Τι προβλέπει η νέα οδηγία – Από πότε θα ισχύσει – Ποιες επιχειρήσεις και οργανισμοί του δημοσίου είναι υπόχρεες – Σε τι ποσό ανέρχεται το πρόστιμο
Στην τελική ευθεία για την ενσωμάτωση στο Εθνικό Δίκαιο της NIS 2, μιας εκ των σημαντικότερων οδηγιών της ΕΕ που αφορά στην κυβερνοπροστασία των κρίσιμων υποδομών μιας χώρας μπαίνει η Ελλάδα. Με την ψήφιση του νομοσχεδίου δε και την εξειδίκευση των τεχνικών μέτρων, μέσω των κανονιστικών αποφάσεων, οι μεγάλες και μεσαίες επιχειρήσεις που υπάγονται σε αυτές τις κρίσιμες υποδομές θα κληθούν να πληρώνουν τέλη αλλά και να αναφέρουν οποιοδήποτε περιστατικό κυβερνοεπίθεσης, ενώ σε αντίθετη περίπτωση θα βαρύνονται με πρόστιμο έως και 10 εκατ. ευρώ.
«Υπάρχουν δύο ειδών επιχειρήσεις εκείνες που έχουν πέσει θύματα κυβερνοασφάλειας και εκείνες που έχουν πέσει θύματα αλλά δεν το ξέρουν» ανέφερε χαρακτηριστικά ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, Μιχάλης Μπλέτσας προσπαθώντας να σκιαγραφήσει την κατάσταση σήμερα. Αυτό ακριβώς το πρόβλημα, όπως εξήγησε, φιλοδοξεί να περιορίσει και η νέα ευρωπαϊκή οδηγία, η ενσωμάτωση της οποίας την εθνική νομοθεσία προωθείται αυτό το διάστημα.
Τι προβλέπει
Ειδικότερα η νέα οδηγία κάνει υποχρεωτική την λήψη μέτρων κυβερνοασφάλειας ενώ εισάγει και υποχρέωση αναφοράς περιστατικών κυβερνοεπίθεσης στην ΕΑΚ.
Συγκεκριμένα οι οργανισμοί του δημόσιου τομέα και οι επιχειρήσεις του ιδιωτικού τομέα οι οποίες υπάγονται στην διευρυμένη NIS2, οφείλουν να λαμβάνουν λεπτομερή μέτρα διαχείρισης κινδύνων που βασίζονται σε ολιστική προσέγγιση του κινδύνου και αποσκοπούν στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.
Ενδεικτικά στα μέτρα που θα πρέπει να λάβουν οι επιχειρήσεις, τα οποία θα εξειδικευτούν τους επόμενους μήνες, εντάσσονται:
- Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων
- Διαχείριση περιστατικών
- Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο
- Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της
- Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών
- Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας
Παράλληλα έχουν την υποχρέωση να αναφέρουν τυχόν περιστατικά κυβερνοεπιθέσεων στην ΕΑΚ εντός 24 ωρών από τη στιγμή που εντοπίζεται το κρούσμα. Σε διαφορετική περίπτωση θα επιβαρύνονται με πρόστιμο που μπορεί να φτάνει έως και το 2% του παγκόσμιου κύκλου εργασιών τους, με «ταβάνι» τα 10 εκατομμύρια €. Πέρα από τα διοικητικά πρόστιμα σε οντότητες του ιδιωτικού τομέα και φορείς της δημόσιας διοίκησης οι κυρώσεις μη συμμόρφωσης μπορεί να επιφέρουν προσωρινή αναστολή πιστοποίησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών μιας επιχείρησης καθώς και προσωρινή απαγόρευση σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων.
Κι αυτό γιατί η NIS2 εμπεριέχει και μια ακόμα διαφορά σε σχέση με την NIS1. Συγκεκριμένα μεταφέρει την ευθύνη για την ψηφιακή ασφάλεια μιας επιχείρησης από τον υπεύθυνο ασφάλειας των πληροφοριακών συστημάτων στα μέλη της διοίκησης της εταιρείας.
«Σήμερα δεν έχουμε πλήρη εικόνα της κατάστασης και όταν κάτι δεν μπορείς να το μετρήσεις δεν μπορείς και να το αλλάξεις» ανέφερε χαρακτηριστικά ο Μιχάλης Μπλέτσας σημειώνοντας ότι η αναφορά των περιστατικών δεν έχει τιμωρητικό χαρακτήρα αλλά μοναδικό στόχο την έγκαιρη αντιμετώπιση τους και την προστασία άλλων οντοτήτων από αντίστοιχες προσπάθειες κυβερνοεπίθεσης.
