- Γράφει η Μαρία Μόσχου
Από το 2025 θα ξεκινήσουν οι έλεγχοι για το επίπεδο κυβερνοετοιμότητας στις επιχειρήσεις, οι οποίοι μπορεί να επιφέρουν πρόστιμα έως και 10 εκατ. ευρώ. Παράλληλα θα θεσπιστεί “τέλος κυβερνοασφάλειας” ανάλογα το μέγεθος και την πολυπλοκότητα της επίθεσης, όπως αναφέρει ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, κ. Μιχάλης Μπλέτσας.
Μέσα στο Δεκέμβριο αναμένεται να ψηφιστεί το νομοσχέδιο για την κυβερνοασφάλεια, οι διατάξεις του οποίου θα αφορούν περί τις 2.000 οντότητες που εμπίπτουν στις ρυθμίσεις της νέας ευρωπαϊκής οδηγίας NIS 2 που ενσωματώνει ο νέος νόμος.
Τα πρόστιμα θα είναι «τσουχτερά» για τους παραβάτες και θα φθάνουν μέχρι και 10 εκατ. ευρώ, ενώ θα θεσπιστεί και “τέλος κυβερνοασφάλειας“, το οποίο θα εξαρτάται από το μέγεθος της επιχείρησης και την πολυπλοκότητα της επίθεσης.
Σε ενημέρωση που έκανε ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλεια, κ. Μπλέτσας, παρουσιάζοντας τα βασικά σημεία του νέου νομοσχεδίου Κυβερνοασφάλειας που ενσωματώνει την ευρωπαϊκή οδηγία NIS 2, ανέφερε ότι τα έσοδα της Αρχής θα προέρχονται από τα πρόστιμα που θα επιβάλλει, από τις πιστοποιήσεις που θα δίνει αλλά και από πιθανά τέλη.
Ειδικότερα με βάση την ίδια την οδηγία ο έλεγχος των φορέων με βάση το μέγεθος τους και την πολυπλοκότητα της επίθεσης θα επιβαρύνει τους ίδιους τους φορείς. Τα σχετικά τέλη δεν έχουν οριστεί, κάτι που αναμένεται να γίνει το επόμενο διάστημα. «Δεν θα βάλουμε ένα γενικό τέλος. Θα υπάρξουν ανταποδοτικά τέλη. Θα δούμε τι γίνεται στην Ευρώπη», είπε ο κ. Μπλέτσας ο οποίος ανέφερε ότι υπάρχουν αποκλίσεις και στους πόρους της ΕΕ για τον τομέα της κυβερνοασφάλειας.
«Η Ελλάδα δεν βάζει πολλούς πόρους. Η Εθνική Αρχή Κυβερνοασφάλειας δεν μπήκε καν στον προϋπολογισμό του 2024. Πρέπει να μπει όμως», είπε χαρακτηριστικά ο επικεφαλής της Αρχής.
Ο νέος νόμος δίνει έμφαση στην Εθνική Αρχή Κυβερνοασφάλειας, ενισχύοντας την υποστήριξή της προς όλες τις οντότητες που ενδέχεται να προκαλέσουν προβλήματα στην κοινωνία λόγω κυβερνοεπιθέσεων. Όπως αναφέρθηκε, οι χώρες της ΕΕ είχαν προθεσμία μέχρι τις 18 Οκτωβρίου να ψηφίσουν τις σχετικές νομοθεσίες, με την Ελλάδα να βρίσκεται λίγο πάνω από τον μέσο όρο.
Σύμφωνα με τις ρυθμίσεις του νομοσχεδίου, οι οντότητες θα υποχρεούνται να αναφέρουν περιστατικά ασφαλείας εντός 24 ωρών, ενώ θα υπάρχει και μηχανισμός ανταλλαγής πληροφοριών για την καλύτερη προετοιμασία και αντίκρουση απειλών. Παράλληλα, θα καταρτιστούν ειδικοί εμπειρογνώμονες για την αντιμετώπιση αυτών των περιστατικών.
Πρόστιμα και κίνητρα για την κυβερνοασφάλεια
Οι ρυθμίσεις προβλέπουν αυστηρά πρόστιμα για παραβάσεις σχετικά με την αναφορά περιστατικών, τονίζοντας τη σημασία της ασφάλειας. Στόχος είναι να δημιουργηθεί ένα μίνιμουμ επίπεδο κυβερνοασφάλειας για όλες τις επιχειρήσεις, ιδίως για τις μικρές και μεσαίες επιχειρήσεις (ΜμΕ). «Θα δείτε πολύ σύντομα πρόστιμα σε ότι έχει να κάνει με τις αναφορές περιστατικών», όπως τόνισε ο κ. Μπλέτσας.
Με τη νέα οδηγία εκτιμάται πως θα αυξηθούν σε περισσότερες από 2.000 οι φορείς και οι επιχειρήσεις που είναι υπόχρεοι στις νέες απαιτήσεις κυβερνοασφάλειας. Όπως αναφέρεται στο νομοσχέδιο, όλες οι μεσαίες επιχειρήσεις που απασχολούν από 50 έως 250 εργαζομένους και έχουν τζίρους έως και 250 εκατ. ευρώ, αλλά και οι μεγάλες επιχειρήσεις που δραστηριοποιούνται στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανοµής τροφίµων, παραγωγής χηµικών προϊόντων, φαρµακευτικών προϊόντων, διαχείρισης λυµάτων και αποβλήτων, εταιρειών ταχυµεταφορών.
