Με εμβληματικά νομοθετήματα που σύντομα θα ξεκινήσουν να εφαρμόζονται στην ΕΕ, η κυβερνοασφάλεια και η ψηφιακή επιχειρησιακή ανθεκτικότητα θα αποτελέσουν τους πρωταγωνιστές στη χάραξη της εθνικής και της ευρωπαϊκής στρατηγικής τα επόμενα χρόνια.
Tο τελευταίο διάστημα παρατηρείται μεγάλη κινητικότητα τόσο σε ευρωπαϊκό όσο και σε εθνικό επίπεδο στις νομοθετικές προσπάθειες ενίσχυσης της κυβερνοασφάλειας και της κυβερνοανθεκτικότητας για τις επιχειρήσεις, στο πλαίσιο του ψηφιακού μετασχηματισμού της οικονομίας.
Με δεδομένο ότι οι επιχειρήσεις στην Ευρώπη και ειδικότερα στην Ελλάδα έχουν μεγάλη έκθεση σε κυβερνοεπιθέσεις, γίνεται σαφές ότι η στρατηγική για την κυβερνοασφάλεια είναι μια διαδικασία που πρέπει συνεχώς να ανανεώνεται και να διευρύνεται, έτσι ώστε να αντιμετωπίσει τις ολοένα και σπουδαιότερες και απειλητικότερες προκλήσεις. Όπως αναφέρει ο Αντώνης Μπρούμας, Επικεφαλής Τμήματος Ψηφιακού Δικαίου, Platis Anastassiadis & Associates Law Partnership – EY Law, «σύμφωνα με την ετήσια έκθεση Global Risk Report 2023 του Παγκόσμιου Οικονομικού Φόρουμ, οι κυβερνοεπιθέσεις συνιστούν πλέον έναν από τους πέντε σημαντικότερους κινδύνους σε παγκόσμιο επίπεδο για τον σύγχρονο κόσμο».
Υπό αυτό το πρίσμα, το εθνικό νομοθετικό πλαίσιο και ακόμα ευρύτερα τα νομοθετήματα της ΕΕ προς την κατεύθυνση της κυβερνοασφάλειας επιδιώκουν τη δημιουργία ενός σύγχρονου και ασφαλούς ψηφιακού περιβάλλοντος για πολίτες και οικονομικούς φορείς.
Η Εθνική Στρατηγική για την Κυβερνοασφάλεια
Η Εθνική Στρατηγική για την Κυβερνοασφάλεια 2020-2025, η οποία δημοσιεύθηκε από την Εθνική Αρχή Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης, βασίστηκε εξαρχής σε τέσσερις θεμελιώδεις αρχές, οι οποίες καλύπτουν όλο το φάσμα των δραστηριοτήτων και των απαιτήσεων του κυβερνοχώρου. Πρώτον, στην ανάπτυξη και την εδραίωση ενός ασφαλούς και ανθεκτικού κυβερνοχώρου. Δεύτερον, στη συνεχή βελτίωση της προστασίας απέναντι στις κυβερνοεπιθέσεις, ειδικά στις κρίσιμες υποδομές και όσον αφορά τη διασφάλιση της επιχειρησιακής συνέχειας. Τρίτον, στη θεσμική θωράκιση του εθνικού πλαισίου για την αποτελεσματική αντιμετώπιση των κυβερνοεπιθέσεων και την ελαχιστοποίηση των επιπτώσεών τους. Τέταρτον, στην ανάπτυξη ισχυρής κουλτούρας ασφάλειας των πολιτών, του δημόσιου και ιδιωτικού τομέα.
Πρόκειται για μια ολοκληρωμένη στρατηγική, η οποία πέρα από την ενίσχυση του υφιστάμενου θεσμικού και νομοθετικού πλαισίου για την κυβερνοασφάλεια στοχεύει και στην προαγωγή της ενημέρωσης και ευαισθητοποίησης, στην επαύξηση της ετοιμότητας των φορέων απέναντι σε συμβάντα κυβερνοασφάλειας καθώς και την προετοιμασία των μελλοντικών στελεχών μέσω σύγχρονων μεθόδων και εργαλείων κατάρτισης.
