Η οδηγία NIS2 είναι μια οδηγία της ΕΕ που ενισχύει την ανθεκτικότητα στον κυβερνοχώρο των ευρωπαϊκών κρατών μελών και των επιχειρήσεων μέσω αυστηρότερων κανόνων. Περιλαμβάνει την εφαρμογή μέτρων ασφαλείας για βελτιωμένη προστασία των συστημάτων πληροφορικής, καθώς και ελέγχους ασφαλείας και ταχείς διαύλους αναφοράς για περιστατικά κυβερνοασφάλειας. Παρόλο που το Ηνωμένο Βασίλειο δεν εφαρμόζει την οδηγία, καθώς δεν δεσμεύεται πλέον από τη νομοθεσία της ΕΕ, είναι σκόπιμο να την γνωρίζετε αν δραστηριοποιείστε εντός της ΕΕ.

Τι είναι η οδηγία NIS2;

Η οδηγία NIS2 της Ευρωπαϊκής Ένωσης αποσκοπεί στη βελτίωση της ανθεκτικότητας έναντι απειλών στον τομέα της ασφάλειας στον κυβερνοχώρο σε βασικές και σημαντικές υποδομές των κρατών μελών. Η συντομογραφία NIS2 σημαίνει «Ασφάλεια Δικτύων και Πληροφοριών 2». Όταν τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, αντικατέστησε την προηγούμενη οδηγία NIS1, η οποία είχε ήδη επιφέρει μια αλλαγή στον τρόπο προσέγγισης της ασφάλειας των πληροφοριακών συστημάτων.

Προκειμένου να διασφαλιστεί η μέγιστη δυνατή προστασία τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα των κρατών μελών της ΕΕ, η νέα οδηγία NIS2 θεσπίζει πιο ολοκληρωμένους και αυστηρότερους κανόνες για ένα ευρύτερο φάσμα φορέων. Με αυτόν τον τρόπο, οι νέοι κανόνες αποσκοπούν στη διασφάλιση μεγαλύτερης ανθεκτικότητας στον κυβερνοχώρο και στην ανάληψη αποτελεσματικότερων δράσεων κατά των απειλών στον τομέα της κυβερνοασφάλειας και των παραβιάσεων της ασφάλειας. Η οδηγία NIS2 στοχεύει επίσης να διασφαλίσει ότι οι βασικοί φορείς που παρέχουν στον πληθυσμό ζωτικής σημασίας αγαθά ή υπηρεσίες προστατεύονται από διακοπές λειτουργίας και διαταραχές σε περίπτωση κρίσης.

Ο κύριος στόχος της NIS2 είναι να προετοιμάσει καλύτερα τις επιχειρήσεις για την αντιμετώπιση κυβερνοεπιθέσεων και να εξασφαλίσει την αποτελεσματική και άμεση αντίδραση σε διαταραχές των συστημάτων πληροφορικής. Μια πιο συνεκτική στρατηγική ασφάλειας στα κράτη μέλη της ΕΕ θα πρέπει, συνεπώς, να εξασφαλίσει το υψηλότερο δυνατό επίπεδο κυβερνοασφάλειας τόσο σε εθνικό όσο και σε διεθνές επίπεδο στον χώρο της ΕΕ. Όλα τα κράτη μέλη πρέπει να μεταφέρουν την οδηγία στο εθνικό δίκαιο, κάτι που αφορά τις μεγάλες επιχειρήσεις καθώς και τις μικρές και μεσαίες επιχειρήσεις που εμπίπτουν στους νέους κανονισμούς.

Τι αλλάζει με την οδηγία NIS2;

Η υποχρέωση εφαρμογής της οδηγίας για την ενίσχυση της κυβερνοασφάλειας NIS2 (NIS2UmsuCG) συνεπάγεται ριζικές αλλαγές σε 18 διαφορετικούς τομείς. Μεταξύ άλλων, ο αριθμός των τομέων που χαρακτηρίζονται ως ζωτικής σημασίας έχει υπερδιπλασιαστεί, ενώ ο κατάλογος των προστίμων για μη συμμόρφωση έχει καταστεί αυστηρότερος. Επιπλέον, θα θεωρούνται υπεύθυνοι και οι διευθύνοντες σύμβουλοι.

