Γιώργος Καραντζάς, Διευθυντής Κανονιστικής Συμμόρφωσης & Κινδύνων / Υπεύθυνος Προστασίας Δεδομένων, Sarantis Group – Θεόδωρος Κριθαράς, Νομικό Σύμβουλο, ΑΚΤΩΡ – Ηλέκτρα Χαλκιαδάκη, Νομική Σύμβουλος του Ομίλου JASPER WIND – Έφη Βατάλη, Γενική Διευθύντρια Νομικών Υποθέσεων & Εταιρικής Διακυβέρνησης, ΔΕΔΔΗΕ
Περιεχόμενα
Το κανονιστικό πλαίσιο για την κυβερνοασφάλεια θα αλλάξει ριζικά μετά την ψήφιση του νομοσχεδίου που ενσωματώνει την Οδηγία NIS2. Οι επιχειρήσεις έχουν υποδεχθεί θετικά αυτές τις διατάξεις που χτίζουν την «άμυνα» απέναντι στις κυβερνοεπιθέσεις, δεν λείπουν όμως και οι προβληματισμοί για την επόμενη μέρα.
Η Οδηγία 2022/2555 της ΕΕ (Οδηγία NIS2) αφορά μέτρα για τη διασφάλιση ενός ενιαίου επιπέδου ασφάλειας στον κυβερνοχώρο στην EE, επικαιροποιώντας τη σχετική προηγούμενη Οδηγία NIS1, συμπληρώνοντας και καλύπτοντας τα κενά της, ώστε να διασφαλίσει την ετοιμότητα των κρατών-μελών και τη γενικότερη κουλτούρα ασφάλειας σε όλους τους τομείς που είναι ζωτικής σημασίας για την οικονομία και την κοινωνία.
Το σχέδιο νόμου για την ενσωμάτωση της Οδηγίας στο ελληνικό δίκαιο τέθηκε προ ολίγων ημερών σε δημόσια διαβούλευση και αναμένεται να ψηφιστεί σύντομα, με την εφαρμογή του να τοποθετείται στην αρχή του νέου έτους.
Οι απαιτήσεις για τις επιχειρήσεις είναι ευρείες και επιτακτικές και ήδη οι υπόχρεες οντότητες έχουν ξεκινήσει την προετοιμασία τους. Όμως, όπως μοιράζονται στο mononews φορείς της αγοράς, πρόκειται για μια επωφελή μεν, εξαιρετικά πολύπλοκη διαδικασία δε που φέρνει τις επιχειρήσεις αντιμέτωπες με τεράστιες προκλήσεις.
Ποιες επιχειρήσεις αφορά
Η Οδηγία NIS2 διευρύνει σημαντικά το πεδίο εφαρμογής των μέτρων κυβερνοασφάλειας σε σχέση με την προϋφιστάμενη νομοθεσία. Έτσι, από τους επτά τομείς εφαρμογής της NIS1 (ενέργεια, μεταφορές, τραπεζικές υπηρεσίες, υποδομές των χρηματοπιστωτικών αγορών, πόσιμο νερό, υγειονομική περίθαλψη και ψηφιακές υποδομές), προστίθενται νέοι τομείς με βάση τον βαθμό ψηφιοποίησης και διασύνδεσής τους και το πόσο κρίσιμοι είναι για την οικονομία και την κοινωνία, όπως η βιομηχανία, οι κατασκευές, τα λύματα και η διαχείριση αποβλήτων.
Επιπλέον, περιλαμβάνει στο πεδίο εφαρμογής της όλες τις μεσαίου και μεγάλου μεγέθους εταιρείες, δηλαδή τις εταιρείες με προσωπικό άνω των 50 ατόμων και τζίρο άνω των 10 εκατομμυρίων. Πρόκειται, επομένως, για έναν αρκετά ευρύ κύκλο που στην Ελλάδα αφορά περίπου 2.000 οντότητες.
Βασικές απαιτήσεις
Με δεδομένο ότι οι κίνδυνοι από κυβερνοεπιθέσεις και το κόστος διαχείρισής τους έχουν ανέβει δραματικά, οι απαιτήσεις της νέας Οδηγίας είναι ιδιαίτερα αυστηρές, με την έμφαση να δίνεται κυρίως στα προληπτικά μέτρα που οφείλουν να λάβουν οι υπόχρεοι φορείς κυρίως όσον αφορά στην αξιολόγηση κινδύνων, την εκπαίδευση του προσωπικού και την παρακολούθηση των συστημάτων.