Σε αυτό το πλαίσιο, ψηφίστηκε πρόσφατα ο ν. 5086/2024, ο οποίος εκσυγχρόνισε και ενίσχυσε τον ρόλο της Εθνικής Αρχής Κυβερνοασφάλειας, θέτοντάς την στο επίκεντρο της υλοποίησης της Εθνικής Στρατηγικής για την Κυβερνοασφάλεια και της γραμμής άμυνας έναντι των κυβερνοεπιθέσεων. Η αρμόδια αρχή καθίσταται πλέον νομικό πρόσωπο δημοσίου δικαίου και επομένως θα είναι οργανικά ανεξάρτητη, ως μετεξέλιξη της προηγούμενης Γενικής Διεύθυνσης Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης.
Αυτή η μετεξέλιξη και αναβάθμιση αποτυπώνεται στη διοίκηση της Αρχής από ανεξάρτητο διοικητή και τη διάρθρωσή της σε δύο Γενικές Διευθύνσεις, μία επιτελικού σχεδιασμού και μία επιχειρησιακή. Παράλληλα, αυξάνεται ο αριθμός των οργανικών θέσεων (από 50 σε 155) με έμφαση στη διαχείριση του ανθρώπινου δυναμικού με προσωπικό υψηλής εξειδίκευσης.
Ωστόσο, παρά την αναβάθμιση των εποπτικών και κυρωτικών αρμοδιοτήτων της Εθνικής Αρχής Κυβερνοασφάλειας, υπάρχουν και ορισμένες αδυναμίες στον νέο νόμο, όπως τις παρουσιάζει ο Α. Μπρούμας: «Οι διατάξεις του νέου νόμου χρήζουν βελτίωσης ως προς τα ακόλουθα σημεία: (α) τη ρητή θέσπιση της Αρχής ως ανεξάρτητης διοικητικής αρχής με πλήρη διοικητική και οικονομική αυτοτέλεια, (β) την προσωπική και λειτουργική ανεξαρτησία του διοικητή της και τη δέσμευσή του μόνο από το νόμο και τη συνείδησή του, (γ) την ουσιαστική οικονομική αυτοτέλεια της Αρχής με τη διασφάλιση σταθερών χρηματοροών και προσωπικού ανάλογων με τις αρμοδιότητές της, (δ) τη διευθέτηση ζητημάτων με αρμοδιότητες της Αρχής, που συμπλέκονται με αρμοδιότητες άλλων διοικητικών αρχών, και (ε) την ενίσχυση των κυρωτικών της αρμοδιοτήτων».
Η ενίσχυση της θεσμικής θωράκισης της χώρας έναντι των κυβερνοαπειλών, όπως αποτυπώνεται στον εν λόγω νόμο αλλά και όπως αποτελεί μια ευρύτερη στοχοθεσία του Υπουργείου Ψηφιακής Διακυβέρνησης, καθίσταται επιτακτική όχι μόνο λόγω των συνεχώς αυξανόμενων εθνικών αναγκών, αλλά και λόγω των δεσμεύσεων της χώρας στην ευρωπαϊκή νομοθεσία.
Ο ν. 5086/2024 εκσυγχρονίζει και ενισχύει τον ρόλο της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία μετεξελίσσεται από Γενική Διεύθυνση σε ν.π.δ.δ.
Η Οδηγία NIS2, όπως θα εκτεθεί στη συνέχεια, θα αυξήσει κατακόρυφα τον αριθμό των εποπτευόμενων φορέων από 70 σε περίπου 2.000, καθώς στο πεδίο της περιλαμβάνονται πέρα από τις κρίσιμες υποδομές, όπως η ενέργεια, οι ψηφιακές υποδομές και ο τραπεζικός τομέας, και άλλοι τομείς, όπως η δημόσια διοίκηση, οι ταχυμεταφορές, η παρασκευή, παραγωγή και διανομή χημικών προϊόντων, καθώς και η παραγωγή και μεταποίηση τροφίμων.
Συνεπώς, το ζητούμενο είναι να υπάρξει επαρκής συντονισμός των εθνικών ενεργειών με τις ευρωπαϊκές εξελίξεις, έτσι ώστε να δημιουργηθεί και να εφαρμοστεί ένα συνεκτικό πλαίσιο, τόσο σε ρυθμιστικό όσο και σε διαχειριστικό/τεχνικό επίπεδο που θα δημιουργεί εμπιστοσύνη στους πολίτες και τις επιχειρήσεις, ενώ παράλληλα θα προάγει τις επενδύσεις στον τομέα των ψηφιακών υπηρεσιών.
