To 2016 ψηφίσθηκε η οδηγία (EE) 2016/1148, γνωστή ως NIS1 (Network and Information Systems Directive), το πρώτο πλήρες νομοθετικό κείμενο της ΕΕ με στόχο τη βελτίωση της ασφάλειας στον κυβερνοχώρο σε όλα τα κράτη μέλη. Ενσωματώθηκε στη χώρα μας με τον νόμο 4577/2018 ενώ καθοριστική για την εφαρμογή του ήταν η Υ.Α. 1027/2019.
Την ίδια χρονιά, συστήθηκε η «Γενική Διεύθυνση Κυβερνοασφάλειας» στη Γενική Γραμματεία Τηλεπικοινωνιών και Ταχυδρομείων του Υπουργείου Ψηφιακής Διακυβέρνησης, που μετεξελίχθηκε εντός του 2024 σε νομικό πρόσωπο δημοσίου δικαίου, την Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ).
To 2022 ψηφίσθηκε η αναθεωρημένη εκδοχή της οδηγίας (ΕΕ) 2022/2555, γνωστή ως οδηγία NIS2 με προθεσμία ενσωμάτωσης έως τις 17 Οκτωβρίου 2024.
Το νομοσχέδιο για την ενσωμάτωση της οδηγίας αυτής στη χώρα μας, τέθηκε σε δημόσια διαβούλευση στο opengov.gr έως τις 2.11.2024. Τα βασικά χαρακτηριστικά του νέου πλαισίου είναι τα ακόλουθα.
- Επεκτάθηκε το πεδίο εφαρμογής ώστε να καλύπτονται περισσότεροι τομείς – οργανισμοί και αναμένεται ότι οι εποπτευόμενοι φορείς θα αυξηθούν από 70 σε περίπου 2.000 δεδομένου ότι αφορά: α) όλες τις µεσαίες επιχειρήσεις (απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως 250 εκ. ευρώ) ή και μεγάλες επιχειρήσεις που δραστηριοποιούνται ενδεικτικά στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανοµής τροφίµων, παραγωγής χηµικών προϊόντων, φαρµακευτικών προϊόντων, διαχείρισης λυµάτων και αποβλήτων, εταιρειών ταχυµεταφορών, β) ανεξάρτητα από το μέγεθός τους, τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου, και παρόχους υπηρεσιών συστήματος ονομάτων τομέα και γ) την Κεντρική Κυβέρνηση, τις Περιφέρειες και Δήμους.
- Προβλέπεται ένα σύνολο μέτρων κυβερνοασφάλειας που πρέπει να εφαρμόσουν οι υπόχρεοι φορείς που συμπεριλαμβάνει την υιοθέτηση κατάλληλων και αναλογικών τεχνικών, επιχειρησιακών και οργανωτικών μέτρων για τη διαχείριση των κινδύνων για την ασφάλεια των συστημάτων δικτύου και πληροφοριών καθώς και διεξαγωγή εκτίμησης κινδύνου.
- Υιοθετείται η υποχρέωση πρώτης αναφοράς περιστατικών κυβερνοασφάλειας εντός 24 ωρών («έγκαιρη ειδοποίηση») από τη στιγμή που εντοπίζεται το κρούσμα με την ευθύνη για την πρώτη αναφορά να μεταφέρεται πλέον στα υψηλότερα κλιμάκια της διοίκησης ενός φορέα και να μην μένει στα χέρια των Υπεύθυνων Ασφάλειας Πληροφοριακών συστημάτων. Μετά την έγκαιρη προειδοποίηση, πρέπει να υποβληθεί μια πιο λεπτομερής αναφορά «ειδοποίησης περιστατικού» εντός 72 ωρών.
- Πλέον, τα πρόστιμα για τις βασικές οντότητες (υψηλής κρισιμότητας) ξεκινούν από 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου κύκλου εργασιών της εταιρείας κατά το προηγούμενο έτος και για τις Σημαντικές Οντότητες (απλής κρισιμότητας), από 7 εκατομμύρια ευρώ ή 1,4% του παγκόσμιου κύκλου εργασιών της εταιρείας κατά το προηγούμενο έτος.
Οι κίνδυνοι και οι προκλήσεις αυξάνονται, αλλά παράλληλα αναδεικνύονται ευκαιρίες για τις εταιρείες που θα προσφέρουν υπηρεσίες και προϊόντα για τη συμμόρφωση με το νέο θεσμικό πλαίσιο κυβερνοασφάλειας. Ας θυμόμαστε ότι η ψηφιακή επιχειρησιακή ανθεκτικότητα αποτελεί πλέον θεμελιώδες κριτήριο βιωσιμότητας και επενδυτικής ελκυστικότητας μιας εταιρείας. Όσοι είναι καλύτερα προετοιμασμένοι θα αντέξουν και θα διακριθούν.
Ευαγγελία Βαγενά, Δικηγόρος, ΔΝ