταφέρεται στα υψηλότερα κλιμάκια.
«Μέχρι τώρα την ευθύνη είχαν οι υπεύθυνοι ασφαλείας των πληροφοριακών συστημάτων. Πλέον, αυτή η ευθύνη μεταφέρεται στην διοίκηση μιας εταιρείας». εξήγησαν στην άτυπη ενημερωτική συνάντηση στελέχη της ΕΑΚ.
«Η κυβερνοασφάλεια είναι ένα ομαδικό σπορ και απαιτεί τη συνεργασία όλων των φορέων. Ο προγραμματισμός περιλαμβάνει τη συνεργασία με το ΓΕΕΘΑ και την ΕΥΠ για τη δημιουργία εθνικής ομάδας απόκρισης περιστατικών, η οποία αναμένεται να είναι έτοιμη το 2025», τόνισε ο Μπλέτσας.
Το σχετικό νομοσχέδιο βρίσκεται σε φάση δημόσιας διαβούλευσης και αναμένεται να έχει ψηφιστεί μέχρι το τέλος του έτους αν και θα απαιτηθεί αρκετό χρονικό διάστημα μέχρι να διαμορφωθούν οι αποφάσεις σχετικά με τις προδιαγραφές για τα συστήματα κυβερνοασφάλειας των επιχειρήσεων, οι οποίες θα καθορίζονται ανάλογα με τις ιδιαιτερότητες των κλάδων που αφορά η συγκεκριμένη οδηγία.
Η νέα οδηγία
H Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, γνωστή ως οδηγία NIS 2 (Network and Information Security Directive) είναι η αναθεωρημένη έκδοση της αρχικής οδηγίας NIS, η οποία θεσπίστηκε το 2016 με στόχο την ενίσχυση της κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση. Η NIS 2, που υιοθετήθηκε το 2022, αφορά στην προστασία κρίσιμων δικτύων και συστημάτων πληροφορικής έναντι κυβερνοαπειλών και διασφαλίζει τη συνεκτική προσέγγιση στην κυβερνοασφάλεια σε ολόκληρη την ΕΕ.
Η λίστα των οργανισμών, φορέων και επιχειρήσεων που καλούνται να συμμορφωθούν είναι αρκετά μεγάλη καθώς, όπως επισημάνθηκε χαρακτηριστικά, περιλαμβάνει όλες εκείνες, η διακοπή λειτουργίας των οποίων θα δημιουργούσε πρόβλημα στην κοινωνία.
Οι υποχρεώσεις των φορέων και των επιχειρήσεων
1. Υποχρεώσεις λήψης μέτρων κυβερνοασφάλειας
Οι οργανισμοί του δημόσιου τομέα και οι επιχειρήσεις του ιδιωτικού τομέα λαμβάνουν λεπτομερή μέτρα διαχείρισης κινδύνων που βασίζονται σε ολιστική προσέγγιση του κινδύνου και αποσκοπούν στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.
2. Υποχρεώσεις αναφοράς περιστατικών κυβερνοασφάλειας στην ΕΑΚ
Οι φορείς οφείλουν να αναφέρουν περιστατικά κυβερνοασφάλειας στην ΕΑΚ διασφαλίζοντας την έγκαιρη επικοινωνία και την αντιμετώπιση των απειλών
Να αναφέρουμε ότι τα περιστατικά αυτά θα δημοσιοποιούνται
Οι κυρώσεις σε περίπτωση μη συμμόρφωσης
Θεσπίζεται ένας αποτελεσματικός και αποτρεπτικός κυρωτικός μηχανισμός, ο οποίος διασφαλίζει την εφαρμογή των σχετικών ρυθμίσεων. Οι κυρώσεις είναι αποτελεσματικές και σέβονται απολύτως την αρχή της αναλογικότητας. Ο κ. Μπλέτσας ανέφερε ότι το σημείο που θα εστιάσει η ΕΑΚ θα είναι η αναφορά περιστατικών κυβερνοασφάλειας, καθώς μόνο έτσι θα υπάρχει πλήρη εικόνα για τις κυβερνοεπιθέσεις που σημειώνονται στην Ελλάδα και θα είναι εφικτό να ληφθούν μέτρα για την αντιμετώπισή τους. Αν δεν γίνεται αναφορά, μπορεί να υπάρχουν κυρώσεις υπό τη μορφή προστίμων που προβλέπονται μέσα στο νομοσχέδιο και μπορούν να φθάσουν τα 10 εκατ. ευρώ ή το 2% του παγκόσμιου κύκλου εργασιών μίας επιχείρησης.
Όπως τονίστηκε, η νομοθεσία θα ενδυναμώσει τους μηχανισμούς ελέγχου και θα διασφαλίσει ότι οι οργανισμοί συμμορφώνονται με τα πρότυπα ασφάλειας, μειώνοντας τον κίνδυνο κυβερνοεπιθέσεων και διαφυλάσσοντας τα δικαιώματα των πολιτών και την ασφάλεια των επιχειρήσεων.
Τα μέτρα που πρέπει να λαμβάνουν φορείς και επιχειρήσεις
Ενδεικτικά:
α. Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων
β. Διαχείριση περιστατικών
γ. Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο
δ. Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της
ε. Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών
στ. Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας
Μ.Η.Τ. 242183