Ποιες επιχειρήσεις καλούνται να συμμορφωθούν με τον νέο κανονισμό κυβερνοασφάλειας

Σε περισσότερες από 2000 εκτιμώνται αυτή τη στιγμή οι μεσαίες και μεγάλες επιχειρήσεις στην Ελλάδα που θα κληθούν μέσα στο 2025 να συμμορφωθούν με τους κανονισμούς που φέρνει η εφαρμογή της NIS 2, της πιο πρόσφατης οδηγίας της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια.

Το σχετικό νομοσχέδιο βρίσκεται σε φάση δημόσιας διαβούλευσης και αναμένεται να έχει ψηφιστεί μέχρι το τέλος του έτους, κάτι που σημαίνει ότι θα τεθεί σε ισχύ από τις αρχές του 2025. Βέβαια, όπως επισημάνθηκε κατά τη διάρκεια χθεσινής ενημερωτικής συνάντησης στελεχών της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία είναι η αρμόδια αρχή εποπτείας και ελέγχου, θα απαιτηθεί ένα σημαντικό χρονικό διάστημα μέχρι να διαμορφωθούν οι αποφάσεις που θα καθορίζουν τις προδιαγραφές για τα συστήματα κυβερνοασφάλειας των επιχειρήσεων, καθώς αυτές θα διαφοροποιούνται ανάλογα με τις ιδιαιτερότητες των κλάδων που αφορά η συγκεκριμένη οδηγία.

Η ενεργοποίηση της NIS 2 έχει επιφέρει κινητικότητα στην αγορά των ψηφιακών τεχνολογιών δεδομένου ότι ένας σημαντικός αριθμός μεσαίων και μεγάλων επιχειρήσεων θα κληθεί να αναβαθμίσει τις υποδομές κυβερνοπροστασίας που διαθέτει.

Όπως σημείωσε, πάντως, ο υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρη Παπαστεργίου, κατά τη διάρκεια της χθεσινής συνάντησης, «δεν πρόκειται για αγγαρεία αλλά για αναγκαιότητα» δεδομένου ότι η NIS 2 αποτελεί μία ευκαιρία για την ισχυροποίηση του επιπέδου κυβερνοασφάλειας συνολικά της χώρας όπως επεσήμανε από την πλευρά του ο Μιχάλης Μπλέτσας, διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας. Με τον κ. Μπλέτσα να σημειώνει ότι μέχρι στιγμής δεν έχει γίνει κάποια μεγάλη ζημιά στην Ελλάδα από κυβερνοεπίθεση γιατί δεν είμαστε μεγάλος στόχος των κυβερνοεγκληματιών. Αλλά αυτό δεν σημαίνει ότι δεν πρέπει να λάβουμε τα μέτρα μας.

Τι αφορά η νέα οδηγία

H Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, γνωστή ως οδηγία NIS2 (Network and Information Security Directive) είναι η αναθεωρημένη έκδοση της αρχικής οδηγίας NIS, η οποία θεσπίστηκε το 2016 με στόχο την ενίσχυση της κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση. Η NIS2, που υιοθετήθηκε το 2022, αφορά στην προστασία κρίσιμων δικτύων και συστημάτων πληροφορικής έναντι κυβερνοαπειλών και διασφαλίζει τη συνεκτική προσέγγιση στην κυβερνοασφάλεια σε ολόκληρη την ΕΕ.

Η σημαντικότερη διαφορά είναι η διεύρυνση των οργανισμών -ή οντότητων όπως τις χαρακτήριζε ο κ. Μπλέτσας- που καλούνται να συμμορφωθούν. Είναι χαρακτηριστικό ότι από τους περίπου 70 οργανισμούς και φορείς που αφορούσε η αρχική NIS, τώρα, ο αριθμός «εκτοξεύεται» σε πάνω από 2000. Και δεν αποκλείεται ο αριθμός αυτός να είναι τελικά πολύ μεγαλύτερος.