Υποβολή εκθέσεων και διαχείριση κινδύνου
Η Οδηγία και ο νέος νόμος ενισχύει τις απαιτήσεις ασφάλειας και υποβολής εκθέσεων για τις εταιρείες, επιβάλλοντας μια προσέγγιση διαχείρισης κινδύνου, η οποία προβλέπει έναν ελάχιστο κατάλογο βασικών στοιχείων ασφάλειας που πρέπει να εφαρμόζονται. Όλα τα υλικά και άυλα επικοινωνιακά και πληροφοριακά αγαθά θα πρέπει να καταγράφονται και να ιεραρχούνται με βάση την κρισιμότητα και τον κίνδυνό τους.
«Η έμφαση που δίνει η Οδηγία στη δομημένη διαχείριση κινδύνου αναμένεται να καλλιεργήσει κουλτούρα κυβερνοασφάλειας στους οργανισμούς. Οι τακτικές αξιολογήσεις κινδύνων, η τεκμηρίωση, η εκπαίδευση του προσωπικού, καθιστούν την ασφάλεια μέρος της καθημερινής λειτουργίας. Αυτή η κουλτούρα ασφάλειας που ενισχύεται μέσω της ρυθμιστικής πίεσης είναι κρίσιμη, καθώς οι επιχειρήσεις βασίζονται όλο και περισσότερο σε ψηφιακά και δικτυωμένα περιβάλλοντα» σχολιάζει ο Γιώργος Καραντζάς, Διευθυντής Κανονιστικής Συμμόρφωσης & Κινδύνων / Υπεύθυνος Προστασίας Δεδομένων, Sarantis Group.
Αναφορά περιστατικών
Η κοινοποίηση κάθε περιστατικού κυβερνοεπίθεσης βρίσκεται στο επίκεντρο της οργανωμένης διαχείρισης κινδύνου που επιβάλλει η Οδηγία, έτσι ώστε να αποφευχθεί η πιθανή εξάπλωση των επιθέσεων και να αντληθούν πολύτιμα διδάγματα.
Υπό αυτό το πρίσμα, προβλέπεται μια προσέγγιση πολλαπλών σταδίων. Οι θιγόμενες εταιρείες έχουν στη διάθεσή τους 24 ώρες από τη στιγμή που αντιλαμβάνονται για πρώτη φορά ένα περιστατικό, για να υποβάλουν έγκαιρη προειδοποίηση στην Εθνική Αρχή Κυβερνοασφάλειας, η οποία θα τους επιτρέπει επίσης να ζητήσουν βοήθεια (καθοδήγηση ή επιχειρησιακές συμβουλές για την εφαρμογή πιθανών μέτρων μετριασμού), εφόσον το ζητήσουν.
Η έγκαιρη προειδοποίηση θα πρέπει να ακολουθείται από κοινοποίηση του συμβάντος εντός 72 ωρών από τη στιγμή που θα λάβουν γνώση του και από τελική έκθεση το αργότερο ένα μήνα μετά το συμβάν.
Πρόκειται για μία από τις σημαντικότερες απαιτήσεις συμμόρφωσης στην Οδηγία NIS2 που θα επισύρει πρόστιμο έως 2% του τζίρου (με ανώτατο τα 10 εκατ. ευρώ) σε περίπτωση παράβασής της.
Ασφάλεια στην αλυσίδα εφοδιασμού
Για να υπάρξει μια ολιστική προσέγγιση στο ζήτημα της κυβερνοασφάλειας σε όλη την αλυσίδα εφοδιασμού, απαιτείται από τις επιχειρήσεις να ρυθμίζουν τις σχέσεις τους με τους προμηθευτές τους και να διενεργούν συντονισμένες αξιολογήσεις κινδύνων ασφαλείας για τις κρίσιμες αλυσίδες εφοδιασμού. Πρόκειται για ένα αποτελεσματικό μέτρο, που όμως εγείρει ερωτηματικά ως προς την εφαρμογή του.
