NIS 2: Δημοσιεύτηκε ο Ν.5160/2024

NIS 2

Στις 28/11/2024 δημοσιεύτηκε ο νόμος 5160/2024, ο οποίος ενσωματώνει την Οδηγία (ΕΕ) 2022/2555, γνωστή σε όλους ως NIS 2.

1. Τι προβλέπει;

  • Καθορισμός μέτρων διαχείρισης κινδύνων, υποχρεώσεων αναφοράς περιστατικών και ανταλλαγής πληροφοριών για την κυβερνοασφάλεια.
  • Εξασφάλιση αποτελεσματικής εποπτείας και επιβολής κυρώσεων για τη συμμόρφωση.

2. Ποιους αφορά;

Δημόσιες και ιδιωτικές οντότητες που δραστηριοποιούνται στην Ελλάδα, υπό συγκεκριμένες προϋποθέσεις, ανάλογα με:

α) το μέγεθος,

β) τον τύπο και

γ) τη σημασία της δραστηριότητάς τους.

Οι οντότητες που χαρακτηρίζονται ως μεσαίες επιχειρήσεις (απασχολούν λιγότερους από 250 εργαζομένους και των οποίων ο ετήσιος κύκλος εργασιών δεν υπερβαίνει τα 50 εκατομμύρια ευρώ ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 43 εκατομμύρια ευρώ) ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις, εμπίπτουν στο πεδίο εφαρμογής εφόσον:

  • Είναι εγκατεστημένες ή παρέχουν υπηρεσίες εντός της ελληνικής επικράτειας.
  • Παρέχουν υπηρεσίες ή ασκούν δραστηριότητες στους κατωτέρω τομείς:
    • Υψηλής Κρισιμότητας:
      1. Ενέργεια:
        • Διαχείριση και διανομή ηλεκτρικής ενέργειας.
        • Παραγωγή και διανομή φυσικού αερίου.
        • Διαχείριση πετρελαίου και πετροχημικών υποδομών.
      2. Μεταφορές:
        • Αεροπορικές εταιρείες και αερολιμένες.
        • Θαλάσσιες μεταφορές (λιμένες και ναυτιλιακές εταιρείες).
        • Σιδηροδρομικές και οδικές μεταφορές.
        • Εταιρείες logistics με διασυνοριακή δραστηριότητα.
      3. Τραπεζικός τομέας:
        • Πάροχοι τραπεζικών και οικονομικών υπηρεσιών.
      4. Υποδομές Χρηματοπιστωτικών αγορών,
      5. Υγεία:
        • Νοσοκομεία, κλινικές και μονάδες υγειονομικής περίθαλψης.
        • Εργαστήρια και ερευνητικά κέντρα στον τομέα της υγείας.
      6. Νερό:
        • Προμηθευτές και διανομείς νερού
      7. Λύματα:
        • Επιχειρήσεις συλλογής, διάθεσης ή επεξεργασίας αστικών,οικιακών ή βιομηχανικών λυμάτων
      8. Ψηφιακές υποδομές:
        • Πάροχοι υπηρεσιών cloud computing,
        • Κέντρα δεδομένων,
        • Πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών.
      9. Διαχείριση υπηρεσιών ΤΠΕ
      10. Οντότητες Δημόσιας Διοίκησης:
        • ΝΠΔΔ & ΝΠΙΔ του Δημοσίου
        • Δημόσιες επιχειρήσεις
        • ΟΤΑ (Α’ & Β’ Βαθμού)
        • Ανεξάρτητες Διοικητικές Αρχές που έχουν νομική προσωπικότητα
        • Κεντρική Διοίκηση
      11. Διάστημα:
        • Φορείς εκμετάλλευσης επίγειας υποδομής, ιδιοκτησίας, διαχείρισης και εκμετάλλευσης από ιδιωτικούς φορείς που υποστηρίζουν την παροχή διαστημικών υπηρεσιών
    • Άλλοι Κρίσιμοι Τομείς:
      1. Ταχυδρομικές και ταχυμεταφορικές υπηρεσίες,
      2. Διαχείριση αποβλήτων:
      3. Παρασκευή, παραγωγή και διανομή χημικών προϊόντων,
      4. Παραγωγή, μεταποίηση και διανομή τροφίμων,
      5. Κατασκευαστικός Τομέας:
        • Ιατροτεχνολογίες
        • Ηλεκτρονικούς υπολογιστές, εξαρτήματα, μηχανοκίνητα, εξοπλισμού μεταφορών
      6. Ψηφιακοί Πάροχοι:
        1. Διαδικτυακές αγορές
        2. Μηχανές αναζήτησης
        3. Πλατφόρμες Κοινωνικής Δικτύωσης
      7. Έρευνα.