Ο Κανονισμός DORA για την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα
Η ανάπτυξη της τεχνολογίας στον χρηματοπιστωτικό τομέα είναι πραγματικότητα αλλά και φιλοδοξία στον ευρωπαϊκό χώρο, όμως η ψηφιοποίησή του έχει αυξήσει σημαντικά τους κινδύνους ασφαλείας. Προκειμένου οι κίνδυνοι αυτοί να προληφθούν και να μετριαστούν, έχουν εκδοθεί σημαντικές νομοθετικές πράξεις, εκ των οποίων η κυριότερη είναι ο Κανονισμός DORA (Digital Operational Resilience Act). Ο Κανονισμός 2022/2554 τέθηκε σε ισχύ στις 17 Ιανουαρίου 2023 και θα εφαρμόζεται από τις 25 Ιανουαρίου 2025, αλλάζοντας δραστικά το πεδίο της επιχειρησιακής ανθεκτικότητας και της διαχείρισης των κινδύνων της Τεχνολογίας, Πληροφοριών και Επικοινωνιών (ΤΠΕ).
Αυτό που καθιστά τον Κανονισμό DORA καινοτόμο είναι ότι μέχρι σήμερα η ΕΕ δεν είχε ρυθμίσει τη διαχείριση κινδύνων ΤΠΕ στον χρηματοπιστωτικό τομέα σε επίπεδο κανονισμού, αλλά το είχε κάνει με πιο γενικές οδηγίες, κατευθυντήριες γραμμές και πρότυπα. Αυτό είχε ως αποτέλεσμα τα διάφορα κράτη-μέλη να ρυθμίζουν τους κινδύνους ΤΠΕ με διαφορετικό τρόπο, έχοντας διαφορετικές απαιτήσεις και διαφορετικό πεδίο εφαρμογής. Αντίθετα, ο Κανονισμός DORA θεσπίζει λεπτομερείς και ολοκληρωμένες απαιτήσεις για τη συντριπτική πλειονότητα των χρηματοπιστωτικών ιδρυμάτων στην ΕΕ, απαιτήσεις οι οποίες θα έχουν άμεση και ενιαία εφαρμογή, εφόσον πρόκειται για κανονισμό. Επιπλέον, παρέχει πρόσθετα τεχνικά πρότυπα, τα οποία τα χρηματοπιστωτικά ιδρύματα πρέπει να εφαρμόζουν κατά την εφαρμογή του κανονισμού, οπότε επιτυγχάνεται εναρμόνιση των απαιτήσεων και της εφαρμογής τους σε όλα τα κράτη-μέλη.
Αυτό που καθιστά τον Κανονισμό DORA καινοτόμο είναι ότι εναρμονίζει τη διαχείριση κινδύνων ΤΠΕ σε όλο τον χρηματοπιστωτικό τομέα όλων των κρατών-μελών
Πεδίο εφαρμογής
Ο Κανονισμός DORA εφαρμόζεται στις περισσότερες εταιρείες του χρηματοπιστωτικού τομέα, συμπεριλαμβανομένων των πιστωτικών ιδρυμάτων, των ιδρυμάτων πληρωμών, των ιδρυμάτων ηλεκτρονικού χρήματος, των επιχειρήσεων επενδύσεων, των παρόχων υπηρεσιών κρυπτογραφικών περιουσιακών στοιχείων, των κεντρικών αποθετηρίων τίτλων, καθώς και των ασφαλιστικών επιχειρήσεων και διαμεσολαβητών.
