Οδηγία NIS2

Αρχική / Οδηγία NIS2

H Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, γνωστή ως Οδηγία NIS2 (Network and Information Security Directive) είναι η αναθεωρημένη έκδοση της αρχικής οδηγίας NIS, η οποία θεσπίστηκε το 2016 με στόχο την ενίσχυση της κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση. Η NIS2, που υιοθετήθηκε το 2022, αφορά στην προστασία κρίσιμων δικτύων και συστημάτων πληροφορικής έναντι κυβερνοαπειλών και διασφαλίζει τη συνεκτική προσέγγιση στην κυβερνοασφάλεια σε ολόκληρη την ΕΕ.

Στην 7η θέση η Ελλάδα, από τις πρώτες χώρες της Ευρωπαϊκής Ένωσης που ενσωμάτωσαν την κοινοτική οδηγία NIS2 στο εθνικό δίκαιο (Ν.5160/2024, ΦΕΚ Α’ 195/27.11.2024)”

– Αντιγόνη Γιαννακάκη, Υποδιοικήτρια Επιτελικού Σχεδιασμού, Νοέμβριος 2024

Οδηγία (ΕΕ) 2022/2555, 14 Δεκεμβρίου 2022

Σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS2)

Nόμος 5160/2024, 27 Νοεμβρίου 2024

«Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS2) και της διατάξεις.» (ΦΕΚ Α’ 195/2024 – Ν. 5160/2024)

Στόχος

Αποσκοπεί στο υψηλό επίπεδο κυβερνοασφάλειας στην Ελλάδα και στην ευθυγράμμιση με τα ευρωπαϊκά πρότυπα.
Επιδιώκει ενίσχυση της εμπιστοσύνης των πολιτών και των επιχειρήσεων στις ψηφιακές υπηρεσίες.
Συμμετέχει στην επικοινωνία μεταξύ Οργανισμών και Εθνικών Αρχών και ενισχύει την διευρωπαϊκή συνεργασία.

Ο νέος εφαρμοστικός νόμος για την Κυβερνοασφάλεια στην Ελλάδα

Ενισχύεται το εθνικό σύστημα κυβερνοασφάλειας και ιδίως ο ρόλος και οι αρμοδιότητες της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ).

Συγκεκριμένα:

Ορίζεται ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team – CSIRT) και επιτελεί συντονιστικό ρόλο των CSIRTs για τις οντότητες που εντάσσονται στο πεδίο εφαρμογής του νόμου
Συντάσσει την Εθνική Στρατηγική Κυβερνοασφάλειας και καταρτίζει το εθνικό σχέδιο αντιμετώπισης περιστατικών μεγάλης κλίμακας και κρίσεων στον κυβερνοχώρο
Ασκεί καθήκοντα επίβλεψης ως αρμόδια αρχή εποπτείας και ελέγχου
Οργανώνει ειδικό πρόγραμμα πιστοποίησης επάρκειας στον τομέα της κυβερνοασφάλειας

ΕΝΗΜΕΡΩΤΙΚΟ ΦΥΛΛΑΔΙΟ: “Η Οδηγία NIS2 στην Ελλάδα” (Οδηγός Αναφοράς ν.5160/2024 για την κυβερνοασφάλεια)

Πολιτικές κυβερνοασφάλειας

Η NIS2, η οποία τροποποιεί και διευρύνει το πεδίο εφαρμογής σε σχέση με την αρχική Οδηγία NIS, προβλέπει:

Διευρυμένο πεδίο εφαρμογής με βάση το κριτήριο του κανόνα μεγέθους και υπαγωγή νέων τομέων
Αυστηρότερες απαιτήσεις ασφαλείας με τη λήψη μέτρων διαχείρισης κινδύνων αρκετά λεπτομερειακών
Συγκεκριμένα χρονοδιαγράμματα αναφοράς περιστατικών ασφαλείας
Μέτρα διαχείρισης κινδύνων
Λογοδοσία οργάνων της διοίκησης των υπόχρεων οργανισμών και επιχειρήσεων
Αυστηρότερες κυρώσεις
Συνεργασία και ανταλλαγή πληροφοριών

