Skip to main content
Hermes Banner 1
DIABASTE DWREAN SEC CYP 14
DIGITAL TV 198
AC25
ilka aggelia
19 Μαρτίου 2025 10:03

NIS2: Πως η οδηγία επηρεάζει τις υποδομές IT των επιχειρήσεων και την επιλογή λογισμικού

nis2 f2b41e56

Τον Δεκέμβριο του 2022 η Ευρωπαϊκή Ένωση ενέκρινε την οδηγία NIS2 με τις επιμέρους χώρες να είναι υποχρεωμένες να την εφαρμόσουν έως τις 18 Οκτωβρίου 2024. Στην πράξη, ωστόσο, δεν έχει ακόμη ενσωματωθεί στη νομοθεσία πολλών κρατών μελών της ΕΕ, μεταξύ των οποίων και η Ελλάδα.

Ποιους επηρεάζει η οδηγία NIS2

Η νέα νομοθεσία θα καλύψει δεκάδες χιλιάδες επιχειρήσεις σε ολόκληρη την Ευρωπαϊκή Ένωση, επιφέροντας σημαντικές αλλαγές στον τρόπο διαχείρισης της κυβερνοασφάλειας τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα. Σε αντίθεση με την προκάτοχό της, η ονδηγία NIS2 καλύπτει, μεταξύ άλλων, τη δημόσια διοίκηση, τον τομέα των τροφίμων, τη βιομηχανία και τη διαχείριση αποβλήτων.

Η οδηγία διακρίνει δύο τύπους οντοτήτων:

  • Τις βασικές οντότητες με ένα ευρύτερο φάσμα αρμοδιοτήτων
  • Τις σημαντικές οντότητες, που πρέπει να πληρούν λιγότερες αυστηρές απαιτήσεις, αλλά εξακολουθούν να υπόκεινται στη ρύθμιση.

Γενικότερα, ως «βασικές» και «σημαντικές» μπορούν να θεωρηθούν οντότητες από τους τομείς που απαριθμούνται στα παραρτήματα Ι και ΙΙ της οδηγίας, οι οποίες είναι τουλάχιστον μεσαίες επιχειρήσεις (απασχολούν τουλάχιστον 50 άτομα ή έχουν ετήσιο κύκλο εργασιών που υπερβαίνει τα 10 εκατ. ευρώ). Επίσης, περιλαμβάνονται και άλλες οντότητες που ορίζονται από την Οδηγία NIS2, π.χ. οντότητες δημόσιας διοίκησης, οντότητες που προσδιορίζονται ως «κρίσιμες» σύμφωνα με την οδηγία (ΕΕ) 2022/2557, πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή υπηρεσιών ηλεκτρονικών επικοινωνιών που είναι διαθέσιμες στο κοινό. Παράλληλα, σε αυτές τις οντότητες περιλαμβάνονται αναγνωρισμένοι πάροχοι υπηρεσιών εμπιστοσύνης (trust services) και μητρώα τομέα ανωτάτου επιπέδου (domain name registries), καθώς και πάροχοι υπηρεσιών DNS, ανεξάρτητα από το μέγεθός τους. Επιπλέον, κάθε κράτος μέλος μπορεί να προσθέσει και άλλες οντότητες, σύμφωνα με τη νομοθεσία του.

Μέχρι τις 17 Απριλίου 2025, όλα τα κράτη μέλη πρέπει να δημιουργήσουν καταλόγους των προαναφερόμενων οντοτήτων που θα καλύπτονται από τους νέους κανονισμούς. Ωστόσο, η οδηγία περιλαμβάνει αρκετές εξαιρέσεις.

