Η ESET καλωσορίζει την απόφαση των νομοθετών της Ευρωπαϊκής Ένωσης να εκδώσουν τη δεύτερη οδηγία για την ασφάλεια δικτύων και συστημάτων πληροφοριών (Network and Information Security Directive) NIS2 με στόχο την ενίσχυση της κυβερνοασφάλειας στην ΕΕ. Η νέα νομοθεσία έρχεται να απαντήσει στην αυξανόμενη εξάρτηση των νευραλγικών κλάδων από την ψηφιοποίηση και την αυξημένη έκθεσή τους σε απειλές στον κυβερνοχώρο.
Η οδηγία που έχει ήδη εγκριθεί αντικαθιστά την οδηγία NIS που θεσπίστηκε το 2016, ως η πρώτη νομοθεσία για την ασφάλεια στον κυβερνοχώρο σε ολόκληρη την ΕΕ. Η NIS2 προβλέπει ευρύτερο πεδίο δράσης, επηρεάζοντας περισσότερες οντότητες σε «νευραλγικούς» τομείς, τόσο του δημοσίου όσο και του ιδιωτικού τομέα, όπως η ενέργεια, οι μεταφορές, οι τράπεζες, η ύδρευση και τα λύματα, μεταξύ άλλων κρίσιμων υποδομών. Παράλληλα, εισάγονται νέες υποχρεώσεις για όσους δραστηριοποιούνται σε άλλους «κρίσιμους» τομείς, όπως η μεταποίηση, τα τρόφιμα, τα χημικά, η διαχείριση αποβλήτων, οι ταχυδρομικές υπηρεσίες και οι υπηρεσίες ταχυμεταφορών.
Οι επιχειρήσεις που κατατάσσονται στην κατηγορία «ζωτικής σημασίας» θα πρέπει να λαμβάνουν τόσο τεχνικά όσο και επιχειρησιακά μέτρα για τη συμμόρφωσή τους με την οδηγία NIS2, μεταξύ άλλων για την αντιμετώπιση περιστατικών, την ασφάλεια της αλυσίδας εφοδιασμού, την κρυπτογράφηση και την αποκάλυψη ευπαθειών, την κατάλληλη ανάλυση κινδύνου, τη διενέργεια δοκιμών και τον έλεγχο των στρατηγικών κυβερνοασφάλειας, καθώς και το σχεδιασμό διαχείρισης κρίσεων με σκοπό τη διασφάλιση της αδιάλειπτης λειτουργίας των επιχειρήσεων. Σε περίπτωση περιστατικού στον κυβερνοχώρο, οι εν λόγω οντότητες θα πρέπει επίσης να υποβάλλουν μια αρχική κοινοποίηση μέσα σε 24 ώρες και λεπτομερέστερες πληροφορίες εντός 72 ωρών. Η οδηγία NIS2 εισάγει επίσης πρόστιμα για τη μη συμμόρφωση, όπως αναστολή της πιστοποίησης και προσωπική ευθύνη σε διευθυντικές θέσεις, σύμφωνα με τους εθνικούς νόμους.
Τέλος, η οδηγία θεσπίζει το Ευρωπαϊκό Δίκτυο Οργανισμού Διασύνδεσης για Κρίσεις στον Κυβερνοχώρο, EU-CyCLONe, ώστε να καταστεί δυνατή η συνεργασία μεταξύ των εθνικών οργανισμών και των Αρχών που είναι αρμόδιοι για την ασφάλεια στον κυβερνοχώρο, ενώ κάθε κράτος μέλος θα πρέπει επίσης να προσδιορίζει σαφώς ένα ενιαίο σημείο επαφής για την αναφορά περιστατικών στον κυβερνοχώρο.
Υποχρεούνται να συμμορφωθούν και οι μικρομεσαίες επιχειρήσεις;
Η οδηγία NIS2 θεσπίζει «την εφαρμογή του κανόνα του ανώτατου μεγέθους, σύμφωνα με τον οποίο όλες οι μεσαίες και μεγάλες επιχειρήσεις, όπως ορίζονται στη σύσταση 2003/361/ΕΚ της Επιτροπής, που δραστηριοποιούνται στους τομείς ή παρέχουν το είδος των υπηρεσιών που καλύπτονται από την παρούσα οδηγία, εμπίπτουν στο πεδίο εφαρμογής της». Αν και εξαιρεί τις Μικρές και Πολύ Μικρές επιχειρήσεις από την υποχρέωση συμμόρφωσης με τους νέους κανόνες, ισχύουν ορισμένες εξαιρέσεις, όπως για παράδειγμα για τις ΜΜΕ στους τομείς των δικτύων ηλεκτρονικών επικοινωνιών ή των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, των παρόχων υπηρεσιών εμπιστοσύνης ή των μητρώων καταχώρησης ονομάτων TLD.