Ποιους οργανισμούς αφορά

Η λίστα των οργανισμών, φορέων και επιχειρήσεων που καλούνται να συμμορφωθούν είναι αρκετά μεγάλη καθώς όπως επισημάνθηκε χαρακτηριστικά περιλαμβάνει όλες εκείνες που η διακοπή λειτουργίας των οποίων θα δημιουργούσε πρόβλημα στην κοινωνία

Συγκεκριμένα, η λίστα περιλαμβάνει όλες τις μεσαίες επιχειρήσεις (απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών από 10 έως 250 εκατ. ευρώ) ή και μεγάλες επιχειρήσεις που δραστηριοποιούνται ενδεικτικά στους τομείς της ενέργειας, των μεταφορών, της υγείας, των υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανοµής τροφίµων, παραγωγής χηµικών προϊόντων, φαρµακευτικών προϊόντων, διαχείρισης λυµάτων και αποβλήτων, εταιριών ταχυµεταφορών.

Επιπλέον, όμως, υπάρχουν και οργανισμοί που πρέπει να συμμορφωθούν ακόμη και αν είναι μικρότερου μεγέθους. Όπως είναι όλοι οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα.

Προφανώς, στη σχετική λίστα περιλαμβάνεται, προφανώς, η κεντρική κυβέρνηση, όπως και οι περιφέρεις αλλά και οι δήμοι της χώρας.

Βασικές υποχρεώσεις

Όσον αφορά στις υποχρεώσεις, οι οργανισμοί του δημόσιου τομέα και οι επιχειρήσεις του ιδιωτικού τομέα λαμβάνουν λεπτομερή μέτρα διαχείρισης κινδύνων που βασίζονται σε ολιστική προσέγγιση του κινδύνου και αποσκοπούν στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.

Η σημαντικότερη υποχρέωση είναι πάντως ότι οι φορείς οφείλουν να αναφέρουν περιστατικά κυβερνοασφάλειας στην Εθνική Αρχή Κυβερνοασφάλειας, διασφαλίζοντας την έγκαιρη επικοινωνία και την αντιμετώπιση των απειλών. Τα περιστατικά αυτά θα δημοσιοποιούνται όπως αναφέρθηκε.

Υποχρέωση αναφοράς υπάρχει όταν ένα περιστατικό θεωρείται σημαντικό. Δηλαδή, αν έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα ή αν έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη ζημία.

Σημειωτέον πως ο κ. Μπλέτσας ανέφερε ότι το σημείο που θα δώσει αρχικά έμφαση η ΕΑΚ θα είναι η αναφορά περιστατικών κυβερνοασφάλειας καθώς μόνο έτσι θα υπάρχει πλήρη εικόνα για τις κυβερνοεπιθέσεις που σημειώνονται στην Ελλάδα και θα είναι εφικτό να ληφθούν μέτρα για την αντιμετώπιση τους. Αν δεν γίνεται αναφορά, μπορεί να υπάρχουν κυρώσεις υπό τη μορφή προστίμων που προβλέπονται μέσα στο νομοσχέδιο και μπορούν να φθάσουν τα 10 εκατ. ευρώ ή το 2% του παγκόσμιου κύκλου εργασιών μίας επιχείρησης.

Όσον αφορά στον έλεγχο των οργανισμών για το κατά πόσον λαμβάνουν τα κατάλληλα μέτρα κυβερνοπροστασίας -τα οποία θα διαμορφωθούν με τις κανονιστικές αποφάσεις που θα βγουν σταδιακά- αυτό θα γίνεται από την ΕΑΚ αλλά και από φυσικά πρόσωπα που σχεδιάζει να πιστοποιήσει η αρχή. Επιπλέον, όπως αναφέρθηκε το κόστος για τους ελέγχους θα καλύπτουν οι ελεγχόμενοι φορείς και οργανισμοί υπό τη μορφή ενός ανταποδοτικού τέλους.

Για την αντιμετώπιση των μεγάλης κλίμακας κυβερνοεπιθέσεων, η ΕΑΚ πρόκειται να αποκτήσει τη δική της ομάδα απόκρισης (Computer Security Incident Response Team – CSIRT). Μέχρι τότε, θα υπάρχει συνεργασία με τα CSIRT που διαθέτουν το ΓΕΕΘΑ και η ΕΥΠ.