Με την αλματώδη πρόοδο της ψηφιοποίησης που εξελίχθηκε από το 2020, ήρθαν στο φως σημαντικές παθογένειες της ενιαίας αγοράς ως προς το επίπεδο κυβερνοασφάλειας. Η θέσπιση ενός ολοκληρωμένου και αποτελεσματικού νομοθετικού πλαισίου είναι επί του παρόντος σε διαδικασία διαμόρφωσης και υλοποίησης, με τα βήματα να είναι σημαντικά, αλλά και έναν αγώνα δρόμου να συντελείται όσο ο καιρός περνάει.
Η Οδηγία NIS 2 (Οδηγία 2022/2555) είναι η κυριότερη σε ισχύ ευρωπαϊκή νομοθεσία για την ασφάλεια στον κυβερνοχώρο, καθώς παρέχει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου ασφάλειας στον κυβερνοχώρο στην ΕΕ. Οι πρώτοι κανόνες για την κυβερνοασφάλεια είχαν τεθεί σε ισχύ το 2016, οπότε κρίθηκε σκόπιμο να επικαιροποιηθούν, ώστε να συμβαδίζουν με την αυξημένη ψηφιοποίηση και το εξελισσόμενο τοπίο απειλών για την κυβερνοασφάλεια. Πρακτικά, η Οδηγία NIS 2 συμπληρώνει και καλύπτει τα κενά της Οδηγίας NIS 1, η οποία δεν ήταν πλέον επαρκής, δεδομένης της εντεινόμενης διασύνδεσης, της διαπιστωμένης ανεπαρκούς ανθεκτικότητας των επιχειρήσεων εντός ΕΕ και της έλλειψης κοινού πλαισίου αντιμετώπισης των κρίσεων.
Η Οδηγία NIS 2, η οποία θα πρέπει να έχει ενσωματωθεί στην εσωτερική νομοθεσία των κρατών-μελών μέχρι τις 17 Οκτωβρίου 2024, στοχεύει στην ενίσχυση του συνολικού επιπέδου ασφάλειας στον κυβερνοχώρο
Η Oδηγία NIS 2 βασίζεται στους 3 κύριους πυλώνες που αποτέλεσαν τον κορμό της Οδηγίας NIS 1. Συγκεκριμένα, με βάση τη στρατηγική της NIS 1 για την ασφάλεια των συστημάτων δικτύων και πληροφοριών, προκειμένου να επιτευχθεί υψηλό επίπεδο ετοιμότητας των κρατών-μελών, η Οδηγία NIS 2 απαιτεί από τα κράτη-μέλη να υιοθετήσουν εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο. Τα κράτη-μέλη υποχρεούνται επίσης να ορίσουν ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT), οι οποίες είναι υπεύθυνες για τον χειρισμό κινδύνων και περιστατικών, μια αρμόδια εθνική αρχή για την ασφάλεια στον κυβερνοχώρο και ένα ενιαίο σημείο επαφής, το οποίο θα ασκεί καθήκοντα συνδέσμου για τη διασφάλιση της διασυνοριακής συνεργασίας μεταξύ των αρχών του κράτους-μέλους με τις αρμόδιες αρχές άλλων κρατών-μελών και, κατά περίπτωση, με την Επιτροπή και τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA).
Η διεύρυνση του πεδίου εφαρμογής των μέτρων ασφαλείας είναι ένα από τα βασικότερα σημεία της Οδηγίας NIS 2 όσον αφορά στην αντιμετώπιση των ελλείψεων της προϋφιστάμενης Οδηγίας. Πέρα, όμως, από αυτή την επικαιροποίηση, αξιοσημείωτες είναι και άλλες διατάξεις που στόχο έχουν την προσαρμογή του νομικού πλαισίου στις τρέχουσες ανάγκες.
