Σε διαβούλευση μέχρι 2 Νοεμβρίου έθεσε ο υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου, το νομοσχέδιο που ενσωματώνει τη νέα κοινοτική οδηγία (NIS 2) για την κυβερνοασφάλεια.
Αφορά, εκτός από το δημόσιο, έναν ευρύ κατάλογο επιχειρήσεων του ιδιωτικού τομέα (με πάνω από 50 εργαζόμενους) σε τομείς όπως ενέργεια, μεταφορές, υγεία, δημόσια διοίκηση, εφοδιαστική αλυσίδα, παραγωγή τροφίμων, τηλεπικοινωνίες και ψηφιακές υποδομές θεσπίζοντας νέους κανόνες για τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας και υποχρεώσεων αναφοράς περιστατικών.
Όπως επισημαίνεται από το υπουργείο Ψηφιακής Διακυβέρνησης «δεδομένης της εντατικοποίησης και της αυξημένης πολυπλοκότητας των απειλών και των κυβερνοεπιθέσεων, ο αριθμός, το μέγεθος, η επινοητικότητα, η συχνότητα και ο αντίκτυπος των περιστατικών στον κυβερνοχώρο αυξάνονται και συνιστούν μείζονα απειλή για τη λειτουργία των συστημάτων δικτύου και πληροφοριών. Το γεγονός αυτό επηρεάζει τη λειτουργία υποδομών ζωτικής σημασίας, η οποία βασίζεται σε πληροφοριακά συστήματα και συχνά διαταράσσει την παροχή κρίσιμων υπηρεσιών για την οικονομική και κοινωνική ζωή. Παράλληλα, το κόστος του κυβερνοεγκλήματος διαρκώς αυξάνεται, ξεπερνώντας σε παγκόσμιο επίπεδο τα δέκα τρισεκατομμύρια δολάρια για το έτος 2023, γεγονός που επηρεάζει αρνητικά την εμπιστοσύνη των πολιτών στην ψηφιακή μετάβαση συνολικά».
Οι φορείς που έχουν υποχρεώσεις διαχείρισης κινδύνων κυβερνοασφάλειας και αναφοράς περιστατικών στην Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ), οφείλουν να προχωρήσουν σε συγκεκριμένες ενέργειες, ενώ αν διαπιστωθεί παραβίαση των οριζόμενων κινδυνεύουν με πρόστιμα, ανάλογα με την κρισιμότητα που έχουν, όπως ορίζεται στο νομοσχέδιο: 1) Για τις βασικές οντότητες – φορείς ύψους κατ’ ανώτατο όριο 10 εκατ. ευρώ ή 2% του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης στην οποία ανήκει η σημαντική οντότητα, ανάλογα με το ποιο είναι υψηλότερο. 2) Για τις σημαντικές οντότητες πρόστιμο ύψους κατ’ ανώτατο όριο 7 εκατ. ευρώ ή 1,4% του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης, ανάλογα με το ποιο είναι υψηλότερο.
Τα έσοδα από τις χρηματικές κυρώσεις που επιβάλλονται σε βάρος φυσικών ή νομικών προσώπων καθώς και τα τέλη εποπτείας και ελέγχου που καταβάλλονται αποτελούν πόρους της ΕΑΚ και διατίθενται αποκλειστικά για την κάλυψη των λειτουργικών δαπανών της.
Ειδικότερα, το νέο νομοσχέδιο υπό τον τίτλο «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις» μεταξύ άλλων προβλέπει:
Τον ορισμό ως τομέων υψηλής κρισιμότητας, που οφείλουν να λάβουν συγκεκριμένα μέτρα για την κυβερνοασφάλεια τους, τις επιχειρήσεις ηλεκτρικής ενέργειας, τους διαχειριστές τηλεθέρμανσης ή τηλεψύξης, αγωγών παραγωγής, μεταφοράς και διατήρησης αποθεμάτων πετρελαίου, τους διαχειριστές παραγωγής διανομής μεταφοράς αερίου και υδρογόνου, τους αερομεταφορείς και διαχείρισης αερολιμένων, τις σιδηροδρομικές μεταφορές, τις ακτοπλοϊκές εταιρίες μεταφοράς επιβατών και εμπορευμάτων, τις οδικές αρχές και τις τράπεζες, τους παρόχους υγειονομικής περίθαλψης, τους προμηθευτές και διανομείς νερού, τις επιχειρήσεις συλλογής, διάθεσης ή επεξεργασίας αστικών, οικιακών ή βιομηχανικών λυμάτων, τις ψηφιακές υποδομές, οντότητες της δημόσιας διοίκησης, τους ΟΤΑ, φορείς, οι οποίοι υποστηρίζουν την παροχή διαστημικών υπηρεσιών κ.α.
Το πλέγμα των υποχρεώσεων περιλαμβάνει και άλλους φορείς οι οποίοι χαρακτηρίζονται κρίσιμοι, όπως αυτούς που σχετίζονται με τις ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, τη διαχείριση αποβλήτων, την παρασκευή, παραγωγή και διανομή χημικών προϊόντων, μεταποίησης και διανομής τροφίμων, την κατασκευή ιατροτεχνολογικών προϊόντων, in vitro διαγνωστικών ιατροτεχνολογικών προϊόντων, προϊόντων υπολογιστών, ηλεκτρονικών και οπτικών προϊόντων, ηλεκτρολογικού εξοπλισμού, τους ψηφιακούς παρόχους όπως επιγραμμικών / διαδικτυακών αγορών, διαδικτυακών μηχανών αναζήτησης, τις πλατφόρμες υπηρεσιών κοινωνικής δικτύωσης και τους οργανισμούς έρευνας.