Καθώς, όπως αναφέρει η Κική Τσουρού, Υπεύθυνη Προστασίας Δεδομένων, ΤΕΙΡΕΣΙΑΣ ΤΡΑΠΕΖΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΩΝ Α.Ε., καθορίζει ενιαίες απαιτήσεις τόσο για τις εταιρείες του χρηματοπιστωτικού τομέα όσο και τους τρίτους παρόχους υπηρεσιών ΤΠΕ, ανέκυψε το ερώτημα ποιοι είναι αυτοί οι τρίτοι πάροχοι και αν τα γραφεία πίστης εντάσσονται σε αυτούς. «Τα ευρωπαϊκά γραφεία πίστης δεν αναφέρονται ρητά στο πεδίο εφαρμογής του DORA (άρθρο 2) και αυτό οφείλεται προφανώς στο ότι οι δραστηριότητές τους δεν ενέχουν παρόμοιους κινδύνους με εκείνους του χρηματοπιστωτικού τομέα. Ο προβληματισμός υπήρξε έντονος αναφορικά με το ποιοι θεωρούνται τέτοιοι τρίτοι πάροχοι υπηρεσιών ΤΠΕ και μάλιστα ποιος τους καθορίζει. Στο πλαίσιο αυτό, τον Σεπτέμβριο 2023, ο ESA (The European Supervisory Authorities) δημοσίευσε Έκθεση σχετικά με τους τρίτους παρόχους ΤΠΕ στην Ευρωπαϊκή Ένωση δημοσιεύοντας σχετικό κατάλογο. Ειδικότερα, έρευνα που διεξήγαγε μεταξύ 1000 χρηματοοικονομικών οντοτήτων ανέδειξε ότι εντοπίζονται 19 τύποι διαφορετικών υπηρεσιών, συμπεριλαμβανομένων των υπηρεσιών δεδομένων. Έτσι, αν και τα γραφεία πίστης δεν συγκαταλέγονται ρητά στον κατάλογο των τρίτων παρόχων ΤΠΕ, η κρατούσα σήμερα γνώμη υποστηρίζει ότι εντάσσονται σε αυτούς μέσω των υπηρεσιών που προσφέρουν, καθώς ο ίδιος ο Κανονισμός (αιτιολογική σκέψη 35) επιτάσσει διασταλτική ερμηνεία των υπηρεσιών» περιγράφει η ίδια.
Βασικές απαιτήσεις
Ο Κανονισμός θέτει συγκεκριμένες υποχρεώσεις στις υπόχρεες οντότητες, υποχρεώσεις που εμπίπτουν σε τέσσερις κατηγορίες και στοχεύουν στην αύξηση της ψηφιακής ανθεκτικότητας των επιχειρήσεων και τον μετριασμό των συναφών κινδύνων.
Αρχικά, αναφορικά με τις απαιτήσεις για τη διαχείριση κινδύνων ΤΠΕ, τα χρηματοπιστωτικά ιδρύματα θα πρέπει:
- να δημιουργούν και να διατηρούν ανθεκτικά συστήματα που ελαχιστοποιούν τις επιπτώσεις των κινδύνων ΤΠΕ
- να διασφαλίζουν τον εντοπισμό όλων των πηγών κινδύνων ΤΠΕ για τη θέσπιση σχετικών μέτρων προστασίας και πρόληψης
- να θέσουν σε εφαρμογή πολιτικές επιχειρησιακής συνέχειας και σχέδια ανάκαμψης από κυβερνοεπιθέσεις
- να θέσουν σε εφαρμογή μηχανισμούς που τους επιτρέπουν να μαθαίνουν από περιστατικά που συμβαίνουν εντός ή εκτός της εταιρείας.
Κατά δεύτερον, σχετικά με τις απαιτήσεις για την αναφορά περιστατικών ΤΠΕ, τα χρηματοπιστωτικά ιδρύματα πρέπει να θεσπίσουν σχετικά συστήματα και διαδικασίες για την παρακολούθηση, τον εντοπισμό και την καταγραφή περιστατικών ΤΠΕ ανάλογα με την ταξινόμησή τους. Παράλληλα, τίθεται υποχρέωση αναφοράς τέτοιων περιστατικών στις αρμόδιες εποπτικές αρχές με λεπτομέρειες σχετικά με τον αντίκτυπο του συμβάντος, τα βαθύτερα αίτια και τα διορθωτικά μέτρα που ελήφθησαν.
Τρίτον, αναφορικά με τις απαιτήσεις για τις δοκιμές ψηφιακής επιχειρησιακής ανθεκτικότητας, ο Κανονισμός προβλέπει την υποχρέωση διενέργειας τακτικών δοκιμών για την αξιολόγηση της ετοιμότητας του χρηματοπιστωτικού ιδρύματος για συμβάντα που σχετίζονται με ΤΠΕ και την άμεση αντιμετώπιση των ελλείψεων που εντοπίζονται κατά τη διάρκεια των δοκιμών ή την εφαρμογή σχετικών διορθωτικών μέτρων για τον μετριασμό τους.
Τέλος, οι απαιτήσεις για τη χρήση τρίτων παρόχων υπηρεσιών ΤΠΕ επιβάλλουν στα χρηματοπιστωτικά ιδρύματα:
- να θέσουν σε εφαρμογή στρατηγικές για τη διαχείριση των κινδύνων που συνδέονται με τη χρήση τρίτων παρόχων υπηρεσιών ΤΠΕ.
- να τηρούν μητρώο των παρόχων.
- να αναφέρουν στις αρμόδιες αρχές με ποιους παρόχους συνεργάζονται.