Ως προς την ενίσχυση και τον εξορθολογισμό των απαιτήσεων ασφαλείας και αναφοράς των συμβάντων, η Οδηγία NIS 2 στοχεύει στην ενιαία εφαρμογή τους, έτσι ώστε να μειωθεί ο διοικητικός φόρτος για τις εταιρείες που δραστηριοποιούνται σε περισσότερες χώρες. Για το λόγο αυτό, περιλαμβάνει έναν κατάλογο 10 βασικών στοιχείων που όλες οι εταιρείες πρέπει να εφαρμόζουν στο πλαίσιο των μέτρων που λαμβάνουν, συμπεριλαμβανομένου του χειρισμού περιστατικών, της ασφάλειας της αλυσίδας εφοδιασμού, του χειρισμού και της αποκάλυψης ευπαθειών, της χρήσης κρυπτογραφίας και, κατά περίπτωση, της κρυπτογράφησης.
Η διεύρυνση του πεδίου εφαρμογής των μέτρων ασφαλείας είναι ένα από τα βασικότερα σημεία της Οδηγίας NIS 2 όσον αφορά στην αντιμετώπιση των ελλείψεων της προϋφιστάμενης Οδηγίας
Η Οδηγία 2022/2557 για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER), η οποία αντικαθιστά την Οδηγία 2008/114 για τις ευρωπαϊκές υποδομές ζωτικής σημασίας, έχει ως στόχο να ενισχύσει την ανθεκτικότητα υποδομών ζωτικής σημασίας έναντι απειλών που έχουν σημαντικές επιπτώσεις στην κυβερνοασφάλεια, όπως οι τρομοκρατικές επιθέσεις, οι φυσικοί κίνδυνοι, οι εσωτερικές επιθέσεις και οι δολιοφθορές.
Για να επιτευχθεί η ανθεκτικότητα στις κρίσιμες οντότητες, ειδικά υπό τις παρούσες γεωπολιτικές συνθήκες αστάθειας, η Οδηγία CER θέτει ως προτεραιότητα την ετοιμότητα, την αντιμετώπιση των επιθέσεων και τη διεθνή συνεργασία
Η Πράξη για την κυβερνοανθεκτικότητα αποτελεί πρόταση Κανονισμού, η οποία δημοσιεύθηκε από την Επιτροπή τον Σεπτέμβριο του 2022 και αναμένεται το ερχόμενο καλοκαίρι να συζητηθεί από τα κράτη-μέλη, τα οποία σύντομα θα καταλήξουν στο τελικό κείμενο που θα ακολουθήσει τη συνήθη νομοθετική οδό. Όταν ο Κανονισμός τεθεί σε ισχύ, θα είναι η πρώτη νομοθεσία του είδους στην ΕΕ, καθώς καλύπτει ένα συγκεκριμένο και ανησυχητικό κενό που αφορά τα προϊόντα με ψηφιακά στοιχεία.
Παρόλο που τα προϊόντα υλικού και λογισμικού υπόκεινται σε ολοένα και περισσότερες κυβερνοεπιθέσεις, με το κόστος αυτών των επιθέσεων να αποτιμάται σε τρισεκατομμύρια ευρώ, δεν καλύπτονται από νομοθεσία για την κυβερνοασφάλειά τους
Συμπερασματικά
Η πορεία προς ένα ενιαίο και συνεκτικό πλαίσιο κυβερνοασφάλειας, που θα καλύπτει όλες τις πτυχές των υπηρεσιών και των προϊόντων στην ΕΕ, έχει ξεκινήσει εδώ και καιρό, όμως η υλοποίησή του αποτελεί μια μακρά διαδικασία που απαιτεί την υιοθέτηση διαφόρων και πολύπλευρων νομοθετημάτων. Το σίγουρο είναι πως, όταν αυτό συμβεί, τα οφέλη θα είναι προφανή για όλους τους εμπλεκόμενους φορείς. Με την αντιμετώπιση των κυβερνοεπιθέσεων μέσω της συμμόρφωσης στο σύνολο των κανόνων κυβερνοασφάλειας, όχι μόνο θα μειωθεί το κόστος χειρισμού τους, αλλά και θα διαφυλαχθεί η φήμη των επιχειρήσεων και θα αυξηθεί η εμπιστοσύνη των καταναλωτών, με τα οφέλη να αντικατοπτρίζονται σε όλες τις πτυχές της οικονομικής ζωής καθώς και στην προάσπιση των θεμελιωδών δικαιωμάτων, όπως η προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής.
