«Στον ιστό της Θέμιδος»

«NIS2, η αναθεωρημένη έκδοση της αρχικής οδηγίας NIS (οδηγία ΕΕ) για την ενίσχυση της κυβερνοασφάλειας»

Τι είναι η οδηγία NIS2;

Η οδηγία NIS2 (Network and Information Security Directive 2) αποτελεί την αναθεωρημένη έκδοση της αρχικής οδηγίας NIS (οδηγία ΕΕ 2016/1148) της Ευρωπαϊκής Ένωσης. Σκοπός της είναι η ενίσχυση της κυβερνοασφάλειας και της ανθεκτικότητας των κρίσιμων υποδομών, των βασικών τομέων και των ουσιωδών υπηρεσιών στην Ε.Ε., μέσω της επιβολής αυστηρότερων υποχρεώσεων ασφάλειας και αναφοράς συμβάντων για επιχειρήσεις και δημόσιους φορείς. Η οδηγία ανταποκρίνεται στις αυξανόμενες απειλές από τις κυβερνοεπιθέσεις και την αυξημένη πολυπλοκότητά τους.

Ποιες είναι οι διαφορές μεταξύ της οδηγίας NIS2 και της αρχικής οδηγίας NIS;

Η οδηγία NIS2 επιφέρει αρκετές σημαντικές αλλαγές σε σχέση με την αρχική:

1. Διεύρυνση Πεδίων Εφαρμογής: Η NIS2 επεκτείνει τους τομείς που καλύπτονται, συμπεριλαμβάνοντας περισσότερους οργανισμούς. Περιλαμβάνει πλέον ουσιώδεις και σημαντικούς φορείς από τομείς όπως η ψηφιακή υποδομή, η υγεία, τα χημικά, η ενέργεια, το διάστημα και άλλοι
2. Εναρμονισμένες Απαιτήσεις: Στόχος της NIS2 είναι η τυποποίηση και ο εξορθολογισμός των απαιτήσεων ασφαλείας και αναφοράς σε όλη την ΕΕ, δημιουργώντας ένα ενιαίο πλαίσιο κυβερνοασφάλειας μεταξύ των κρατών μελών
3. Ενισχυμένη Διακυβέρνηση και Συνεργασία: Η οδηγία θέτει αυστηρότερους κανόνες για τη συνεργασία μεταξύ των κρατών μελών της ΕΕ και καθιερώνει μηχανισμούς συντονισμού σε ευρωπαϊκό επίπεδο σε περίπτωση κυβερνοκρίσεων μεγάλης κλίμακας
4. Πιο Εξειδικευμένες Απαιτήσεις Ασφαλείας: Η NIS2 καθορίζει πιο λεπτομερή μέτρα κυβερνοασφάλειας, όπως οι πολιτικές διαχείρισης κινδύνου, η ασφάλεια της εφοδιαστικής αλυσίδας και η απόκριση σε περιστατικά
5. Επέκταση των Υποχρεώσεων Αναφοράς: Με βάση την NIS2, οι οργανισμοί πρέπει να αναφέρουν σημαντικά περιστατικά κυβερνοασφάλειας μέσα σε πιο αυστηρά χρονικά πλαίσια, συνήθως εντός 24 ωρών
6. Αυστηρότερη Επιβολή: Η οδηγία δίνει αυξημένες εξουσίες επιβολής στις αρμόδιες αρχές των κρατών μελών, με αυστηρότερους μηχανισμούς ελέγχου και κυρώσεις για τη μη συμμόρφωση

Ποιοι τομείς επηρεάζονται περισσότερο από την οδηγία NIS2;

Η NIS2 διευρύνει τους τομείς που καλύπτει σε σχέση με την αρχική οδηγία. Οι τομείς που επηρεάζονται περιλαμβάνουν:

• Ψηφιακές Υποδομές: παρόχους υπηρεσιών cloud, παρόχους υπηρεσιών DNS, κέντρα δεδομένων
• Ενέργεια: διαχειριστές ενεργειακών δικτύων, πάροχοι ηλεκτρικής ενέργειας, πετρελαϊκές και εταιρείες φυσικού αερίου
• Υγεία: νοσοκομεία, φαρμακευτικές εταιρείες, παρόχους υγειονομικής περίθαλψης
• Χρηματοοικονομικός Τομέας: τράπεζες, χρηματιστήρια, ασφαλιστικές εταιρείες.
• Μεταφορές: αεροπορικές εταιρείες, σιδηρόδρομοι, θαλάσσιες και οδικές μεταφορές
• Νερό και Απόβλητα: διαχείριση υδάτινων πόρων και αποβλήτων.

