Σε δημόσια διαβούλευση η ενσωμάτωση στο εθνικό δίκαιο της ευρωπαϊκής Οδηγίας NIS2
Μαρία Μποζούδη
Senior Advisor
Τομέα Βιομηχανίας, Ανάπτυξης, Τεχνολογίας & Καινοτομίας ΣΕΒ
Άρθρο στο Μηνιαίο Ενημερωτικό Δελτίο ΣΕΒ – Ρυθμιστικό Περιβάλλον και Επιχειρήσεις – 31 Οκτωβρίου 2024
Το πλέγμα πρωτοβουλιών της ΕΕ για την κυβερνο-ανθεκτικότητα επιδιώκει να διασφαλίσει ότι οι πολίτες και οι επιχειρήσεις επωφελούνται από αξιόπιστες ψηφιακές τεχνολογίες, και ότι η Ένωση θα μπορέσει να ανταποκριθεί σε ψηφιακές απειλές. Η Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριών 2 (Network and Information Security 2) ισχύει πανευρωπαϊκά από 18 Οκτωβρίου και είναι μέρος αυτού του πλαισίου. Φέρνει σε πρώτο πλάνο τη διαχείριση κυβερνοκινδύνων σε όλο το μήκος της εφοδιαστικής αλυσίδας, που το 2023 ήταν ο στόχος περίπου 40% των κυβερνοεπιθέσεων. Ήδη, για την καλύτερη διαχείριση των κινδύνων επιχειρησιακής συνέχειας και ανταγωνιστικότητας που συνδέονται με την εφοδιαστική αλυσίδα, αναμένεται πως το νέο έτος 60% των επιχειρήσεων θα ζητούν πιστοποιήσεις κυβερνοασφάλειας από τους συνεργάτες τους, όπως αναφέρει ο ΣΕΒ στο σχετικό Οδηγό.
Αναβαθμίζοντας τις ψηφιακές τους άμυνες, οι επιχειρήσεις καθίστανται περισσότερο αξιόπιστοι κρίκοι της αλυσίδας αξίας τους. Οι ωφέλειες, τις οποίες ο ΣΕΒ υπογραμμίζει συστηματικά, αποτελούν κίνητρο συμμόρφωσης με την NIS2 και για τις Ελληνικές επιχειρήσεις, που διαθέτουν 75% της ψηφιακής ωριμότητας του μ.ο. ΕΕ27 και υπολείπονται στις επιδόσεις κυβερνοασφάλειας, παρά την επιτάχυνση του ψηφιακού βηματισμού τους με το μεγαλύτερο ρυθμό στην ΕΕ μεταξύ 2018-2023. Οι κατευθύνσεις της NIS2 μπορούν να αναβαθμίσουν την ψηφιακή τους θωράκιση, εφόσον δεν τις επιβαρύνουν με πλεονάζοντα κόστη και γραφειοκρατικές διαδικασίες, σέβονται τις αρχές του ανταγωνισμού, και συνοδεύονται με κατάλληλα εργαλεία επιχειρηματικής κυβερνο-ενδυνάμωσης.
Τι αλλάζει η Οδηγία NIS2 στη χώρα μας; Πρώτον, αυξάνονται οι άμεσα υπόχρεες επιχειρήσεις, ανεξαρτήτως μεγέθους, σε τομείς όπως ενέργεια, μεταφορές, υγεία, και ψηφιακές υποδομές, άλλων παραγωγή και διανομή χημικών προϊόντων και τροφίμων, παραγωγή ιατροτεχνολογικών προϊόντων και ηλεκτρονικών ειδών, online αγορές, κ.α. Έμμεσα υπόχρεες είναι όλες οι επιχειρήσεις που συμμετέχουν στην εφοδιαστική αλυσίδα τους, αλλά και εκείνες που λειτουργούν ως προμηθευτές της δημόσιας διοίκησης, φορέων της, περιφερειών και δήμων στους προβλεπόμενους τομείς. Δεύτερον, εισάγονται υποχρεώσεις αναφοράς περιστατικών κυβερνοασφάλειας, με έγκαιρη προειδοποίηση των αρχών εντός 24h, κοινοποίηση περιστατικού εντός 72h, και υποβολή τελικής έκθεσης εντός μηνός από την κοινοποίησή του. Τρίτον, προβλέπονται διοικητικά πρόστιμα και κυρώσεις, όπως χρηματικά πρόστιμα, προσωρινή αναστολής δραστηριοτήτων της επιχείρησης, προσωρινή απαγόρευση άσκησης διευθυντικών καθηκόντων από οποιοδήποτε φυσικό πρόσωπο ασκεί διευθυντικά καθήκοντα (επίπεδο διευθύνοντος συμβούλου ή νομικού εκπροσώπου), και άλλες μορφές κυρώσεων. Τέταρτον, προωθούνται πολιτικές ενίσχυσης της κυβερνοανθεκτικότητας των μικρών και μεσαίων επιχειρήσεων, που μένει να διευκρινιστούν.
Ο ΣΕΒ έχει καλέσει τα μέλη του να συμμετάσχουν στην τρέχουσα δημόσια διαβούλευση για την ενσωμάτωσης της NIS2 στο εθνικό δίκαιο. Αναμένεται με ενδιαφέρον η ολοκλήρωσή της, όπως και διευκρινίσεις για τη διαχείριση περιστατικών που εμπίπτουν στις προβλέψεις της όσο η διαβούλευση βρίσκεται σε εξέλιξη, λεπτομέρειες για την υλοποίηση δράσεων ενίσχυσης των ΜμΕ, αλλά και οι υπουργικές αποφάσεις και διοικητικές πράξεις για την πρακτική εφαρμογή της Οδηγίας, σύμφωνα με το Άρθρο 29 του σχεδίου νόμου – όπως η έναρξης ισχύος για περιφέρειες και δήμους, τα κριτήρια για την υπαγωγή ή εξαίρεση από την Οδηγία, οι απαιτήσεις ασφαλείας για τους υπόχρεους, η διαδικασία κοινοποίησης συμβάντος, το κόστος εποπτείας και ελέγχου, τα πρότυπα για τη διενέργεια επιθεωρήσεων και ελέγχων, η διαδικασία αναφοράς περιστατικών κυβερνοασφάλειας, η διαδικασία υπολογισμού προστίμων, κ.α.