- Ποια είναι τα κυριότερα σημεία που θα πρέπει τα επόμενα χρόνια να προσέξει μια δικηγορική εταιρεία για τη συμμόρφωσή της με το αυστηρό πλαίσιο για την κυβερνοασφάλεια που θέτει η Οδηγία NIS 2;
Ο σχεδιασμός για τη συμμόρφωση με την οδηγία NIS 2 πρέπει να ξεκινήσει άμεσα από όλες τις οντότητες που μπορεί να εμπίπτουν στο πεδίο εφαρμογής της. Ακόμα και για μικρότερες δικηγορικές εταιρείες, οι οποίες μπορεί να μην εμπίπτουν αυστηρά στο πεδίο εφαρμογής της, όλη αυτή η διαδικασία αποτελεί μια ευκαιρία να θωρακίσουν της άμυνές τους, έτσι ώστε να παραμείνουν ανταγωνιστικές. Το θέμα της κυβερνοασφάλειας, με επιθέσεις να λαμβάνουν χώρα κάθε 10-40 δευτερόλεπτα, πρέπει να απασχολήσει το ΔΣ, ακόμα και αν μια δικηγορική εταιρεία δεν εμπίπτει στο πεδίο εφαρμογής της Οδηγίας. Τρία είναι τα σημαντικά βήματα που πρέπει άμεσα να κάνει μια δικηγορική εταιρεία: Να ενημερωθεί για την Οδηγία και να βεβαιωθεί κατά πόσον εμπίπτει ή όχι στο πεδίο εφαρμογής. Ανεξαρτήτως αποτελέσματος θα πρέπει να περάσει ένα αρχικό assessment, έτσι ώστε να αξιολογήσει και να κατηγοριοποιήσει τα ρίσκα της. Τέλος, να θεσπίσει μια στρατηγική υλοποίησης ενεργειών, με σκοπό την καλύτερη θωράκιση και κατ’ επέκταση την συμμόρφωση με τη NIS 2.
Η NIS 2 συνιστά ακόμα μια νομοθετική πρωτοβουλία της ΕΕ στην κυβερνοασφάλεια, με στόχο την επίτευξη ενός υψηλού και ενιαίου επιπέδου κυβερνοασφάλειας/κυβερνοανθεκτικότητας στις κρίσιμες υποδομές/υπηρεσίες της Ένωσης. Οι δικηγορικές εταιρείες δεν εμπίπτουν άμεσα στο πεδίο εφαρμογής της Οδηγίας, καθώς δεν συμπεριλαμβάνονται στον κατάλογο οντοτήτων υψηλής κρισιμότητας που φέρουν υποχρέωση συμμόρφωσης με τις απαιτήσεις της Οδηγίας. Ωστόσο, μια δικηγορική εταιρεία δύναται να έχει έμμεση υποχρέωση συμμόρφωσης, ως απόρροια των υπηρεσιών που παρέχει σε οντότητες υψηλής κρισιμότητας, αποτελώντας μέρος της αλυσίδας εφοδιασμού των εν λόγω οργανισμών. Πρόκειται για έναν κίνδυνο, στον οποίο κάνει ιδιαίτερη μνεία η Οδηγία (Supply Chain Security).
Στο πλαίσιο αυτό, οι δικηγορικές εταιρείες οφείλουν να διασφαλίζουν την υλοποίηση και συνεχή αξιολόγηση της αποτελεσματικής εφαρμογής κατάλληλων οργανωτικών και τεχνικών μέτρων αναγνώρισης και διαχείρισης κινδύνων ασφάλειας πληροφοριών. Τέλος, πρέπει να επισημάνουμε ότι κάθε δικηγορική εταιρεία οφείλει να παραμένει επαρκώς ενημερωμένη αναφορικά με τις απαιτήσεις της Οδηγίας, ώστε να μπορεί να παρέχει εξειδικευμένες νομικές συμβουλές και καθοδήγηση στους πελάτες της, οι οποίοι φέρουν την υποχρέωση συμμόρφωσης με την Οδηγία.