Στη Γερμανία, την Ισπανία, την Ιταλία και τη Γαλλία, για παράδειγμα, η οδηγία NIS2 θα επηρεάσει χιλιάδες επιχειρήσεις. Στη Γερμανία, έως και 40.000 επιχειρήσεις θα πρέπει να συμμορφωθούν με τη νέα οδηγία, ενώ στην Ιταλία, περίπου 50.000 επιχειρήσεις. Στην Ισπανία, περίπου 25.000 επιχειρήσεις θα υπόκεινται στη νέα οδηγία, ενώ στη Γαλλία, θα επηρεαστούν πάνω από 10.000 οντότητες.

Ακολουθεί μια επισκόπηση όλων των αλλαγών που επέφερε η οδηγία NIS2:

  • Επέκταση του πεδίου εφαρμογής των τομέων ζωτικής σημασίας: Η οδηγία NIS2 κατατάσσει ακόμη περισσότερους τομείς ως τομείς ζωτικής σημασίας.
  • Αυστηρότερες κυρώσεις: Η οδηγία αυξάνει σημαντικά τα πρόστιμα για παραβάσεις
  • Ευθύνη των στελεχών: Τα στελέχη φέρουν πλέον άμεση ευθύνη για τη συμμόρφωση με την κυβερνοασφάλεια.
  • Επέκταση του πεδίου εφαρμογής: Η οδηγία NIS2 εφαρμόζεται σε εταιρείες με περισσότερους από 50 υπαλλήλους ή κύκλο εργασιών άνω των 10 εκατομμυρίων ευρώ, καθώς και σε ορισμένες εταιρείες ανεξαρτήτως μεγέθους.
  • Ανάγκη για ολοκληρωμένες αναλύσεις κινδύνου: Οι εταιρείες έχουν την υποχρέωση να διενεργούν διεξοδικές αναλύσεις κινδύνου.
  • Απαιτούμενη διαχείριση κινδύνων και ασφάλειας: Ισχύουν αυστηρές απαιτήσεις για τη διαχείριση κινδύνων και τα μέτρα ασφάλειας. Διάφορα προστατευτικά μέτρα, όπως δοκιμές διείσδυσης, τείχη προστασίας υλικού και στρατηγικές δημιουργίας αντιγράφων ασφαλείας, είναι υποχρεωτικά.
  • Υποχρεωτική διαχείριση κρίσεων: Απαιτούνται στρατηγικές ταχείας και αποτελεσματικής διαχείρισης κρίσεων, κανάλια επικοινωνίας και συστήματα αναφοράς σε περίπτωση συμβάντων ασφαλείας.
  • Χρήση υφιστάμενων πρωτοκόλλων ασφάλειας: Οι εταιρείες μπορούν να χρησιμοποιούν ως αναφορά τα υφιστάμενα πρότυπα ασφάλειας από ρυθμιζόμενους κλάδους.

Ποιοι εμπίπτουν στο πεδίο εφαρμογής της οδηγίας NIS2;

Ο κανονισμός NIS2 διακρίνει μεταξύ των επιχειρήσεων που εμπίπτουν στην διευρυμένη κατηγορία «ζωτικής σημασίας» και της κατηγορίας «σημαντικών», η οποία είναι εντελώς νέα. Οι επιχειρήσεις με περισσότερους από 50 υπαλλήλους ή ετήσιο κύκλο εργασιών 10 εκατομμυρίων ευρώ και άνω επηρεάζονται άμεσα. Επιπλέον, οι επιχειρήσεις μπορούν επίσης να εμπίπτουν στον κανονισμό NIS2 ανεξάρτητα από το μέγεθός τους, εάν η πτώχευσή τους συνεπάγεται συστημικούς κινδύνους. Η κατηγορία «βασικών» περιλαμβάνει εταιρείες από έντεκα τομείς, συμπεριλαμβανομένων, ιδίως, εταιρειών κρίσιμης υποδομής που είναι ζωτικής σημασίας για την κυβέρνηση και την κοινωνία. Η κατηγορία «σημαντικών», με τη σειρά της, ισχύει για επτά τομείς που είναι συστημικά σημαντικοί.

