Υπερψηφίστηκε χθες από την Ολομέλεια της Βουλής το Σχέδιο Νόμου του Υπουργείου Ψηφιακής Διακυβέρνησης, με το οποίο ενσωματώνεται η ευρωπαϊκή Οδηγία NIS2 ( (ΕΕ) 2022/2555) για τη λήψη μέτρων με στόχο ένα υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση.

Μεταξύ άλλων, η Οδηγία NIS2 θεσπίζει υποχρέωση αναφοράς σημαντικών περιστατικών κυβερνοασφάλειας, με βάση την προσέγγιση “πολλαπλών σταδίων”. Προβλέπεται, κατ’ αρχάς, η υποχρέωση για έγκαιρη, εντός 24 ωρών, προειδοποίηση, που ακολουθείται από μια πληρέστερη ενημέρωση για το περιστατικό εντός 72 ωρών από τη γνώση του. 

Δ. Παπαστεργίου: Αναβαθμίζουμε τη συνολική ανθεκτικότητα της χώρας έναντι κυβερνοαπειλών

Κατόπιν, ακολουθεί μια ενδιάμεση έκθεση για την επικαιροποίηση της αντιμετώπισης και της έκτασης του περιστατικού. Η υποχρέωση αναφοράς καταλήγει στην υποχρεωτική υποβολή τελικής έκθεσης εντός 1 μήνα.

Το νέο θεσμικό πλαίσιο ενδυναμώνει την Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ), ώστε να ασκήσει αποτελεσματικά τις αρμοδιότητές της ως Εθνική Αρμόδια Αρχή για την εφαρμογή της Οδηγίας, αποκτώντας, μεταξύ άλλων, διευρυμένες εποπτικές και ελεγκτικές αρμοδιότητες.

Με την ψήφιση του νέου νόμου, αναμένεται να αυξηθεί η ζήτηση σε υπηρεσίες, προϊόντα και ειδικούς Κυβερνοασφάλειας. Για τον σκοπό αυτό, προβλέπεται ότι θα προετοιμάσει σχετικά προγράμματα εκπαίδευσης, παρέχοντας τη δυνατότητα πιστοποίησης, σε συνεργασία µε συναρμόδιους φορείς και συμβάλλοντας, έτσι, στη δημιουργία ενός εγχώριου οικοσυστήματος Κυβερνοασφάλειας.

Ο ρόλος της Εθνικής Αρχής

Το νομοσχέδιο ορίζει την ΕΑΚ ως αρμόδια ομάδα απόκρισης για συμβάντα, που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team-CSIRT). Δίνεται η δυνατότητα να συσταθούν και άλλες ομάδες απόκρισης, εφόσον κριθεί αναγκαίο για να επιτευχθεί υψηλότερο επίπεδο Κυβερνοασφάλειας. Σε κάθε περίπτωση, η ΕΑΚ θα έχει συντονιστικό ρόλο. 

Επίσης, διευρύνει το πεδίο εφαρμογής των φορέων, που πρέπει να λάβουν συγκεκριμένα μέτρα για την Κυβερνοασφάλειά τους, με βάση το μέγεθος των φορέων, καθώς και με την υπαγωγή νέων τομέων, όπως οι ταχυδρομικές υπηρεσίες, η διαχείριση αποβλήτων, τα τρόφιμα, τα χημικά προϊόντα (παρασκευή, παραγωγή, διανομή), ο κατασκευαστικός τομέας, καθώς και η Κεντρική Κυβέρνηση, οι Περιφέρειες και Δήμοι. 

Όπως τόνισε ο Υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου: “Θέλουμε ένα ασφαλές και ανταγωνιστικό ψηφιακό περιβάλλον, το οποίο αναβαθμίζει τη συνολική ανθεκτικότητα της χώρας έναντι κυβερνοαπειλών. Μπορεί να ακούγεται τεχνικό, αλλά αφορά ένα τεράστιο τμήμα της καθημερινότητας μας, καθώς οι ψηφιακές υπηρεσίες αυξάνονται και τα συστήματα διασυνδέονται όλο και περισσότερο”. 

Ο Δημήτρης Παπαστεργίου σημείωσε, μεταξύ άλλων, ότι: “Ένα διευρυμένο πεδίο φορέων θα ακολουθούν πλέον συγκεκριμένους όρους, διαδικασίες, προϋποθέσεις, μέτρα, προκειμένου να βρίσκονται σε ένα επίπεδο, που θα εγγυάται την προστασία των δικαιωμάτων των πολιτών”.

Αναδεικνύοντας την κρισιμότητα των νέων μέτρων έφερε ως παράδειγμα μια πιθανή επίθεση στα πληροφοριακά συστήματα ενός λιμανιού ή μιας φαρμακαποθήκης. “Αρκετές μέρες ή έστω και ώρες, δεν θα μπορούσαν να εκδοθούν εισιτήρια, με ό,τι αυτό συνεπάγεται στην εξυπηρέτηση των πολιτών και στον τουρισμό και αντίστοιχα, φαρμακεία σε όλη τη χώρα δεν θα μπορούσαν να εφοδιαστούν με τα απαραίτητα φάρμακα”, υπογράμμισε.

Πρόστιμα και κυρώσεις

Το νέο θεσμικό πλαίσιο προβλέπει, μεταξύ άλλων κυρώσεων, διοικητικά πρόστιμα για την παραβίαση απαιτήσεων σχετικά με τα μέτρα διαχείρισης κινδύνων στον τομέα της Κυβερνοασφάλειας ή τη μη συμμόρφωση με τις υποχρεώσεις αναφοράς περιστατικών, τα οποία φτάνουν έως €10 εκατ. ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης κατά το προηγούμενο οικονομικό έτος, ανάλογα με το ποιο είναι υψηλότερο.

Προβλέπει, επίσης, υποχρεώσεις για τους οργανισμούς του δημόσιου τομέα και τις επιχειρήσεις του ιδιωτικού τομέα. Οφείλουν να λάβουν λεπτομερή μέτρα διαχείρισης κινδύνων για την προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων, καθώς του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.