Αλλάζει τα δεδομένα στην ψηφιακή ασφάλεια, η νέα Οδηγία NIS

Αλλαγές στην καθημερινότητα των επιχειρήσεων μιας σειράς κλάδων της οικονομίας επιφέρει η νέα ευρωπαϊκή νομοθεσία για την κυβερνοασφάλεια.

Αλλαγές στην καθημερινότητα των επιχειρήσεων μιας σειράς κλάδων της οικονομίας επιφέρει η νέα ευρωπαϊκή νομοθεσία για την κυβερνοασφάλεια. Πρόκειται για την Οδηγία 2016/1148/ΕΕ γνωστή ως “Οδηγία ΝIS” από τα αρχικά “Network and Information Systems”, η οποία τέθηκε σε ισχύ το 2018. Η νέα Οδηγία, την οποία έχει ενσωματώσει και η Ελλάδα στο εθνικό της δίκαιο, πρακτικά αποτελεί την πρώτη προσπάθεια ενιαίας ευρωπαϊκής νομοθεσίας για την ασφάλεια πληροφοριών, η οποία επεκτείνει τα ζητούμενα από «παραδοσιακές» απαιτήσεις ασφάλειας, σε θέματα λειτουργικής ανθεκτικότητας, επιχειρησιακής συνέχειας και διαχείρισης κρίσεων.

Η νέα νομοθεσία αφορά δύο ειδών εταιρείες και οργανισμούς. Αυτούς που δρουν ως Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών σε Τομείς Κρίσιμων Υποδομών και Συστημάτων (Operators of Essential Services – εφεξής “ΟES”). Τέτοιες υποδομές είναι η ενέργεια (ηλεκτρική, πετρέλαιο, αέριο), οι μεταφορές (αεροπορικές, πλωτές, σιδηροδρομικές, οδικές), οι τράπεζες, οι υποδομές χρηματοπιστωτικών αγορών, ο τομέας της υγείας, η προμήθεια και διανομή πόσιμου νερού, οι ψηφιακές υποδομές. Και αυτούς που λειτουργούν ως Φορείς Παροχής Ψηφιακών Υπηρεσιών (Operators of Essential Services – εφεξής “DSP”).

Σκοπός είναι η θέσπιση μέτρων για την επίτευξη ενός υψηλού κοινού ελάχιστου επιπέδου ως προς την ασφάλεια συστημάτων δικτύου και πληροφοριών σε όλη την ΕΕ.

Για την Ελλάδα, το επόμενο ορόσημο, μετά από την ενσωμάτωση της Οδηγίας στην ελληνική νομοθεσία – που έγινε το Δεκέμβριο του 2018 – αποτελεί η αναγνώριση των φορέων “OES” και “DSP” και η αναφορά προόδου από τις εθνικές Αρχές προς την Ομάδα Συνεργασίας για την κατάρτιση ενός συνολικού σχεδίου συμμόρφωσης σε ενοποιημένο ευρωπαϊκό πλαίσιο.

Ευκαιρία
Οι συμμετέχοντες σε σχετική με την Οδηγία ημερίδα της PwC Ελλάδας υπογράμμισαν ότι οι επηρεαζόμενοι κλάδοι μπορούν να αξιοποιήσουν τη NIS ως μια ευκαιρία για τη βελτίωση των υπαρχουσών δομών ασφάλειας των κρίσιμων υποδομών τους, ξεφεύγοντας από την αντιμετώπιση της ως μια ακόμα απαίτηση συμμόρφωσης. Σύμφωνα με τους συμμετέχοντες στην εκδήλωση, που πραγματοποιήθηκε με τη συμμετοχή του ENISA (European Union Agency for Network and Information Security) απαραίτητη είναι η διεξαγωγή, από την πλευρά των Οργανισμών, αυτό-αξιολόγησης βάσει της οποίας θα διαγνωσθεί η σχετική ετοιμότητα και ωριμότητα τους, θα αναγνωρισθούν περιοχές προς βελτίωση και θα σχεδιασθούν οι επόμενες δράσεις.

“Η νέα οδηγία παρουσιάζει μια εξαιρετική ευκαιρία για την ενίσχυση της κυβερνοασφάλειας. Η αναγνώριση και συζήτηση επί των διαφορετικών προκλήσεων ανά επιχειρησιακό κλάδο μπορεί να προωθήσει μια ενιαία και συνεργατική αντιμετώπιση περιστατικών ασφαλείας (υπό την ομπρέλα του Εθνικού CSIRT), που άλλωστε διαφαίνεται ότι είναι και ο απώτερος σκοπός του νέου Νόμου. Αναδεικνύεται ωστόσο η ανάγκη για άμεση και εντατική κινητοποίηση των ελληνικών οργανισμών”, σχολιάζει η PwC Ελλάδας.

sepe.gr