- να διενεργούν ολοκληρωμένες αξιολογήσεις και ελέγχους πριν και μετά τη σύναψη συμφωνιών μαζί τους.
- να θέσουν σε εφαρμογή στρατηγικές εξόδου για τρίτους παρόχους υπηρεσιών.
Συνέπειες
Αν και οι απαιτήσεις για τα συστήματα ΤΠΕ και την κυβερνοασφάλεια είναι κοινές εδώ και χρόνια και σε όλα τα κράτη-μέλη, οι υποχρεώσεις δεν ήταν εναρμονισμένες, κάτι που δημιουργούσε προβλήματα στον χρηματοπιστωτικό τομέα της ΕΕ. Αυτό το πρόβλημα θα αντιμετωπιστεί αποτελεσματικά με τον Κανονισμό DORA, ωστόσο είναι αδιαμφισβήτητο ότι το γραφειοκρατικό βάρος για τα μικρότερα χρηματοπιστωτικά ιδρύματα θα είναι σημαντικό. Κατά τη Δήμητρα Γιαννούλα, Δικηγόρο, Προϊστάμενο Τμήματος Συμβάσεων & Νομικής Υποστήριξης Structured Finance & Shipping της Διεύθυνσης Νομικών Υπηρεσιών της Eurobank A.E., «οι οντότητες του χρηματοπιστωτικού τομέα που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού θα πρέπει να εκτιμήσουν εγκαίρως και καταλλήλως τους πόρους, τις δεξιότητες, τα εργαλεία και τα έξοδα που απαιτούνται, για να διασφαλίσουν τη συμμόρφωσή τους με τις απαιτήσεις του Κανονισμού DORA, κάτι όμως το οποίο καθίσταται ιδιαίτερα δυσχερές.»
Επιπλέον, ο Κανονισμός θα ρυθμίσει διεξοδικά τις συμβατικές σχέσεις των χρηματοπιστωτικών ιδρυμάτων με τρίτους παρόχους υπηρεσιών ΤΠΕ, τόσο πριν όσο και μετά τη σύναψη της σύμβασης. Οι εν λόγω πάροχοι θα πρέπει να προετοιμαστούν, ώστε να υπαχθούν στην εποπτεία της αρμόδιας αρχής που εποπτεύει το χρηματοπιστωτικό ίδρυμα και να συνεργαστούν πλήρως με την εν λόγω αρχή. Αυτό με τη σειρά του σημαίνει ότι οι τρίτοι πάροχοι υπηρεσιών ΤΠΕ πρέπει να συμμορφώσουν τις παρεχόμενες υπηρεσίες τους στο ρυθμιστικό πλαίσιο του Κανονισμού DORA, κάτι που προφανώς θα έχει και για αυτές τις εταιρείες πρόσθετο διοικητικό βάρος.
Όπως εξηγεί ο Κωνσταντίνος Κασμάς, Head of Legal, Nexi Greece, πέντε είναι οι κυριότερες προκλήσεις που θα έχουν να αντιμετωπίσουν τα χρηματοπιστωτικά ιδρύματα κατά τη συμμόρφωση με τον Κανονισμό: «Η εφαρμογή του παρουσιάζει αρκετές προκλήσεις και δυσκολίες για τα πιστωτικά και χρηματοπιστωτικά ιδρύματα. Πρώτον, η συμμόρφωση με τον DORA απαιτεί σημαντικές επενδύσεις για την αναβάθμιση των υφιστάμενων υποδομών και συστημάτων πληροφορικής, ώστε να πληρούν τα αυστηρά πρότυπα κυβερνοασφάλειας και λειτουργικής ανθεκτικότητας που ορίζει ο Κανονισμός. Αυτό συνεπάγεται σημαντικό οικονομικό κόστος και διάθεση πόρων. Δεύτερον, η διασφάλιση της διαλειτουργικότητας με άλλα κανονιστικά πλαίσια, όπως ο ΓΚΠΔ και η PSD2, προσθέτει πολυπλοκότητα στις προσπάθειες συμμόρφωσης, καθώς τα ιδρύματα πρέπει να περιηγηθούν στις επικαλυπτόμενες απαιτήσεις και να διασφαλίσουν τη συνοχή μεταξύ των κανονισμών. Επιπλέον, ο ταχύς ρυθμός των τεχνολογικών εξελίξεων και η εισαγωγή υπηρεσιών νέφους (SaaS, IaaS και PaaS) εισάγουν αβεβαιότητα όσον αφορά τη μελλοντική διασφάλιση των μέτρων συμμόρφωσης. Περαιτέρω, η απαίτηση για συνεχή παρακολούθηση και υποβολή εκθέσεων σχετικά με τη λειτουργική ανθεκτικότητα δημιουργεί υλικοτεχνικές προκλήσεις όσον αφορά τη διαχείριση και τη διακυβέρνηση δεδομένων. Τέλος, η διαχείριση των εξαρτήσεων από τρίτους και των ρυθμίσεων εξωτερικής ανάθεσης με παράλληλη τήρηση των απαιτήσεων του DORA για εποπτεία και λογοδοσία παρουσιάζει ένα ακόμη επίπεδο δυσκολίας για τα ιδρύματα.»
