Σε διαβούλευση βρίσκεται τις τελευταίες ημέρες το σχέδιο νόμου του υπουργείου Ψηφιακής Διακυβέρνησης για την κυβερνοασφάλεια, η γνωστή ευρωπαϊκή οδηγία NIS2.

Στόχος της NIS 2 είναι να εισάγει μια ολοκληρωμένη προσέγγιση κυβερνοασφάλειας με βάση τον κίνδυνο, με στόχο την επίτευξη υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε όλα τα κράτη μέλη, ενισχύοντας τη λειτουργία της εσωτερικής αγοράς μέσω βελτιωμένων πρωτοκόλλων ασφαλείας και δυνατοτήτων αντιμετώπισης περιστατικών.

Σε ενημέρωση που πραγματοποιήθηκε χθες στο υπουργείο Ψηφιακής Διακυβέρνησης, στην οποία συμμετείχε ο Μιχάλης Μπλέτσας διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, που θα έχει και την εποπτεία του νέου κανονισμού, επισημάνθηκαν τα βασικά σημεία της νέας οδηγίας, η οποία θα αφορά συνολικά 2000 φορείς και επιχειρήσεις, οι οποίοι πρέπει από τον νέο χρόνο να εναρμονιστούν σε αυτήν.

Από αρχές του έτους θα ξεκινήσουν έλεγχοι για τις επιχειρήσεις που θα υπάγονται στη νέα οδηγία, ώστε να συμμορφωθούν και να αναφέρουν περιστατικά κυβερνοεπιθέσεων.

Παράλληλα όπως είπε ο κ. Μπλέτσας, οι επιχειρήσεις θα έχουν συγκεκριμένες υποχρεώσεις ενώ όπως είπαν στελέχη της ΕΑΚ, εφόσον δεν τηρηθούν οι κανόνες θα υπάρχουν κυρώσεις και πρόστιμα, τα οποία θα είναι το 2% του τζίρου της εταιρείας τον τελευταίο χρόνο, με ανώτατο όριο τα 10 εκατ. ευρώ. Βέβαια μένει ακόμα να αποσαφηνιστούν ορισμένα σημεία αναφορικά με τα πρόστιμα, με ενέργειες που θα γίνουν σε δεύτερο χρόνο, όταν αποσαφηνιστούν οι κανονιστικές ρυθμίσεις.

Οι επιχειρήσεις οι οποίες θα «υπάγονται» στον NIS2 θα προέρχονται από τους τομείς υγείας, ενέργειας, μεταφορών, τράπεζες, υποδομών, χρηματοοικονομικών αγορών και ψηφιακών υποδομών. Ενώ επίσης θα εισαχθούν στο πεδίο εφαρμογής επιχειρήσεις τροφίμων, ταχυδρομικών υπηρεσιών, Διαχείρισης Υπηρεσιών Τεχνολογίας, Πληροφορικής και Επικοινωνιών καθώς και ο κατασκευαστικός τομέας.

Ακόμη, στη σχετική λίστα περιλαμβάνεται, προφανώς, η κεντρική κυβέρνηση, όπως και οι περιφέρεις αλλά και οι δήμοι της χώρας.

Προφανώς δεν θα υπαχθούν όλες οι επιχειρήσεις των παραπάνω τομέων στη NIS2 αλλά μόνο όσες έχουν άνω των 50 ατόμων προσωπικό και τζίρο 10-50 εκατ. ευρώ και πάνω. Πλην κάποιων εξαιρέσεων οι οποίες ωστόσο σύμφωνα με στελέχη δεν έχουν αποσαφηνιστεί ακόμα.

Οι βασικές υποχρεώσεις των φορέων-επιχειρήσεων

Σύμφωνα με την οδηγία, οι οργανισμοί του δημόσιου τομέα και οι επιχειρήσεις του ιδιωτικού τομέα λαμβάνουν λεπτομερή μέτρα διαχείρισης κινδύνων που βασίζονται σε ολιστική προσέγγιση του κινδύνου και αποσκοπούν στην προστασία των πληροφοριακών  τους συστημάτων.

Ωστόσο πολύ σημαντικό είναι να τονιστεί ότι η βασική υποχρέωση που θα έχουν οι 2000 φορείς και επιχειρήσεις που εντάσσονται στη NIS2 είναι η αναφορά των περιστατικών κυβερνοεπιθέσεων. Η οποία σύμφωνα με τον κ. Μπλέτσα θα πρέπει να αναφερθεί εντός 24 ωρών. Οι φορείς οφείλουν να αναφέρουν περιστατικά κυβερνοασφάλειας στην Εθνική Αρχή Κυβερνοασφάλειας, διασφαλίζοντας την έγκαιρη επικοινωνία και αντιμετώπιση των απειλών.

Όπως είπε ο κ. Μπλέτσας η μη αναφορά των περιστατικών είναι λόγος επιβολής προστίμου στην εταιρεία, «καθώς δεν μπορείς να βελτιώσεις κάτι αν δεν μπορείς να το μετρήσεις».

Υποχρέωση αναφοράς υπάρχει όταν ένα περιστατικό θεωρείται σημαντικό, δηλαδή όταν έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την επιχείρηση. Και επιπλέον εάν έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή άλλη ζημιά.

Όπως είπε ο κ. Μπλέτσας, στην όλη προσπάθεια για αρχή θα συνδράμουν το ΓΕΕΘΑ και η ΕΥΠ, ουσιαστικά μέχρι η ΕΑΚ να δημιουργήσει τη δική της ομάδα αντιμετώπισης των περιστατικών.

Πολλά τα περιστατικά επιθέσεων – Ελλιπή στοιχεία

Όπως είπε ο κ. Μπλέτσας, η κυβερνοασφάλεια ήταν πάντα ένας τομέας παραμελημένος στην Ελλάδα. Μόνο όταν πραγματικά συμβεί κάτι μεγάλο παίρνουμε τα πράγματα στα σοβαρά.

«Στην Ελλάδα συμβαίνουν κυβερνοεπιθέσεις απλά δεν έχει προκληθεί ακόμα κάποια μεγάλη ζημιά γιατί δεν είμαστε μεγάλος στόχος και όχι ιδιαίτερα…ζουμερός» σχολίασε ο κ. Μπλέτσας.

«Ευελπιστούμε σε 1-2 χρόνια να δούμε αποτέλεσμα και ισχυροποίηση της ασφάλειας των δικτύων. Στόχος είναι να φτάσουμε σε τέτοιο επίπεδο ασφαλείας που οι επιθέσεις να είναι πιο σπάνιες» επισημαίνει ο ίδιος.

«Στόχος είναι να έχουμε όσο το δυνατόν περισσότερη πληροφορία, καθώς θα πρέπει να ξέρουμε τι αντιμετωπίζουμε για να μπορέσουμε να το καταπολεμήσουμε, γι αυτό και είναι σημαντική η ενημέρωση από τους φορείς».

Διαβάστε επίσης:

ΤτΕ: Συνεχίζεται η εκστρατεία ενημέρωσης για τις ηλεκτρονικές απάτες (βίντεο)

Κυβερνοεπιθέσεις: Κόστος πάνω από $10,5 τρισ. το 2025 – Τι γίνεται στην Ελλάδα

ΗΠΑ: Δίωξη σε έξι Ρώσους που “συνωμότησαν για να εξαπολύσουν κυβερνοεπιθέσεις” στην Ουκρανία και τους συμμάχους της