Οι επαγγελματίες που ασχολούνται με την ασφάλεια στον κυβερνοχώρο, πρέπει να συνδυάσουν αυτή την οδηγία με την εφαρμογή ενός συστήματος διαχείρισης κυβερνοασφάλειας και οφείλουν να έχουν υπόψη:

  • τον βαθμό κινδύνου
  • τη σοβαρότητα των πιθανών συνεπειών
  • τον διαθέσιμο προϋπολογισμό
  • την καταλληλότητα.

cyber sec 3

NIS2 vs δευτερογενές λογισμικό

Όταν μία επιχείρηση επιλέγει ένα δευτερογενές λογισμικό, το οποίο συχνά επιτρέπει εξοικονόμηση έως και 70% σε σχέση με μία αγορά λογισμικού απευθείας από τον κατασκευαστή, υπάρχουν διάφοροι παράγοντες για την ασφάλεια στον κυβερνοχώρο που πρέπει να έχει αξιολογήσει.

Η σωστή αξιολόγηση θα αποδειχθεί χρήσιμη στο πλαίσιο της εφαρμογής των διατάξεων της Οδηγίας NIS2, αλλά και γενικότερα στην ασφαλή διαχείριση των υποδομών IT του οργανισμού.

Ο πιο σημαντικός παράγοντας που πρέπει να λαμβάνεται υπόψη, είναι το να μην έχει λήξει ο κύκλος ζωής του προϊόντος. Αυτό σημαίνει ότι θα πρέπει να χρησιμοποιούνται προϊόντα για τα οποία ο κατασκευαστής εξακολουθεί να παρέχει τις πιο πρόσφατες ενημερώσεις που επηρεάζουν, μεταξύ άλλων, την αναβάθμιση της κυβερνοασφάλειας.

Ο κύκλος ζωής ενός λογισμικού

Ο κύκλος ζωής ενός λογισμικού μπορεί να διαρκέσει έως και δώδεκα χρόνια, αλλά είναι πολύ χρήσιμο για τους οργανισμούς να ζητούν λεπτομέρειες και επαγγελματική βοήθεια από έναν εξειδικευμένο μεσίτη. Θα είναι ακόμα πιο ωφέλιμο εάν ο επιλεγμένος μεσίτης προσφέρει μια εκτεταμένη σειρά υποστήριξης, συμπεριλαμβανομένων τεχνικών, αδειοδότησης, συμμόρφωσης και νομικών υπηρεσιών – μια προσέγγιση που αντικατοπτρίζεται στο χαρτοφυλάκιο αξιόπιστων εταιρειών, όπως η Forscope.

Ο κύκλος ζωής ενός λογισμικού περιλαμβάνει συνήθως τέσσερις φάσεις:

  • Η πρώτη είναι η πλήρης υποστήριξη, κατά την οποία το λογισμικό λαμβάνει όλες τις ενημερώσεις -που καλύπτουν τόσο θέματα ασφάλειας όσο και άλλους τομείς- και επιτρέπει την υποβολή αιτημάτων για αλλαγές στο προϊόν ή στις λειτουργίες του από τον κατασκευαστή.
  • Η δεύτερη είναι η εκτεταμένη υποστήριξη. Διαφέρει από την πρώτη κυρίως επειδή δεν είναι πλέον δυνατό να ζητηθούν αλλαγές στο προϊόν ή στη λειτουργικότητα, καθώς δεν είναι πλέον διαθέσιμες ενημερώσεις που δεν αφορούν την κυβερνοασφάλεια. Άλλα στοιχεία, όπως οι ενημερώσεις κυβερνοασφάλειας και η πρόσβαση στην υποστήριξη, παραμένουν ίδια.
  • Η τρίτη είναι η φάση μετά την υποστήριξη. Σε αυτό το σημείο, εξακολουθεί να είναι δυνατή η χρήση ενημερώσεων από τον τομέα της κυβερνοασφάλειας για κάποιο χρονικό διάστημα, αλλά μόνο έναντι πρόσθετης αμοιβής. Είναι η τελευταία στιγμή για εύρεση νεότερου λογισμικού.
  • Έπειτα, το λογισμικό δεν υποστηρίζεται.

