Έρχονται τέλη κυβερνοασφάλειας με "καμπάνες" έως 10 εκατ. ευρώ

O Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας , Miιχάληξς Μπλέτσας@eurokinissi — O Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας , Miιχάλης Μπλέτσας@eurokinissi

«Υπάρχουν δύο ειδών επιχειρήσεις: εκείνες που έχουν πέσει θύματα κυβερνοασφάλειας και εκείνες που έχουν πέσει θύματα, αλλά δεν το ξέρουν». Με τον τρόπο αυτόν, ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, κ. Μιχάλης Μπλέτσας, θέλησε να εξηγήσει χθες το μέγεθος του προβλήματος των κυβερνοεπιθέσεων, σημειώνοντας μάλιστα ότι ο λόγος που στην Ελλάδα δεν έχει γίνει καμία μεγάλη ζημιά σε επίπεδο κυβερνοασφάλειας είναι επειδή «είμαστε μικρός στόχος και όχι πολύ “ζουμερός”».

Απέναντι σε αυτήν την «τέλεια καταιγίδα» των κυβερνοεπιθέσεων, η Ελλάδα μπαίνει στην τελική ευθεία για την ενσωμάτωση στο εθνικό δίκαιο της NIS 2, μιας από τις σημαντικότερες οδηγίες της Ευρωπαϊκής Ένωσης, που αφορά την κυβερνοπροστασία των κρίσιμων υποδομών μιας χώρας. Μιας οδηγίας που θα γίνει νόμος του Κράτος από τον προσεχή Δεκέμβριο, με τις διατάξεις της να αφορούν πάνω από 2.000 επιχειρήσεις, φορείς και οργανισμούς.

Με την ψήφιση του νομοσχεδίου, που εκτιμάται τον Δεκέμβριο, ανοίγει πρακτικά ο δρόμος, ώστε από τις αρχές του 2025 να ξεκινήσουν οι έλεγχοι σε επιχειρήσεις και φορείς, που εμπίπτουν στις ρυθμίσεις του, με στόχο να διακριβωθεί το επίπεδο «κυβερνο-ετοιμότητάς» τους. Μεταξύ άλλων, ο νέος νόμος προβλέπει «τσουχτερά» πρόστιμα για τους παραβάτες, που μπορεί να φθάνουν μέχρι και τα 10 εκατ. ευρώ ή το 2% του κύκλου παγκόσμιου κύκλου εργασιών μιας εταιρείας, ενώ εισάγει και τη λογική του «τέλους κυβερνοασφάλειας».

Έλεγχοι, πρόστιμα και τέλη

Όπως εξήγησε χθες ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, η νέα οδηγία, που ενσωματώνει στο εθνικό της δίκαιο η Ελλάδα, εισάγει την υποχρέωση αναφοράς περιστατικών κυβερνοασφάλειας. Μάλιστα, η υποχρέωση της πρώτης αναφοράς πρέπει να γίνεται από τις επιχειρήσεις και τους φορείς εντός 24 ωρών από τη στιγμή που εντοπίζουν το κρούσμα.

«Σήμερα δεν έχουμε πλήρη εικόνα της κατάστασης. Δεν μπορείς να αλλάξεις κάτι, αν δεν μπορείς να το μετρήσεις», είπε χαρακτηριστικά ο κ. Μπλέτσας. Και πρόσθεσε: «Θα δείτε πολύ σύντομα πρόστιμα για τις μη αναφορές περιστατικών κυβερνοασφάλειας».

Εν τω μεταξύ, όπως εξήγησαν στελέχη της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία θα είναι ο κεντρικός φορέας εποπτείας για την εφαρμογή της NIS2 στην Ελλάδα, εκτός από τα πρόστιμα προς τις επιχειρήσεις που παραβιάζουν την οδηγία, προβλέπεται και η επιβολή τέλους κυβερνοασφάλειας (σ.σ. πρακτικά πρόκειται για τέλος εποπτείας και ελέγχου), το οποίο θα εξαρτάται από το μέγεθος της εταιρείας και την πολυπλοκότητα της επίθεσης.

Τα σχετικά τέλη δεν έχουν οριστεί, ούτε έχει διευκρινιστεί αν θα επιβάλλονται σε ετήσια βάση, κάτι που αναμένεται να γίνει το επόμενο διάστημα. «Δεν θα βάλουμε ένα οριζόντιο τέλος. Θα υπάρξουν ανταποδοτικά τέλη. Θα δούμε τι γίνεται στην Ευρώπη», υπογράμμισε ο κ. Μπλέτσας, εξηγώντας ότι όλα αυτά τα ζητήματα θα διευκρινιστούν με κανονιστικές αποφάσεις, που θα αρχίσουν να εκδίδονται το επόμενο διάστημα.