Ποιες επιχειρήσεις αφορά
Ειδοποιός διαφορά της σε σχέση με την αρχικής οδηγίας NIS, η οποία θεσπίστηκε το 2016, είναι ότι διευρύνει αισθητά το πλαίσιο των εταιρειών που υπάγονται σε αυτήν.
Ειδικότερα η νέα οδηγία αφορά οντότητες , δημοσίου και ιδιωτικού φορέα, που δραστηριοποιούνται στους παρακάτω κλάδους:
- Υγεία
- Ενέργεια
- Μεταφορές
- Τράπεζες
- Υποδομές χρηματο/κών αγορών
- Πόσιμο νερό
- Δημόσιος τομέας (Κεντρική Διοίκηση, Τοπική Αυτοδιοίκηση)
- Διαχείριση Υπηρεσιών Τεχνολογίας, Πληροφορικής & Επικοινωνιών (ΤΠΕ)
- Διάστημα
- Λύματα
- Ψηφιακές υποδομές
- Ταχυδρομικές υπηρεσίες
- Διαχείριση αποβλήτων
- Τρόφιμα
- Χημικά προϊόντα (παρασκευή,παραγωγή, διανομή)
- Κατασκευαστικός τομέας
Στην περίπτωση των ιδιωτικών επιχειρήσεων δε που θα πρέπει συμμορφωθούν με τις προβλέψεις της εντάσσονται τόσο μεγάλες εταιρείες των προαναφερθέντων κλάδων όσο και μεσαίες επιχειρήσεις με σχετική δραστηριότητα, που απασχολούν 50 και πλέον εργαζόμενους και εμφανίζουν κύκλο εργασιών άνω των 50 εκατ. ευρώ.
Σε κάθε περίπτωση όπως διευκρίνισε ο Διοικητής και οι υποδιοικητές της ΕΑΚ μπορεί και μία μικρή εταιρεία με δραστηριότητα σε κρίσιμους τομείς να υποχρεούται να εναρμονιστεί με το νέο πλαίσιο της NIS2. Για το λόγο αυτό θα πρέπει οι εταιρείες με σχετική δραστηριότητα και ανεξαρτήτως μεγέθους, να απευθυνθούν στην Εθνική Αρχή Κυβερνοασφάλειας για να ενημερωθούν αν εντάσσονται ή όχι στο νέο πλαίσιο.
Τα τέλη και οι έλεγχοι
Για τον καθορισμό των επιχειρήσεων που υπάγονται στην NIS2 δύο θα δημιουργηθεί σχετικό μητρώο στην ΕΑΚ. Οι επιχειρήσεις που δεν θα φροντίσουν να εγγραφούν σε αυτό, ενδέχεται να εντοπιστούν σε έλεγχο που θα πραγματοποιήσει σε δεύτερη φάση η Αρχή.
Πέρα από τα παραπάνω δε, αναμένεται για τις εν λόγω οντότητες να επιβληθεί και τέλος κυβερνοασφάλειας, (πρόκεται για τέλος εποπτείας και ελέγχου) το οποίο θα είναι ανάλογο του μεγέθους κάθε εταιρείας.
Στόχος της νέας οδηγίας είναι να θέσει ένα minimum επίπεδο κυβερνά ασφαλείας για τις κρίσιμες υποδομές μιας χώρας. Σύμφωνα με τους υπολογισμούς της Αρχής η σχετική νομοθεσία θα ψηφιστεί τον Δεκέμβριο και θα ακολουθήσουν οι κανονιστικές αποφάσεις για τα τεχνικά μέτρα τα οποία θα είναι ανάλογα με τον κάθε τομέα ή υποτομέα που δρα η κάθε επιχείρηση, γεγονός που τοποθετεί την συμμόρφωση στις αρχές του 2025. Οι σχετικές κανονιστικές αποφάσεις δε, όπως διευκρινίστηκε, θα συνταχθούν κατόπιν ώσμωσης με τους φορείς αλλά και τις αρμόδιες τομεγακές αρχές, οι οποίες στη συνέχεια θα συμβάλουν και στην ενημέρωση των σχετικών επιχειρήσεων.