Μια εναλλακτική λύση στις φάσεις τρία και τέσσερα θα μπορούσε να περιλαμβάνει τη χρήση ειδικών λύσεων για την ενίσχυση της κυβερνοασφάλειας του λογισμικού που δεν υποστηρίζεται πλέον από τον κατασκευαστή. Οι λύσεις αυτές μπορούν επίσης να συνιστώνται και να παρέχονται από μεσίτες λογισμικού.

Συνεπώς, όσοι διαχειρίζονται τις υποδομές IT ενός οργανισμού θα πρέπει να εγκαθιστούν τακτικά διορθώσεις και ενημερώσεις που μπορούν να συμβάλουν στην προστασία των συστημάτων από πιθανές κυβερνοεπιθέσεις.

Οι ίδιοι επαγγελματίες πρέπει να είναι πάντοτε βέβαιοι ότι χρησιμοποιούν επαληθευμένο λογισμικό που παρέχεται από κάποιον αξιόπιστο μεσίτη. Αυτό είναι απαραίτητο, διότι στην αγορά υπάρχουν παραπλανητικές επιλογές από πολλούς δόλιους παρόχους που προσφέρουν, για παράδειγμα, μόνο κλειδιά προϊόντων χωρίς τα κατάλληλα τεκμήρια. Η παράνομη αγορά τέτοιου λογισμικού αυξάνει τον κίνδυνο νομικών επιπτώσεων, την ευθύνη για αποζημίωση λόγω παραβίασης των δικαιωμάτων πνευματικής ιδιοκτησίας και -σε περίπτωση εγκατάστασης από άγνωστα αρχεία- τον κίνδυνο εγκατάστασης κακόβουλου λογισμικού. Ως εκ τούτου, η επιλογή ενός αξιόπιστου προμηθευτή είναι ζωτικής σημασίας για τους οργανισμούς.

Κωδικοί πρόσβασης, εκπαίδευση προσωπικού και άλλα ζητήματα

Θα πρέπει φυσικά, να λαμβάνονται υπόψη και άλλα ζητήματα, που ισχύουν σε κάθε τύπο λογισμικού. Η χρήση απλών, επαναλαμβανόμενων κωδικών πρόσβασης πρέπει να αποφεύγεται, καθώς οι επιτιθέμενοι μπορούν να τους «σπάσουν» με μεγάλη ευκολία. Παρά τις ευρέως διαδεδομένες συμβουλές για την επιλογή ενός κωδικού πρόσβασης με τουλάχιστον 8 χαρακτήρες (συμπεριλαμβανομένων κεφαλαίων και πεζών γραμμάτων, ειδικών χαρακτήρων και αριθμών) είναι πολύ καλύτερη η επιλογή μίας καλά απομνημονεύσιμης φράσης ως κωδικός πρόσβασης. Άλλωστε, μία σημαντική αύξηση του μήκους του κωδικού πρόσβασης αυξάνει τον συνολικό αριθμό των πιθανών συνδυασμών, ενώ η εύκολη απομνημόνευση μειώνει τον κίνδυνο ο χρήστης να τον καταγράψει κάπου. Ο συγκεκριμένος παράγοντας υπογραμμίζει και τη σημασία της τακτικής εκπαίδευσης των εργαζομένων σχετικά με τους κινδύνους στον κυβερνοχώρο και τα μέτρα που απαιτούνται.

Επίσης, η τακτική δημιουργία αντιγράφων ασφαλείας είναι απαραίτητη για την αποφυγή πιθανής απώλειας μεγάλου όγκου δεδομένων, που σε περίπτωση συμβάντος μπορεί να είναι μη αναστρέψιμη.

Η φυσική ασφάλεια της υποδομής πρέπει επίσης να αποτελεί προτεραιότητα. Οι managers πρέπει να διασφαλίζουν ότι η πρόσβαση στους χώρους που στεγάζουν συστήματα IT ελέγχεται αυστηρά και ότι ολόκληρη η υποδομή IT προστατεύεται από περιπτώσεις κλοπής και δολιοφθοράς.

