Κυβερνοασφάλεια: Βαριά πρόστιμα σε φορείς που δεν θα λάβουν μέτρα - Τι προβλέπει νομοσχέδιο

Οι φορείς θα πρέπει να εναρμονιστούν με τις νέες προβλέψεις άμεσα και ο νόμος να ψηφιστεί το ταχύτερο δυνατόν

🕛 χρόνος ανάγνωσης: 5 λεπτά ┋ 🗣️ Ανοικτό για σχολιασμό

Αντιμέτωπες με τσουχτερά πρόστιμα που φτάνουν έως και τα 10 εκατομμύρια ευρώ κινδυνεύουν να βρεθούν περίπου 2.000 επιχειρήσεις και οργανισμοί, οι οποίοι δε θα λάβουν εγκαίρως τα απαιτούμενα μέτρα προστασίας και αντιμετώπισης κυβερνοεπιθέσεων. Παράλληλα θα κληθούν να καταβάλλουν και τέλος κυβερνοασφάλειας το οποίο θα εξαρτάται από το μέγεθος της επιχείρησης και την πολυπλοκότητα της επίθεσης.

Οι προβλέψεις αυτές εντάσσονται στο νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης, το οποίο ενσωματώνει στην ελληνική νομοθεσία την επικαιροποιημένη ευρωπαϊκή Οδηγία για την Κυβερνοασφάλεια (NIS 2). Στόχος του υπουργείου είναι το σχέδιο νόμου να έχει ψηφιστεί έως το τέλος της χρονιάς ώστε από το 2025 να ξεκινήσουν εντατικοί έλεγχοι στις υπόχρεες επιχειρήσεις.

Όπως επεσήμανε ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας κ. Μ. Μπλέτσας, τα έσοδα της Αρχής θα προέρχονται από τα πρόστιμα που θα επιβάλλει, από τις πιστοποιήσεις που θα δίνει αλλά και από πιθανά τέλη, το ύψος των οποίων δεν έχει ακόμα καθοριστεί. Στόχος είναι, πάντως, αυτά να είναι ανταποδοτικά και να ακολουθούν πρακτικές που εφαρμόζονται σε άλλες χώρες της Ευρώπης. Ωστόσο, ο έλεγχος των φορέων θα επιβαρύνει τους ίδιους τους φορείς.

Άμεσα η εφαρμογή του νόμου

Να σημειωθεί ότι οι φορείς θα πρέπει να εναρμονιστούν με τις νέες προβλέψεις άμεσα και ο νόμος να ψηφιστεί το ταχύτερο δυνατόν δεδομένου ότι οι χώρες μέλη της Ευρωπαϊκής Ένωσης είχαν προθεσμία έως τις 18 Οκτωβρίου προκειμένου να εναρμονιστούν με τις απαιτήσεις της Οδηγίας.

Σύμφωνα με τον κ. Μπλέτσα μάλιστα, η Ελλάδα θα πρέπει να επενδύσει περισσότερους πόρους στο ζήτημα της κυβερνοασφάλειας: «Η Ελλάδα δεν βάζει πολλούς πόρους. Η Εθνική Αρχή Κυβερνοασφάλειας δεν μπήκε καν στον προϋπολογισμό του 2024. Πρέπει να ‘μπει όμως», ανέφερε.

Σήμερα το προσωπικό της Αρχής αριθμεί 75 άτομα, ενώ υπάρχει ανάγκη για αύξηση του ανθρώπινου δυναμικού, με στόχο την πρόσληψη επιπλέον 150 στελεχών το επόμενο διάστημα. Ωστόσο, αυτό είναι μία δύσκολη εξίσωση αφενός εξαιτίας της έλλειψης εξειδικευμένων στελεχών σε πανευρωπαϊκό επίπεδο, αλλά και των χαμηλών αμοιβών τους στην Ελλάδα, οι οποίες σύμφωνα με τον κ. Μπλέτσα υπολείπονται των αποδοχών που προσφέρει ακόμα και η Αλβανία.