Στα προβλήματα της αλληλοεπικάλυψης της νομοθεσίας και της εξάρτησης από τρίτα πρόσωπα εστιάζει και η Δ. Γιαννούλα: «Η συμμόρφωση με τον Κανονισμό καθίσταται δυσχερής εξαιτίας της έλλειψης εξειδικευμένων επαγγελματιών, της ταχύτατης εξέλιξης της τεχνολογίας και των συχνά αντικρουόμενων ή αλληλεπικαλυπτόμενων απαιτήσεων του κανονιστικού πλαισίου. Επιπρόσθετα, η αυξανόμενη εξάρτηση των οντοτήτων του χρηματοπιστωτικού τομέα από τρίτα πρόσωπα για την αποτελεσματική υιοθέτηση των νέων τεχνολογιών ενέχει τον κίνδυνο μη συμμόρφωσης των εν λόγω οντοτήτων με τις απαιτήσεις του Κανονισμού DORA κυρίως σε περίπτωση μη υιοθέτησης από τις εν λόγω οντότητες των κατάλληλων μηχανισμών παρακολούθησης και διαχείρισης των προσώπων αυτών».
Ωστόσο, είναι αδιαμφισβήτητο ότι τα πλεονεκτήματα της εναρμόνισης του ρυθμιστικού πλαισίου για την ψηφιακή επιχειρησιακή ανθεκτικότητα θα υπερκεράσουν τα μειονεκτήματα που συνεπάγεται αυτή η γραφειοκρατία, αφού μάλιστα σε ορισμένες περιπτώσεις θα μειώσουν και αυτή την ίδια. Πρόκειται για οφέλη, τα οποία θα αγγίξουν ιδιαίτερα τα μικρά και μεσαία χρηματοπιστωτικά ιδρύματα, όπως επισημαίνει η Αναστασία Πετσινάρη, Νομική Σύμβουλος – General Counsel, Επικεφαλής Νομικών Υπηρεσιών και Εταιρικής Διακυβέρνησης Optima bank: «Σημαντικά οφέλη από τον Κανονισμό DORA αναμένονται για τις μικρές και μεσαίες τράπεζες, οι οποίες για την ψηφιοποίηση των δραστηριοτήτων τους βασίζονται κυρίως σε υπηρεσίες cloud που τους επιτρέπουν να αξιοποιούν τεράστιες υπολογιστικές δυνατότητες χωρίς μεγάλη επένδυση κεφαλαίων σε ακριβές υποδομές. Η κεντροποιημένη εποπτεία παρόχων υπηρεσιών cloud σε συνδυασμό με μια συνεπή και τυποποιημένη διαδικασία αναφοράς συμβάντων που προβλέπει ο Κανονισμός DORA θα διευκολύνει τις τράπεζες στην υποχρέωση παρακολούθησης και ελέγχου κινδύνων ΤΠΕ που προκύπτουν από σχέση εξωτερικής ανάθεσης, μειώνοντας παράλληλα και τον διοικητικό φόρτο».
Η Οδηγία NIS 2 για την ασφάλεια στον κυβερνοχώρο
Η Οδηγία 2022/2555 της ΕΕ (Οδηγία NIS 2) τέθηκε σε ισχύ στις 14 Δεκεμβρίου 2022 και αφορά μέτρα για τη διασφάλιση ενός ενιαίου επιπέδου ασφάλειας στον κυβερνοχώρο στην EE. Η Οδηγία, η οποία θα πρέπει να έχει ενσωματωθεί στην εσωτερική νομοθεσία των κρατών-μελών μέχρι τις 17 Οκτωβρίου 2024 και προς το παρόν δεν έχει μεταφερθεί στο ελληνικό δίκαιο, επικαιροποιεί τη σχετική προηγούμενη Οδηγία NIS 1, συμπληρώνοντας και καλύπτοντας τα κενά της, ώστε να διασφαλίσει την ετοιμότητα των κρατών-μελών, απαιτώντας την κατάλληλη προετοιμασία τους, τη συνεργασία μεταξύ τους και τη γενικότερη κουλτούρα ασφάλειας σε όλους τους τομείς που είναι ζωτικής σημασίας για την οικονομία και την κοινωνία.