3. Ποιους δεν αφορά;

  • Οντότητες που δραστηριοποιούνται σε θέματα εθνικής ασφάλειας, άμυνας ή δημόσιας τάξης.
  • Οντότητες του χρηματοπιστωτικού τομέα που καλύπτονται από τον Κανονισμό (ΕΕ) 2022/2554 (DORA).

4. Ποιες υποχρεώσεις έχουν οι οντότητες που εμπίπτουν;

Οι οντότητες πρέπει να υιοθετήσουν κατάλληλα και αναλογικά τεχνικά, οργανωτικά και επιχειρησιακά μέτρα για τη διαχείριση κινδύνων, λαμβάνοντας υπόψη κάθε πιθανό κίνδυνο (“all-hazards approach”). Αυτά περιλαμβάνουν:

  • Πολιτικές ανάλυσης κινδύνων και ασφάλειας συστημάτων:
    • Εκτίμηση κινδύνων που απειλούν τα δίκτυα και τα πληροφοριακά συστήματα.
    • Ανάπτυξη στρατηγικής διαχείρισης και ελαχιστοποίησης των κινδύνων.
  • Διαχείριση περιστατικών:
    • Εφαρμογή διαδικασιών για την ανίχνευση, ανταπόκριση και αποκατάσταση από περιστατικά κυβερνοασφάλειας.
  • Συνέχεια επιχειρησιακής λειτουργίας:
    • Σχέδια συνέχειας λειτουργιών για την ελαχιστοποίηση διαταραχών.
  • Ασφάλεια εφοδιαστικής αλυσίδας:
    • Έλεγχος ασφάλειας των προμηθευτών και συνεργατών που επηρεάζουν τις κρίσιμες λειτουργίες.
  • Κρυπτογραφία και πολυπαραγοντική αυθεντικοποίηση:
    • Χρήση κρυπτογράφησης για την προστασία δεδομένων.
    • Υιοθέτηση πολυπαραγοντικής αυθεντικοποίησης για πρόσβαση στα συστήματα.
  • Διαχείριση περιουσιακών στοιχείων:
    • Δημιουργία και διατήρηση απογραφής των πληροφοριακών και επικοινωνιακών πόρων.
  • Εκπαίδευση προσωπικού:
    • Τακτική εκπαίδευση σε βασικές πρακτικές κυβερνοασφάλειας και ενίσχυση της κουλτούρας ασφάλειας.

Ειδικές Υποχρεώσεις

Ορισμός Υπεύθυνου Ασφάλειας (CISO)

  • Ορισμός Υπεύθυνου Ασφάλειας Συστημάτων Επικοινωνιών και Πληροφοριών (CISO), ο οποίος επιβλέπει την εφαρμογή των μέτρων κυβερνοασφάλειας.

Διαμόρφωση πολιτικής κυβερνοασφάλειας

  • Ανάπτυξη ενιαίας πολιτικής κυβερνοασφάλειας, η οποία εγκρίνεται από την Εθνική Αρχή Κυβερνοασφάλειας.

Εγγραφή στο Μητρώο

  • Έως τις 17/1/2025 είναι υποχρεωτική η εγγραφή σε ειδικό μητρώο της Εθνικής Αρχής Κυβερνοασφάλειας για οντότητες όπως:
    • Πάροχοι cloud computing.
    • Μητρώα ονομάτων τομέα (DNS).
    • Πάροχοι υπηρεσιών εμπιστοσύνης.

Υποχρεώσεις Αναφοράς

  • Αναφορά σημαντικών περιστατικών κυβερνοασφάλειας στην Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας Υπολογιστών (CSIRT).
  • Ενημέρωση των επηρεαζόμενων χρηστών ή πελατών για περιστατικά που επηρεάζουν τις υπηρεσίες τους.