Ποιες επιχειρήσεις αφορά

Το σχέδιο νόμου δίνει ενισχυμένες αρμοδιότητες στην Αρχή, ενώ εντάσσει στην ομπρέλα των υπόχρεων να λάβουν μέτρα φορέων μια μεγάλη λίστα οντοτήτων. Σε αυτήν συγκαταλέγονται όλες οι μεσαίες επιχειρήσεις που απασχολούν από 50 έως 250 εργαζομένους και έχουν τζίρο έως και 250 εκατ. ευρώ, αλλά και οι μεγάλες επιχειρήσεις που δραστηριοποιούνται στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανοµής τροφίµων, παραγωγής χηµικών προϊόντων, φαρµακευτικών προϊόντων, διαχείρισης λυµάτων και αποβλήτων, εταιριών ταχυµεταφορών. Υπόχρεοι, ανεξάρτητα από το μεγέθός τους, είναι οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών, ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, οι πάροχοι υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου και βεβαίως η κεντρική κυβέρνηση, οι Περιφέρειες και οι Δήμοι.

Στη νέα οδηγία εμπίπτουν και μικρομεσαίες επιχειρήσεις που έχουν κύκλο εργασιών από 10 έως 50 εκατ. ευρώ, οι οποίες δραστηριοποιούνται σε τομείς υψηλής κρισιμότητας.

Το νομοσχέδιο προβλέπει αυστηρά πρόστιμα, τα οποία φτάνουν έως και τα 10 εκατομμύρια ευρώ στην περίπτωση που διαπιστωθούν παραβάσεις στα μέτρα διαχείρισης κινδύνων, αλλά και στην γνωστοποίηση περιστατικών κυβερνοεπιθέσεων. Ο κ. Μπλέτσας μάλιστα εκτίμησε ότι «πολύ σύντομα θα υπάρξουν πρόστιμα σε ό,τι έχει να κάνει με τις αναφορές περιστατικών».

Τι πρέπει να κάνουν οι φορείς

Στο ζήτημα της αναφοράς άλλωστε δίνεται ιδιαίτερη έμφαση μέσα από τις διατάξεις του νομοσχεδίου, το οποίο προβλέπει ότι οι φορείς υποχρεούνται:

να υποβάλουν εντός 24 ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, προειδοποίηση, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,
Εντός 72 ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, κοινοποίηση περιστατικού, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες και, επιπλέον, περιλαμβάνει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης,
κατόπιν αιτήματος της Εθνικής Αρχής Κυβερνοασφάλειας, να υποβάλουν ενδιάμεση έκθεση σχετικά με τις σχετικές επικαιροποιήσεις της κατάστασης,
να υποβάλουν τελική έκθεση το αργότερο εντός ενός μήνα μετά από την υποβολή της κοινοποίησης περιστατικού. Η έκθεση πρέπει να περιλαμβάνει λεπτομερή περιγραφή του περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, το είδος της απειλής ή τη βασική αιτία που ενδεχομένως προκάλεσε το περιστατικό, εφαρμοζόμενα και εν εξελίξει μέτρα μετριασμού, κατά περίπτωση, τον διασυνοριακό αντίκτυπο του περιστατικού. Σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της τελικής έκθεσης υποβάλλεται έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός μηνός από τον εκ μέρους τους χειρισμό του σημαντικού περιστατικού.

Εκτός της αναφοράς του περιστατικού, οι φορείς υποχρεούνται να λάβουν μέτρα κυβερνοασφάλειας και διαχείρισης κινδύνων, να ορίσουν πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων, για τη διαχείριση περιστατικών, για την επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο. Κρίσιμες είναι και οι πολιτικές που αφορούν την ασφάλεια της αλυσίδας εφοδιασμού, ώστε οι φορείς να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της.