NIS 2 Directive (EU) 2022/2555 of the European Parliament
Η οδηγία NIS 2 στοχεύει στην επίτευξη των τριών παρακάτω στόχων:
- Να απαιτήσει από τις εθνικές κυβερνήσεις να δίνουν τη δέουσα προσοχή στην ασφάλεια στον κυβερνοχώρο.
- Να ενισχύσει την ευρωπαϊκή συνεργασία μεταξύ των αρχών για την ασφάλεια στον κυβερνοχώρο.
- Να απαιτήσει από τους κύριους φορείς, σε βασικούς κλάδους της κοινωνίας να λαμβάνουν μέτρα ασφαλείας και να αναφέρουν περιστατικά.
Το πεδίο εφαρμογής της οδηγίας NIS 2 έχει διευρυνθεί σε μεγάλο βαθμό από αυτό της οδηγίας NIS 1. Μία οντότητα καλύπτεται από το πεδίο εφαρμογής εάν:
- Δραστηριοποιείται σε έναν από τους (υπο)τομείς και τύπους υπηρεσιών που αναφέρονται στα παραρτήματα της οδηγίας και
- Είναι συγκεκριμένου μεγέθους.
Τομείς της Οδηγίας NIS 2:
Οι τομείς χωρίζονται σε δύο (2) κατηγορίες:
1. Τομείς υψηλής κρισιμότητας:
1.1 Ενέργειας (Ηλεκτρική ενέργεια, Τηλεθέρμανση και τηλεψύξη, πετρέλαιο, αέριο Υδρογόνο)
1.2 Μεταφορές (αεροπορικές, σιδηροδρομικές, θαλάσσιες, οδικές)
1.3 Τράπεζες
1.4 Υποδομές χρηματοπιστωτικών αγορών
1.5 Υγεία (πάροχος υγειονομικής περίθαλψης [1], εργαστήρια, κατασκευαστές ιατρικών οργάνων ή φαρμακευτικών παρασκευασμάτων κ.α.)
1.6 Πόσιμο νερόΛύματα
1.7 Ψηφιακή υποδομή
1.8 Διαχείριση υπηρεσιών
1.9 Τεχνολογιών Πληροφορικής και Επικοινωνιών
1.10 Δημόσια διοίκηση
1.11 Διάστημα
2. Άλλοι κρίσιμοι τομείς:
2.1 Ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών
2.2 Διαχείρισης αποβλήτων
2.3 Παρασκευή, παραγωγή και διανομή χημικών προϊόντων
2.4 Παραγωγή, μεταποίηση και διανομή τροφίμων
2.5 Κατασκευαστικός τομέας (ιατροτεχνολογικών προϊόντων και in vitro διαγνωστικών ιατροτεχνολογικών προϊόντων – προϊόντων υπολογιστών, ηλεκτρονικών και οπτικών προϊόντων – ηλεκτρολογικού εξοπλισμού – μηχανημάτων και εξοπλισμού π.δ.κ.α. – μηχανοκίνητων οχημάτων, ρυμουλκούμενων και ημιρυμουλκούμενων – άλλου εξοπλισμού μεταφορών)
2.6 Ψηφιακοί πάροχοι
2.7 Έρευνα
[1] «πάροχος υγειονομικής περίθαλψης»: κάθε φυσικό ή νομικό πρόσωπο ή άλλος φορέας που παρέχει νόμιμα υγειονομική περίθαλψη στο έδαφος κράτους μέλους (άρθρο 3 στοιχείο ζ) της οδηγίας 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011
Μέγεθος οντοτήτων
Μια οικονομική οντότητα που δραστηριοποιείται στους τομείς που αναφέρονται παραπάνω εμπίπτει στο πεδίο εφαρμογής της εάν είναι μεγάλη ή μεσαία επιχείρηση. Δηλαδή, έχει περισσότερους από 50 υπαλλήλους ή ετήσιο κύκλο εργασιών άνω των 10 εκατομμυρίων ευρώ (βλ. σύσταση της Επιτροπής της 6ης Μαΐου 2003 Αρ. 2003/361 σχετικά με τον ορισμό των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων).
Οι μικρές και πολύ μικρές επιχειρήσεις (με λιγότερους από 50 εργαζομένους και ετήσιο κύκλο εργασιών (ή σύνολο ετήσιου ισολογισμού) κάτω των 10 εκατ. ευρώ) εξαιρούνται από το πεδίο εφαρμογής της Οδηγίας, εκτός κάποιων συγκεκριμένων τομέων.
Σύμφωνα με το άρθρο 7 παρ 2 στοιχείο (θ) στο πλαίσιο της εθνικής στρατηγικής κυβερνοασφάλειας, τα Κράτη Μέλη θεσπίζουν πολιτικές για την ενίσχυση της κυβερνοανθεκτικότητας και την κυβερνοϋγιεινή των μικρών και μεσαίων επιχειρήσεων, ιδίως εκείνων που εξαιρούνται από το πεδίο εφαρμογής της παρούσας οδηγίας, με την παροχή εύκολα προσβάσιμης καθοδήγησης και συνδρομής για τις ειδικές ανάγκες τους.
Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας
Οι βασικές και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων, που αποσκοπούν στην προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά, περιλαμβάνουν τουλάχιστον τα ακόλουθα:
- πολιτικές για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων (Risk analysis)
- χειρισμό περιστατικών (Incident handling)
- επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, και διαχείριση των κρίσεων (Business continuity)
- ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών που αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της (Supply chain security)
- ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριών, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών (cybersecurity risk-management measures)
- πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας·
- βασικές πρακτικές κυβερνοϋγιεινής και κατάρτιση στην κυβερνοασφάλεια (cybersecurity training)
- πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης (cryptography – encryption)
- ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων (access control – asset management)
- χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση (multi-factor authentication)
Εποπτείας εφαρμογής της Οδηγίας
Αρμόδιες Αρχές των Κρατών Μελών θα διασφαλίζουν ότι τα μέτρα εποπτείας που επιβάλλονται είναι αποτελεσματικά, αναλογικά και αποτρεπτικά. Θα πραγματοποιούνται τακτικοί και στοχευόμενοι έλεγχοι στις βασικές οντότητες. Όταν τα μέτρα επιβολής είναι αναποτελεσματικά, θα ορίζεται προθεσμία εντός της οποίας η βασική οντότητα καλείται να λάβει τα αναγκαία μέτρα για την αποκατάσταση των ελλείψεων ή για τη συμμόρφωση με τις απαιτήσεις των Αρχών. Εάν τα ζητούμενα μέτρα δεν ληφθούν εντός της καθορισμένης προθεσμίας, οι Αρχές θα έχουν την εξουσία:
α) να αναστείλουν προσωρινά ή να ζητήσουν από φορέα πιστοποίησης ή εξουσιοδότησης, ή από δικαστήριο, σύμφωνα με το εθνικό δίκαιο, την προσωρινή αναστολή πιστοποίησης ή εξουσιοδότησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών που παρέχονται ή των δραστηριοτήτων που εκτελούνται από τη βασική οντότητα
β) να ζητούν από τα αρμόδια όργανα ή δικαστήρια, σύμφωνα με το εθνικό δίκαιο, να απαγορεύουν προσωρινά σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νομικού εκπροσώπου στη βασική οντότητα να ασκεί διευθυντικά καθήκοντα στην εν λόγω οντότητα.
Διοικητικά πρόστιμα
Οι παραβιάσεις των μέτρων διαχείρισης κινδύνου ή οι αναφορές συμβάντων μπορούν να τιμωρηθούν:
α) Για βασικές οντότητες: με διοικητικά πρόστιμα έως 10.000.000 € ή τουλάχιστον 2% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών της προηγούμενης χρήσης της εταιρείας στην οποία ανήκει η βασική οντότητα, όποιο ποσό είναι μεγαλύτερο.
β) Για σημαντικές οντότητες: διοικητικά πρόστιμα έως 7.000.000 € ή τουλάχιστον 1,4% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών κατά το προηγούμενο οικονομικό έτος της εταιρείας στην οποία ανήκει η σημαντική οντότητα, όποιο ποσό είναι μεγαλύτερο.
Το μέλλον
Οι νέες υποχρεώσεις για τις σχετικές οντότητες δεν θα πρέπει να τεθούν σε ισχύ πριν από το τέλος της περιόδου προσαρμογής της εθνικής νομοθεσίας (17 Οκτωβρίου 2024). Ωστόσο, είναι χρήσιμο για τις εταιρείες να προετοιμαστούν τώρα για τις γενικές υποχρεώσεις που απορρέουν από την Οδηγία, χωρίς να περιμένουν τη εθνική νομοθεσία, λαμβάνοντας υπόψη τις αυξανόμενες απειλές και κινδύνους. Επομένως, συμβουλεύεται οι οντότητες που θα υπόκεινται σαφώς σε αυτές τις νέες υποχρεώσεις να αρχίσουν να αυξάνουν (ή να συνεχίσουν να αυξάνουν) το επίπεδο της κυβερνοασφάλειάς τους από τώρα.
Οι οντότητες που δεν εμπίπτουν στην Οδηγία, να αυξήσουν την επαγρύπνηση σχετικά με την κυβερνοασφάλεια και να εφαρμόσουν, αναλογικά, μέτρα προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων, καθότι στο άμεσο μέλλον θα οριστεί και γι αυτές αντίστοιχος εθνικός κανονισμός.
Πηγές:
(1) https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
(2) https://www.nis-2-directive.com
(3) https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:52023XC0918(01)&qid=1695413009405
