Η κυβερνοασφάλεια στο επίκεντρο: Το νέο νομοθετικό πλαίσιο στην ΕΕ που αλλάζει τα δεδομένα

Με την αλματώδη πρόοδο της ψηφιοποίησης που εξελίχθηκε από το 2020, ήρθαν στο φως σημαντικές παθογένειες της ενιαίας αγοράς ως προς το επίπεδο κυβερνοασφάλειας. Η θέσπιση ενός ολοκληρωμένου και αποτελεσματικού νομοθετικού πλαισίου είναι επί του παρόντος σε διαδικασία διαμόρφωσης και υλοποίησης, με τα βήματα να είναι σημαντικά, αλλά και έναν αγώνα δρόμου να συντελείται όσο ο καιρός περνάει.

Η συζήτηση για την ασφάλεια στον κυβερνοχώρο γίνεται ολοένα εντονότερη, μιας και πλέον οι κυβερνοεπιθέσεις είναι τόσο στοχευμένες και ισχυρές που μπορούν να εξαπλωθούν από χώρα σε χώρα μέσα σε λίγα λεπτά. Συνεπώς, το ζητούμενο στην ενιαία ευρωπαϊκή αγορά είναι το πώς θα αυξηθεί το επίπεδο κυβερνοασφάλειας στα προϊόντα και τις υπηρεσίες, όταν μάλιστα έχει διαπιστωθεί ότι το κόστος των ευπαθειών βαρύνει κυρίως τους χρήστες και τους τελικούς καταναλωτές, ενώ οι κατασκευαστές συχνά καθυστερούν να επενδύσουν στον ασφαλή σχεδιασμό και να παρέχουν ενημερώσεις ασφαλείας. Παράλληλα, τόσο οι επιχειρήσεις όσο και οι καταναλωτές δεν έχουν πάντα τις απαιτούμενες πληροφορίες για την επιλογή ασφαλών προϊόντων ούτε και τη ρύθμισή τους, ώστε να μπορούν να ανταποκριθούν στις αυξημένες απαιτήσεις κυβερνοασφάλειας.
Υπό αυτό το πρίσμα, γίνεται σαφέστατη η ανάγκη για ένα επικαιροποιημένο νομοθετικό πλαίσιο, το οποίο θα καλύπτει τόσο τα προϊόντα όσο και τις υπηρεσίες με υποχρεωτικά μέτρα ασφαλείας αλλά και συγκεκριμένες υποχρεώσεις αναφοράς, με στόχο την αύξηση της κυβερνοανθεκτικότητας στην εσωτερική αγορά. Η βάση του πλαισίου αυτού είναι η πρόσφατη Οδηγία NIS 2, η οποία συμπληρώνεται με την πάροδο του χρόνου και με άλλα σημαντικά νομοθετήματα, με κυριότερη την Πράξη για την κυβερνοανθεκτικότητα που δημοσιεύθηκε πρόσφατα.
Οδηγία NIS 2
Η Οδηγία NIS 2 (Οδηγία 2022/2555) είναι η κυριότερη σε ισχύ ευρωπαϊκή νομοθεσία για την ασφάλεια στον κυβερνοχώρο, καθώς παρέχει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου ασφάλειας στον κυβερνοχώρο στην ΕΕ. Οι πρώτοι κανόνες για την κυβερνοασφάλεια είχαν τεθεί σε ισχύ το 2016, οπότε κρίθηκε σκόπιμο να επικαιροποιηθούν, ώστε να συμβαδίζουν με την αυξημένη ψηφιοποίηση και το εξελισσόμενο τοπίο απειλών για την κυβερνοασφάλεια. Πρακτικά, η Οδηγία NIS 2 συμπληρώνει και καλύπτει τα κενά της Οδηγίας NIS 1, η οποία δεν ήταν πλέον επαρκής, δεδομένης της εντεινόμενης διασύνδεσης, της διαπιστωμένης ανεπαρκούς ανθεκτικότητας των επιχειρήσεων εντός ΕΕ και της έλλειψης κοινού πλαισίου αντιμετώπισης των κρίσεων.
Η Οδηγία NIS 2, η οποία θα πρέπει να έχει ενσωματωθεί στην εσωτερική νομοθεσία των κρατών-μελών μέχρι τις 17 Οκτωβρίου 2024, στοχεύει στην ενίσχυση του συνολικού επιπέδου ασφάλειας στον κυβερνοχώρο στην ΕΕ, διασφαλίζοντας την ετοιμότητα των κρατών μελών, απαιτώντας από αυτά να είναι κατάλληλα εξοπλισμένα, τη συνεργασία μεταξύ τους και τη γενικότερη κουλτούρα ασφάλειας σε όλους τους τομείς που είναι ζωτικής σημασίας για την οικονομία και την κοινωνία.