Σύνοψη κατευθυντήριων γραμμών

TBA

Πεδίο Εφαρμογής

Οντότητες που προστίθενται με την NIS2

Δημόσια Διοίκηση

Διαχείριση Υπηρεσιών ΤΠΕ

Νοσοκομεία, και ιατρικές υποδομές

Παραγωγή και Διανομή Τροφίμων

Ταχυδρομικές Υπηρεσίες

Διαχείριση Αποβλήτων

Λύματα

Κατασκευαστικός Τομέας

Χημικά

Διάστημα

Έρευνα

Κριτήρια υπαγωγής

Κριτήριο γεωγραφικής δραστηριότητας της οντότητας

Κριτήριο του κανόνα μεγέθους της οντότητας

Κριτήριο διαχωρισμού σε βασική ή σημαντική οντότητα

Παραδείγματα τομέων που συμπεριλαμβάνονται στο πεδίο εφαρμογής

Α. Τομείς υψηλής κρισιμότητας (υπάρχοντες)
Παραδείγματα

Υγεία
Ενέργεια
Μεταφορές
Τράπεζες
Υποδομές χρηματο/κών αγορών
Πόσιμο νερό
Ψηφιακές υποδομές

Α1. Για πρώτη φορά εισάγονται στο πεδίο εφαρμογής
μεταξύ άλλων:

Δημόσιος τομέας (Κεντρική Διοίκηση, Τοπική Αυτοδιοίκηση)
Διαχείριση Υπηρεσιών Τεχνολογίας Πληροφορικής & Επικοινωνιών (ΤΠΕ)
Διάστημα
Λύματα

B. Άλλοι Κρίσιμοι τομείς (υπάρχοντες)
Παραδείγματα

Ψηφιακοί Πάροχοι

B1. Για πρώτη φορά εισάγονται στο πεδίο εφαρμογής
μεταξύ άλλων:

Ταχυδρομικές Υπηρεσίες
Χημικά Προϊόντα
(παρασκευή, παραγωγή, διανομή)
Διαχείριση αποβλήτων
Κατασκευαστικός Τομέας
Τρόφιμα
Έρευνα

Τεστ Υπαγωγής - Εγγραφή στο Μητρώο Φορέων - Υπόχρεων

1ο Βήμα: Μάθετε αν υπάγεστε στο πεδίο εφαρμογής της NIS2

Συμπληρώστε το τεστ υπαγωγής εδώ και ελέγξτε εάν υπάγεστε στο πεδίο εφαρμογής του εφαρμοστικού Νόμου της Κοινοτικής Οδηγίας NIS2 (ν. 5160/2024, ΦΕΚ Α΄195, 27.11.2024). Εισάγετε τα στοιχεία της οντότητας που αντιπροσωπεύετε, ακολουθείστε τα βήματα απαντώντας στα διαβαθμισμένα κλιμάκια.
Ακολούθως, θα χρειαστεί να λάβετε γνώση για τις ευθύνες που απορρέουν από τις νέες διατάξεις κυβερνοασφάλειας για εσάς.
Για πληροφορίες και ερωτήσεις σχετικά με το test υπαγωγής και το πεδίο εφαρμογής, μπορείτε να αποστέλλετε email στο: nis2info[@]cyber.gov.gr, καταχωρώντας τα στοιχεία σας και τα ερωτήματά σας. Θα λαμβάνετε απάντηση από το αντίστοιχο τμήμα της Εθνικής Αρχής Κυβερνοασφάλειας.

Σε περίπτωση που θέλετε να απευθυνθείτε στην Εθνική Αρχή Κυβερνοασφάλειας για τυχόν απορίες και διευκρινίσεις σχετικά με το πεδίο εφαρμογής της NIS2 μπορείτε να καλείτε τις εργάσιμες ημέρες και ώρες από 08:00 έως 15:00 στους τηλεφωνικούς αριθμούς: 210 4802034, 210 4802725

2ο Βήμα: Εγγραφή στο Μητρώο Φορέων - Υπόχρεων

Βασική υποχρέωση των υπαγόμενων οντοτήτων στις διατάξεις της NIS2 είναι η «Εγγραφή στο Μητρώο Φορέων – Υπόχρεων».

