Με το κυβερνοέγκλημα να ξεπερνά σε κόστος τα 10 τρις σε παγκόσμιο επίπεδο και τα ατομικά δικαιώματα να καταπατώνται, κρίθηκε αναγκαία η θέσπιση του νομοσχεδίου που θα στοχεύσει στη δημιουργία ενός ασφαλούς και ανταγωνιστικού ψηφιακού περιβάλλοντος, το οποίο αναβαθμίζει τη συνολική ανθεκτικότητα της χώρας έναντι κυβερνοαπειλών.
Πρόκειται για μία απαραίτητη εξέλιξη δεδομένης της πολυπλοκότητας των κυβερνοαπειλών, των σοβαρών ζητημάτων που θέτουν στη λειτουργία υποδομών ζωτικής σημασίας και της διατάραξης παροχής κρίσιμων υπηρεσιών.
Οι κανόνες της ΕΕ για την κυβερνοασφάλεια που θεσπίστηκαν το 2016, επικαιροποιήθηκαν με την οδηγία NIS2 που τέθηκε σε ισχύ το 2023, η οποία εκσυγχρονίζει το υφιστάμενο νομικό πλαίσιο ώστε να συμβαδίζει με την αυξημένη ψηφιοποίηση και το εξελισσόμενο τοπίο απειλών στον κυβερνοχώρο. Επιπρόσθετα, με την επέκταση του πεδίου εφαρμογής των κανόνων κυβερνοασφάλειας σε νέους τομείς και οντότητες, βελτιώνει περαιτέρω την ανθεκτικότητα και τις ικανότητες αντιμετώπισης συμβάντων των δημόσιων και ιδιωτικών οντοτήτων, των αρμόδιων αρχών και της ΕΕ στο σύνολό της.
Κατανόηση της συμμόρφωσης με την οδηγία NIS2
Η οδηγία NIS2 κατηγοριοποιεί τις εταιρείες που υποχρεούνται σε συμμόρφωση σε δύο ομάδες, με βάση το αντικείμενο δραστηριότητάς τους και το μέγεθός τους (αριθμό υπαλλήλων & κύκλο εργασιών) σε:
- «Βασικές» οντότητες (υψηλής κρισιμότητας)
- «Σημαντικές» οντότητες (απλής κρισιμότητας).
Στις εταιρείες που υποχρεούνται σε συμμόρφωση περιλαμβάνονται και οι πάροχοι MSPs.
Πιο συγκεκριμένα, η οδηγία NIS2 εφαρμόζεται σε ένα ευρύτερο φάσμα επιχειρήσεων που δραστηριοποιούνται σε τομείς και υπηρεσίες ζωτικής σημασίας για βασικές κοινωνικές και οικονομικές δραστηριότητες όπως είναι εταιρείες διαχείρισης λυμάτων, ταχυδρομικές υπηρεσίες, κατασκευαστικές εταιρείες και παρόχους ψηφιακών υπηρεσιών.
Οι επιχειρήσεις που προσδιορίζονται από τα κράτη μέλη ως φορείς εκμετάλλευσης βασικών υπηρεσιών στους ανωτέρω τομείς, θα πρέπει να λαμβάνουν τα κατάλληλα μέτρα ασφαλείας και να ενημερώνουν τις αρμόδιες εθνικές αρχές για σοβαρά περιστατικά. Οι βασικοί πάροχοι ψηφιακών υπηρεσιών, όπως οι μηχανές αναζήτησης, οι υπηρεσίες υπολογιστικού νέφους και οι επιγραμμικές αγορές, θα πρέπει να συμμορφώνονται με τις απαιτήσεις ασφάλειας και κοινοποίησης δυνάμει της οδηγίας.
Αντίστοιχα, με τις προτεινόμενες διατάξεις:
- Ορίζεται η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ως ενιαία αρμόδια αρχή και ως αρμόδια ομάδα απόκρισης
- Ενισχύεται η συνεργασία μεταξύ του δημόσιου και ιδιωτικού τομέα
- Ενισχύεται ο εθνικός στρατηγικός σχεδιασμός κυβερνοασφάλειας
- Καθορίζεται πλαίσιο για τη συντονισμένη γνωστοποίηση ευπαθειών.
Με την εφαρμογή της NIS2 θα αυξηθεί η ζήτηση σε υπηρεσίες, προϊόντα και ειδικούς κυβερνοασφάλειας.
Για τον σκοπό αυτό, η ΕΑΚ θα προετοιμάσει σχετικά προγράμματα εκπαίδευσης, παρέχοντας τη δυνατότητα πιστοποίησης, σε συνεργασία µε συναρµόδιους φορείς και συμβάλλοντας έτσι στη δημιουργία ενός εγχώριου οικοσυστήματος κυβερνοασφάλειας.
Παράλληλα, επιδιώκεται η ενίσχυση της εμπιστοσύνης των πολιτών και των επιχειρήσεων στις ψηφιακές υπηρεσίες, ενώ ιδιαίτερη έμφαση δίνεται στην ανταλλαγή πληροφοριών και στην επικοινωνία μεταξύ Οργανισμών και Εθνικών Αρχών, καθώς και στη διευρωπαϊκή συνεργασία.