NIS2: Τι περιλαμβάνει το νομοσχέδιο για την κυβερνοπροστασία των κρίσιμων υποδομών της χώρας

Στην τελική ευθεία βρίσκεται πλέον η διαδικασία για την ενσωμάτωση στο ελληνικό δίκαιο της NIS 2, μία από τις σημαντικότερες οδηγίες της Ευρωπαϊκής Ένωσης αναφορικά με την κυβερνοπροστασία των κρίσιμων υποδομών μίας χώρας.

Από χθες, το σχετικό σχέδιο νόμου του υπουργείου Ψηφιακής Διακυβέρνησης είναι σε δημόσια διαβούλευση μέχρι τις 2 Νοεμβρίου καθώς ο στόχος είναι να έχει ολοκληρωθεί η ψήφιση του εντός του 2024 προκειμένου η Ελλάδα να προλάβει τις σχετικές προθεσμίες που έχει θέσει η ΕΕ.

Στόχος της NIS 2 είναι να εισάγει μια ολοκληρωμένη προσέγγιση κυβερνοασφάλειας με βάση τον κίνδυνο, με στόχο την επίτευξη υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε όλα τα κράτη μέλη, ενισχύοντας τη λειτουργία της εσωτερικής αγοράς μέσω βελτιωμένων πρωτοκόλλων ασφαλείας και δυνατοτήτων αντιμετώπισης περιστατικών. Την εποπτεία της εφαρμογής της οδηγίας NIS 2 θα έχει η Εθνική Αρχή Κυβερνοασφάλειας.

Το βασικότερο στοιχείο της οδηγίας είναι ότι αφορά την κυβερνοπροστασία υποδομών κρίσιμης σημασίας για την κοινωνική και οικονομική ζωή της χώρας, κάτι που πρακτικά σημαίνει ότι αφορά μία σειρά από μεγάλους οργανισμούς και επιχειρήσεις και θέτει σχετικούς κανόνες με τους οποίους θα πρέπει να συμμορφωθούν άμεσα όλοι οι φορείς που περιλαμβάνονται σε μία αρκετά μακριά λίστα. Σημειωτέον ότι η μη συμμόρφωση με τους κανόνες επιφέρει σημαντικά πρόστιμα για τις εταιρείες και τους οργανισμούς που μπορεί να φθάνουν μέχρι τα 10 εκατ. ευρώ ή το 2% του κύκλου εργασιών τους!

Το σχέδιο νόμου περιλαμβάνει την εισαγωγή ρυθμίσεων για την εθνική στρατηγική κυβερνοασφάλειας, τον ορισμό της αρμόδιας αρχής για την κυβερνοασφάλεια και τη διαχείριση κυβερνοκρίσεων, τον καθορισμό μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, την εισαγωγή κανόνων και υποχρεώσεων σχετικά με την ανταλλαγή πληροφοριών για την κυβερνοασφάλεια και τη θέσπιση διατάξεων για την εν γένει εποπτεία και επιβολή της εφαρμογής του παρόντος, έτσι ώστε να επιτυγχάνεται υψηλό επίπεδο κυβερνοασφάλειας στην Ελλάδα.

Η λίστα των οργανισμών, φορέων και επιχειρήσεων που καλούνται να συμμορφωθούν είναι αρκετά μακριά καθώς περιλαμβάνει όλες τις μεσαίες επιχειρήσεις (απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως 250 εκ. ευρώ) ή και μεγάλες επιχειρήσεις που δραστηριοποιούνται ενδεικτικά στους τομείς της ενέργειας, των μεταφορών, της υγείας, των υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανοµής τροφίµων, παραγωγής χηµικών προϊόντων, φαρµακευτικών προϊόντων, διαχείρισης λυµάτων και αποβλήτων, εταιριών ταχυµεταφορών. Επίσης, ανεξαρτήτως μεγέθους όλου τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα. Ακόμη, στη σχετική λίστα περιλαμβάνεται, προφανώς, η κεντρική κυβέρνηση, όπως και οι περιφέρεις αλλά και οι δήμοι της χώρας.