Υποχρεώσεις Διοίκησης

Η διοίκηση της οντότητας πρέπει να εγκρίνει τις πολιτικές και τις διαδιασίες για την κυβερνοασφάλεια, να επιτηρεί την εφαρμογή τους, να εκπαιδευτεί και να διασφαλίση και την εκπαίδευση του προσωπικού. Σημειώνεται ότι υπό συγκεκριμένες προϋποθέσεις, η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να υποβάλλει πρόστιμο σε στέλεχος διοίκησης ή να απαγορεύσει προσωρινά σε πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νόμιμου εκπροσώπου στη βασική οντότητα να ασκεί
διευθυντικά καθήκοντα στην εν λόγω οντότητα.

6. Κυρώσεις

  • Προβλέπονται διοικητικά πρόστιμα τα οποία μπορεί, υπό προϋποθέσεις, να φτάνουν τα δέκα εκατομμύρια ευρώ (10.000.000) ή κατ’ ανώτατο όριο δύο τοις εκατό (2%) του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.
  • Προσωπική ευθύνη της διοίκησης:
    • Τα μέλη της διοίκησης μπορεί να υπόκεινται σε κυρώσεις, όπως προσωρινή απαγόρευση άσκησης διοικητικών καθηκόντων.

7. Αλληλεπίδραση με άλλα Ενωσιακές Πράξεις

  • Συνέργια με τις απαιτήσεις του Κανονισμού (ΕΕ) 2016/679 (GDPR) για την προστασία δεδομένων, ειδικά σε ό,τι αφορά τις παραβιάσεις.
  • Συνδυασμός με άλλες ευρωπαϊκές κανονιστικές πράξεις όπως την Οδηγία για την Ανθεκτικότητα των Κρίσιμων Οντοτήτων (CER Directive) και τον Κανονισμό για την Ψηφιακή Ανθεκτικότητα στον Χρηματοοικονομικό Τομέα (DORA).

Η συμμόρφωση με τον Νόμο 5160/2024 αποτελεί κρίσιμο βήμα για τη διασφάλιση της κυβερνοασφάλειας, την προστασία των κρίσιμων υποδομών και την αποφυγή αυστηρών κυρώσεων. Στο δικηγορικό μας γραφείο, με την εξειδικευμένη γνώση μας στον τομέα της προστασίας δεδομένων και της κυβερνοασφάλειας, παρέχουμε ολοκληρωμένες νομικές και συμβουλευτικές υπηρεσίες για την υποστήριξη της συμμόρφωσης σας.

Οι υπηρεσίες μας περιλαμβάνουν:

  • Νομική ανάλυση και καθοδήγηση: Ερμηνεία των υποχρεώσεών σας βάσει της ελληνικής και ευρωπαϊκής νομοθεσίας.
  • Αξιολόγηση κινδύνων: Υποστήριξη στη διενέργεια εκτίμησης κινδύνων κυβερνοασφάλειας και ανάπτυξη στρατηγικών διαχείρισης.
  • Εκπόνηση πολιτικών και διαδικασιών: Κατάρτιση πολιτικών κυβερνοασφάλειας και διαχείρισης περιστατικών σύμφωνα με τις απαιτήσεις του Νόμου.
  • Συνεργασία με IT ειδικούς: Εξασφάλιση τεχνικής συμμόρφωσης σε συνεργασία με έμπειρους τεχνολογικούς εταίρους.
  • Υποστήριξη διοίκησης: Εκπαίδευση της διοίκησης στις ευθύνες της και διαχείριση της προσωπικής ευθύνης.
  • Υπηρεσίες καταγραφής: Βοήθεια με την εγγραφή στο Μητρώο της Εθνικής Αρχής Κυβερνοασφάλειας και την υποβολή αναφορών.
  • Εκπροσώπηση σε εποπτικούς ελέγχους: Υποστήριξη σε περιπτώσεις επιθεωρήσεων ή ελέγχων από αρμόδιες αρχές.

Εστιάζουμε στη δημιουργία εξατομικευμένων λύσεων που ανταποκρίνονται στις μοναδικές ανάγκες της επιχείρησής σας, διασφαλίζοντας παράλληλα την αποτελεσματική συμμόρφωση και την ενίσχυση της ανθεκτικότητάς σας απέναντι σε κυβερνοαπειλές.

Επικοινωνήστε μαζί μας για να σας βοηθήσουμε να ανταποκριθείτε στις απαιτήσεις του νέου ρυθμιστικού πλαισίου και να θωρακίσετε τον οργανισμό σας έναντι κινδύνων!