Επιχειρήσεις και Κυβερνοασφάλεια – Τι προβλέπει η οδηγία NIS2;
Ακολουθήστε μας στο Linkedin και συνδεθείτε με άλλους επαγγελματίες του κλάδου
Στην έγκριση της οδηγίας NIS2 προχώρησε η ΕΕ, κάτι το οποίο θα επηρεάσει τις επιχειρήσεις. Η έγκριση αποτελεί μέρος της στρατηγικής της ΕΕ για τη διαμόρφωση του ψηφιακού μέλλοντος στον τομέα της κυβερνοασφάλειας και την άμεση επέκταση της οδηγίας NIS του 2016, η οποία ήταν η πρώτη νομοθεσία για την ασφάλεια στον κυβερνοχώρο για την ΕΕ.
Στο υπόβαθρο της νέας οδηγίας βρίσκεται ένα ταχέως μεταβαλλόμενο τοπίο απειλών όπου οι επιχειρήσεις μπορεί να είναι ευάλωτες. Για τον λόγο ότι η πρώτη οδηγία NIS εφαρμόστηκε με διαφορετικό τρόπο στα κράτη μέλη της ΕΕ, η ίδια η ΕΕ επιθυμεί μια πιο ολιστική και ομοιόμορφη προσέγγιση όσον αφορά την προστασία στον κυβερνοχώρο σε διαφορετικούς τομείς και αλυσίδες εφοδιασμού που επηρεάζουν τις υποδομές ζωτικής σημασίας, καθώς μια καταστροφική κυβερνοεπίθεση μπορεί να έχει τεράστιο αντίκτυπο στην οικονομία κάθε κράτους μέλους, αλλά και στην υπόλοιπη Ευρώπη. Για παράδειγμα, εάν η εθνική εταιρεία ενέργειας μιας χώρας τεθεί εκτός λειτουργίας για σύντομο ή μεγάλο χρονικό διάστημα, οι τιμές της ηλεκτρικής ενέργειας θα αυξηθούν. Και δεδομένου ότι η ηλεκτρική ενέργεια διαπραγματεύεται σε ευρωπαϊκό χρηματιστήριο, οι τιμές θα αυξηθούν σε ολόκληρη την Ευρώπη.
Γιατί είναι σημαντικό για τις επιχειρήσεις;
Σε αντίθεση με την οδηγία GDPR, η οποία προστατεύει τα προσωπικά δεδομένα των πολιτών, η NIS2 στοχεύει στην προστασία των οικονομικών δεδομένων – δεδομένων που επηρεάζουν τις οικονομίες των επιχειρήσεων και κατ’ επέκταση των χωρών μελών.
Σύμφωνα με τη νέα νομοθεσία, τα κράτη μέλη είναι υπεύθυνα για την εφαρμογή μίας εθνικής στρατηγικής για την προστασία των επιχειρήσεων στον κυβερνοχώρο, μία εθνική νομοθεσία που περιλαμβάνει τις απαιτήσεις διαχείρισης κινδύνων και υποβολή εκθέσεων για τις εταιρείες που καλύπτονται από την οδηγία, καθώς και ένα ενιαίο εθνικό σημείο επαφής για την διαχείριση της NIS2.
Σε ποιους αναφέρεται;
Εκτός από τους τομείς που είχαν συμπεριληφθεί στην οδηγία NIS, η νέα NIS2 επεκτείνεται επίσης σε αρκετούς νέους δημόσιους και ιδιωτικούς τομείς που συμπεριλαμβάνουν εταιρείες τροφίμων, ναύλων και ναυτιλιακών, παρόχους τηλεπικοινωνιών και δεδομένων, πλατφόρμες κοινωνικών μέσων και παρόχους data centers, εταιρείες που ασχολούνται με τη διαχείριση αποβλήτων και λυμάτων και κατασκευαστικές εταιρείες που είναι σημαντικές για την οικονομία της χώρας. Οι εταιρείες βάσει της οδηγίας χωρίζονται σε δύο κατηγορίες: significant entities (π.χ. εταιρείες τηλεπικοινωνιών, επιχειρήσεις κοινής ωφέλειας και τράπεζες) και important entities (π.χ. εταιρείες τροφίμων και εταιρείες εμπορευματικών μεταφορών). Ωστόσο, απαλλάσσονται οι εταιρείες που απασχολούν λιγότερους από 250 εργαζομένους ή έχουν ετήσιο κύκλο εργασιών μικρότερο των 50 εκατομμυρίων ευρώ.