Βασικοί τομείς και εταιρείες

  • Ενέργεια
  • Ύδρευση
  • Μεταφορές
  • Τραπεζικές υπηρεσίες
  • Υποδομές χρηματοπιστωτικών αγορών
  • Υγειονομική περίθαλψη
  • Διαστημική
  • Αποχέτευση
  • Δημόσια διοίκηση
  • Ψηφιακή υποδομή
  • Διαχείριση υπηρεσιών ΤΠΕ (B2B)

Σημαντικοί τομείς και εταιρείες

  • Ταχυδρομικές και ταχυμεταφορικές υπηρεσίες
  • Απόβλητα
  • Χημική βιομηχανία
  • Προμήθεια τροφίμων
  • Παροχείς ψηφιακών υπηρεσιών
  • Βιομηχανία (μεταποίηση / κατασκευή)
  • Έρευνα (προαιρετικό)

Ποιες υποχρεώσεις ισχύουν για τις εταιρείες;

Στο πλαίσιο του NIS2, οι επιχειρήσεις υπόκεινται σε αυστηρές υποχρεώσεις και σημαντικές αλλαγές. Αυτές περιλαμβάνουν:

Υποχρεώσεις Μέτρα
Διαχείριση κινδύνων και διαχείριση επιχειρησιακής συνέχειας (§30, 31) Η κρυπτογράφηση, η πολυπαραγοντική ταυτοποίηση, η κρυπτογραφία, η κυβερνοϋγιεινή, η ανάθεση ρόλων και ο έλεγχος πρόσβασης, η διαχείριση αντιγράφων ασφαλείας και η αποκατάσταση συστημάτων, η ασφάλεια της εφοδιαστικής αλυσίδας και οι αναλύσεις κινδύνου είναι υποχρεωτικές. Οι ελάχιστες απαιτήσεις ποικίλλουν ανάλογα με το μέγεθος της εταιρείας, χάρη στον κανόνα του «ανώτατου ορίου μεγέθους».
Υποχρεώσεις αναφοράς και γνωστοποίησης (§32, 35) Σημαντικά περιστατικά ασφαλείας πρέπει να αναφέρονται στις αρχές εντός 24 ωρών. Οι αρχικές εκτιμήσεις πρέπει να είναι διαθέσιμες μετά από 72 ώρες. Απαιτείται λεπτομερής τελική έκθεση εντός ενός μήνα.
Υποχρεώσεις εγγραφής (§33, 34) Οι επηρεαζόμενοι οργανισμοί και οι πάροχοι υπηρεσιών μητρώου ονομάτων τομέα πρέπει να υποβάλουν πληροφορίες στις αρμόδιες αρχές το αργότερο τρεις μήνες μετά την έναρξη ισχύος του NIS2. Εάν η υποχρέωση εγγραφής δεν εκπληρωθεί, μπορεί επίσης να εκπληρωθεί από μια CSIRT (Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας Υπολογιστών).
Υποχρεώσεις έγκρισης, παρακολούθησης και εκπαίδευσης για τους διευθύνοντες συμβούλους (§38) Η ανάθεση μέτρων ασφάλειας από τη διοίκηση δεν είναι πλέον επαρκής. Η διοίκηση πρέπει να εγκρίνει ενεργά τα απαραίτητα μέτρα και είναι εν μέρει υποχρεωμένη να παρέχει εκπαίδευση.
Μέτρα εποπτείας και επιβολής (§61, 62) Μία από τις CSIRT αναμένεται να ενεργεί ως εποπτική αρχή για τη συμμόρφωση με τα απαιτούμενα μέτρα. Το νωρίτερο, τρία χρόνια μετά την έναρξη ισχύος του NIS2, η εποπτική αρχή έχει τη δυνατότητα να ζητήσει αποδεικτικά στοιχεία συμμόρφωσης με τις υποχρεώσεις. Μπορούν να διαταχθούν μέτρα σε περίπτωση άμεσου κινδύνου.