Η Οδηγία NIS 2, η οποία θα πρέπει να έχει ενσωματωθεί στην εσωτερική νομοθεσία των κρατών-μελών μέχρι τις 17 Οκτωβρίου 2024, στοχεύει στην ενίσχυση του συνολικού επιπέδου ασφάλειας στον κυβερνοχώρο
NIS 1 και NIS 2
Η Oδηγία NIS 2 βασίζεται στους 3 κύριους πυλώνες που αποτέλεσαν τον κορμό της Οδηγίας NIS 1. Συγκεκριμένα, με βάση τη στρατηγική της NIS 1 για την ασφάλεια των συστημάτων δικτύων και πληροφοριών, προκειμένου να επιτευχθεί υψηλό επίπεδο ετοιμότητας των κρατών-μελών, η Οδηγία NIS 2 απαιτεί από τα κράτη-μέλη να υιοθετήσουν εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο. Τα κράτη-μέλη υποχρεούνται επίσης να ορίσουν ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT), οι οποίες είναι υπεύθυνες για τον χειρισμό κινδύνων και περιστατικών, μια αρμόδια εθνική αρχή για την ασφάλεια στον κυβερνοχώρο και ένα ενιαίο σημείο επαφής, το οποίο θα ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας μεταξύ των αρχών του κράτους-μέλους με τις αρμόδιες αρχές άλλων κρατών-μελών και, κατά περίπτωση, με την Επιτροπή και τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA).
Η Οδηγία NIS 2 συνεχίζει επίσης το πλαίσιο της NIS 1, με το οποίο ιδρύεται η ομάδα συνεργασίας NIS για την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών-μελών, καθώς και το δίκτυο CSIRTs, το οποίο προωθεί την ταχεία και αποτελεσματική επιχειρησιακή συνεργασία μεταξύ των εθνικών CSIRTs.
Ωστόσο, η Οδηγία NIS 2 διευρύνει σημαντικά το πεδίο εφαρμογής των μέτρων. Έτσι, ενώ η Οδηγία NIS 1 απαιτούσε τη λήψη μέτρων κυβερνοασφάλειας σε επτά τομείς και συγκεκριμένα στην ενέργεια, στις μεταφορές, στις τραπεζικές υπηρεσίες, στις υποδομές των χρηματοπιστωτικών αγορών, στο πόσιμο νερό, στην υγειονομική περίθαλψη και στις ψηφιακές υποδομές, η Οδηγία NIS 2 διευρύνει το πεδίο εφαρμογής με την προσθήκη νέων τομέων με βάση τον βαθμό ψηφιοποίησης και διασύνδεσής τους και το πόσο κρίσιμοι είναι για την οικονομία και την κοινωνία, με την εισαγωγή ενός σαφούς κανόνα για το κατώτατο όριο μεγέθους – που σημαίνει ότι όλες οι μεσαίου και μεγάλου μεγέθους εταιρείες σε επιλεγμένους τομείς θα περιλαμβάνονται στο πεδίο εφαρμογής. Ταυτόχρονα, αφήνει στα κράτη-μέλη διακριτική ευχέρεια για τον εντοπισμό μικρότερων οντοτήτων με υψηλό προφίλ κινδύνου ασφάλειας που θα πρέπει επίσης να καλύπτονται από τις υποχρεώσεις της νέας Οδηγίας.
Κυριότερα σημεία της NIS 2
Η διεύρυνση του πεδίου εφαρμογής των μέτρων ασφαλείας είναι ένα από τα βασικότερα σημεία της Οδηγίας NIS 2 όσον αφορά στην αντιμετώπιση των ελλείψεων της προϋφιστάμενης Οδηγίας. Πέρα, όμως, από αυτή την επικαιροποίηση, αξιοσημείωτες είναι και άλλες διατάξεις που στόχο έχουν την προσαρμογή του νομικού πλαισίου στις τρέχουσες ανάγκες.
Σε αυτό το πλαίσιο, η Οδηγία ενισχύει και εξορθολογίζει τις απαιτήσεις ασφάλειας και υποβολής εκθέσεων για τις εταιρείες, επιβάλλοντας μια προσέγγιση διαχείρισης κινδύνου, η οποία προβλέπει έναν ελάχιστο κατάλογο βασικών στοιχείων ασφάλειας που πρέπει να εφαρμόζονται, ενώ παράλληλα εισάγει ακριβέστερες διατάξεις σχετικά με τη διαδικασία αναφοράς περιστατικών, το περιεχόμενο των αναφορών και τα χρονοδιαγράμματα.
