Οι επιχειρήσεις που αφορά ο νέος νόμος για την κυβερνοασφάλεια και οι κυρώσεις για μη συμμόρφωση

Όλοι οι οργανισμοί σε κρίσιμους τομείς καλούνται να λάβουν αυστηρά μέτρα προστασίας. Σε διαφορετική περίπτωση κινδυνεύουν με βαριά πρόστιμα και άλλες αυστηρές κυρώσεις.

Περισσότερες από 2.000 οντότητες του δημοσίου, αλλά και του ιδιωτικού τομέα αφορά το νέο νομοσχέδιο για την κυβερνοασφάλεια, το οποίο έρχεται να ενσωματώσει την ευρωπαϊκή οδηγία NIS2 στο εθνικό μας δίκαιο. Το νέο νομοσχέδιο, που αυτήν την περίοδο, βρίσκεται σε δημόσια διαβούλευση, αναμένεται να ψηφιστεί μέχρι το τέλος της χρονιάς και από τις αρχές του 2025 οι υπόχρεοι φορείς του δημοσίου και οι ιδιωτικές επιχειρήσεις καλούνται να έχουν λάβει τα απαραίτητα μέτρα για την προστασία τους.

Διευρύνεται το πεδίο εφαρμογής

Στόχος της νέας οδηγίας NIS2 είναι η ενίσχυση του νομοθετικού πλαισίου και της κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση για την καθιέρωση ενός υψηλού κοινού επιπέδου ασφάλειας για συστήματα δικτύων και πληροφοριών σε κρίσιμους τομείς. Σε σχέση με την αρχική οδηγία NIS (2016) διευρύνει το πεδίο εφαρμογής της και ενισχύει τις απαιτήσεις για την καλύτερη αντιμετώπιση των εξελισσόμενων απειλών στον κυβερνοχώρο. Ενδεικτικά και ως προς το πεδίο εφαρμογής, ενώ στην αρχική οδηγία, υπόχρεοι στην Ελλάδα ήταν περίπου 40 δημόσιοι και ιδιωτικοί φορείς, τώρα με τη νέα οδηγία οι υπόχρεες οντότητες εκτιμώνται σε περισσότεροι από 2.000, αφού η NIS2 αφορά όλες τις μεσαίες και μεγάλες επιχειρήσεις που δραστηριοποιούνται σε κρίσιμους τομείς.

Πρακτικά, “με τη NIS2 εντάσσονται κάτω από το ίδιο καθεστώς για τα μέτρα που πρέπει να λάβουν, όλες οι οντότητες που η διακοπή λειτουργίας τους δημιουργεί πρόβλημα στο κοινωνικό σύνολο” σημείωσε σε δηλώσεις του ο Μιχάλης Μπλέτσας, διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ).

Παραδείγματα τομέων που συμπεριλαμβάνονται στο πεδίο εφαρμογής
Τομείς υψηλής κρισιμότητας (υπάρχοντες) Παραδείγματα:	Για πρώτη φορά εισάγονται στο πεδίο εφαρμογής  μεταξύ άλλων:
– Υγεία – Ενέργεια – Μεταφορές – Τράπεζες – Υποδομές χρηματο/κών αγορών – Πόσιμο νερό – Ψηφιακές υποδομές	– Δημόσιος τομέας (Κεντρική Διοίκηση, Τοπική Αυτοδιοίκηση) – Διαχείριση Υπηρεσιών Τεχνολογίας, Πληροφορικής & Επικοινωνιών (ΤΠΕ) – Διάστημα  – Λύματα
Άλλοι κρίσιμοι τομείς (υπάρχοντες) Παραδείγματα:	Για πρώτη φορά  εισάγονται στο πεδίο εφαρμογής  μεταξύ άλλων:
– Ψηφιακοί πάροχοι	– Ταχυδρομικές υπηρεσίες  – Διαχείριση αποβλήτων – Τρόφιμα – Χημικά προϊόντα (παρασκευή, παραγωγή, διανομή)  – Κατασκευαστικός τομέας

Σύμφωνα με στελέχη της Εθνικής Αρχής η λίστα των υπόχρεων επιχειρήσεων περιλαμβάνει όλες όσες απασχολούν τουλάχιστον 50 άτομα. Στην ίδια λίστα θα ενταχθούν και μικρότερες επιχειρήσεις, με τζίρο άνω των 10 εκατομμυρίων ευρώ, οι οποίες δραστηριοποιούνται σε τομείς υψηλής κρισιμότητας. Αξίζει μάλιστα να σημειωθεί ότι δεν έγκειται στην ευθύνη της ΕΑΚ να ενημερώσει τις επιχειρήσεις αν περιλαμβάνονται στη λίστα των υπόχρεων, αλλά οι ίδιες οι επιχειρήσεις με σχετική δραστηριότητα θα πρέπει να προχωρήσουν στο σχετικό έλεγχο, απευθυνόμενες στην ΕΑΚ.

