Νέες Υποχρεώσεις που Απορρέουν από την Οδηγία NIS2

ByDimitris Kokoutsidis 5 Νοεμβρίου, 20245 Νοεμβρίου, 2024

H Οδηγία NIS2, οικοδομώντας πάνω στα θεμέλια της προκατόχου της, δεν αποτελεί απλώς μια ενημέρωση· είναι μια σημαντική επέκταση του πεδίου εφαρμογής και της φιλοδοξίας για την αντιμετώπιση του συνεχώς εξελισσόμενου τοπίου των κυβερνοαπειλών. Μία από τις κύριες βελτιώσεις είναι η συμπερίληψη των αλυσίδων εφοδιασμού, ενός κρίσιμου τομέα ευπάθειας στο σημερινό διασυνδεδεμένο ψηφιακό οικοσύστημα. Επιπλέον, η NIS2 στοχεύει στην τυποποίηση της αναφοράς περιστατικών, δημιουργώντας ένα ενιαίο πλαίσιο που ενισχύει την εθνική ορατότητα στις κυβερνοεπιθέσεις και τις επιπτώσεις τους σε διάφορους τομείς.

Μια αξιοσημείωτη αλλαγή είναι η προληπτική στάση της Οδηγίας όσον αφορά την παρακολούθηση της ασφάλειας. Η Οδηγία επιβάλλει την ενεργή παρακολούθηση των πληροφοριακών συστημάτων για την ανίχνευση ανωμαλιών και πιθανών απειλών, υπερβαίνοντας τους παθητικούς αμυντικούς μηχανισμούς. Επιπλέον, ενσωματώνει τη διοίκηση των εταιρειών στη διαχείριση της κυβερνοασφάλειας, καθιερώνοντας την ευθύνη και ενσωματώνοντας τη διαχείριση της κυβερνοασφάλειας στη γενικότερη δομή εταιρικής διακυβέρνησης.

Επιπρόσθετα, η Οδηγία NIS2 επιβάλλει νέες, ενισχυμένες υποχρεώσεις στις καλυπτόμενες οντότητες και θεσπίζει αυστηρότερο καθεστώς επιβολής.

Νέες Υποχρεώσεις και Μέτρα Διαχείρισης Κινδύνων

Στον πυρήνα των νέων υποχρεώσεων βρίσκεται η απαίτηση για ολοκληρωμένα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας. Οι βασικές και κρίσιμες οντότητες πρέπει να εφαρμόζουν κατάλληλα, αναλογικά και αποτελεσματικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για την προστασία των δικτύων, των συστημάτων πληροφορικής και των διαδικασιών, διασφαλίζοντας την ασφάλεια των υπηρεσιών τους και ελαχιστοποιώντας τις επιπτώσεις των περιστατικών ασφαλείας στους χρήστες τους (Άρθρο 21(1) της Οδηγίας NIS2).

Τα μέτρα διαχείρισης κινδύνων πρέπει να βασίζονται σε μια πολυπαραγοντική προσέγγιση και να περιλαμβάνουν τουλάχιστον τα ακόλουθα στοιχεία:

Σχέδιο για την ανάλυση κινδύνων και την ασφάλεια των πληροφοριακών συστημάτων.
Διαχείριση περιστατικών ασφαλείας.
Επιχειρησιακή συνέχεια και διαχείριση κρίσεων.
Ασφάλεια της αλυσίδας εφοδιασμού.
Μέτρα ασφαλείας για την απόκτηση, ανάπτυξη και συντήρηση των ΤΠΕ.
Σχέδια και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων.
Κυβερνοϋγιεινή και εκπαίδευση στην κυβερνοασφάλεια.
Κρυπτογραφία και κρυπτογράφηση, όπου είναι εφαρμόσιμη.
Ασφάλεια προσωπικού και σχέδια για τον έλεγχο πρόσβασης.
Πολυπαραγοντική ταυτοποίηση.

Η αξιολόγηση κινδύνου πρέπει να λαμβάνει υπόψη την έκθεση σε κίνδυνο και το μέγεθος της οντότητας, καθώς και την πιθανότητα εμφάνισης περιστατικού ασφάλειας, τον βαθμό σοβαρότητας και την επίπτωσή του. Για να ορίσει ακόμη πιο συγκεκριμένες τεχνικές και μεθοδολογικές προδιαγραφές για τα παραπάνω υποχρεωτικά στοιχεία, η Ευρωπαϊκή Επιτροπή μπορεί να εκδώσει δεσμευτικές εφαρμοστικές πράξεις (Άρθρο 21(2) της Οδηγίας NIS2).

Υποχρέωση Ειδοποίησης και Αναφοράς

Μια ακόμη σημαντική παράμετρος του καταλόγου υποχρεώσεων της Οδηγίας NIS2 είναι η υποχρέωση ειδοποίησης και αναφοράς. Οι επηρεαζόμενες οντότητες πρέπει να αναφέρουν σημαντικά περιστατικά ασφάλειας στην εθνική Ομάδα Αντίδρασης σε Περιστατικά Πληροφορικής Ασφάλειας (CSIRT), η οποία θα οριστεί βάσει της Οδηγίας NIS2 ή, όπου είναι κατάλληλο, στην αρμόδια τοπική αρχή (στη συνέχεια αναφέρονται συλλογικά ως “αρχή”) εντός καθορισμένων χρονικών ορίων και με σταδιακές αναφορές. Ο ακριβής χρόνος για την αναφορά σε μια CSIRT ή σε άλλη αρχή θα γίνει σαφέστερος καθώς προχωρά η εθνική εφαρμογή της Οδηγίας NIS2.

