Σημαντικές αλλαγές για τις επιχειρήσεις και τους φορείς του δημόσιου και ιδιωτικού τομέα πρόκειται να φέρει το, υπό διαβούλευση, νέο νομοθετικό πλαίσιο για την κυβερνοασφάλεια του υπουργείου Ψηφιακής Διακυβέρνησης.
Πρόκειται για την ενσωμάτωση της ευρωπαϊκής οδηγίας NIS2 που θεσπίστηκε το 2016 με στόχο τη θωράκιση της Ε.Ε. κατά των κυβερνοχτυπημάτων. Όπως αναφέρουν οι πληροφορίες, το νέο καθεστώς εκτιμάται ότι θα τεθεί σε ισχύ, αρχές της επόμενης χρονιάς και στη συνέχεια θα ακολουθήσει η εξειδίκευσή του μέσω κανονιστικών αποφάσεων. Ειδικότερα, βάσει του υπό διαμόρφωση νομοθετικού πλαισίου η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) με διοικητή τον Μιχάλη Μπλέτσα αναλαμβάνει κεντρικό ρόλο ελέγχου και εποπτείας. Θα εποπτεύει τις ιδιωτικές και δημόσιες επιχειρήσεις, όπως και τους φορείς της κεντρικής κυβέρνησης που θα πρέπει να συμμορφώνονται με όσα προβλέπει η NIS2. Υπολογίζεται ότι περίπου 2.000 οντότητες θα εποπτεύονται από την ΕΑΚ και την ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRT).
Κρίσιμοι τομείς
Ποιες επιχειρήσεις και φορείς του δημόσιου και ιδιωτικού τομέα θα είναι εποπτευόμενες; Αυτές της κεντρικής διοίκησης και της Τοπικής Αυτοδιοίκησης και οι οντότητες με δραστηριότητα στους κρίσιμους τομείς της διαχείρισης υπηρεσιών τεχνολογίας και πληροφορικής, διαστήματος, διαχείρισης λυμάτων, ταχυδρομικών υπηρεσιών, διαχείρισης αποβλήτων και λυμάτων, τροφίμων, χημικών προϊόντων και κατασκευών. Όπως και τομείς, που ανήκαν, ήδη, στο πεδίο εφαρμογής της προηγούμενης υγείας (NIS1), περιλαμβάνοντας την υγεία, την ενέργεια, τις μεταφορές, τις τράπεζες, τις υποδομές, τη διαχείριση υδάτινων πόρων και τις ψηφιακές υποδομές.
Τα μέτρα
Ο νόμος οριοθετεί τις επιχειρήσεις με κριτήρια τον αριθμό του προσωπικού (θα πρέπει να υπερβαίνει τα 50 άτομα) και το ύψος του τζίρου που θα πρέπει να κυμαίνεται από 10 έως 50 εκατ. ευρώ. Ωστόσο, και επιχειρήσεις και φορείς με δραστηριότητα σε κρίσιμο τομέα, αλλά με μικρότερα μεγέθη, θα πρέπει να συμμορφώνονται με το νόμο. Τα μέτρα που θα πρέπει να λαμβάνουν προβλέπουν:
-Την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων
-Τη διαχείριση περιστατικών
-Την επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο
-Την ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της
-Την ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών
Επίσης, έχουν υποχρέωση να αναφέρουν περιστατικά κυβερνοεπιθέσεων στην Εθνική Αρχή Κυβερνοασφάλειας που σημειώνει ότι για το λόγο αυτό στην Ελλάδα υπάρχει συγκεχυμένη εικόνα για το επίπεδο των κυβερνοχτυπημάτων. Κι αυτό επειδή τα «θύματα» δεν αναφέρουν τα περιστατικά κυβερνοεπιθέσεων. Το περιστατικό που είναι άξιο αναφοράς είναι αυτό που έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία. Και έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη ζημία.
Οι κυρώσεις
Το σχέδιο νόμου προβλέπει σειρά διοικητικών προστίμων και κυρώσεων σε οντότητες που δεν έχουν υιοθετήσει ολοκληρωμένο σχέδιο αντιμετώπισης κυβερνοχτυπημάτων. Προβλέπεται, δηλαδή, η επιβολή προστίμου έως 10 εκατ. ευρώ, σε συνάρτηση με την κρισιμότητα της δραστηριότητας που αναπτύσσουν. Πάντως, πρόστιμα δεν αναμένεται να υπάρξουν άμεσα, καθώς θα δοθεί μία περίοδος προσαρμογής φορέων και εταιρειών στα νέα δεδομένα. Αντίποδα, εκτιμάται ότι θα επιβληθούν κυρώσεις σε περιπτώσεις κατά τις οποίες οι οντότητες έχουν δεχτεί κυβερνοεπιθέσεις, αλλά δεν τις έχουν αναφέρει
To άρθρο Τι αλλάζει για τις επιχειρήσεις από το νέο πλαίσιο για την κυβερνοασφάλεια δημοσιεύτηκε στο NewsIT .
Αναπαραγωγή άρθου από εδώ