Οι μικρομεσαίες επιχειρήσεις γίνονται ολοένα και περισσότερο στόχος επιθέσεων στην αλυσίδα εφοδιασμού λόγω των περιορισμένων πόρων ασφαλείας. Τέτοιες επιθέσεις στην αλυσίδα εφοδιασμού μπορεί να έχουν αλυσιδωτές επιπτώσεις στις οντότητες στις οποίες γίνεται ο εφοδιασμός. Τα κράτη μέλη θα πρέπει, μέσω των εθνικών στρατηγικών τους για την ασφάλεια στον κυβερνοχώρο, να βοηθήσουν τις μικρομεσαίες επιχειρήσεις να αντιμετωπίσουν τις προκλήσεις που αντιμετωπίζουν στις αλυσίδες εφοδιασμού τους. Τα κράτη μέλη θα πρέπει να διαθέτουν ένα σημείο επαφής για τις μικρομεσαίες επιχειρήσεις σε εθνικό ή περιφερειακό επίπεδο, το οποίο είτε θα παρέχει καθοδήγηση και βοήθεια στις μικρομεσαίες επιχειρήσεις είτε θα τις κατευθύνει στους κατάλληλους φορείς για καθοδήγηση και βοήθεια σε θέματα που σχετίζονται με την κυβερνοασφάλεια.
Τον περασμένο Μάρτιο, στο πλαίσιο της διαβούλευσης σχετικά με την πρόταση για την NIS2, η Ευρωπαϊκή Συμμαχία DIGITAL SME Alliance, το μεγαλύτερο δίκτυο ΜΜΕ της ΕΕ στον τομέα των Τεχνολογιών Πληροφορικής και Επικοινωνιών, δημοσίευσε το κείμενο με τις θέσεις της, χαιρετίζοντας τη νέα οδηγία, αλλά και προειδοποιώντας για τον έμμεσο αντίκτυπο της NIS2 στις ΜΜΕ.
Σε συνομιλία με την ESET, ο James Philpot, Project Manager στο DIGITAL SME, σημειώνει ότι το πρώτο βήμα που θα πρέπει να κάνουν οι ΜΜΕ για να «κατανοήσουν τις συγκεκριμένες ανάγκες για την ενίσχυση των πρακτικών τους στον τομέα της κυβερνοασφάλειας» είναι να εξετάσουν το «εθνικό τους κέντρο κυβερνοασφάλειας και τους οδηγούς και τις συστάσεις του ENISA». Ωστόσο, «μπορεί να είναι ευκολότερο ή δυσκολότερο» να πάρει κανείς τις σωστές πληροφορίες, καθώς «κάθε κράτος μέλος παρέχει διαφορετικούς πόρους». Παρ’ όλα αυτά, η οδηγία NIS2 «δίνει εντολή στα κράτη να προσφέρουν υποστήριξη και πόρους», κυρίως όταν πρόκειται να κατανοήσουν λεπτομερώς το πεδίο εφαρμογής της εν λόγω νομοθεσίας «και κατά πόσον οι πελάτες τους θα υπαχθούν σε αυτήν», γεγονός που «θα βοηθήσει στον προγραμματισμό».
Οδεύοντας προς ασφαλέστερες επιχειρήσεις
Η έκθεση της ESET για τις τάσεις της ψηφιακής ασφάλειας στις μικρομεσαίες επιχειρήσεις, που δημοσιεύθηκε μόλις τον περασμένο μήνα, αποκάλυψε ότι ενώ το 83% των μικρομεσαίων επιχειρήσεων πιστεύει ότι ο κυβερνοπόλεμος είναι μια απολύτως υπαρκτή απειλή και το 71% έχει μέτρια έως υψηλή εμπιστοσύνη στην ικανότητά τους να διερευνούν τη βασική αιτία των κυβερνοεπιθέσεων, το 43% θεωρεί την έλλειψη ευαισθητοποίησης των εργαζομένων ως την κύρια αιτία ανησυχίας, ενώ η πραγματική υιοθέτηση λύσεων EDR (end-point detection and response), οι οποίες βοηθούν ειδικά σε αυτόν τον τομέα, ήταν μόλις στο 32%.
Όπως σημειώνει επίσης ο Philpot στη συνομιλία του με την ESET, «οι επιπτώσεις των περιστατικών στον κυβερνοχώρο είναι γνωστές» στις ΜΜΕ: διαρροή δεδομένων, σημαντικές οικονομικές επιπτώσεις και απώλεια της εμπιστοσύνης των πελατών. Έτσι, «υπό μια γενικότερη έννοια, πρέπει να είμαστε θετικοί» για την οδηγία NIS2- τουλάχιστον, η οδηγία αυτή θα διαδραματίσει σημαντικό ρόλο στην ευαισθητοποίηση, ακόμη και για τις εταιρείες που «δεν υποχρεούνται να συμμορφωθούν, μπορεί να αναπτύξουν μεγαλύτερη ευαισθητοποίηση».
Η οδηγία NIS2 θα τεθεί σε εφαρμογή αφού τα κράτη μέλη της ΕΕ ενσωματώσουν την οδηγία στο εθνικό τους δίκαιο: έως το Σεπτέμβριο του 2024. Παρ’ όλα αυτά, κάποιοι οργανισμοί ίσως θελήσουν να είναι έτοιμοι νωρίτερα και όχι αργότερα, όχι μόνο για να είναι εμπρόθεσμοι στη διαδικασία εφαρμογής, αλλά και για να δοκιμάσουν διάφορες καλές πρακτικές σχετικά με το χειρισμό περιστατικών, τις πολιτικές ελέγχου, κα. Το κυριότερο, η οδηγία NIS2 ορίζει ένα ελάχιστο κοινό επίπεδο ασφάλειας στον κυβερνοχώρο στην Ευρώπη, το οποίο θα πρέπει να θεωρείται ως το κατώτατο όριο και σε καμία περίπτωση ως το ανώτατο.