Βάσει της Οδηγίας NIS2, ένα περιστατικό ασφάλειας είναι οποιοδήποτε γεγονός που επηρεάζει τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των αποθηκευμένων ή επεξεργασμένων δεδομένων ή των υπηρεσιών που προσφέρονται μέσω δικτύου και πληροφοριακών συστημάτων (Άρθρο 6 της Οδηγίας NIS2). Το περιστατικό θεωρείται σημαντικό αν:

Έχει προκαλέσει ή ενδέχεται να προκαλέσει σοβαρή διαταραχή στη λειτουργία των υπηρεσιών ή οικονομική ζημία στην ενδιαφερόμενη εταιρεία.
Έχει επηρεάσει αρνητικά ή ενδέχεται να επηρεάσει αρνητικά άλλα φυσικά ή νομικά πρόσωπα, προκαλώντας σημαντική υλική ή άυλη ζημία (Άρθρο 23(3)(α) και (β) της Οδηγίας NIS2).

Σημειώνεται ότι η υποχρέωση ειδοποίησης ενεργοποιείται χωρίς την ανάγκη να εμπλέκεται η επεξεργασία ή η αποκάλυψη προσωπικών δεδομένων.

Υπάρχουν τρεις κατηγορίες υποχρεωτικών ενεργειών ειδοποίησης και αναφοράς προς την αρχή σε περίπτωση σημαντικού περιστατικού ασφάλειας:

Προειδοποίηση: Οι ουσιώδεις και σημαντικές οντότητες πρέπει να αναφέρουν μια προειδοποίηση στην αρχή χωρίς καθυστέρηση, αλλά όχι αργότερα από 24 ώρες, σε περίπτωση σημαντικού περιστατικού ασφάλειας. Αυτή η αναφορά πρέπει να υποδεικνύει εάν υπάρχει υποψία ότι το περιστατικό ασφάλειας είναι πιθανό να οφείλεται σε παράνομη ή κακόβουλη ενέργεια ή μπορεί να έχει διασυνοριακές επιπτώσεις (Άρθρο 23(4) της Οδηγίας NIS2).
Εκτεταμένη ειδοποίηση: Πρέπει επίσης να υποβληθεί μια πιο λεπτομερής ειδοποίηση στην αρχή εντός 72 ωρών, ενημερώνοντας την προειδοποίηση και παρέχοντας μια πρώτη αξιολόγηση του περιστατικού ασφάλειας. Αυτή πρέπει να αναφέρει τη σοβαρότητά του, την επίδρασή του και, εφόσον είναι εφαρμόσιμο, ενδείξεις παραβιάσεων.
Ενδιάμεση/Τελική αναφορά: Σε περίπτωση που το αρμόδιο όργανο το ζητήσει, οι επηρεαζόμενες οντότητες πρέπει να παρέχουν μια ενδιάμεση αναφορά, εάν είναι εφαρμόσιμη, και μια τελική αναφορά μέχρι ένα μήνα το αργότερο. Η τελική αναφορά πρέπει να περιλαμβάνει λεπτομερείς πληροφορίες σχετικά με το περιστατικό ασφάλειας, συμπεριλαμβανομένης της επίπτωσής του, των αιτιών του και των ληφθέντων μέτρων επίλυσης (Άρθρο 23(5) της Οδηγίας NIS2).

Οι αρχές θα πρέπει να παρέχουν ανατροφοδότηση στις αναφέρουσες εταιρείες για το αναφερθέν περιστατικό ασφάλειας και, κατόπιν αιτήματος της εταιρείας, να προσφέρουν καθοδήγηση ή λειτουργική συμβουλή για πιθανά μέτρα αντιμετώπισης (Άρθρο 23(5) της Οδηγίας NIS2).

Αυτές οι υποχρεώσεις ειδοποίησης είναι παρόμοιες, αν και όχι ταυτόσημες, με τις απαιτήσεις ειδοποίησης για περιστατικά προστασίας δεδομένων σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων της ΕΕ (GDPR) και περιστατικά ασφάλειας σύμφωνα με τους εθνικούς νόμους τηλεπικοινωνιών που εφαρμόζουν τον Ευρωπαϊκό Κώδικα Ηλεκτρονικών Επικοινωνιών (EECC). Ως αποτέλεσμα, οι εταιρείες πρέπει να αξιολογήσουν εάν οι υπάρχουσες εταιρικές δομές και διαδικασίες μπορούν να χρησιμοποιηθούν εν μέρει για την εκπλήρωση αυτών των απαιτήσεων.

Υπάρχουν επίσης υποχρεώσεις για ειδοποίηση των παρόχων υπηρεσιών και του κοινού. Εάν ένα σημαντικό περιστατικό ασφάλειας επηρεάζει την παροχή υπηρεσιών, η ενδιαφερόμενη εταιρεία πρέπει να ειδοποιήσει άμεσα τους παραλήπτες των υπηρεσιών. Το ίδιο ισχύει εάν οι παραλήπτες επηρεάζονται από μια σημαντική κυβερνοαπειλή.

Οι αρμόδιες αρχές μπορεί επίσης να απαιτήσουν από τις εταιρείες να ενημερώσουν το κοινό για ένα σημαντικό περιστατικό ασφάλειας, ειδικά όταν η δημόσια ενημέρωση είναι απαραίτητη για την πρόληψη ή την αντιμετώπιση του περιστατικού.