Τέλος, θα πρέπει όλες οι επιχειρήσεις να θυμούνται ότι η ασφάλεια στον κυβερνοχώρο δεν αφορά μόνο την πληροφορική, αλλά και τη φυσική ασφάλεια και την εκπαίδευση. Τα κονδύλια που μπορούν να εξοικονομηθούν από εναλλακτικά μοντέλα λογισμικού και αδειών χρήσης, μπορούν να αξιοποιηθούν για την ενίσχυση της φυσικής ασφάλειας, την εκπαίδευση των χρηστών ή την πραγματοποίηση άλλων επενδύσεων στην κυβερνοασφάλεια.

Από τον Michal Baudys, Public Sector Strategy Leader της Forscope για αγορές της Ε.Ε.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Μάρτιος 2025
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Μαρτίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμές που…
Security Best Sellers 2024
Το περιοδικό Security Report επικοινώνησε αυτόν τον μήνα με κορυφαίες εταιρείες του κλάδου της ασφάλειας και εντόπισε τα προϊόντα και τις υπηρεσίες που ξεχώρισαν σε πωλήσεις το 2024! Διαβάστε αναλυτ…
Salonica Electronix 2025
Το μεγαλύτερο event της αγοράς για το 2025 είναι γεγονός! Η Libra Press, μετά από δύο χρόνια και δύο εκθέσεις που έμειναν αξέχαστες στους εκθέτες και τους επισκέπτες – την Athens Electronix 2024 και…
Σύστημα βιντεοεπιτήρησης
Ένα από τα σοβαρότερα ζητήματα, εν έτει 2025, το οποίο απασχολεί πλέον καθημερινά τον συνάνθρωπό μας είναι η προστασία της ζωής του. Την ανάγκη του για ασφάλεια επιτείνει η συνεχώς αυξανόμενη εγκλημ…
Dahua HDCVI 2023
Η Dahua Technology, ένας από τους κορυφαίους παρόχους λύσεων και υπηρεσιών AIoT με επίκεντρο το βίντεο, λανσάρει το HDCVI 2023, τη συνέχεια της τεχνολογίας HDCVI 10, που οδήγησε το 2022 την αναλογικ…
Inim Hevoluto
Ποιος δεν θα ήθελε να αυτοματοποιήσει ή και να ενισχύσει την ασφάλειά του με πιο έγκυρη και έγκαιρη ενημέρωση; Τα Physical Security Information Management softwares χρησιμοποιούνται στη βιομηχανία τ…

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report Cyprus, τεύχος 15
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος 15 του Security Report Cyprus θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε…
Optex Redscan LiDAR Series
Το Redscan είναι το βραβευμένο σύστημα ασφαλείας της εταιρείας Optex, βασισμένο στην τεχνολογία LiDAR (Light Detection and Ranging), το οποίο προσδιορίζει με ακρίβεια το μέγεθος και την απόσταση των…
Security TOP 50
Η προστασία εταιρειών, επιχειρήσεων και φυσικά, της ανθρώπινης ζωής είναι κρίσιμης σημασίας γι’ αυτό και οι εταιρείες που ασχολούνται με την ανάπτυξη, παραγωγή και προσφορά φυσικών, τεχνολογικών και…
Ajax Special Event 2024
Η Ajax Systems στις 21 Νοεμβρίου πραγματοποίησε ένα παγκόσμιο online event όπου επαγγελματίες εγκαταστάτες, εταιρείες και πολλοί άλλοι είχαν τη δυνατότητα να ενημερωθούν για νέες λύσεις και νέα προϊ…
Ταξινόμηση σημάτων συναγερμού
Τα τελευταία χρόνια γίνεται μια συντονισμένη προσπάθεια στο κλάδο της ασφάλειας, ώστε να αλλάξει ο τρόπος με τον οποίο λαμβάνονται, ανταλλάσσονται και αναμεταδίδονται οι πληροφορίες συναγερμού στα Κ…