Ανάμεσα στα μέτρα που καλούνται να λάβουν όλοι οι υπόχρεοι οργανισμοί περιλαμβάνονται:

• Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια  των πληροφοριακών συστημάτων

• Διαχείριση περιστατικών

• Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο

• Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της

• Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών

• Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας

Τα μέτρα αναμένεται να εξειδικευτούν το προσεχές χρονικό διάστημα και σίγουρα πριν την πραγματοποίηση των ελέγχων που θα πραγματοποιεί τακτικά η ΕΑΚ για την εφαρμογή τους.

Υποχρέωση αναφοράς περιστατικών

Εκτός της λήψης μέτρων κυβερνοασφάλειας, η νέα οδηγία NIS2 εισάγει και την υποχρέωση αναφοράς περιστατικών κυβερνοεπίθεσης στην Ελληνική Αρχή Κυβερνοασφάλειας, διασφαλίζοντας την έγκαιρη επικοινωνία και την αντιμετώπιση των απειλών. Όπως έχει αποδείξει η εμπειρία η πλειονότητα των οργανισμών που έχει δεχθεί κάποια κυβερνοεπίθεση αποφεύγει να δημοσιοποιήσει το περιστατικό, κυρίως για λόγους κύρους. Όμως με τη NIS2 έρχεται να αλλάξει αυτό το καθεστώς και πλέον υποχρεώνονται να απευθύνονται εντός 24 ωρών στην ΕΑΚ από τη στιγμή που εντοπίζεται η επίθεση.

«Σήμερα έχουμε θολή εικόνα του τοπίου γιατί δεν μας αναφέρονται τα περιστατικά. Και όταν κάτι δεν μπορείς να το μετρήσεις δεν μπορείς και να το αλλάξεις» σημείωσε χαρακτηριστικά ο κ. Μπλέτσας. Πρόσθεσε μάλιστα ότι τα περιστατικά θα δημοσιοποιούνται, ενώ η υποχρέωση αναφοράς δεν έχει τιμωρητικό χαρακτήρα, αλλά στοχεύει και στην έγκαιρη αντιμετώπιση μιας κυβερνοεπίθεσης, όπως και στην προστασία άλλων οντοτήτων από αντίστοιχες κακόβουλες επιθέσεις στον κυβερνοχώρο.

«Η κυβερνοασφάλεια είναι ομαδικό σπορ» ανέφερε χαρακτηριστικά ο διοικητής της ΕΑΚ, για την ανάγκη συνεργασίας όλων των εμπλεκομένων φορέων, έτσι ώστε να αντιμετωπιστούν με επιτυχία οι προκλήσεις στο εξελισσόμενο τοπίο των κυβερνοαπειλών.

Κυρώσεις και πρόστιμα έως 10 εκατομμύρια ευρώ

Το νέο νομοσχέδιο φέρνει και αυστηρές κυρώσεις και πρόστιμα για εκείνους τους υπόχρεους που δεν θα εφαρμόσουν τα σχετικά μέτρα. Ως προς το ύψος του προστίμου, αυτό μπορεί να φθάσει έως και το 2% του παγκόσμιου τζίρου μιας επιχείρησης (εφόσον δραστηριοποιείται και σε άλλες αγορές) με μέγιστο ταβάνι τα 10 εκατομμύρια ευρώ. Παράλληλα, προβλέπεται η προσωρινή αναστολή πιστοποίησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών, όπως επίσης και η προσωρινή απαγόρευση σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων.

Αξίζει να σημειώσουμε ότι σε σχέση με την προηγούμενη οδηγία του 2016, η NIS2 δεν περιορίζει την ευθύνη για την ψηφιακή ασφάλεια ενός οργανισμού στον υπεύθυνο ασφάλειας των πληροφοριακών συστημάτων, αλλά τη μεταφέρει στο σύνολο της διοίκησης/διοικητικού συμβουλίου. Μια πρόβλεψη που έχει ως στόχο να καλλιεργηθεί μια κουλτούρα κυβερνοασφάλειας (ή κυβερνοϋγιεινής, όπως είναι ο νέος όρος) στο σύνολο των υπόχρεων φορέων και επιχειρήσεων.

“Η κυβερνοασφάλεια ήταν ένα παραμελημένος τομέας μέχρι σήμερα, όμως από τη στιγμή που θα τη χρειαστείς τότε θα καταλάβεις το μέγεθος της αμέλειας” ανέφερε χαρακτηριστικά ο κ. Μπλέτσας. Σε ένα περιβάλλον που η ένταση των επιθέσεων κλιμακώνεται και οι κυβερνοεγκληματίες χρησιμοποιούν όλο και πιο εκλεπτυσμένες απειλές, οι οργανισμοί καλούνται να είναι σε εγρήγορση για την προστασία τους. Σ’ αυτό το περιβάλλον καμία αμέλεια δεν συγχωρείται.