«Οι απαιτήσεις της NIS2 για την παρακολούθηση της ασφάλειας τρίτων, την εφαρμογή συμβατικών ρητρών κυβερνοασφάλειας και τη διενέργεια τακτικών ελέγχων βελτιώνουν την ανθεκτικότητα των αλυσίδων εφοδιασμού και μειώνουν τον κίνδυνο από αδυναμίες. Ωστόσο, ενδέχεται να αυξήσει το κόστος και τις λειτουργικές απαιτήσεις και μπορεί να παρουσιάσει προκλήσεις συμμόρφωσης για μικρότερες επιχειρήσεις» σημειώνει ο Γ. Καραντζάς και συνεχίζει: «Η Οδηγία ενθαρρύνει την συνεργασία των μελών του οικοσυστήματος (πωλητές, πάροχοι, πελάτες), όπου κάθε παίκτης έχει έναν ρόλο στην προστασία του δικτύου, συμβάλλοντας στην κοινή ευθύνη για την ασφάλεια στον κυβερνοχώρο. Ενισχύεται η διαφάνεια κι ενθαρρύνονται οι επιχειρήσεις να συνάπτουν συμφωνίες με στόχο την μείωση των ασαφειών αναφορικά με την ευθύνη σε περίπτωση παραβίασης».
Πάντως, οι απαιτήσεις για ολόκληρη την αλυσίδα εφοδιασμού έχουν δημιουργήσει αρκετές αντιδράσεις στην αγορά, αφού προβληματίζουν για την πολυπλοκότητα και το κόστος τους.
Κατά τον Θεόδωρο Κριθαρά, Νομικό Σύμβουλο, ΑΚΤΩΡ, «οι αυστηρές απαιτήσεις για την ασφάλεια της εφοδιαστικής αλυσίδας κατατείνουν προς έναν ενδελεχέστατο προληπτικό έλεγχο των τρίτων προμηθευτών, πράγμα που αφ’ ενός θα εγείρει πολύπλευρα ζητήματα ασφάλειας προσωπικών δεδομένων, προστασίας επιχειρηματικών-τεχνολογικών απορρήτων κλπ, εκτιμώ, δε, ότι θα επιβαρύνουν με υπέρμετρη γραφειοκρατία και δύσκαμπτες και χρονοβόρες διαδικασίας, κλάδους της οικονομίας, οι οποίοι κατά βάση ενεργούν με «ταχύτητα» στις συναλλαγές τους».
Και βεβαίως, υπάρχει το οικονομικό ζήτημα πίσω από όλες αυτές τις απαιτήσεις, με ό,τι αυτό σημαίνει για την επιβίωση των προμηθευτών και τη λειτουργία της αγοράς. «Δεν έχουν όλοι οι προμηθευτές τη δυνατότητα ή τους πόρους, για να ανταπεξέλθουν στα πρότυπα της NIS2, γεγονός που θα μπορούσε να περιορίσει τις επιλογές για συμβατούς προμηθευτές» το θέτει ξεκάθαρα ο Γ. Καραντζάς.
Οι βασικότερες προκλήσεις για την αγορά
Πέρα, πάντως, από το ζήτημα της διαχείρισης των προμηθευτών, η Οδηγία και ο νόμος που αναμένεται να ψηφιστεί αποτελούν ένα ολόκληρο οικοσύστημα που θα αλλάξει την κανονιστική συμμόρφωση όπως την ξέραμε. Χωρίς αυτό, φυσικά, να σημαίνει ότι δεν είναι απαραίτητη ή ότι το αποτύπωμά της δεν πρόκειται να είναι θετικό στα ζητήματα της κυβερνοασφάλειας.
Πολυπλοκότητα και γραφειοκρατικό κόστος
«Καθώς η Οδηγία NIS2 απαιτεί εξισορρόπηση διαφορετικών τομέων συμμόρφωσης, η πρόκληση βρίσκεται κατά την γνώμη μου στη δημιουργία ενός ισχυρού, ολοκληρωμένου πλαισίου κυβερνοασφάλειας που αντιμετωπίζει αποτελεσματικά τους κινδύνους (εσωτερικούς κι εξωτερικούς), πληροί τα αυστηρά πρότυπα NIS2 και μπορεί να είναι βιώσιμο» εξηγεί ο Γ. Καραντζάς και συνεχίζει:
«Αν και ωφέλιμες αυτές οι απαιτήσεις, προσθέτουν πολυπλοκότητα στις επιχειρηματικές λειτουργίες. Η διαχείριση κινδύνων και οι αξιολογήσεις ασφάλειας της εφοδιαστικής αλυσίδας αναμένεται να αυξήσουν τις σχετικές δαπάνες, καθώς ενδέχεται να απαιτηθούν επιπλέον πόροι. Η ανάγκη για τακτικούς ελέγχους, η παρακολούθηση σε πραγματικό χρόνο και η συνεχής αξιολόγηση μπορεί να επιβαρύνει τους προϋπολογισμούς ή/και το προσωπικό».