Εφόσον η οντότητά σας εντάσσεται στο πεδίο εφαρμογής, αποστέλλετε στο register.ncsa[@]cyber.gov.gr τα στοιχεία της οντότητας που αντιπροσωπεύετε και ολοκληρώνετε έτσι, την τυπική διαδικασία που απορρέει ως βασική υποχρέωσή σας από τη NIS2 για την εγγραφή στο Μητρώο της ΕΑΚ.

Bασικές υποχρεώσεις για της οντότητες που εμπίπτουν στο πεδίο εφαρμογής του εφαρμοστικού Νόμου της Κοινοτικής Οδηγίας NIS2

Υποχρεώσεις λήψης μέτρων κυβερνοασφάλειας

Οι οργανισμοί του δημόσιου τομέα και οι επιχειρήσεις του ιδιωτικού τομέα λαμβάνουν λεπτομερή μέτρα διαχείρισης κινδύνων που βασίζονται σε ολιστική προσέγγιση του κινδύνου και αποσκοπούν στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.

Υποχρεώσεις αναφοράς περιστατικών κυβερνοασφάλειας στην ΕΑΚ

Οι φορείς οφείλουν να αναφέρουν περιστατικά κυβερνοασφάλειας στην ΕΑΚ διασφαλίζοντας την έγκαιρη επικοινωνία και την αντιμετώπιση των απειλών.

Πότε υπάρχει υποχρέωση αναφοράς περιστατικού;

Υπάρχει υποχρέωση αναφοράς όταν ένα περιστατικό θεωρείται σημαντικό.

Ένα περιστατικό θεωρείται σημαντικό αν:

Έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα
Έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη ζημία

Ποια είναι τα μέτρα που πρέπει να λαμβάνουν;

Ενδεικτικά:

Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων
Διαχείριση περιστατικών Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο
Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της
Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών
Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας

Επιβολή κυρώσεων

Διοικητικά πρόστιμα σε οντότητες του ιδιωτικού τομέα
Διοικητικά πρόστιμα και σε φορείς δημόσιας διοίκησης
Προσωρινή αναστολή πιστοποίησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών
Προσωρινή απαγόρευση σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων

Πώς η Οδηγία NIS2 θα προστατεύσει τους πολίτες και τις επιχειρήσεις από κυβερνοεπιθέσεις;

Για την προστασία των πολιτών και των επιχειρήσεων από κυβερνοεπιθέσεις, το σχέδιο νόμου που μεταφέρει την Οδηγία NIS2 στην εθνική έννομη τάξη προβλέπει την ενίσχυση της ασφάλειας των δικτύων και συστημάτων κρίσιμης σημασίας. Συγκεκριμένα, οι φορείς που παρέχουν κρίσιμες υπηρεσίες, όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοοικονομικές υπηρεσίες, θα πρέπει να εφαρμόζουν αυστηρά μέτρα ασφαλείας και να είναι σε θέση να διαχειρίζονται αποτελεσματικά κυβερνοαπειλές.

Επιπλέον, το νομοσχέδιο εισάγει μηχανισμούς έγκαιρης αναφοράς περιστατικών κυβερνοεπιθέσεων, που θα επιτρέπουν την ταχεία αντίδραση και την προστασία των δεδομένων προσωπικού χαρακτήρα. Ταυτόχρονα, προβλέπει την ενίσχυση της συνεργασίας με άλλες ευρωπαϊκές χώρες και τη συμμετοχή σε ευρωπαϊκούς μηχανισμούς για την ανταλλαγή πληροφοριών και τον συντονισμό σε περιπτώσεις κρίσεων στον κυβερνοχώρο.

Τέλος, η νομοθεσία θα ενδυναμώσει τους μηχανισμούς ελέγχου και θα διασφαλίσει ότι οι οργανισμοί συμμορφώνονται με τα πρότυπα ασφάλειας, μειώνοντας τον κίνδυνο κυβερνοεπιθέσεων και διαφυλάσσοντας τα δικαιώματα των πολιτών και την ασφάλεια των επιχειρήσεων.