- Ποια είναι τα κυριότερα σημεία της Οδηγίας NIS 2 που πρέπει να προσέξουν οι επιχειρήσεις, ιδιαίτερα σε κομβικής σημασίας κλάδους, όπως αυτός των τραπεζικών συστημάτων;
Σημαντικές αλλαγές στη λειτουργία των επιχειρήσεων επιφέρει η νέα Οδηγία ΝΙS 2, η οποία στοχεύει στη λήψη κατάλληλων μέτρων για τη διαχείριση των κινδύνων εκ μέρους τους, στην ασφάλεια του δικτύου και των συστημάτων πληροφοριών τους και στην πρόληψη συμβάντων ή τον μετριασμό των επιπτώσεων συμβάντων στους αποδέκτες των υπηρεσιών τους. Παράλληλα, επεκτείνονται και εξειδικεύονται οι ευθύνες της Διοίκησης για ασφάλεια στον κυβερνοχώρο, η οποία μάλιστα τελικά αναλαμβάνει την ευθύνη σε περίπτωση μη συμμόρφωσης του Οργανισμού. Σε περιπτώσεις μη συμμόρφωσης τα πρόστιμα διαμορφώνονται έως και €10.000.000 ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού.
Με την NIS 2 θεσπίζεται και το «EU-CyCLONe», το ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για τις κρίσεις στον κυβερνοχώρο, το οποίο διαχειρίζεται συντονισμένα τα περιστατικά μεγάλης κλίμακος και το οποίο συνεργάζεται επί των διαδικαστικών ρυθμίσεων με το εκάστοτε εθνικό δίκτυο «CSIRT». Κλείνοντας, ας μην ξεχνάμε ότι για τον χρηματοοικονομικό τομέα δημοσιεύτηκε πρόσφατα η DORA που είναι lex specialis σε σχέση με την NIS 2.
- Ποια είναι τα κυριότερα σημεία της Οδηγίας NIS 2 που πρέπει να προσέξουν οι επιχειρήσεις, ιδιαίτερα σε ευαίσθητους σε κλάδους, όπως αυτός της υγείας;
Γεωργία Ζάβρα Διευθύντρια Νομικής Υπηρεσίας, Όμιλος Ευρωκλινικής: Η ενίσχυση της κυβερνοασφάλειας συστημάτων δικτύου και πληροφοριών των δημόσιων και ιδιωτικών οντοτήτων, που καθορίζονται από το πεδίο εφαρμογής της NIS 2, επιχειρείται με την αρχή της λογοδοσίας και την αυξημένη εποπτεία τους. Με την ενσωμάτωσή της Οδηγίας, οι επιχειρήσεις καλούνται να αποδείξουν την ανθεκτικότητά τους σε επίπεδο κυβερνοασφάλειας, την ικανότητά τους δηλαδή να προλαμβάνουν, αντιδρούν, μετριάζουν και ανακάμπτουν από περιστατικά και κινδύνους. Οι επιχειρήσεις του τομέα της υγείας εμπίπτουν στο πεδίο εφαρμογής της Οδηγίας, ανεξαρτήτως μεγέθους, καθώς θεωρούνται κρίσιμες οντότητες από την Οδηγία 2022/2557. Η νομοθετική αυτή επιλογή ένταξης δικαιολογείται από την εκτίμηση του αντικτύπου τυχόν διατάραξης της παρεχόμενης υπηρεσίας τους, στη δημόσια υγεία, στην πρόκληση συστημικού κινδύνου στο κράτος-μέλος, αλλά και διασυνοριακής επίπτωσης.
Τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας του άρθρου 21 δεν είναι καινοφανή, καθώς απασχόλησαν τον κλάδο υγείας και υπό το πρίσμα της συμμόρφωσης με το GDPR, αφού ειδικά στον τομέα υγείας ένα περιστατικό ασφαλείας έχει αυξημένη πιθανότητα να θέσει υπό διακύβευση και προστατευόμενα προσωπικά δεδομένα. Στην κατεύθυνση αυτή, οι συστάσεις και βέλτιστες πρακτικές του ENISA, που αναδεικνύεται σε κομβικό ευρωπαϊκό όργανο για την εποπτεία υπό τη νέα Οδηγία, χρήζουν σε μεγάλο βαθμό αξιοποίησης για τη διαμόρφωση επίκαιρων πρακτικών κυβερνοϋγιεινής και ασφάλειας στους οργανισμούς, ιδίως κατά το χειρισμό περιστατικών, ενώ αναντίρρητη είναι πλέον και η ανάγκη προσφυγής σε συστήματα πιστοποίησης ως εργαλεία συμμόρφωσης.