Πεδίο εφαρμογής
Η Οδηγία NIS2 διευρύνει σημαντικά το πεδίο εφαρμογής των μέτρων κυβερνοασφάλειας σε σχέση με την προϋφιστάμενη νομοθεσία. Έτσι, από τους επτά τομείς εφαρμογής (ενέργεια, μεταφορές, τραπεζικές υπηρεσίες, υποδομές των χρηματοπιστωτικών αγορών, πόσιμο νερό, υγειονομική περίθαλψη και ψηφιακές υποδομές), προστίθενται νέοι τομείς με βάση τον βαθμό ψηφιοποίησης και διασύνδεσής τους και το πόσο κρίσιμοι είναι για την οικονομία και την κοινωνία. Επιπλέον, περιλαμβάνει στο πεδίο εφαρμογής της όλες τις μεσαίου και μεγάλου μεγέθους εταιρείες, ενώ δίνει την ευχέρεια στα κράτη-μέλη να εφαρμόζουν την Οδηγία και σε μικρότερες οντότητες με υψηλό προφίλ κινδύνου ασφαλείας.
Απαιτήσεις
Η Οδηγία εισάγει απαιτήσεις, για τις οποίες στην Ελλάδα έχουν ήδη ληφθεί μέτρα εφαρμογής τους με τον προαναφερθέντα ν. 5086/2024, όπως η υιοθέτηση εθνικής στρατηγικής για την κυβερνοασφάλεια και ο ορισμός αρμόδιας εθνικής αρχής για την ασφάλεια στον κυβερνοχώρο.
Περαιτέρω, ενισχύει και εξορθολογίζει τις απαιτήσεις ασφάλειας και υποβολής εκθέσεων για τις εταιρείες, επιβάλλοντας μια προσέγγιση διαχείρισης κινδύνου, η οποία προβλέπει έναν ελάχιστο κατάλογο βασικών στοιχείων ασφάλειας που πρέπει να εφαρμόζονται, ενώ παράλληλα εισάγει ακριβέστερες διατάξεις σχετικά με τη διαδικασία αναφοράς περιστατικών, το περιεχόμενο των αναφορών και τα χρονοδιαγράμματα.
Αναφορικά με το ζήτημα της ασφάλειας των αλυσίδων εφοδιασμού και των σχέσεων με τους προμηθευτές, απαιτείται από τις εταιρείες να αντιμετωπίζουν τους κινδύνους κυβερνοασφάλειας στις αλυσίδες εφοδιασμού και στις σχέσεις με τους προμηθευτές, ενώ τα κράτη-μέλη, σε συνεργασία με την Επιτροπή και τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών, πρέπει να διενεργούν συντονισμένες αξιολογήσεις κινδύνων ασφαλείας για κρίσιμες αλυσίδες εφοδιασμού.
Η Οδηγία NIS 2 διευρύνει σημαντικά το πεδίο εφαρμογής των μέτρων κυβερνοασφάλειας σε σχέση με την προϋφιστάμενη νομοθεσία
Σχετικά με την αναφορά περιστατικών, για να βρεθεί η σωστή ισορροπία μεταξύ της ανάγκης για ταχεία αναφορά, προκειμένου να αποφευχθεί η πιθανή εξάπλωση των επιθέσεων, και της ανάγκης για εμπεριστατωμένη αναφορά, προκειμένου να αντληθούν πολύτιμα διδάγματα, προβλέπεται μια προσέγγιση πολλαπλών σταδίων. Οι θιγόμενες εταιρείες έχουν στη διάθεσή τους 24 ώρες από τη στιγμή που αντιλαμβάνονται για πρώτη φορά ένα περιστατικό, για να υποβάλουν έγκαιρη προειδοποίηση στην αρμόδια εθνική αρχή, η οποία θα τους επιτρέπει επίσης να ζητήσουν βοήθεια (καθοδήγηση ή επιχειρησιακές συμβουλές για την εφαρμογή πιθανών μέτρων μετριασμού), εφόσον το ζητήσουν. Η έγκαιρη προειδοποίηση θα πρέπει να ακολουθείται από κοινοποίηση του συμβάντος εντός 72 ωρών από τη στιγμή που θα λάβουν γνώση του συμβάντος και από τελική έκθεση το αργότερο ένα μήνα μετά το συμβάν.
