Λαμβάνοντας υπόψη τον αυξανόμενο αριθμό κυβερνοεπιθέσεων παγκοσμίως, η κυβερνοασφάλεια αποτελεί εδώ και καιρό καίριο θέμα προβληματισμού τόσο σε τεχνικό όσο και σε νομικό επίπεδο. Από πλευράς νομοθεσίας, η Οδηγία ΝIS 2 (ΕΕ 2022/2555) η οποία δημοσιεύτηκε στα τέλη του 2022, θεσπίζει μέτρα που αποσκοπούν στην επίτευξη υψηλού επιπέδου κυβερνονασφάλειας σε ολόκληρη την Ένωση, με σκοπό τη βελτίωσή της λειτουργίας της εσωτερικής αγοράς[1], διευρύνοντας το πεδίο εφαρμογής σε σχέση με τη NIS.
Σε ποιους εφαρμόζεται:
H Οδηγία αυτής εφαρμόζεται σε δημόσιες και ιδιωτικές οντότητες που ανήκουν στους τομείς που ειδικότερα ορίζει δηλαδή, δηλαδή στους τομείς υψηλής κρισιμότητας (όπως π.χ. ηλεκτρική ενέργεια, τράπεζες, υποδομές χρηματοπιστωτικών αγορών, υγεία, ψηφιακές υποδομές, διαχείριση ΤΠΕ, οντότητες δημόσιας διοίκησης κλπ) ή σε άλλους κρίσιμους τομείς (όπως π.χ. ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, παραγωγή, μεταποίηση και διανομή τροφίμων, ειδικές κατηγορίες κατασκευαστικού τομέα, ψηφιακοί πάροχοι και έρευνα κλπ) και χαρακτηρίζονται ως μεσαίες επιχειρήσεις ή υπερβαίνουν τα όρια για τις μεσαίες επιχειρήσεις και οι οποίες παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της Ένωσης. Επιπλέον και ανεξαρτήτως μεγέθους, η οδηγία εφαρμόζεται στις οντότητες του τύπου των παραρτημάτων I και II αυτής, εφόσον οι υπηρεσίες παρέχονται από παρόχους δημοσίων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα. Επιπλέον, ανεξαρτήτως μεγέθους, η οδηγία εφαρμόζεται όταν η οντότητα είναι σε ένα κράτος ο μοναδικός πάροχος υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων, ή όταν η διατάραξη της υπηρεσίας που παρέχει η οντότητα θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία ή η διατάραξη της υπηρεσίας που παρέχεται από την οντότητα θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, ιδίως για τομείς στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο. Επιπλέον η οδηγία εφαρμόζεται αν η οντότητα είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στο κράτος μέλος. Ιδιαίτερη σημασία στο πεδίο εφαρμογής της οδηγίας είναι αν η οντότητα είναι φορέας δημόσιας διοίκησης:
- της κεντρικής κυβέρνησης
- σε περιφερειακό επίπεδο, ο οποίος, μετά από αξιολόγηση βάσει κινδύνου, παρέχει υπηρεσίες των οποίων η διατάραξη θα μπορούσε να έχει σημαντικό αντίκτυπο σε κρίσιμες κοινωνικές ή οικονομικές δραστηριότητες.
Τέλος η οδηγία εφαρμόζεται ανεξαρτήτως μεγέθους και σε κρίσιμες οντότητες δυνάμεις της Οδηγίας (ΕΕ) και σε οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα. Κατά την ενσωμάτωση τους, τα κράτη μέλη μπορούν να προβλέπουν εφαρμογή της Οδηγίας και σε οντότητες της δημόσιας διοίκησης σε τοπικό επίπεδο και σε εκπαιδευτικά ιδρύματα, ιδίως όταν διεξάγουν κρίσιμες ερευνητικές αρμοδιότητες. Σημαντική διάκριση για την Οδηγίας είναι η διάκριση σε βασικές και σημαντικές οντότητες με βάση το άρθρο 3 της Οδηγίας.
Που βρισκόμαστε αυτή τη στιγμή
Η οδηγία δεν έχει ακόμα ενσωματωθεί στο ελληνικό δίκαιο. Eως τις 17 Οκτωβρίου 2024, τα κράτη μέλη θεσπίζουν και δημοσιεύουν τα μέτρα που απαιτούνται προκειμένου να συμμορφωθούν με την NIS 2.
Ποιες είναι ενδεικτικά οι βασικές υποχρεώσεις που δημιουργούνται από την Οδηγία:
Ως προς τη διακυβέρνηση: H ανώτατη διοίκηση των βασικών και σημαντικών οντοτήτων εγκρίνει τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω οντότητες, επιβλέπει την εφαρμογή τους, μπορεί να λογοδοτεί για την εκ μέρους των οντοτήτων παραβίαση των υποχρεώσεων και τα μέλη της υποχρεούνται να παρακολουθούν εκπαίδευση και να ενθαρρύνουν τις βασικές και σημαντικές οντότητες να προσφέρουν παρόμοια κατάρτιση στους υπαλλήλους τους σε τακτική βάση[2].
Ως προς τη λήψη των μέτρων διαχείρισης κινδύνων: Oι βασικές και σημαντικές οντότητες θα πρέπει να λάβουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες[3]. Τα εν λόγω μέτρα θα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας των συστημάτων δικτύου και πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο. Τα δε μέτρα απαριθμούνται ενδεικτικά στο άρθρο 21 παράγραφος 2 και περιλαμβάνουν μεταξύ άλλων πολιτικές για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων, χειρισμό περιστατικών, ασφάλεια της αλυσίδας εφοδιασμού, ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριών, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών, πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας κλπ.
Ως προς την αναφορά περιστατικών: Πέρα από τα μέτρα, οι βασικές και σημαντικές οντότητες θα πρέπει να κοινοποιούν αμελλητί στην CSIRT ή στην αρμόδια κατά περίπτωση αρχή κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους και κατά περίπτωση και στους αποδέκτες των υπηρεσιών τους σημαντικά περιστατικά που ενδέχεται να επηρεάσουν αρνητικά την παροχή των εν λόγω υπηρεσιών καθώς και σε αυτούς που ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή, τυχόν μέτρα που μπορούν να λάβουν για την αντιμετώπιση της συγκεκριμένης απειλής.
Οι ανωτέρω υποχρεώσεις συμμόρφωσης, υπό την απειλή μάλιστα σημαντικών κυρώσεων, καθιστούν αναγκαία την έγκαιρη προετοιμασία των επιχειρήσεων που εμπίπτουν στο πεδίο εφαρμογής της Οδηγίας. Η προετοιμασία αυτή περιλαμβάνει μεταξύ άλλων την ευαισθητοποίηση των διοικήσεων και την έγκαιρη στελέχωση των ομάδων από καταρτισμένους τεχνικούς και νομικούς συμβούλους για την βέλτιστη οργάνωση και συμμόρφωση των επιχειρήσεων με το νέο νομοθετικό πλαίσιο εγκαίρως και με επιστημονική αρτιότητα.
Γράφει η Αναστασία Φύλλα
Δικηγόρος LLM Information Technology and Communications Law
Τα ανωτέρω έχουν ενημερωτικό χαρακτήρα και δε συνιστούν εξατομικευμένη νομική συμβουλή.
[1] Άρθρο 1 της Οδηγίας (ΕΕ) 2022/2555 σχετικά μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS 2)
[2] Άρθρο 20
[3] Άρθρο 21