Υπόλογα τα μέλη του ΔΣ

Πέρα από την υποχρέωση πρώτης αναφοράς εντός 24 ωρών από την ώρα που θα αντιληφθεί μια εταιρεία ένα κρούσμα κυβερνοασφάλειας, μία από τις βασικές αλλαγές που εισάγει η NIS2 είναι ότι πλέον η ευθύνη για την ψηφιακή ασφάλεια μεταφέρεται στα υψηλότερα κλιμάκια.

«Μέχρι τώρα την ευθύνη είχαν οι υπεύθυνοι ασφαλείας των πληροφοριακών συστημάτων. Πλέον αυτή η ευθύνεται μεταφέρεται στη διοίκηση μιας εταιρείας», εξήγησαν σε άτυπη ενημερωτική συνάντηση στελέχη της Εθνικής Αρχής Κυβερνοασφάλειας.

Πάντως, οι επιχειρήσεις, όπως διευκρινίστηκε χθες, θα έχουν τη δυνατότητα να υποβάλλουν ενστάσεις εναντίον αποφάσεων καταλογισμού προστίμων για παραβίαση των προβλεπόμενων από τον νέο νόμο.

«Η κυβερνοασφάλεια είναι ένα ομαδικό σπορ και απαιτεί τη συνεργασία όλων των φορέων. Ο προγραμματισμός περιλαμβάνει τη συνεργασία με το ΓΕΕΘΑ και την ΕΥΠ για τη δημιουργία εθνικής ομάδας απόκρισης περιστατικών, η οποία αναμένεται να είναι έτοιμη το 2025», τόνισε χθες ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας.

Ποιες εταιρείες αφορά

Η λίστα των επιχειρήσεων, φορέων και οργανισμών που καλούνται να συμμορφωθούν με τις προβλέψεις της NIS2 είναι μακρά. Περιλαμβάνει όλες τις μεσαίες επιχειρήσεις, που απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως 250 εκατ. ευρώ.

Αλλά και μεγάλες επιχειρήσεις, που δραστηριοποιούνται σε κρίσιμους τομείς, όπως αυτοί της ενέργειας, των μεταφορών, της υγείας, των τηλεπικοινωνιών, των υπηρεσιών cloud και data centers, της παραγωγής και διανοµής τροφίµων, της παραγωγής χηµικών και φαρµακευτικών προϊόντων, της διαχείρισης λυµάτων και αποβλήτων, αλλά και τις εταιρείες ταχυµεταφορών.

Επίσης, ο νόμος αφορά, ανεξαρτήτως μεγέθους, όλους τους παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα. Στη σχετική λίστα περιλαμβάνεται, προφανώς, η κεντρική κυβέρνηση, καθώς και οι περιφέρειες, αλλά και οι δήμοι της χώρας.

Υπόχρεες στις προβλέψεις του νόμου μπορεί να είναι πάντως και πολύ μικρές εταιρείες, οι οποίες έχουν κρίσιμο αντικείμενο, κυρίως στον ψηφιακό κλάδο.

Βασικές προβλέψεις της NIS2

H Οδηγία 2022/2555, γνωστή ως οδηγία NIS2 (Network and Information Security Directive) είναι η αναθεωρημένη έκδοση της αρχικής οδηγίας NIS, η οποία θεσπίστηκε το 2016 με στόχο την ενίσχυση της κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση. Η NIS2, που υιοθετήθηκε το 2022, έπρεπε να έχει ενσωματωθεί στο εθνικό δίκαιο των κρατών-μελών έως τις 18 Οκτωβρίου του 2024, με ελάχιστες χώρες να το έχουν κάνει ήδη και την Ελλάδα να βρίσκεται σε καλύτερη μοίρα από άλλες και σίγουρα κοντά στον μέσο κοινοτικό όρο.

Υποχρεώσεις για φορείς και εταιρείες

Υποχρεώσεις λήψης μέτρων κυβερνοασφάλειας: οι οργανισμοί του δημόσιου τομέα και οι επιχειρήσεις του ιδιωτικού τομέα λαμβάνουν λεπτομερή μέτρα διαχείρισης κινδύνων, που βασίζονται σε ολιστική προσέγγιση του κινδύνου και αποσκοπούν στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.

Υποχρεώσεις αναφοράς περιστατικών κυβερνοασφάλειας στην ΕΑΚ: οι φορείς οφείλουν να αναφέρουν περιστατικά κυβερνοασφάλειας στην ΕΑΚ, διασφαλίζοντας την έγκαιρη επικοινωνία και την αντιμετώπιση των απειλών.

Ενδεικτικά μέτρα

Ενδεικτικά μέτρα που πρέπει να λαμβάνουν φορείς και επιχειρήσεις:

Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων.
Διαχείριση περιστατικών.
Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο.
Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της.
Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών.
Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας.

Διαβάστε επίσης

Eurostat: Στο 163,9% του ΑΕΠ το δημόσιο χρέος της Ελλάδας

Playboy: Ο γιος του Χιου Χέφνερ δίνει 100 εκατ. για το brand

Πυρηνική ενέργεια: Η Ελλάδα μελετά τις νέες τεχνολογίες “χωρίς να βιάζεται”