Επιπλέον, η NIS 2 άπτεται του ζητήματος της ασφάλειας των αλυσίδων εφοδιασμού και των σχέσεων με τους προμηθευτές, απαιτώντας από τις μεμονωμένες εταιρείες να αντιμετωπίζουν τους κινδύνους κυβερνοασφάλειας στις αλυσίδες εφοδιασμού και στις σχέσεις με τους προμηθευτές. Σε ευρωπαϊκό επίπεδο, η Οδηγία ενισχύει την κυβερνοασφάλεια της αλυσίδας εφοδιασμού για βασικές τεχνολογίες πληροφοριών και επικοινωνιών. Τα κράτη-μέλη, σε συνεργασία με την Επιτροπή και τον ENISA, μπορούν να διενεργούν συντονισμένες αξιολογήσεις κινδύνων ασφαλείας για κρίσιμες αλυσίδες εφοδιασμού, με βάση την επιτυχή προσέγγιση που υιοθετήθηκε στο πλαίσιο της σύστασης της Επιτροπής για την κυβερνοασφάλεια των δικτύων 5G.
Ενισχύει, επίσης, τον ρόλο της ομάδας συνεργασίας στη διαμόρφωση στρατηγικών αποφάσεων πολιτικής, δίνοντας έμφαση στην ανταλλαγή πληροφοριών και τη συνεργασία μεταξύ των αρχών των κρατών-μελών. Ως προς την επιχειρησιακή συνεργασία στο πλαίσιο του δικτύου CSIRT, ενδιαφέρον παρουσιάζει η θέσπιση του ευρωπαϊκού δικτύου οργανισμών διασύνδεσης για την αντιμετώπιση κρίσεων στον κυβερνοχώρο (EU-CyCLONe) με στόχο την υποστήριξη της συντονισμένης διαχείρισης περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο.
Ως προς την ενίσχυση και τον εξορθολογισμό των απαιτήσεων ασφαλείας και αναφοράς των συμβάντων, η Οδηγία NIS 2 στοχεύει στην ενιαία εφαρμογή τους, έτσι ώστε να μειωθεί ο διοικητικός φόρτος για τις εταιρείες που δραστηριοποιούνται σε περισσότερες χώρες. Για το λόγο αυτό, περιλαμβάνει έναν κατάλογο 10 βασικών στοιχείων που όλες οι εταιρείες πρέπει να εφαρμόζουν στο πλαίσιο των μέτρων που λαμβάνουν, συμπεριλαμβανομένου του χειρισμού περιστατικών, της ασφάλειας της αλυσίδας εφοδιασμού, του χειρισμού και της αποκάλυψης ευπαθειών, της χρήσης κρυπτογραφίας και, κατά περίπτωση, της κρυπτογράφησης.
Σχετικά με την αναφορά περιστατικών, για να βρεθεί η σωστή ισορροπία μεταξύ της ανάγκης για ταχεία αναφορά, προκειμένου να αποφευχθεί η πιθανή εξάπλωση των επιθέσεων, και της ανάγκης για εμπεριστατωμένη αναφορά, προκειμένου να αντληθούν πολύτιμα διδάγματα, προβλέπεται μια προσέγγιση πολλαπλών σταδίων. Οι θιγόμενες εταιρείες έχουν στη διάθεσή τους 24 ώρες από τη στιγμή που αντιλαμβάνονται για πρώτη φορά ένα περιστατικό, για να υποβάλουν έγκαιρη προειδοποίηση στην CSIRT ή στην αρμόδια εθνική αρχή, η οποία θα τους επιτρέπει επίσης να ζητήσουν βοήθεια (καθοδήγηση ή επιχειρησιακές συμβουλές για την εφαρμογή πιθανών μέτρων μετριασμού), εφόσον το ζητήσουν. Η έγκαιρη προειδοποίηση θα πρέπει να ακολουθείται από κοινοποίηση του συμβάντος εντός 72 ωρών από τη στιγμή που θα λάβουν γνώση του συμβάντος και από τελική έκθεση το αργότερο ένα μήνα μετά το συμβάν.