Τα όργανα διοίκησης των βασικών και σημαντικών οντοτήτων εγκρίνουν, εντός 3 μηνών από την έναρξη ισχύος του νομοσχεδίου, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, επιβλέπουν την εφαρμογή τους και είναι υπεύθυνα για την παραβίαση των υποχρεώσεων που θεσμοθετούνται.
Επίσης παρακολουθούν εκπαίδευση και διασφαλίζουν ότι οι βασικές και σημαντικές οντότητες παρέχουν όμοια κατάρτιση στους υπαλλήλους τους σε τακτική βάση, προκειμένου να αποκτούν επαρκείς γνώσεις και δεξιότητες που τους επιτρέπουν να εντοπίζουν τους κινδύνους και να αξιολογούν τις πρακτικές διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας.
Ακόμη, το Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης, σε συνεργασία με την Εθνική Αρχή Κυβερνοασφάλειας και τη Γενική Γραμματεία Δημόσιας Διοίκησης του υπουργείου Εσωτερικών, οργανώνει ειδικό πρόγραμμα πιστοποίησης επάρκειας στον τομέα της κυβερνοασφάλειας.
Στους φορείς επιβάλλεται υποχρέωση να λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους, καθώς και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες και οργανισμούς. Τα μέτρα αυτά πρέπει να είναι αναλογικά με τον βαθμό έκθεσης της οντότητας σε κινδύνους και με τον κοινωνικό αντίκτυπο που θα είχε ένα περιστατικό, καθώς, επίσης, και κατάλληλα ανάλογα με την κατηγορία της οντότητας.
Οι βασικές και σημαντικές οντότητες κοινοποιούν, αμελλητί, στην ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT) της Εθνικής Αρχής Κυβερνοασφάλειας κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους. Εντός 24 ωρών για την αρχική γνωστοποίηση περιστατικού – «early warning» και εντός 72 ωρών για την πληρέστερη ενημέρωση για το περιστατικό, ακολουθούμενη από ενδιάμεση πληροφόρηση εάν ζητηθεί από την ΕΑΚ και την υποβολή τελικής, πλήρους αναφοράς το αργότερο εντός 1 μήνα.
Το νομοσχέδιο προβλέπει ακόμα τη σύνταξη Εθνικής Στρατηγικής Κυβερνοασφάλειας (Ε.Σ.Κ.), η οποία περιλαμβάνει κατ’ ελάχιστον, μεταξύ άλλων: α) πρόβλεψη στρατηγικών στόχων και προτεραιότητες για την επίτευξη και διατήρηση υψηλού επιπέδου κυβερνοασφάλειας και συνεκτικό πλαίσιο διακυβέρνησης για την επίτευξή τους, β) τους αναγκαίους πόρους για την επίτευξη των εν λόγω στόχων και γ) τα αναγκαία κανονιστικά μέτρα και μέτρα πολιτικής για την κυβερνοασφάλεια.
Ως αρμόδια αρχή για την κυβερνοασφάλεια ορίζεται η Εθνική Αρχή για την Κυβερνοασφάλεια η οποία παρακολουθεί την εφαρμογή του νόμου και αποτελεί το ενιαίο σημείο επαφής, για τη διευκόλυνση της διασυνοριακής συνεργασίας.
H ΕΑΚ ορίζεται επίσης ως υπεύθυνη για τη διαχείριση περιστατικών μεγάλης κλίμακας και κρίσεων στον τομέα της κυβερνοασφάλειας (αρχή διαχείρισης κυβερνοκρίσεων), διασφαλίζει τη συνοχή με το υφιστάμενο πλαίσιο για τη γενική εθνική διαχείριση κρίσεων, ενώ συμμετέχει από πλευράς Ελλάδας στο Ευρωπαϊκό Δίκτυο οργανώσεων διασύνδεσης για κρίσεις στον κυβερνοχώρο (EU-CyCLONe), ως οργανισμός CyCLO.
Στο πλαίσιο αυτό, η ΕΑΚ ορίζεται και ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team- CSIRT), ενώ ειδικά για τους οργανισμούς της δημόσιας διοίκησης, ως CSIRT ορίζεται η Διεύθυνση Κυβερνοχώρου της Εθνικής Υπηρεσίας Πληροφοριών. Ταυτόχρονα, για την επίτευξη υψηλού επιπέδου κυβερνοασφάλειας δύναται να καθορίζονται και έτερες CSIRTs. Οι έτερες CSIRTs επιλαμβάνονται συμβάντων που αφορούν στην ασφάλεια υπολογιστών του οικείου τομέα, εφόσον ζητηθεί η συνδρομή τους από την ΕΑΚ και έχουν υποχρέωση να ενημερώνουν την EAK αμελλητί για συμβάν που διαπιστώνουν. Επίσης, η ΕΑΚ ως ενιαίο σημείο επαφής και οι τυχόν έτερες CSIRTs, συνεργάζονται μεταξύ τους.
Επιπρόσθετα με το νέο νόμο λαμβάνεται ειδική μέριμνα για την ενημέρωση της ΕΑΚ με βασικά στοιχεία ψηφιακών υποδομών, οι οποίες είναι ιδιαιτέρως κρίσιμες για την ασφάλεια στον κυβερνοχώρο (όπως οι πάροχοι υπηρεσιών Domain Name System (DNS), τα μητρώα ονομάτων top-level domain (TLD), οι οντότητες που παρέχουν υπηρεσίες καταχώρησης ονομάτων τομέα, οι πάροχοι υπηρεσιών υπολογιστικού νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι πάροχοι δικτύων διανομής περιεχομένου, οι πάροχοι διαχειριζομένων υπηρεσιών, οι πάροχοι διαχειριζομένων υπηρεσιών ασφάλειας, οι πάροχοι επιγραμμικών αγορών ή επιγραμμικών μηχανών αναζήτησης).