Προκειμένου να εκπληρώσετε τις υποχρεώσεις σας ως επηρεαζόμενη εταιρεία σε πρώιμο στάδιο, θα πρέπει να λάβετε τα ακόλουθα μέτρα:

  • Ανάλυση ΥΠΑΡΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ ΚΑΙ ΣΤΟΧΩΝ: Ελέγξτε αν υπόκεισθε στις υποχρεώσεις του NIS2 και προσδιορίστε την τρέχουσα κατάσταση της ανθεκτικότητας της εταιρείας σας στον κυβερνοχώρο, καθώς και τους πιθανούς τομείς που χρήζουν βελτίωσης.
  • Εφαρμογή: Πρέπει να εισαχθούν αναλύσεις κινδύνου και έννοιες ασφάλειας για όλα τα συστήματα πληροφοριών.
  • Αξιολόγηση: Η αποτελεσματικότητα των μεθόδων διαχείρισης κινδύνων της εταιρείας σας πρέπει να επανεξετάζεται τακτικά.
  • Δημιουργία: Η ανάπτυξη μιας στρατηγικής για την αντιμετώπιση περιστατικών ασφαλείας είναι υποχρεωτική.
  • Δημιουργία αντιγράφων ασφαλείας και διαχείριση κρίσεων: Πρέπει να εφαρμοστούν μέτρα για τη δημιουργία αντιγράφων ασφαλείας δεδομένων και τη διαχείριση κρίσεων.
  • Σύστημα αναφοράς: Πρέπει να δημιουργηθεί ένα αποτελεσματικό σύστημα αναφοράς για περιστατικά ασφάλειας.
  • Εκπαίδευση: Οι εργαζόμενοι πρέπει να εκπαιδεύονται τακτικά.
  • Ασφάλεια της εφοδιαστικής αλυσίδας: Πρέπει να διασφαλίζεται η ασφάλεια της εφοδιαστικής αλυσίδας.

Τι θα συμβεί αν δεν εφαρμοστεί η NIS2;

Οι εταιρείες που δεν εφαρμόζουν τα προβλεπόμενα μέτρα ενδέχεται να επιβληθούν σημαντικά πρόστιμα (§65). Σύμφωνα με τον κανονισμό NIS2, στις εποπτικές αρχές παρέχονται εκτεταμένες εξουσίες εποπτείας, ελέγχου και παροχής οδηγιών, συμπεριλαμβανομένης της επιβολής προθεσμιών. Επιπλέον, τα μέλη της διοίκησης αναλαμβάνουν σημαντικά μεγαλύτερη ευθύνη για τα μέτρα προστασίας και ασφάλειας και μπορούν να θεωρηθούν προσωπικά υπεύθυνα σε περίπτωση παραβάσεων ή αμέλειας (§38, §61).

Πότε τίθεται σε ισχύ η οδηγία NIS2;

Στις 14 Δεκεμβρίου 2022, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο ενέκριναν την οδηγία (ΕΕ) 2022/2555, γνωστή ως οδηγία NIS2. Εισάγει εκτεταμένες αλλαγές στον Κανονισμό eIDAS (ΕΕ) αριθ. 910/2014 και στην Οδηγία EECC (ΕΕ) 2018/1972. Τίθεται επίσημα σε ισχύ στις 16 Ιανουαρίου 2023, αντικαθιστώντας την Οδηγία NIS. Πρέπει να μεταφερθεί στο εθνικό δίκαιο από όλα τα κράτη μέλη της ΕΕ έως τις 17 Οκτωβρίου 2024.

Σε διάφορες χώρες, διαφορετικές αρχές είναι αρμόδιες για τη συντονισμένη εφαρμογή της οδηγίας. Για παράδειγμα, στη Γαλλία, η ANSSI (Εθνική Υπηρεσία για την Ασφάλεια των Πληροφοριακών Συστημάτων) συντονίζει τις προσπάθειες εφαρμογής και έχει μάλιστα εγκαινιάσει το «Mon Espace NIS 2», μια ψηφιακή υπηρεσία που αποσκοπεί στην υποστήριξη των φορέων κατά την εφαρμογή της οδηγίας. Η BSI (Ομοσπονδιακή Υπηρεσία για την Ασφάλεια των Πληροφοριών) είναι η αρμόδια αρχή στη Γερμανία, ενώ στην Ισπανία το CCN-CERT (Εθνικό Κρυπτολογικό Κέντρο) εποπτεύει τα μέτρα κυβερνοασφάλειας και διασφαλίζει τη συμμόρφωση.

Go to Main Menu