Μάλιστα, προβληματισμός έγκειται και στο γεγονός ότι το μεγαλύτερο μέρος από αυτό το κανονιστικό βάρος θα συσσωρευτεί συγκεντρωμένο στην αρχή, αφού θα πρέπει να γίνουν άμεσες επενδύσεις ήδη από την πρώτη ημέρα.
«Όλα τα παραπάνω, ασφαλώς, για να επιτευχθούν στην πράξη, απαιτούν νέες επενδύσεις από πλευράς υπόχρεων οργανισμών σε πόρους, εξειδικευμένο προσωπικό και υιοθέτηση state-of- the-art τεχνολογικών μέτρων προστασίας, γεγονός που, αναπόφευκτα, θα τους επιβαρύνει οικονομικά -ενδεχομένως δε και δυσανάλογα- στο αρχικό στάδιο εφαρμογής της Οδηγίας» επισημαίνει ο Θ. Κριθαράς.
Χρονοδιάγραμμα και εφαρμογή
Τίθεται, επομένως, και το ερώτημα αν το χρονοδιάγραμμα υλοποίησης της Οδηγίας είναι εφικτό ή αν θα καταλήξουμε στο γνωστό πρόβλημα στην Ελλάδα, όπου ο νόμος ναι μεν τυπικά ισχύει, αλλά στην πράξη αργεί να εφαρμοστεί, παγιώνοντας ένα καθεστώς μη εφαρμογής και ανοχής,
«Το κόστος συμμόρφωσης και οι αυξημένες απαιτήσεις για εξειδικευμένη τεχνογνωσία, υποδομές και διαδικασίες, στελέχωση νέων τμημάτων και εκπαίδευση θα δυσχεράνει την έγκαιρη εφαρμογή του νόμου, λαμβανομένων υπόψη και των προβλεπόμενων στενών χρονικών περιθωρίων» προβλέπει η Ηλέκτρα Χαλκιαδάκη, Νομική Σύμβουλος του Ομίλου JASPER WIND.
Βέβαια, ας μην ξεχνάμε ότι η Οδηγία έχει τεθεί σε ισχύ εδώ και δύο χρόνια, οπότε δεν είναι λίγες οι επιχειρήσεις που ξεκίνησαν τη διαδικασία της συμμόρφωσης εν αναμονή της θέσπισης του νομοσχεδίου, το οποίο ούτως ή άλλως δεν επρόκειτο να απέχει πολύ από το κείμενο της Οδηγίας.
Για παράδειγμα, «η ΔΕΔΔΗΕ ΑΕ ήδη έχει προχωρήσει σε δράσεις για συμμόρφωση και εναρμόνιση με τη νέα Οδηγία, στις οποίες περιλαμβάνονται η σύσταση Επιτροπής Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών, η ενίσχυση προγραμμάτων εκπαίδευσης του προσωπικού σε όλα τα επίπεδα, ο έλεγχος πρόσβασης μέσω ασφαλούς αυθεντικοποίησης, η συνεχής παρακολούθηση αποτελεσματικότητας των μέτρων, η αξιολόγηση επιπέδου ευαισθητοποίησης σε θέματα ασφάλειας (π.χ. phishing), η συστηματική παρακολούθηση και αξιολόγηση των κινδύνων σε όλα τα επίπεδα, η αναθεώρηση όλων των πολιτικών και διαδικασιών Ασφάλειας Πληροφοριών της εταιρείας» τονίζει η Έφη Βατάλη, Γενική Διευθύντρια Νομικών Υποθέσεων & Εταιρικής Διακυβέρνησης, ΔΕΔΔΗΕ.
Ακόμα, όμως, και αυτές οι επιχειρήσεις που έχουν προετοιμαστεί έγκαιρα ζητούν αλλαγές στο χρονοδιάγραμμα. «Ενόψει των ιδιαίτερα σημαντικών οργανωτικών και λοιπών δράσεων ενεργειών που θα πρέπει να αναληφθούν συνολικά από τις βασικές οντότητες, συμπεριλαμβανομένων των μέτρων για την ασφάλεια της αλυσίδας εφοδιασμού, θεωρούμε ως αναγκαία την προσθήκη διάταξης, η οποία να προβλέπει υπέρ του συνόλου των βασικών οντοτήτων ένα μεταβατικό χρονικό διάστημα, ικανό και εύλογο για την προσαρμογή με όλες τις σχετικές απαιτήσεις» αναφέρει η ίδια.