Στο επίπεδο των κυρώσεων, η Οδηγία φιλοδοξεί να λύσει το πρόβλημα της απροθυμίας που παρατηρείται στα κράτη-μέλη να επιβάλλουν κυρώσεις σε οντότητες που δεν λαμβάνουν μέτρα ασφαλείας ή δεν αναφέρουν περιστατικά. Προκειμένου να καταστεί αποτελεσματική η επιβολή, η νέα Οδηγία θεσπίζει ένα συνεκτικό πλαίσιο κυρώσεων σε ολόκληρη την ΕΕ. Ως εκ τούτου, θεσπίζει έναν ελάχιστο κατάλογο διοικητικών κυρώσεων για την παράβαση των υποχρεώσεων διαχείρισης κινδύνων στον κυβερνοχώρο, οι οποίες περιλαμβάνουν δεσμευτικές οδηγίες, εντολή εφαρμογής των συστάσεων ελέγχου ασφάλειας, εντολή συμμόρφωσης των μέτρων ασφάλειας με τις απαιτήσεις των αρμόδιων εθνικών αρχών και διοικητικά πρόστιμα.
Για τα διοικητικά πρόστιμα, η νέα Οδηγία κάνει διάκριση μεταξύ βασικών και σημαντικών οντοτήτων. Όσον αφορά στις ουσιώδεις οντότητες, απαιτεί από τα κράτη-μέλη να προβλέπουν ένα ορισμένο επίπεδο διοικητικών προστίμων, και συγκεκριμένα ανώτατο όριο τουλάχιστον 10.000.000 ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο. Όσον αφορά στις σημαντικές οντότητες, η NIS 2 απαιτεί από τα κράτη-μέλη να προβλέπουν μέγιστο πρόστιμο τουλάχιστον 7.000.000 ευρώ ή τουλάχιστον 1,4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.
Επιπλέον, προκειμένου να διασφαλιστεί η πραγματική ευθύνη για τα μέτρα κυβερνοασφάλειας σε οργανωτικό επίπεδο, η NIS 2 εισάγει διατάξεις σχετικά με την ευθύνη των φυσικών προσώπων που κατέχουν ανώτερες διοικητικές θέσεις στις οντότητες που εμπίπτουν στο πεδίο εφαρμογής της.
Η διεύρυνση του πεδίου εφαρμογής των μέτρων ασφαλείας είναι ένα από τα βασικότερα σημεία της Οδηγίας NIS 2 όσον αφορά στην αντιμετώπιση των ελλείψεων της προϋφιστάμενης Οδηγίας
Οδηγία CER
Η Οδηγία 2022/2557 για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER), η οποία αντικαθιστά την Οδηγία 2008/114 για τις ευρωπαϊκές υποδομές ζωτικής σημασίας, έχει ως στόχο να ενισχύσει την ανθεκτικότητα υποδομών ζωτικής σημασίας έναντι απειλών που έχουν σημαντικές επιπτώσεις στην κυβερνοασφάλεια, όπως οι τρομοκρατικές επιθέσεις, οι φυσικοί κίνδυνοι, οι εσωτερικές επιθέσεις και οι δολιοφθορές.
Οι έντεκα τομείς, οι οποίοι έχουν κριθεί κρίσιμοι και στους οποίους εφαρμόζεται η Οδηγία CER, είναι: τραπεζικές υπηρεσίες, ψηφιακές υποδομές, παροχή πόσιμου νερού, ενέργεια, υποδομές χρηματοπιστωτικών αγορών, τρόφιμα, υγεία, δημόσια διοίκηση, μεταφορές, διάστημα και λύματα.
Για να επιτευχθεί η ανθεκτικότητα στις κρίσιμες οντότητες της ΕΕ, ειδικά υπό τις παρούσες γεωπολιτικές συνθήκες αστάθειας και εχθροπραξιών στα ευρωπαϊκά σύνορα, η Οδηγία θέτει ως προτεραιότητα την ετοιμότητα μέσω της πρόληψης, την αντιμετώπιση των επιθέσεων αλλά και τη διεθνή συνεργασία. Έτσι, σύμφωνα με τις απαιτήσεις της Οδηγίας, οι καλυπτομένες από το πεδίο εφαρμογής της οντότητες θα πρέπει να προετοιμάζονται για πιθανές απειλές, θέτοντας συγκεκριμένα μέτρα για την προστασία, την αντίδραση και την ανάκαμψη από αυτές.