Επιβολή και Κυρώσεις

Τα Άρθρα 31 έως 37 περιγράφουν το πλαίσιο εποπτείας και επιβολής, χορηγώντας στις εθνικές αρχές εξουσίες για τη διασφάλιση της συμμόρφωσης. Στο πλαίσιο αυτό, το Άρθρο 32 παρέχει εξουσίες για την εφαρμογή μέτρων που είναι αποτελεσματικά, αναλογικά και αποτρεπτικά για τις οντότητες εντός του πεδίου εφαρμογής της Οδηγίας. Αυτά δυνητικά περιλαμβάνουν εποπτεία επί τόπου και εκτός τόπου, τυχαίους ελέγχους και στοχευμένους ελέγχους ασφαλείας, όπως φαίνεται αναλυτικότερα στον παρακάτω πίνακα.

Ουσιαστικές Οντότητες	Σημαντικές Οντότητες
– Τακτικοί και στοχευμένοι έλεγχοι ασφαλείας (προληπτικοί)	– Έλεγχοι μόνο σε περίπτωση βάσιμων υποψιών (εκ των υστέρων)
– Έλεγχοι επί τόπου	– Επιτόπιες επιθεωρήσεις και εξωτερικά μέτρα επιβολής εκ των υστέρων
– Πρόστιμα έως 2% του ετήσιου παγκόσμιου τζίρου ή 10.000.000 ευρώ, όποιο είναι υψηλότερο	– Πρόστιμα έως 1,4% του ετήσιου παγκόσμιου τζίρου ή 7.000.000 ευρώ, όποιο είναι υψηλότερο

Επιπρόσθετα, η Οδηγία NIS2 δίνει στις εθνικές αρχές ένα φάσμα εξουσιών επιβολής, που περιλαμβάνουν τη δυνατότητα έκδοσης προειδοποιήσεων για μη συμμόρφωση, δεσμευτικών οδηγιών προς τις οργανώσεις και εξουσιών για την επιβολή της διαχείρισης κινδύνου και της εφαρμογής προτάσεων.

Ένα νέο στοιχείο είναι η προσωπική ευθύνη των ανώτερων μελών της διοίκησης (π.χ., μέλη του διοικητικού συμβουλίου, διευθύνοντες σύμβουλοι) που πρέπει να εγκρίνουν και να παρακολουθούν τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας. Η Οδηγία δίνει εξουσίες στην εθνική αρχή για την επιβολή της ευθύνης της διοίκησης. Ως αποτέλεσμα, σε ακραίες περιπτώσεις, ο Διευθύνων Σύμβουλος ή ο νόμιμος αντιπρόσωπος μπορεί να απαγορευθεί προσωρινά από την εκτέλεση των διοικητικών του καθηκόντων.

ΕΕπιπτώσεις και Συμβουλές Συμμόρφωσης

Για τους οργανισμούς, η μετάβαση στην Οδηγία NIS2 φέρνει μια σειρά νέων ευθυνών και προκλήσεων. Η Οδηγία περιλαμβάνει ένα ευρύτερο φάσμα τομέων, συμπεριλαμβανομένων προηγουμένως παραβλεπόμενων περιοχών, όπως τα δημόσια δίκτυα πληροφοριών, η παραγωγή τροφίμων και η δημόσια διοίκηση. Επιπλέον, εισάγει αυστηρές απαιτήσεις αναφοράς, με την πρώτη ειδοποίηση περιστατικών να απαιτείται εντός 24 ωρών και ένα λεπτομερές αναλυτικό σχέδιο δράσης που πρέπει να υποβληθεί μέσα σε ένα μήνα.

Η Οδηγία NIS2 επίσης τονίζει τη σημασία της ασφάλειας της αλυσίδας εφοδιασμού, αναγνωρίζοντας τις αλυσιδωτές επιπτώσεις που μπορούν να έχουν οι ευπάθειες σε μια περιοχή της αλυσίδας εφοδιασμού σε άλλες. Αυτή η ολιστική προσέγγιση επεκτείνεται στις βέλτιστες πρακτικές τεχνολογίας πληροφορικής, απαιτώντας από τις οργανώσεις να υιοθετήσουν μια ολοκληρωμένη στάση ασφαλείας που καλύπτει τα πάντα, από τη διαχείριση περιουσιακών στοιχείων μέχρι την κρυπτογράφηση και τους ανθρώπινους πόρους.

Με την προθεσμία υλοποίησης να πλησιάζει και χωρίς περίοδο μετάβασης, οι οργανισμοί πρέπει να δράσουν γρήγορα για να ευθυγραμμίσουν τις πρακτικές ασφάλειάς τους με τις απαιτήσεις της Οδηγίας NIS2. Η εφαρμογή ή η αναθεώρηση ενός συστήματος κυβερνοασφάλειας είναι μια τεράστια εργασία, λαμβάνοντας υπόψη την πολυπλοκότητα της νομοθεσίας. Ως εκ τούτου, οι οργανισμοί θα πρέπει να αρχίσουν να προετοιμάζονται από τώρα:

Αξιολογώντας εάν και σε ποιο βαθμό θα υπόκεινται στις νέες κυβερνοασφαλειακές υποχρεώσεις σύμφωνα με την Οδηγία NIS2 και προετοιμαζόμενοι για τις απαραίτητες προσαρμογές.
Σχεδιάζοντας επαρκείς οικονομικούς και ανθρώπινους πόρους για την εφαρμογή, ορίζοντας έναν υπεύθυνο και εμπλέκοντας αρμόδιους εξωτερικούς συνεργάτες εγκαίρως για υποστήριξη στην εφαρμογή.
Εντοπίζοντας και εφαρμόζοντας κατάλληλα μέτρα, συμπεριλαμβανομένης της προσαρμογής των εσωτερικών διαδικασιών της εταιρείας και των κυβερνοασφαλειακών διατάξεων ανάλογα.