Ευθύνη νομικών και φυσικών προσώπων
Μεγάλη συζήτηση έχει ξεκινήσει στην αγορά και για την ευθύνη των φυσικών προσώπων σε διευθυντικές θέσεις που θεσπίζει το νομοσχέδιο κατ’ επιταγή της Οδηγίας, ευθύνη που υφίσταται παράλληλα με την ευθύνη του νομικού προσώπου και τις κυρώσεις που τίθενται σε αυτό σε περίπτωση μη συμμόρφωσης.
«Η Οδηγία καθιστά το top management ως απολύτως υπεύθυνο για τη διαχείριση κινδύνων κυβερνοασφάλειας σε ουσιώδεις και σημαντικούς φορείς, θεσπίζοντας, κατά τούτο, μία μορφή «αλληλέγγυας» ευθύνης προς το νομικό πρόσωπο, έννοια εξόχως προβληματική καθ’ ο αφορά το εθνικό μας δικαιϊκό σύστημα. Τα ανωτέρω, ασφαλώς, δεν μπορούν να θεωρηθούν a priori ως αποτρεπτικοί παράγοντες για την υιοθέτηση αποτελεσματικών μέτρων προς επίτευξη υψηλότερου επιπέδου κυβερνοασφάλειας, πλην όμως, όλοι θα κληθούμε, εν τέλει, στην πράξη να βρούμε τη χρυσή τομή μεταξύ του ευκταίου και του δέον γενέσθαι» ξεκαθαρίζει ο Θ. Κριθαράς.
«Συγκρίνοντας το άρθρο 32 της Οδηγίας με τα άρθρα 24 και 29 του σχεδίου Νόμου περί ευθύνης φυσικών και νομικών προσώπων, θεωρούμε ότι υπάρχουν ασάφειες και αυστηροποίηση που εκτιμούμε ότι θα αντιμετωπιστούν αποτελεσματικά κατά την οριστικοποίηση και ψήφιση του Νόμου» επισημαίνει η Ε. Βατάλη.
Πράγματι, η προσωρινή αναστολή καθηκόντων που μπορεί να επιβληθεί στα διευθυντικά στελέχη και η οποία προβλέπεται στο νομοσχέδιο δεν περιλαμβάνεται ξεκάθαρα παρά μόνο ως δυνατότητα στην Οδηγία, οπότε μένει να δούμε αν θα διατηρηθεί στον τελικό νόμο υπό το βάρος των αντιδράσεων.
Δημιουργία κουλτούρας κυβερνοασφάλειας
Είναι, πάντως, λογικό να υπάρχει αυτός ο αναβρασμός εν όψει της εφαρμογής της Οδηγίας, όταν μιλάμε για ένα τόσο σημαντικό νομοθέτημα που θα διαμορφώσει από την αρχή όλο το τοπίο στον τομέα της κυβερνοασφάλειας. Μέχρι αυτό να εμπεδωθεί, ώστε να δομηθεί και η συναφής κουλτούρα, οι δυσκολίες δεν είναι δυνατόν να ελλείψουν.
«Η μεγαλύτερη πρόκληση στην προετοιμασία των επιχειρήσεων είναι η καλλιέργεια μιας ολιστικής κουλτούρας κυβερνοασφάλειας που θα καταστήσει αυτονόητη την αναγκαιότητα της προστασίας. Φαίνεται πως ακόμη οι δείκτες εγρήγορσης ως προς τους ενδεχόμενους κινδύνους παραμένουν σχετικά χαμηλοί σε επίπεδο κρατών – μελών. Το έλλειμμα αυτής της κουλτούρας επιχειρεί να «υποκαταστήσει» η Οδηγία NIS2, θεσπίζοντας ένα αυστηρότατο πλαίσιο εποπτείας και επιβολής, αποδίδοντας ευθύνη στα μέλη των οργάνων Διοίκησης και επεκτείνοντας εμμέσως την εφαρμογή της στην εφοδιαστική αλυσίδα. Η Ευρώπη, ωστόσο, χρειάζεται να επενδύσει στην εκπαίδευση, ώστε να εμπεδωθούν στη συλλογική συνείδηση οι καταστροφικές συνέπειες του ψηφιακού εγκλήματος στη λειτουργικότητα των κρίσιμων τομέων της κοινωνίας, την οικονομική σταθερότητα και ανάπτυξη, την προστασία των ατομικών δικαιωμάτων και τη βιωσιμότητα» συμπεραίνει η Η. Χαλκιαδάκη.