Επομένως, σύμφωνα με την Οδηγία CER θα πρέπει να καταρτιστεί εθνική στρατηγική για την εφαρμογή των παραπάνω μέτρων και την επικαιροποίηση των αξιολογήσεων κινδύνου που πρέπει να λαμβάνουν χώρα τουλάχιστον κάθε τέσσερα χρόνια. Πάντως, οι οργανισμοί που χαρακτηρίζονται ως κρίσιμες οντότητες θα πρέπει οι ίδιοι να διενεργούν τις αξιολογήσεις και να εφαρμόζουν τα μέτρα για την ενίσχυση της ανθεκτικότητάς τους, με ταυτόχρονη ενημέρωση των αρμοδίων αρχών για οποιοδήποτε περιστατικό επίθεσης ή διαταραχής. Από την άλλη, τα κράτη-μέλη καλούνται να συνεργαστούν με την Επιτροπή για την εκπόνηση σχεδίου συντονισμένης αντίδρασης σε περιπτώσεις απειλών των κρίσιμων υποδομών με σημαντική διασυνοριακή σημασία.
Η νέα Οδηγία CER, η οποία δημοσιεύθηκε στις 14 Δεκεμβρίου 2022, θα πρέπει να έχει ενσωματωθεί στο εσωτερικό δίκαιο των κρατών-μελών μέχρι τις 17 Οκτωβρίου 2024, ενώ μέχρι τις 17 Ιανουαρίου 2026 κάθε κράτος θα πρέπει να έχει υιοθετήσει εθνική στρατηγική για την ενίσχυση της ανθεκτικότητας των κρίσιμων οντοτήτων.
Για να επιτευχθεί η ανθεκτικότητα στις κρίσιμες οντότητες, ειδικά υπό τις παρούσες γεωπολιτικές συνθήκες αστάθειας, η Οδηγία CER θέτει ως προτεραιότητα την ετοιμότητα, την αντιμετώπιση των επιθέσεων και τη διεθνή συνεργασία
Πράξη για την κυβερνο-ανθεκτικότητα
Η Πράξη για την κυβερνοανθεκτικότητα αποτελεί πρόταση Κανονισμού, η οποία δημοσιεύθηκε από την Επιτροπή τον Σεπτέμβριο του 2022 και αναμένεται το ερχόμενο καλοκαίρι να συζητηθεί από τα κράτη-μέλη, τα οποία σύντομα θα καταλήξουν στο τελικό κείμενο που θα ακολουθήσει τη συνήθη νομοθετική οδό. Όταν ο Κανονισμός τεθεί σε ισχύ, θα είναι η πρώτη νομοθεσία του είδους στην ΕΕ, καθώς καλύπτει ένα συγκεκριμένο και ανησυχητικό κενό που αφορά τα προϊόντα με ψηφιακά στοιχεία.
Παρόλο που τα προϊόντα υλικού και λογισμικού υπόκεινται σε ολοένα και περισσότερες κυβερνοεπιθέσεις, με το κόστος αυτών των επιθέσεων να αποτιμάται σε τρισεκατομμύρια ευρώ, δεν καλύπτονται από νομοθεσία για την κυβερνοασφάλειά τους. Ειδικότερα, το ισχύον νομικό πλαίσιο της ΕΕ δεν άπτεται του ζητήματος της κυβερνοασφάλειας του μη ενσωματωμένου λογισμικού, οπότε ήταν επιτακτική ανάγκη να εισαχθούν κανόνες για τους κατασκευαστές και τους προγραμματιστές προϊόντων με ψηφιακά στοιχεία, έτσι ώστε τα ενσύρματα και ασύρματα προϊόντα που συνδέονται στο διαδίκτυο και διατίθενται στην αγορά της ΕΕ να είναι πιο ασφαλή καθ’ όλη τη διάρκεια του κύκλου ζωής τους.
Στόχος της νέας νομοθετικής πρωτοβουλίας δεν είναι μόνο η ανάπτυξη ασφαλών προϊόντων με ψηφιακά στοιχεία, έτσι ώστε να έχουν λιγότερα τρωτά σημεία, αλλά και η δημιουργία συνθηκών που επιτρέπουν στους χρήστες να έχουν επαρκή πληροφόρηση για την κυβερνοασφάλεια, επιλέγοντας τα κατάλληλα προϊόντα. Περαιτέρω, η πρόταση Κανονισμού φιλοδοξεί να δημιουργήσει ένα συνεκτικό πλαίσιο κυβερνοασφάλειας, το οποίο θα διευκολύνει τη συμμόρφωση των κατασκευαστών υλικού και λογισμικού, αλλά και τη διαφάνεια των ιδιοτήτων ασφαλείας που θα έχει άμεσο θετικό αντίκτυπο στην καταναλωτική συμπεριφορά.