Υπόχρεοι, ανεξάρτητα από το μεγέθός τους, είναι οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών, ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου, και παρόχους υπηρεσιών συστήματος ονομάτων τομέα, καθώς επίσης και η κεντρική κυβέρνηση, οι Περιφέρειες και οι Δήμοι.
Στη νέα οδηγία εμπίπτουν και μικρομεσαίες επιχειρήσεις που έχουν κύκλο εργασιών από 10 έκατ. ευρώ έως 50 εκατ. ευρώ, οι οποίες δραστηριοποιούνται σε τομείς υψηλής κρισιμότητας.
«Η κυβερνοασφάλεια είναι ένα ομαδικό σπορ και απαιτεί τη συνεργασία όλων των φορέων. Ο προγραμματισμός περιλαμβάνει τη συνεργασία με το ΓΕΕΘΑ και την ΕΥΠ για τη δημιουργία ομάδας απόκρουσης, η οποία αναμένεται να είναι έτοιμη το 2025», είπε χαρακτηριστικά ο ίδιος.
Το επόμενο διάστημα αναμένονται κανονιστικές αποφάσεις που θα εξειδικεύουν βασικούς τομείς της οδηγίας όπως τα πρόστιμα και το ύψους τους κ.λπ.
Σήμερα η Αρχή έχει 75 άτομα προσωπικό, ενώ υπάρχει ανάγκη για αύξηση του ανθρώπινου δυναμικού, με στόχο την πρόσληψη επιπλέον 150 στελεχών το επόμενο διάστημα.
Τι αφορά η Οδηγία NIS2
H Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, γνωστή ως οδηγία NIS 2 (Network and Information Security Directive) είναι η αναθεωρημένη έκδοση της αρχικής οδηγίας NIS, η οποία θεσπίστηκε το 2016 με στόχο την ενίσχυση της κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση. Η NIS 2, που υιοθετήθηκε το 2022, αφορά στην προστασία κρίσιμων δικτύων και συστημάτων πληροφορικής έναντι κυβερνοαπειλών και διασφαλίζει τη συνεκτική προσέγγιση στην κυβερνοασφάλεια σε ολόκληρη την ΕΕ.
Τι αλλαγές φέρνει σε σχέση με την αρχική Οδηγία NIS 2;
- Διευρυμένο πεδίο εφαρμογής με βάση το κριτήριο του κανόνα μεγέθους και υπαγωγή νέων τομέων
- Αυστηρότερες απαιτήσεις ασφαλείας με τη λήψη μέτρων διαχείρισης κινδύνων αρκετά λεπτομερειακών
- Συγκεκριμένα χρονοδιαγράμματα αναφοράς περιστατικών ασφαλείας
- Μέτρα διαχείρισης κινδύνων, λογοδοσία οργάνων της διοίκησης των υπόχρεων οργανισμών και επιχειρήσεων και αυστηρότερες κυρώσεις
- Συνεργασία και ανταλλαγή πληροφοριών
Το εθνικό σύστημα κυβερνοασφάλειας ενισχύεται μέσω της αναβαθμισμένης δράσης της ΕΑΚ. Ειδικότερα:
- Ορίζεται ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team – CSIRT) και επιτελεί συντονιστικό ρόλο των CSIRTs για τις οντότητες που εντάσσονται στο πεδίο εφαρμογής του νόμου
- Συντάσσει την Εθνική Στρατηγική Κυβερνοασφάλειας και καταρτίζει το εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον κυβερνοχώρο
- Ασκεί καθήκοντα επίβλεψης ως αρμόδια αρχή εποπτείας και ελέγχου
- Οργανώνει ειδικό πρόγραμμα πιστοποίησης επάρκειας στον τομέα της κυβερνοασφάλειας
Ποιες είναι οι βασικές υποχρεώσεις για τους φορείς;
- Υποχρεώσεις λήψης μέτρων κυβερνοασφάλειας
Οι οργανισμοί του δημόσιου τομέα και οι επιχειρήσεις του ιδιωτικού τομέα λαμβάνουν λεπτομερή μέτρα διαχείρισης κινδύνων που βασίζονται σε ολιστική προσέγγιση του κινδύνου και αποσκοπούν στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.
- Υποχρεώσεις αναφοράς περιστατικών κυβερνοασφάλειας στην ΕΑΚ
Οι φορείς οφείλουν να αναφέρουν περιστατικά κυβερνοασφάλειας στην ΕΑΚ διασφαλίζοντας την έγκαιρη επικοινωνία και την αντιμετώπιση των απειλών.
Ποια είναι τα μέτρα που πρέπει να λαμβάνουν;
Ενδεικτικά:
α. Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων
β. Διαχείριση περιστατικών
γ. Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο
δ. Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της
ε. Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών
στ. Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας
Πότε υπάρχει υποχρέωση αναφοράς περιστατικού;
Υπάρχει υποχρέωση αναφοράς όταν ένα περιστατικό θεωρείται σημαντικό.
Ένα περιστατικό θεωρείται σημαντικό αν:
α. Έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα
β. Έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη ζημία