Αναλυτικότερα, οι οργανισμοί θα πρέπει να υιοθετήσουν μια προληπτική προσέγγιση για τη συμμόρφωση με την Οδηγία NIS2, εκμεταλλευόμενοι τον πολύτιμο χρόνο πριν επιβληθούν πλήρως οι απαιτήσεις, που θα περιλαμβάνει κατ’ ελάχιστο:

Κατανόηση του νομικού πλαισίου που διέπει τη λειτουργία του οργανισμού

Οι οργανισμοί πρέπει να κατανοήσουν εάν εμπίπτουν στο πεδίο εφαρμογής της Οδηγίας NIS2. Αν ναι, πρέπει να γνωρίζουν εάν θα υπόκεινται σε προληπτική ρυθμιστική επίβλεψη (ουσιώδεις οντότητες) ή όχι (σημαντικές οντότητες). Επιπλέον, η αναγνώριση άλλων πιθανών κανονιστικών πλαισίων στα οποία ο οργανισμός ίσως χρειαστεί να συμμορφωθεί στο μέλλον, όπως η Οδηγία Ανθεκτικότητας Κρίσιμων Οντοτήτων (CER) και ο Κανονισμός για την Τεχνητή Νοημοσύνη της ΕΕ (EU AI Act), μπορεί να ωφελήσει μακροπρόθεσμα.

Αξιολόγηση της ικανότητας συμμόρφωσης

Η κατανόηση του βαθμού συμμόρφωσης του οργανισμού με την Οδηγία NIS2 θα βοηθήσει στον καθορισμό μιας βάσης συμμόρφωσης και θα καθοδηγήσει τις προσπάθειες για το κλείσιμο των πιθανών κενών. Ένα χρήσιμο εργαλείο είναι ένα πλαίσιο ελέγχου κυβερνοασφάλειας – η αντιστοίχιση συγκεκριμένων ελέγχων που εφαρμόζονται εντός του οργανισμού σε κάθε άρθρο της Οδηγίας NIS2 μπορεί να βοηθήσει στον καθορισμό των κενών. Οι αξιολογήσεις της τρέχουσας κατάστασης πρέπει να καλύπτουν τους τομείς της κυβερνοασφάλειας, από τη διακυβέρνηση και την αναφορά έως τους τεχνικούς ελέγχους προστασίας δεδομένων, αξιολογώντας τη λειτουργική αποτελεσματικότητα των ελέγχων που έχουν τεθεί σε εφαρμογή και εντοπίζοντας πιθανά κενά.

Ενεργή δοκιμή των διαδικασιών αντίδρασης σε περιστατικά

Οι ανασκοπήσεις και οι εκτενείς δραστηριότητες προσομοίωσης κρίσης είναι αποτελεσματικοί τρόποι για την περιοδική αξιολόγηση της ικανότητας του οργανισμού να αντιδρά σε κυβερνοεπιθέσεις. Όλοι οι εμπλεκόμενοι, συμπεριλαμβανομένων των υψηλόβαθμων στελεχών και τρίτων μερών, πρέπει να γνωρίζουν τις ευθύνες τους κατά τη διάρκεια ενός περιστατικού για να διευκολυνθεί η γρήγορη και ασφαλής ανάκαμψη. Επιπλέον, η ευθύνη για την αναφορά στις αρχές και τους εξωτερικούς φορείς είναι κρίσιμη για τη συμμόρφωση – η Οδηγία NIS2 ορίζει αυστηρές απαιτήσεις αναφοράς περιστατικών με στενές προθεσμίες. Η ενεργή δοκιμή της ικανότητας του οργανισμού να επικοινωνεί αποτελεσματικά εσωτερικά και εξωτερικά κατά τη διάρκεια και μετά από ένα περιστατικό είναι σημαντική, όπως και η αποτελεσματική αντιμετώπιση της ρίζας του προβλήματος.

Ενσωμάτωση δοκιμών ανθεκτικότητας

Οι αρχές έχουν δώσει έμφαση στην κυβερνοανθεκτικότητα. Η Οδηγία NIS2 θεσπίζει ένα κοινό πλαίσιο για τους οργανισμούς σε όλη την Ευρωπαϊκή Ένωση όσον αφορά την ικανότητά τους να αντέχουν σε κυβερνοεπιθέσεις. Οι οργανισμοί πρέπει να εφαρμόσουν ένα πρόγραμμα δοκιμής ανθεκτικότητας σε όλες τις κύριες ψηφιακές τους πλατφόρμες και υπηρεσίες για να επιβεβαιώσουν σε ποιο βαθμό μπορούν να διατηρηθούν οι λειτουργίες υπό δυσμενείς συνθήκες. Οι δοκιμές πρέπει να πραγματοποιούνται τακτικά με προσέγγιση βασισμένη στον κίνδυνο αναφορικά με το εύρος και τη συχνότητά τους. Οι οργανισμοί πρέπει να ορίσουν τους Στόχους Χρόνου Ανάκαμψης (RTO) και τους Στόχους Σημείου Ανάκαμψης (RPO) για τα κρίσιμα τους συστήματα, ώστε να θέσουν τις ελάχιστες προσδοκίες για την ανάκτηση των κύριων ψηφιακών υπηρεσιών.