Κατά συνέπεια, ο Κανονισμός θα επιβάλλει συγκεκριμένες απαιτήσεις κυβερνοασφάλειας, οι οποίες θα πρέπει να λαμβάνονται υπόψη από τους κατασκευαστές των προϊόντων με ψηφιακά στοιχεία κατά τον σχεδιασμό και την ανάπτυξή τους, αλλά και γενικά σε όλο τον κύκλο ζωής τους. Επιπλέον, οι κατασκευαστές θα πρέπει να παρέχουν με διαφάνεια στους πελάτες επαρκείς πληροφορίες σχετικά με την κυβερνοασφάλεια των προϊόντων, οι οποίες θα καλύπτουν όλες τις πτυχές της, συμπεριλαμβανομένων των πληροφοριών για την υποστήριξη ασφαλείας, την παροχή ενημερώσεων και το τέλος κύκλου ζωής.
Μάλιστα, οι ανωτέρω υποχρεώσεις θα θεσπιστούν όχι μόνο για τους κατασκευαστές αλλά και για όλους τους φορείς στην αλυσίδα εφοδιασμού (π.χ. και για τους διανομείς και τους εισαγωγείς). Οι φορείς αυτοί θα υποβάλλονται και σε διαδικασία αξιολόγησης σχετικά με τη συμμόρφωσή τους, η οποία ανάλογα με την κρισιμότητα της λειτουργίας του εν λόγω προϊόντος θα είναι αυτοαξιολόγηση ή αξιολόγηση από τρίτους. Εφόσον αποδειχθεί η συμμόρφωση του προϊόντος με τις ισχύουσες απαιτήσεις, οι κατασκευαστές και οι προγραμματιστές θα συντάσσουν δήλωση συμμόρφωσης και θα μπορούν να τοποθετούν τη σήμανση CE, ώστε τα προϊόντα να μπορούν να κυκλοφορούν στην εσωτερική αγορά.
Τα κράτη-μέλη θα ορίσουν τις αρμόδιες εποπτικές αρχές οι οποίες θα είναι υπεύθυνες για την επιβολή των υποχρεώσεων του Κανονισμού για την κυβερνοανθεκτικότητα. Σε περίπτωση μη συμμόρφωσης, οι εποπτικές αρχές θα μπορούν να απαιτούν από τους φορείς εκμετάλλευσης να τερματίσουν τη μη συμμόρφωση και να εξαλείψουν τον κίνδυνο, να απαγορεύσουν ή να περιορίσουν τη διάθεση ενός προϊόντος στην αγορά ή να διατάξουν την απόσυρση ή την ανάκληση του προϊόντος, ενώ βεβαίως θα μπορούν να επιβάλλουν και πρόστιμα στις εταιρείες που δεν συμμορφώνονται με τους κανόνες.
Παρόλο που τα προϊόντα υλικού και λογισμικού υπόκεινται σε ολοένα και περισσότερες κυβερνοεπιθέσεις, με το κόστος αυτών των επιθέσεων να αποτιμάται σε τρισεκατομμύρια ευρώ, δεν καλύπτονται από νομοθεσία για την κυβερνοασφάλειά τους

Συμπερασματικά
Η πορεία προς ένα ενιαίο και συνεκτικό πλαίσιο κυβερνοασφάλειας, που θα καλύπτει όλες τις πτυχές των υπηρεσιών και των προϊόντων στην ΕΕ, έχει ξεκινήσει εδώ και καιρό, όμως η υλοποίησή του αποτελεί μια μακρά διαδικασία που απαιτεί την υιοθέτηση διαφόρων και πολύπλευρων νομοθετημάτων. Το σίγουρο είναι πως, όταν αυτό συμβεί, τα οφέλη θα είναι προφανή για όλους τους εμπλεκόμενους φορείς. Με την αντιμετώπιση των κυβερνοεπιθέσεων μέσω της συμμόρφωσης στο σύνολο των κανόνων κυβερνοασφάλειας, όχι μόνο θα μειωθεί το κόστος χειρισμού τους, αλλά και θα διαφυλαχθεί η φήμη των επιχειρήσεων και θα αυξηθεί η εμπιστοσύνη των καταναλωτών, με τα οφέλη να αντικατοπτρίζονται σε όλες τις πτυχές της οικονομικής ζωής καθώς και στην προάσπιση των θεμελιωδών δικαιωμάτων, όπως η προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής.


