Έρχονται νέοι κανονισμοί για την κυβερνοασφάλεια-Ποιους αφορά

Από Foteini Doulgkeri

Η διαβούλευση για το σχετικό νομοσχέδιο ολοκληρώθηκε χθες ενώ οι εμπλεκόμενοι φορείς αναμένεται να χρειαστεί να ολοκληρώσουν τις αλλαγές που πρέπει να κάνουν μέσα στο 2025

Στο ελληνικό δίκαιο πρόκειται να ενσωματωθεί το επόμενο διάστημα η ευρωπαϊκή οδηγία NIS2 για την ενίσχυση της κυβερνοσφάλειας. Με το νέο νόμο ενισχύεται το εθνικό σύστημα κυβερνοασφάλειας και ιδίως ο ρόλος και οι αρμοδιότητες της Εθνικής Αρχής Κυβερνοσφάλειας. Ο πόλεμος στην Ουκρανία δημιουργήσε μεγαλύτερη ανησυχία και μεγαλύτερο αίσθημα βιασύνης γιατί η Ρωσία είναι πίσω από πολλές υβριδικές απειλές, κάτι που έκανε απαραίτητη την ενίσχυση του επιπέδου της κυβερνοασφάλειας στην Ευρώπη, όπως τονίζει στο euronews, ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας και διευθυντής υπολογιστικών συστημάτων του ΜΙΤ Media Lab, Μιχάλης Μπλέτσας.

Ποιες είναι οι βασικές υποχρεώσεις των εμπλεκόμενων φορέων

Οι εμπλεκόμενοι φορείς θα έχουν δύο βασικές υποχρεώσεις: 1. Να λάβουν λεπτομερή μέτρα διαχείρισης κινδύνων που βασίζονται σε ολιστική προσέγγιση του κινδύνου και αποσκοπούν στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά και 2. Να αναφέρουν περιστατικά κυβερνοασφάλειας στην Εθνική Αρχή Κυβερνοασφάλειας διασφαλίζοντας την έγκαιρη επικοινωνία και την αντιμετώπιση των απειλών.

Μιλώντας στο euronews o διοικητής της ΕΑΚ εξηγεί ότι με το νέο νόμο γίνεται η υποχρέωση της παρακολούθησης της κυβερνοασφάλειας ρητή ενώ μέχρι πρότινος ήταν περισσότερο αφηρημένη. «Τώρα πλέον γίνονται όλα πιο συγκεκριμένα. Και τα μέτρα, και οι ευθύνες, και το ποιοι οργανισμοί υπόκεινται στις υποχρεώσεις παρακολούθησης όλων των απαραίτητων μέτρων για την κυβερνοασφάλεια, και επίσης αυξάνει ο αριθμός των οργανισμών που υπόκεινται σε αυτές τις υποχρεώσεις», τονίζει ο κ. Μπλέτσας υπογραμμίζοντας παράλληλα ότι μέχρι πρότινος τα μέτρα που έπρεπε να λάβει κάποιος οργανισμός για να αυξήσει το επίπεδο κυβερνοασφάλειας, ήταν αποκλειστική ευθύνη του κάθε κράτους μέλους με αποτέλεσμα να υπάρχουν πολλές αποκλίσεις από κράτος σε κράτος. Ωστόσο, με τη νέα οδηγία η Ευρωπαϊκή Ένωση επιχειρεί να θέσει ένα βασικό επίπεδο το οποίο θα είναι ίδιο για όλα τα κράτη μέλη.p

Παράλληλα, το νομοσχέδιο εισάγει μηχανισμούς έγκαιρης αναφοράς περιστατικών κυβερνοεπιθέσεων, που θα επιτρέπουν την ταχεία αντίδραση και την προστασία των δεδομένων προσωπικού χαρακτήρα. Ταυτόχρονα, προβλέπει την ενίσχυση της συνεργασίας με άλλες ευρωπαϊκές χώρες και τη συμμετοχή σε ευρωπαϊκούς μηχανισμούς για την ανταλλαγή πληροφοριών και τον συντονισμό σε περιπτώσεις κρίσεων στον κυβερνοχώρο.

Ποιοι καλούνται να αυξήσουν το επίπεδο της κυβερνοασφάλειας

Όπως λέει ο κ. Μπλέτσας ότι ο νέος νόμος αφορά όλες τις οντότητες πάνω από ένα συγκεκριμένο μέγεθος των οποίων η διακοπή των υπηρεσιών θα προκαλεί πρόβλημα στο κοινωνικό σύνολο. Μέχρι στιγμής εμπλέκονταν μόνο οι φορείς εκμετάλλευσης βασικών υπηρεσιών, όπως οι τηλεπικοινωνιακές υπηρεσίες, οι τράπεζες και οι οργανισμοί παροχής ενέργειας. Τώρα μπαίνουν στο κάδρο της ενίσχυσης της κυβερνοσφάλειας και ο διαχειριστής του νερού και του αποχευτικού δικτύου, οι εφοδιαστικές αλυσίδες, οι Οργανισμοί Τοπικής Αυτοδιοίκησης κ.α. Από τους 72 φορείς που πρέπει μέχρι στιγμής να λαμβάνουν μέτρα για την κυβερνοασφάλεια, με την υιοθέτηση του νόμου ο αριθμός αυτός θα φτάσει τους 2000.

Τι αλλαγές φέρνει σε σχέση με την αρχική Οδηγία NIS;

• Διευρυμένο πεδίο εφαρμογής με βάση το κριτήριο του κανόνα μεγέθους και υπαγωγή νέων τομέων

• Αυστηρότερες απαιτήσεις ασφαλείας με τη λήψη μέτρων διαχείρισης κινδύνων αρκετά λεπτομερειακών

• Συγκεκριμένα χρονοδιαγράμματα αναφοράς περιστατικών ασφαλείας

• Μέτρα διαχείρισης κινδύνων, λογοδοσία οργάνων της διοίκησης των υπόχρεων οργανισμών και επιχειρήσεων και αυστηρότερες κυρώσεις

• Συνεργασία και ανταλλαγή πληροφοριών

Η υποχρεωτική αναφορά των περιστατικών κυβερνοασφάλειας

Πολύ σημαντική σύμφωνα με τον κ. Μπλέτσα είναι η αναφορά των περιστατικών που απορρέει ως υποχρέωση από τον νέο νόμο. «Μέχρι στιγμής δεν μαθαίνουμε όλα τα περιστατικά κυβερνοσφάλειας στη χώρα, γιατί οι περισσότεροι φορείς το θεωρούν λίγο ντροπή να το πουν. Αλλά αυτό είναι τελείως λανθασμένο», σημειώνει, εξηγώντας ότι υπάρχουν δύο τύπο οργανισμών: αυτοί που έχουν χακαριστεί και το ξέρουν και αυτοί που έχουν χακαριστεί και δεν το ξέρουν. Επομένως, με την αναφορά των περιστατικών οι αρχές θα έχουν μια συνολική εικόνα και θα βλέπουν ποιος είναι ο κυρίαρχος τρόπος με τον οποίος γίνονται οι επιθέσεις μια συγκεκριμένη χρονική στιγμή ώστε να πληροφορούνται οι υπόλοιποι για να μην πέφτουν και εκείνοι θύματα ή να τους παρέχεται κάποια βοήθεια.

Πότε όμως υπάρχει υποχρέωση αναφοράς περιστατικού; Όταν ένα περιστατικό θεωρείται σημαντικό, δηλαδή αν έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα ή αν έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη ζημία.