Ποια είναι η διαδικασία που πρέπει να ακολουθήσουν τα ενδιαφερόμενα μέρη;

Οι οργανισμοί που εμπίπτουν στο πεδίο εφαρμογής της NIS2 πρέπει να εφαρμόσουν τα εξής:

1. Εκτίμηση Κινδύνων και Διαχείριση: Να αναπτύξουν διαδικασίες για την αξιολόγηση των κυβερνοκινδύνων και την προστασία των πληροφοριακών τους συστημάτων
2. Εφαρμογή Μέτρων Ασφαλείας: Να εφαρμόσουν κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δικτύων και των πληροφοριακών τους συστημάτων
3. Αναφορά Συμβάντων: Οι φορείς είναι υποχρεωμένοι να αναφέρουν κάθε σημαντικό περιστατικό κυβερνοασφάλειας εντός 24 ωρών από την αναγνώρισή του στις αρμόδιες εθνικές αρχές.

Ποιος θα επιθεωρεί τη συμμόρφωση με την οδηγία NIS2;

Οι εθνικές αρχές κάθε κράτους μέλους είναι υπεύθυνες για την παρακολούθηση της συμμόρφωσης με την οδηγία NIS2. Κάθε κράτος μέλος πρέπει να ορίσει έναν ή περισσότερους φορείς που θα ελέγχουν την εφαρμογή των απαιτήσεων και θα διενεργούν επιθεωρήσεις, ενώ η Ευρωπαϊκή Επιτροπή και ο ENISA(Οργανισμός της ΕΕ για την Κυβερνοασφάλεια) διαδραματίζουν ρόλο στον συντονισμό και την παρακολούθηση της εφαρμογής της οδηγίας σε διακρατικό επίπεδο.

Ποιες είναι οι κυρώσεις για μη συμμόρφωση με την Ευρωπαϊκή νομοθεσία;

Η μη συμμόρφωση με τις υποχρεώσεις που θέτει η οδηγία NIS2 μπορεί να οδηγήσει σε σημαντικές κυρώσεις, οι οποίες περιλαμβάνουν:

• Διοικητικά πρόστιμα που μπορεί να φτάνουν έως το 2% του παγκόσμιου ετήσιου κύκλου εργασιών του οργανισμού ή έως 10 εκατομμύρια ευρώ, όποιο είναι μεγαλύτερο
• Πειθαρχικά μέτρα: Οι αρμόδιες αρχές μπορούν να επιβάλουν διοικητικές κυρώσεις ή να απαιτήσουν διορθωτικές ενέργειες.

Ποιος είναι ο σκοπός της νομοθεσίας NIS2;

Η οδηγία NIS 2 έχει ως κύριο σκοπό την ενίσχυση της ανθεκτικότητας και της ασφάλειας των δικτύων και των πληροφοριακών συστημάτων σε όλη την Ευρωπαϊκή Ένωση. Στόχος της είναι η μείωση των κυβερνοαπειλών που θέτουν σε κίνδυνο την ασφάλεια κρίσιμων υποδομών και υπηρεσιών, όπως η υγεία, η ενέργεια και οι χρηματοοικονομικές υπηρεσίες, και η βελτίωση της διακρατικής συνεργασίας μεταξύ των κρατών μελών για την αντιμετώπιση κυβερνοκινδύνων.

Μένει να δούμε αν η νέα νομοθετική πρωτοβουλία της ΕΕ θα έχει μια πρακτικά πιο αποτελεσματική αντιμετώπιση του φαινομένου της ασφάλειας των δικτύων, τόσο σε προληπτικό όσο και σε κατασταλτικό επίπεδο, που άλλωστε αποτελεί και το μεγαλύτερο διακύβευμα των κυβερνοαπειλών!

Πέννυ Απ. Κονιτσιώτη Ρίζου

Δικηγόρος MSc

E-mail: legalservices@pennykonitsioti.gr

Web: www.pennykonitsioti.gr

www.stonistotisthemidos.gr