Ανάπτυξη ενός προγράμματος διαχείρισης απειλών και ευπαθειών end-to-end

Παράλληλα με τις δοκιμές ανθεκτικότητας, η κατανόηση των ανοιχτών ευπαθειών του οργανισμού στα πληροφοριακά συστήματά του θα βοηθήσει στην αποτελεσματική διαχείριση του κυβερνοκινδύνου. Ασκήσεις όπως η σάρωση ευπαθειών πρέπει να συμπληρώνονται από χειροκίνητες δοκιμές διείσδυσης από έμπειρους επαγγελματίες κυβερνοασφάλειας σε κύρια συστήματα. Επιπλέον, η δοκιμή ευπαθειών πρέπει να καλύπτει όλους τους τομείς που σχετίζονται με την κυβερνοασφάλεια, όχι μόνο τα παραδοσιακά συστήματα πληροφορικής. Η Λειτουργική Τεχνολογία (OT) μπορεί να αποτελεί σημαντικό μέρος του ψηφιακού αποτυπώματος και της επιφάνειας επίθεσης ενός οργανισμού. Πρέπει να καθιερωθούν διαδικασίες για την τακτική δοκιμή ευπαθειών, με τα αποτελέσματα των δοκιμών να περιλαμβάνουν σχέδια αντιμετώπισης για τη διόρθωση των εντοπισμένων αδυναμιών. Ο όγκος και η κρισιμότητα των ανοικτών ευπαθειών πρέπει να επικοινωνούνται μέσα στον οργανισμό ώστε να ενισχυθεί η απαραίτητη ευαισθητοποίηση των εμπλεκόμενων και η ανάληψη της ευθύνης για την ασφάλεια του οργανισμού.

Αναθεώρηση των διαδικασιών διαχείρισης κινδύνων κυβερνοασφάλειας του οργανισμού

Η τακτική αναθεώρηση και ενημέρωση των διαδικασιών διαχείρισης κινδύνων κυβερνοασφάλειας για την αντιμετώπιση των εξελισσόμενων απειλών και ευπαθειών των συστημάτων είναι απαραίτητη. Πιθανά σημεία αδυναμίας πρέπει να αναλύονται και να εφαρμόζονται αξιόπιστα μέτρα για την προστασία ευαίσθητων πληροφοριών. Η προώθηση μιας κουλτούρας επίγνωσης και επαγρύπνησης μεταξύ των μελών της ομάδας προκειμένου να ενισχυθεί η συνολική ανθεκτικότητα της κυβερνοασφάλειας και να μειωθούν οι πιθανοί κίνδυνοι είναι επίσης επιτακτική για την απρόσκοπτη συμμόρφωση με τις απαιτήσεις της Οδηγίας.

Αναθεώρηση των διαδικασιών Διαχείρισης Κινδύνων Τρίτων (TPRM) του οργανισμού

Οι διαδικασίες Διαχείρισης Κινδύνων Τρίτων (TPRM) του οργανισμού πρέπει να αξιολογούνται εκτενώς προκειμένου να ενισχυθεί η ασφάλεια και η συμμόρφωση με τις απαιτήσεις της Οδηγίας NIS2. Πρέπει να αξιολογούνται οι σχέσεις με τους προμηθευτές, να αναγνωρίζονται πιθανές ευπάθειες και να βεβαιώνεται η εφαρμογή αξιόπιστων στρατηγικών μείωσης κινδύνου. Η διαδικασία TPRM πρέπει να ενημερώνεται και να προσαρμόζεται τακτικά ώστε να συμμορφώνεται με τις βέλτιστες πρακτικές του κλάδου, με στόχο τη μείωση των πιθανών απειλών και τη βελτίωση της συνολικής λειτουργικής ανθεκτικότητας. Οι τακτικές αναθεωρήσεις είναι αναγκαίες προκειμένου να διατηρηθεί μια προληπτική προσέγγιση στην προστασία ευαίσθητων πληροφοριών και να διατηρηθεί η εμπιστοσύνη των ενδιαφερομένων.

Αναθεώρηση της κουλτούρας και των τρόπων εργασίας για την αναγνώριση κινδύνων στη συμμόρφωση με τις απαιτήσεις της Οδηγίας NIS2

Η κατανόηση της κουλτούρας και των τρόπων εργασίας έχει καίρια σημασία για τον προσδιορισμό των κινδύνων που μπορεί να αντιμετωπίσει ο οργανισμός στο πλαίσιο της συμμόρφωσης με το NIS2. Η εισαγωγή προηγούμενης κοινοτικής νομοθεσίας όπως ο GDPR έχει δείξει ότι η αλλαγή συμπεριφοράς είναι απαραίτητη για τη μείωση κινδύνων και την αποτροπή έκθεσης του οργανισμού σε αποφεύξιμους κινδύνους και κυρώσεις. Με δεδομένη την εισαγωγή της “προσωπικής ευθύνης” ως μέρους του NIS2, η αντιμετώπιση των απαιτήσεων αλλαγής συμπεριφοράς της διοίκησης αποτελεί έναν κύριο πυλώνα μιας αποτελεσματικής στρατηγικής για την ανταπόκριση στο NIS2.