  • Ποια είναι τα κυριότερα σημεία που θα πρέπει τα επόμενα χρόνια να προσέξει μια δικηγορική εταιρεία για τη συμμόρφωσή της με το αυστηρό πλαίσιο για την κυβερνοασφάλεια που θέτει η Οδηγία NIS 2;
Νικόλας Χατζηαβραάμ CEO, Softline Computer Systems

Ο σχεδιασμός για τη συμμόρφωση με την οδηγία NIS 2 πρέπει να ξεκινήσει άμεσα από όλες τις οντότητες που μπορεί να εμπίπτουν στο πεδίο εφαρμογής της. Ακόμα και για μικρότερες δικηγορικές εταιρείες, οι οποίες μπορεί να μην εμπίπτουν αυστηρά στο πεδίο εφαρμογής της, όλη αυτή η διαδικασία αποτελεί μια ευκαιρία να θωρακίσουν της άμυνές τους, έτσι ώστε να παραμείνουν ανταγωνιστικές. Το θέμα της κυβερνοασφάλειας, με επιθέσεις να λαμβάνουν χώρα κάθε 10-40 δευτερόλεπτα, πρέπει να απασχολήσει το ΔΣ, ακόμα και αν μια δικηγορική εταιρεία δεν εμπίπτει στο πεδίο εφαρμογής της Οδηγίας. Τρία είναι τα σημαντικά βήματα που πρέπει άμεσα να κάνει μια δικηγορική εταιρεία: Να ενημερωθεί για την Οδηγία και να βεβαιωθεί κατά πόσον εμπίπτει ή όχι στο πεδίο εφαρμογής. Ανεξαρτήτως αποτελέσματος θα πρέπει να περάσει ένα αρχικό assessment, έτσι ώστε να αξιολογήσει και να κατηγοριοποιήσει τα ρίσκα της. Τέλος, να θεσπίσει μια στρατηγική υλοποίησης ενεργειών, με σκοπό την καλύτερη θωράκιση και κατ’ επέκταση την συμμόρφωση με τη NIS 2.

Κώστας Παπαδάτος Managing Director, Cyber Noesis

Η NIS 2 συνιστά ακόμα μια νομοθετική πρωτοβουλία της ΕΕ στην κυβερνοασφάλεια, με στόχο την επίτευξη ενός υψηλού και ενιαίου επιπέδου κυβερνοασφάλειας/κυβερνοανθεκτικότητας στις κρίσιμες υποδομές/υπηρεσίες της Ένωσης. Οι δικηγορικές εταιρείες δεν εμπίπτουν άμεσα στο πεδίο εφαρμογής της Οδηγίας, καθώς δεν συμπεριλαμβάνονται στον κατάλογο οντοτήτων υψηλής κρισιμότητας που φέρουν υποχρέωση συμμόρφωσης με τις απαιτήσεις της Οδηγίας. Ωστόσο, μια δικηγορική εταιρεία δύναται να έχει έμμεση υποχρέωση συμμόρφωσης, ως απόρροια των υπηρεσιών που παρέχει σε οντότητες υψηλής κρισιμότητας, αποτελώντας μέρος της αλυσίδας εφοδιασμού των εν λόγω οργανισμών. Πρόκειται για έναν κίνδυνο, στον οποίο κάνει ιδιαίτερη μνεία η Οδηγία (Supply Chain Security).

Στο πλαίσιο αυτό, οι δικηγορικές εταιρείες οφείλουν να διασφαλίζουν την υλοποίηση και συνεχή αξιολόγηση της αποτελεσματικής εφαρμογής κατάλληλων οργανωτικών και τεχνικών μέτρων αναγνώρισης και διαχείρισης κινδύνων ασφάλειας πληροφοριών. Τέλος, πρέπει να επισημάνουμε ότι κάθε δικηγορική εταιρεία οφείλει να παραμένει επαρκώς ενημερωμένη αναφορικά με τις απαιτήσεις της Οδηγίας, ώστε να μπορεί να παρέχει εξειδικευμένες νομικές συμβουλές και καθοδήγηση στους πελάτες της, οι οποίοι φέρουν την υποχρέωση συμμόρφωσης με την Οδηγία.


