Σε μια εποχή που το κόστος του κυβερνοεγκλήµατος αυξάνεται διαρκώς, ξεπερνώντας σε παγκόσμιο επίπεδο τα 10 τρισ. για το 2023, με τα ατομικά δικαιώματα να βάλλονται από νέες και σύνθετες απειλές στον κυβερνοχώρο, η Ελλάδα ανεβάζει ταχύτητα στην κυβερνοασφάεια, ενσωματώνοντας στο εθνικό δίκαιο την Οδηγία NIS2. Χθες, στο Υπουργικό Συμβούλιο ο Υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου, παρουσίασε το σχετικό νομοσχέδιο, με το οποίο θα ενσωματωθεί στο εθνικό δίκαιο η Οδηγία 2022/2555 (NIS2) για την επίτευξη υψηλού επιπέδου Κυβερνοασφάλειας. 

“Πρόκειται για μία απαραίτητη εξέλιξη δεδομένης της αυξημένης πολυπλοκότητας των κυβερνοαπειλών, των σοβαρών ζητημάτων που θέτουν στη λειτουργία υποδομών ζωτικής σημασίας και της διατάραξης παροχής κρίσιµων υπηρεσιών”, αναφέρει το υπουργείο σε ανακοίνωσή του. 

Στο Υπουργικό Συμβούλιο το νομοσχέδιο για την ενσωμάτωση της Οδηγίας NIS2 στο εθνικό δίκαιο

Το νομοσχέδιο στοχεύει στην αναβάθμιση της ανθεκτικότητας της χώρας έναντι κυβερνοαπειλών, με τη δημιουργία ενός ασφαλούς και ανταγωνιστικού ψηφιακού περιβάλλοντος. Επίσης, επιδιώκεται η ενίσχυση της εμπιστοσύνης των πολιτών και των επιχειρήσεων στις ψηφιακές υπηρεσίες, ενώ ιδιαίτερη έμφαση δίνεται στην ανταλλαγή πληροφοριών και στην επικοινωνία μεταξύ Οργανισμών και Εθνικών Αρχών, καθώς και στη διευρωπαϊκή συνεργασία. 

Ποιες επιχειρήσεις αφορά

H Οδηγία NIS2 αφορά όλες τις μεσαίες επιχειρήσεις (απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως €250 εκατ.) ή και μεγάλες επιχειρήσεις, που δραστηριοποιούνται ενδεικτικά στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανομής τροφίμων, παραγωγής χημικών προϊόντων, φαρμακευτικών προϊόντων, διαχείρισης λυμάτων και αποβλήτων, εταιριών ταχυμεταφορών.

Επίσης αφορά, ανεξάρτητα από το μέγεθός τους, τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα. 

Με τη νέα Οδηγία οφείλει, επίσης, να προσαρμοστεί η Κεντρική Κυβέρνηση, οι Περιφέρειες, αλλά και οι Δήμοι.

Κυρώσεις και πρόστιμα

Με τις προτεινόμενες διατάξεις του νομοσχεδίου ορίζεται η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ως ενιαία αρμόδια αρχή και ως αρμόδια ομάδα απόκρισης, ενισχύεται η συνεργασία μεταξύ του δημόσιου και ιδιωτικού τομέα και καθορίζεται ένα πλαίσιο για τη συντονισμένη γνωστοποίηση ευπαθειών. 

Το νομοσχέδιο εισάγει, μάλιστα, συγκεκριμένες κυρώσεις και διοικητικά πρόστιμα σε περίπτωση παραβίασης απαιτήσεων σχετικά µε τα μέτρα διαχείρισης κινδύνων ή μη συμμόρφωσης µε τις υποχρεώσεις αναφοράς περιστατικού. 

“Με την εφαρμογή της NIS2 θα αυξηθεί η ζήτηση σε υπηρεσίες, προϊόντα και ειδικούς κυβερνοασφάλειας. Για τον σκοπό αυτό, η ΕΑΚ θα προετοιμάσει σχετικά προγράμματα εκπαίδευσης, παρέχοντας τη δυνατότητα πιστοποίησης, σε συνεργασία µε συναρμόδιους φορείς και συμβάλλοντας έτσι στη δημιουργία ενός εγχώριου οικοσυστήματος κυβερνοασφάλειας”, αναφέρει η σχετική ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης.

Τι προβλέπει η Οδηγία

Η οδηγία NIS2 είναι η νομοθεσία για την ασφάλεια στον κυβερνοχώρο σε επίπεδο ΕΕ και προβλέπει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου κυβερνοασφάλειας στην ΕΕ. Η νομοθεσία θέλει να διασφαλίσει την ετοιμότητα των κρατών-μελών σε επίπεδο κυβερνοασφάλειας, απαιτώντας να είναι κατάλληλα εξοπλισμένα. Για παράδειγμα, με ομάδα αντιμετώπισης συμβάντων ασφάλειας υπολογιστών (CSIRT) και αρμόδια εθνική αρχή συστημάτων δικτύου και πληροφοριών (NIS), συνεργασία μεταξύ όλων των κρατών-μελών, με τη σύσταση ομάδας συνεργασίας για τη στήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ των κρατών-μελών. 

Επίσης, εισάγει μια νοοτροπία ασφάλειας σε όλους τους τομείς, που είναι ζωτικής σημασίας για την οικονομία και την κοινωνία και βασίζονται στις ΤΠΕ, όπως η ενέργεια, οι μεταφορές, το νερό, οι τράπεζες, οι υποδομές των χρηματοπιστωτικών αγορών, η υγειονομική περίθαλψη και οι ψηφιακές υποδομές. 

Οι επιχειρήσεις, που προσδιορίζονται από τα κράτη-μέλη ως φορείς εκμετάλλευσης βασικών υπηρεσιών στους ανωτέρω τομείς, θα πρέπει να λαμβάνουν τα κατάλληλα μέτρα ασφαλείας και να ενημερώνουν τις αρμόδιες εθνικές αρχές για σοβαρά περιστατικά. Οι βασικοί πάροχοι ψηφιακών υπηρεσιών, όπως οι μηχανές αναζήτησης, οι υπηρεσίες cloud και οι πλατφόρμες online αγορών, θα πρέπει, επίσης, να συμμορφώνονται με τις απαιτήσεις ασφάλειας και κοινοποίησης δυνάμει της οδηγίας.