Οι προετοιμασίες δεν πρέπει να καθυστερούν από το γεγονός ότι οι λεπτομέρειες των κυβερνοασφαλειακών υποχρεώσεων θα διευκρινιστούν στους εθνικούς νόμους που εφαρμόζουν την Οδηγία NIS2. Προς αυτήν την κατεύθυνση, οι επηρεαζόμενες εταιρείες και φορείς θα πρέπει να συνεχίσουν να παρακολουθούν προσεκτικά τις περαιτέρω εξελίξεις και να προσαρμόζουν τον σχεδιασμό της κυβερνοασφάλειάς τους όπως απαιτείται για να αποφεύγουν πιθανά κανονιστικά μέτρα, ειδικά σημαντικά διοικητικά πρόστιμα. Η πιθανή άμεση ευθύνη των μελών της διοίκησης λειτουργεί ως πρόσθετο κίνητρο. Είναι σημαντικό για τις εταιρείες και τους φορείς να διατηρούν την ενημέρωση και τη συμμόρφωσή τους με τις νέες κυβερνοασφαλειακές απαιτήσεις προκειμένου να προστατεύσουν τα δεδομένα και την ορθή λειτουργία των υπηρεσιών τους. Επιπλέον, η επενδυτική προσπάθεια και η προσήλωση στην κυβερνοασφάλεια μπορεί να αποτελέσουν ένα ανταγωνιστικό πλεονέκτημα, ενισχύοντας την εμπιστοσύνη των πελατών και των συνεργατών.

Συνολικά, η προετοιμασία για τις νέες κυβερνοασφαλειακές υποχρεώσεις είναι μια αναγκαιότητα που απαιτεί προσεκτικό σχεδιασμό, εφαρμογή και συνεχή παρακολούθηση.

Προκλήσεις και Ευκαιρίες

Οι προκλήσεις και οι ευκαιρίες που σχετίζονται με τη συμμόρφωση στις απαιτήσεις της Οδηγίας NIS2 μπορούν να κατηγοριοποιηθούν σε διάφορες διαστάσεις. Κυρίως, η εκπλήρωση αυστηρών απαιτήσεων ασφαλείας, η συμμόρφωση με αυστηρές αναφορές περιστατικών και η διασφάλιση της ασφάλειας της αλυσίδας εφοδιασμού αποτελούν σημαντικές προκλήσεις. Ωστόσο, η αποδοχή αυτών των απαιτήσεων προσφέρει μια ευκαιρία συμμόρφωσης μέσω της διαμόρφωσης μιας πιο ανθεκτικής κυβερνοασφάλειας και, τελικά, της μείωσης του κινδύνου διαρροής δεδομένων.

Επιπλέον, η πτυχή της επένδυσης πόρων, ιδιαίτερα σε τεχνολογία και εξειδίκευση, αποτελεί μια πρόκληση, ειδικά για μικρότερες επιχειρήσεις. Ωστόσο, η μετατροπή αυτής της πρόκλησης σε ευκαιρία μπορεί να οδηγήσει σε λειτουργικές αποδοτικότητες και καινοτομία, με τελικό όφελος για τον οργανισμό.

Επιπλέον, οι τακτικοί και ειδικοί έλεγχοι και αξιολογήσεις που διενεργούνται από ανεξάρτητους φορείς αποτελούν προκλήσεις όσον αφορά τον πιθανό έλεγχο και τη διάθεση πόρων. Ωστόσο, αυτές οι διαδικασίες παρέχουν πολύτιμες ευκαιρίες συμμόρφωσης, εντοπίζοντας περιοχές προς βελτίωση και βελτιώνοντας έτσι την αξιοπιστία και την ασφάλεια του οργανισμού.

Η επίδραση στους οργανισμούς, συμπεριλαμβανομένης της πιθανής πίεσης στους πόρους και της ανάγκης προσαρμογής σε νέα πρότυπα, είναι επίσης μια αδιαμφισβήτητη πρόκληση. Ωστόσο, η επιτυχής πλοήγηση στις απαιτήσεις συμμόρφωσης μπορεί να οδηγήσει σε βελτιωμένη φήμη, εμπιστοσύνη και ανταγωνιστικό πλεονέκτημα στην αγορά.

Τέλος, στη βιομηχανία της κυβερνοασφάλειας, η προσαρμογή στα εξελισσόμενα πρότυπα συμμόρφωσης και η ενσωμάτωσή τους στις προσφορές υπηρεσιών αποτελεί μια σημαντική πρόκληση. Ωστόσο, αυτή η πρόκληση δημιουργεί ευκαιρίες, ανοίγοντας νέες αγορές για λύσεις και υπηρεσίες συμμόρφωσης, επιτρέποντας στις εταιρείες κυβερνοασφάλειας να παραμείνουν μπροστά σε ένα δυναμικό και συνεχώς μεταβαλλόμενο τοπίο.