Ωστόσο, λόγω της έννοιας της ευθύνης της αλυσίδας εφοδιασμού, πρέπει να υποθέσουμε ότι οι μικρότερες εταιρείες που είναι προμηθευτές σε τομείς που καλύπτονται από την οδηγία, πρέπει επίσης να συμμορφώνονται με την οδηγία NIS2.
Περιεχόμενο της οδηγίας NIS2
Η NIS2 επιβάλλει νέες απαιτήσεις στις συμπεριλαμβανόμενες σε αυτή εταιρείες και οργανισμούς. Σε αυτές περιλαμβάνονται απαιτήσεις για εξειδίκευση και ευθύνη της διοίκησης, αποτελεσματική διαχείριση κινδύνων, συμπεριλαμβανομένης της ανάλυσης κινδύνου και της αντιμετώπισης συμβάντων, όπως επίσης και αναφορά και χειρισμός συμβάντων στον κυβερνοχώρο.
Είναι σημαντικό να επισημανθεί ότι, όπως και με την οδηγία GDPR, δεν θα υπάρχει ετικέτα NIS2 ή λίστα ελέγχου που θα ακολουθούν οι εταιρείες. Εναπόκειται στον ίδιο τον οργανισμό να εφαρμόσει μέτρα ώστε η προστασία των δεδομένων του να συμμορφώνεται. Οι προμηθευτές ασφάλειας στον κυβερνοχώρο, όπως η Check Point, μπορούν να βοηθήσουν με τις οδηγίες, αλλά εναπόκειται στην ίδια την εταιρεία να θέσει σε εφαρμογή τις απαραίτητες αναφορές.
Ως εκ τούτου, η διοίκηση είναι υπεύθυνη για τη συμμόρφωση ή τη μη συμμόρφωση του οργανισμού με την οδηγία NIS2. Η ίδια η εταιρεία ή ο οργανισμός πρέπει να συμμορφώνεται με διάφορες απαιτήσεις ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένης της εφαρμογής μέτρων ασφαλείας και διεθνών προτύπων όπως το ISO27001 ή το πλαίσιο NIST.
Οι εταιρείες που δεν συμμορφώνονται με την οδηγία NIS2 ενδέχεται να υπόκεινται σε πρόστιμα έως και 10 εκατομμύρια ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας.
Πολλοί οργανισμοί έχουν ήδη εφαρμόσει ορισμένα μέτρα, καθώς έπρεπε να συμμορφωθούν με τις αρχικές απαιτήσεις NIS. Αλλά άλλοι οργανισμοί πρέπει να προσαρμοστούν σε μια εντελώς νέα πραγματικότητα.
Ωστόσο, δεν μπορούν να διορθωθούν όλα με την τεχνολογία. Εξίσου σημαντική είναι και η διαδικασία. Αυτό σημαίνει ότι κάθε οργανισμός θα πρέπει να έχει σφαιρική εικόνα και πλάνο.
Στα πλαίσια λοιπόν της ασφάλειας στον κυβερνοχώρο η Insurance Innovation, το insuranceforum.gr και το περιοδικό The Insurer διοργανώνουν το 1st Cyber Security Conference Thessaloniki 2023 (CSC23).
Σε μία εποχή όπου η τεχνολογία εξελίσσεται ραγδαία και η χρήση του διαδικτύου είναι μία καθημερινή πρακτική, είναι σημαντικό να ενημερωθούμε για τα ζητήματα και τις απειλές του κυβερνοχώρου, καθώς και για τις πρακτικές και τα μέτρα που μπορούμε να πάρουμε για την μεγαλύτερη ασφάλεια κατά την πλοήγηση σε αυτόν!