«Ήδη με την Εθνική Στρατηγική Κυβερνοασφάλειας 2020 – 2025, η Ελλάδα έθεσε την κυβερνοασφάλεια σε προτεραιότητα, ξεδιπλώνοντας έναν οδικό χάρτη ενεργειών για τη σχετική θωράκιση του εγχώριου δημόσιου και ιδιωτικού τομέα.
Έτσι, με τους Ν. 4961/2022 και 5002/2022 ενισχύθηκε το θεσμικό πλαίσιο της κυβερνοασφάλειας στη χώρα με την ανάδειξη της Εθνικής Αρχής Κυβερνοασφάλειας σε κομβικό ρόλο και τη σύσταση στο Υπουργείο Ψηφιακής Διακυβέρνησης θεσμών και λειτουργιών με αντικείμενο την αντιμετώπιση κυβερνοαπειλών σε όλη την Επικράτεια.
Με τον πρόσφατο Ν. 5086/2024, η Εθνική Αρχή Κυβερνοασφάλειας επανασυστήνεται με τη μορφή νομικού προσώπου δημοσίου δικαίου και αναβαθμίζεται ως προς τις εποπτικές και κυρωτικές της αρμοδιότητες.
Οι διατάξεις του νέου νόμου είναι αποφασιστικής σημασίας για την επιτυχημένη άσκηση από την Εθνική Αρχή Κυβερνοασφάλειας του εποπτικού της ρόλου.»
«Ο DORA καθορίζει ενιαίες απαιτήσεις για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των εταιρειών και οργανισμών που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, καθώς και των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ, όπως πλατφόρμες υπολογιστικού νέφους ή υπηρεσίες ανάλυσης δεδομένων κλπ, με στόχο την επίτευξη υψηλού κοινού επιπέδου ψηφιακής επιχειρησιακής ανθεκτικότητας του χρηματοπιστωτικού τομέα σε ολόκληρη την ΕE.
Η συμμόρφωση με τον Κανονισμό αναλύεται σε πέντε πυλώνες που καλύπτουν ποικίλες πτυχές της πληροφορικής και της κυβερνοασφάλειας, παρέχοντας στις χρηματοπιστωτικές επιχειρήσεις μια εμπεριστατωμένη βάση για την ψηφιακή ανθεκτικότητα.»
«Η αλματώδης ανάπτυξη χρήσης Τεχνολογιών Πληροφορικής κι Επικοινωνιών (ΤΠΕ) ανέδειξε και την ευαλωτότητα των συστημάτων και των λειτουργιών των χρηματοοικονομικών οντοτήτων έναντι ψηφιακών κινδύνων και κυβερνοαπειλών. Για την αντιμετώπιση αυτών των κινδύνων και απειλών που αποσκοπούν στην διατάραξη των λειτουργιών ΤΠΕ, η ΕΕ θέσπισε τον Κανονισμό DORΑ, ο οποίος αναμένεται να ενισχύσει σημαντικά την ψηφιακή επιχειρησιακή ανθεκτικότητα των χρηματοοικονομικών οντοτήτων, με στόχο τη διασφάλιση της συνέχισης κρίσιμων λειτουργιών και προστασίας περιουσιακών στοιχείων και άρα ενίσχυση της σταθερότητας και της εμπιστοσύνης του κοινού στον τραπεζικό κλάδο.»
«Ο Κανονισμός για τη Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA) καθορίζει ενιαίες απαιτήσεις για την ασφάλεια των συστημάτων δικτύου και πληροφοριών των εταιρειών και οργανισμών που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, καθώς και των κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ, όπως πλατφόρμες υπολογιστικού νέφους ή υπηρεσίες ανάλυσης δεδομένων, προκειμένου οι οντότητες αυτές να δύνανται να προλαμβάνουν και να μετριάζουν απειλές στον κυβερνοχώρο.»
«H πλοήγηση στο πολύπλευρο τοπίο της εφαρμογής του DORA απαιτεί στρατηγικό σχεδιασμό, κατανομή πόρων και προληπτική προσέγγιση στη διαχείριση των λειτουργικών κινδύνων.»