Αγγλικά | Ευρωπαϊκή Οδηγία
DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022 (NIS 2 Directive)
ByDimitris Kokoutsidis 27 Δεκεμβρίου, 20225 Νοεμβρίου, 2024
The Network and Information Security (NIS) Directive was the first piece of EU-wide legislation on cybersecurity, and its specific aim was to achieve a high common level of cybersecurity across the Member States. While it increased the Member States’ cybersecurity capabilities, its implementation proved difficult, resulting in fragmentation at different levels across the internal market. To respond to the growing threats posed with digitalisation and the surge in cyber-attacks, the Commission has submitted a proposal to replace the NIS Directive and thereby strengthen the security requirements, address the security of supply chains, streamline reporting obligations, and introduce more stringent supervisory measures and stricter enforcement requirements, including harmonised sanctions across the EU. The proposed expansion of the scope covered by NIS2, by effectively obliging more entities and sectors to take measures, would assist in increasing the level of cybersecurity in Europe in the longer term. Within the European Parliament, the file was assigned to the Committee on Industry, Research and Energy. The committee adopted its report on 28 October 2021, while the Council agreed its position on 3 December 2021. The co-legislators reached a provisional agreement on the text on 13 May 2022. The political agreement was formally adopted by the Parliament and then the Council in November 2022. It entered into force on 16 January 2023, and Member States now have 21 months, until 17 October 2024, to transpose its measures into national law.
Read More DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022 (NIS 2 Directive)
Πληροφορία
Υπουργείο Ψηφιακής Διακυβέρνησης: Οι Αρχές προστασίας των θεμελιωδών δικαιωμάτων σε σχέση με τη χρήση Τεχνητής Νοημοσύνης στην Ελλάδα
ByDimitris Kokoutsidis 12 Νοεμβρίου, 202416 Νοεμβρίου, 2024
ο Υπουργείο Ψηφιακής Διακυβέρνησης στο πλαίσιο του Κανονισμού για την Τεχνητή Νοημοσύνη (AI Act) δημοσιεύει τον κατάλογο των εθνικών αρχών και φορέων που επιβάλλουν ή εποπτεύουν την τήρηση των ενωσιακών υποχρεώσεων για την προστασία των θεμελιωδών δικαιωμάτων των πολιτών, μεταξύ των οποίων και το δικαίωμα στη μεταχείριση χωρίς διακρίσεις, όταν χρησιμοποιούν συστήματα ΤΝ υψηλού κινδύνου.
Με την κατάρτιση και τη δημοσίευση του καταλόγου η Ελλάδα εκπληρώνει την πρώτη εθνική υποχρέωση για την εφαρμογή του AI Act σε εθνικό επίπεδο. Η Ελλάδα, άλλωστε, υποστηρίζει πλήρως και εμπράκτως το όραμα της Ευρωπαϊκής Ένωσης για την υιοθέτηση ανθρωποκεντρικής και αξιόπιστης ΤΝ, με ενίσχυση της καινοτομίας και εξασφάλιση υψηλού επιπέδου προστασίας της υγείας, της ασφάλειας και των θεμελιωδών δικαιωμάτων.
Οι Αρχές που περιλαμβάνονται στον κατάλογο είναι οι εξής:
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Ο Συνήγορος του Πολίτη
Η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών
Η Εθνική Επιτροπή Δικαιωμάτων του Ανθρώπου
Οι προαναφερόμενες Αρχές θα αποκτήσουν επιπλέον εξουσίες, όπως η πρόσβαση σε κάθε τεκμηρίωση που δημιουργείται ή διατηρείται από έναν οργανισμό για τη συμμόρφωσή του με τον Κανονισμό για την ΤΝ, όταν αυτή είναι απαραίτητη για την αποτελεσματική εκπλήρωση της αποστολής των Αρχών αυτών και εντός των ορίων της δικαιοδοσίας τους.
Read More Υπουργείο Ψηφιακής Διακυβέρνησης: Οι Αρχές προστασίας των θεμελιωδών δικαιωμάτων σε σχέση με τη χρήση Τεχνητής Νοημοσύνης στην Ελλάδα
Άρθρο | Πληροφορία
Ολοκλήρωση της δημόσιας διαβούλευσης για την Οδηγία NIS 2
ByDimitris Kokoutsidis 7 Νοεμβρίου, 20247 Νοεμβρίου, 2024
Ολοκλήρωση της δημόσιας διαβούλευσης για το σχέδιο νόμου με τίτλο: «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις»
Με την ολοκλήρωση της δημόσιας διαβούλευσης για το σχέδιο νόμου του Υπουργείου Ψηφιακής Διακυβέρνησης, με τίτλο: «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις», θα ήθελα να εκφράσω τις θερμές μου ευχαριστίες σε όσους συμμετείχαν, καθώς με τις παρατηρήσεις τους συνέδραμαν ουσιαστικά και εποικοδομητικά στο έργο του Υπουργείου.
Όλα τα σχόλια και οι παρατηρήσεις θα μελετηθούν και θα αξιολογηθούν, προκειμένου να οριστικοποιηθεί το κείμενο του σχεδίου νόμου, το οποίο θα κατατεθεί προς συζήτηση και ψήφιση στη Βουλή των Ελλήνων.