  • Ποια είναι τα κυριότερα σημεία της Οδηγίας NIS 2 που πρέπει να προσέξουν οι επιχειρήσεις, ιδιαίτερα σε κομβικής σημασίας κλάδους, όπως αυτός των τραπεζικών συστημάτων;
Κική Τσουρού Υπεύθυνη Προστασίας Δεδομένων, ΤΕΙΡΕΣΙΑΣ ΤΡΑΠΕΖΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΩΝ ΑΕ

Σημαντικές αλλαγές στη λειτουργία των επιχειρήσεων επιφέρει η νέα Οδηγία ΝΙS 2, η οποία στοχεύει στη λήψη κατάλληλων μέτρων για τη διαχείριση των κινδύνων εκ μέρους τους, στην ασφάλεια του δικτύου και των συστημάτων πληροφοριών τους και στην πρόληψη συμβάντων ή τον μετριασμό των επιπτώσεων συμβάντων στους αποδέκτες των υπηρεσιών τους. Παράλληλα, επεκτείνονται και εξειδικεύονται οι ευθύνες της Διοίκησης για ασφάλεια στον κυβερνοχώρο, η οποία μάλιστα τελικά αναλαμβάνει την ευθύνη σε περίπτωση μη συμμόρφωσης του Οργανισμού. Σε περιπτώσεις μη συμμόρφωσης τα πρόστιμα διαμορφώνονται έως και €10.000.000 ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού.

Με την NIS 2 θεσπίζεται και το «EU-CyCLONe», το ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για τις κρίσεις στον κυβερνοχώρο, το οποίο διαχειρίζεται συντονισμένα τα περιστατικά μεγάλης κλίμακος και το οποίο συνεργάζεται επί των διαδικαστικών ρυθμίσεων με το εκάστοτε εθνικό δίκτυο «CSIRT». Κλείνοντας, ας μην ξεχνάμε ότι για τον χρηματοοικονομικό τομέα δημοσιεύτηκε πρόσφατα η DORA που είναι lex specialis σε σχέση με την NIS 2.


  • Ποια είναι τα κυριότερα σημεία της Οδηγίας NIS 2 που πρέπει να προσέξουν οι επιχειρήσεις, ιδιαίτερα σε ευαίσθητους σε κλάδους, όπως αυτός της υγείας;

Γεωργία Ζάβρα Διευθύντρια Νομικής Υπηρεσίας, Όμιλος Ευρωκλινικής: Η ενίσχυση της κυβερνοασφάλειας συστημάτων δικτύου και πληροφοριών των δημόσιων και ιδιωτικών οντοτήτων, που καθορίζονται από το πεδίο εφαρμογής της NIS 2, επιχειρείται με την αρχή της λογοδοσίας και την αυξημένη εποπτεία τους. Με την ενσωμάτωσή της Οδηγίας, οι επιχειρήσεις καλούνται να αποδείξουν την ανθεκτικότητά τους σε επίπεδο κυβερνοασφάλειας, την ικανότητά τους δηλαδή να προλαμβάνουν, αντιδρούν, μετριάζουν και ανακάμπτουν από περιστατικά και κινδύνους. Οι επιχειρήσεις του τομέα της υγείας εμπίπτουν στο πεδίο εφαρμογής της Οδηγίας, ανεξαρτήτως μεγέθους, καθώς θεωρούνται κρίσιμες οντότητες από την Οδηγία 2022/2557. Η νομοθετική αυτή επιλογή ένταξης δικαιολογείται από την εκτίμηση του αντικτύπου τυχόν διατάραξης της παρεχόμενης υπηρεσίας τους, στη δημόσια υγεία, στην πρόκληση συστημικού κινδύνου στο κράτος-μέλος, αλλά και διασυνοριακής επίπτωσης.

Τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας του άρθρου 21 δεν είναι καινοφανή, καθώς απασχόλησαν τον κλάδο υγείας και υπό το πρίσμα της συμμόρφωσης με το GDPR, αφού ειδικά στον τομέα υγείας ένα περιστατικό ασφαλείας έχει αυξημένη πιθανότητα να θέσει υπό διακύβευση και προστατευόμενα προσωπικά δεδομένα. Στην κατεύθυνση αυτή, οι συστάσεις και βέλτιστες πρακτικές του ENISA, που αναδεικνύεται σε κομβικό ευρωπαϊκό όργανο για την εποπτεία υπό τη νέα Οδηγία, χρήζουν σε μεγάλο βαθμό αξιοποίησης για τη διαμόρφωση επίκαιρων πρακτικών κυβερνοϋγιεινής και ασφάλειας στους οργανισμούς, ιδίως κατά το χειρισμό περιστατικών, ενώ αναντίρρητη είναι πλέον και η ανάγκη προσφυγής σε συστήματα πιστοποίησης ως εργαλεία συμμόρφωσης.