Read More Ολοκλήρωση της δημόσιας διαβούλευσης για την Οδηγία NIS 2
Σχέδιο Νόμου
Διαβούλευση σχεδίου νόμου για την ενσωμάτωση της οδηγίας NIS 2
ByDimitris Kokoutsidis 19 Οκτωβρίου, 202414 Νοεμβρίου, 2024
Με το εν λόγω σχέδιο νόμου επιχειρείται:
Α) η ενσωμάτωση στην εθνική έννομη τάξη της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 “σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) αριθμ. 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2)”. Η οδηγία εισάγει μια ολοκληρωμένη προσέγγιση κυβερνοασφάλειας με βάση τον κίνδυνο, με στόχο την επίτευξη υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε όλα τα κράτη μέλη, ενισχύοντας τη λειτουργία της εσωτερικής αγοράς μέσω βελτιωμένων πρωτοκόλλων ασφαλείας και δυνατοτήτων αντιμετώπισης περιστατικών.
Β) Ειδικότερα, προβλέπεται: (α) εισαγωγή ρυθμίσεων για την εθνική στρατηγική κυβερνοασφάλειας, ο ορισμός αρμόδιας αρχής για την κυβερνοασφάλεια, και τη διαχείριση κυβερνοκρίσεων, (β) ο καθορισμός μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, (γ) η εισαγωγή κανόνων και υποχρεώσεων σχετικά με την ανταλλαγή πληροφοριών για την κυβερνοασφάλεια και (δ) η θέσπιση διατάξεων για την εν γένει εποπτεία και επιβολή της εφαρμογής του παρόντος, έτσι ώστε να επιτυγχάνεται υψηλό επίπεδο κυβερνοασφάλειας στην Ελλάδα.
Στο πλαίσιο αυτό, καλείται να συμμετάσχει στη δημόσια διαβούλευση κάθε κοινωνικός εταίρος και κάθε ενδιαφερόμενος, καταθέτοντας τις προτάσεις του για την όποια βελτίωση των διατάξεων του ανωτέρω .
Read More Διαβούλευση σχεδίου νόμου για την ενσωμάτωση της οδηγίας NIS 2
Ελληνικά | Ευρωπαϊκή Οδηγία
ΟΔΗΓΙΑ (ΕΕ) 2022/2555 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 14ης Δεκεμβρίου 2022 (Οδηγία NIS 2)
ByDimitris Kokoutsidis 27 Δεκεμβρίου, 20221 Νοεμβρίου, 2024
Η οδηγία για την ασφάλεια δικτύων και πληροφοριών (NIS) ήταν η πρώτη νομοθετική πράξη σε επίπεδο ΕΕ για την ασφάλεια στον κυβερνοχώρο, και ο συγκεκριμένος στόχος της ήταν να επιτύχει ένα υψηλό κοινό επίπεδο ασφάλειας στον κυβερνοχώρο σε όλα τα κράτη μέλη. Αν και αύξησε τις δυνατότητες των κρατών μελών στον τομέα της κυβερνοασφάλειας, η εφαρμογή της αποδείχθηκε δύσκολη, με αποτέλεσμα τον κατακερματισμό σε διαφορετικά επίπεδα σε ολόκληρη την εσωτερική αγορά. Για να ανταποκριθεί στις αυξανόμενες απειλές που δημιουργεί η ψηφιοποίηση και η έξαρση των επιθέσεων στον κυβερνοχώρο, η Επιτροπή υπέβαλε πρόταση για την αντικατάσταση της οδηγίας NIS και, ως εκ τούτου, την ενίσχυση των απαιτήσεων ασφαλείας, την αντιμετώπιση της ασφάλειας των αλυσίδων εφοδιασμού, τον εξ ορθολογισμό των υποχρεώσεων υποβολής εκθέσεων και την εισαγωγή αυστηρότερων εποπτικών μέτρων και αυστηρότερων απαιτήσεων επιβολής, συμπεριλαμβανομένων εναρμονισμένων κυρώσεων σε ολόκληρη την ΕΕ. Η προτεινόμενη επέκταση του πεδίου εφαρμογής που καλύπτεται από την NIS2, υποχρεώνοντας ουσιαστικά περισσότερες οντότητες και τομείς να λαμβάνουν μέτρα, θα συμβάλει στην αύξηση του επιπέδου ασφάλειας στον κυβερνοχώρο στην Ευρώπη μακροπρόθεσμα. Στο Ευρωπαϊκό Κοινοβούλιο, ο φάκελος ανατέθηκε στην Επιτροπή Βιομηχανίας, Έρευνας και Ενέργειας. Η επιτροπή ενέκρινε την έκθεσή της στις 28 Οκτωβρίου 2021, ενώ το Συμβούλιο συμφώνησε τη θέση του στις 3 Δεκεμβρίου 2021. Οι συννομοθέτες κατέληξαν σε προσωρινή συμφωνία επί του κειμένου στις 13 Μαΐου 2022. Η πολιτική συμφωνία εγκρίθηκε επίσημα από το Κοινοβούλιο και στη συνέχεια από το Συμβούλιο τον Νοέμβριο του 2022. Τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023 και τα κράτη μέλη έχουν πλέον 21 μήνες, έως τις 17 Οκτωβρίου 2024, για να μεταφέρουν τα μέτρα του στο εθνικό δίκαιο.
Read More ΟΔΗΓΙΑ (ΕΕ) 2022/2555 ΤΟΥ ΕΥΡΩΠΑΪΚΟΫ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 14ης Δεκεμβρίου 2022 (Οδηγία NIS 2)
Νόμος
NOMOΣ ΥΠ’ ΑΡΙΘΜ. 5160 Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις.
ByDimitris Kokoutsidis 28 Νοεμβρίου, 202428 Νοεμβρίου, 2024
ΕΦΗΜΕΡΙΔΑ ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ 27 Νοεμβρίου 2024 ΤΕΥΧΟΣ ΠΡΩΤΟ Αρ. Φύλλου 195 NOMOΣ ΥΠ’ ΑΡΙΘΜ. 5160 Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ)…
Read More NOMOΣ ΥΠ’ ΑΡΙΘΜ. 5160 Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις.

Similar Posts