NIS2 – Ρύθμιση για ένα ασφαλέστερο μέλλον
Η NIS2 είναι η λεγόμενη οδηγία για την ασφάλεια στον κυβερνοχώρο σε ολόκληρη την ΕΕ, η οποία τέθηκε σε ισχύ τον Οκτώβριο του 2024. Σε σύγκριση με την NIS1, η NIS2 εισάγει σημαντικές αλλαγές, οι οποίες θα επιβάλλουν επίσης αυστηρότερες υποχρεώσεις κυβερνοασφάλειας σε περισσότερους οργανισμούς. Τα κράτη μέλη θα κληθούν να θεσπίσουν νέες διατάξεις που θα περιέχουν αυτά τα αυστηρότερα μέτρα ελέγχου και επιβολής για να διασφαλίσουν τη συμμόρφωση με την οδηγία. Η NIS2 αντικαθιστά την οδηγία NIS1, με αποτέλεσμα αρκετές σημαντικές διαφορές σε σχέση με την NIS1: Η NIS2 επεκτείνει το πεδίο εφαρμογής σε μεγαλύτερες οντότητες, όπως οι κατασκευαστές χημικών και ιατρικών συσκευών, οι κατασκευαστές τροφίμων και οι πάροχοι κοινωνικών δικτύων, οι οποίοι προηγουμένως δεν καλύπτονταν από την NIS1. Η NIS2 αντικαθιστά τη διάκριση μεταξύ “βασικού φορέα παροχής υπηρεσιών” και “παρόχου ψηφιακών υπηρεσιών” με “βασικές οντότητες” και “κρίσιμες οντότητες” με βάση, μεταξύ άλλων, το μέγεθος και τον τομέα. Ενώ και οι δύο έχουν παρόμοιες υποχρεώσεις, οι βασικές οντότητες υπόκεινται σε αυστηρότερα μέτρα επιβολής και ελέγχου. Η εποπτική αρχή του τομέα πρέπει να είναι υπεύθυνη για τα μέτρα ελέγχου.
Η NIS2 επιβάλλει νέες υποχρεώσεις κυβερνοασφάλειας σε “βασικές” και “κρίσιμες” οντότητες, συμπεριλαμβανομένης της διαχείρισης κινδύνων και της αλυσίδας εφοδιασμού, της αναφοράς περιστατικών στον κυβερνοχώρο και της ανταλλαγής πληροφοριών. Η συμμόρφωση με αυτές τις απαιτήσεις θα απαιτήσει από τους φορείς που εμπίπτουν στο πεδίο εφαρμογής να αναπτύξουν και να εφαρμόσουν νέες πολιτικές και διαδικασίες. Η NIS2 απαιτεί από τα κράτη μέλη της ΕΕ να βελτιώσουν τις εθνικές στρατηγικές τους για την ασφάλεια στον κυβερνοχώρο και να ανταποκριθούν στις ψηφιακές απειλές που αντιμετωπίζουν. Είναι σημαντικό για τους οργανισμούς να παρακολουθούν τις μελλοντικές πρωτοβουλίες των κρατών μελών στον τομέα αυτό.
Ενισχυμένες απαιτήσεις ασφαλείας
Η NIS2 θα βελτιώσει τις απαιτήσεις ασφάλειας των επιχειρήσεων εισάγοντας μια μεθοδολογία διαχείρισης κινδύνων και έναν ελάχιστο κατάλογο βασικών στοιχείων ασφάλειας. Η οδηγία περιέχει επίσης πολύ πιο λεπτομερείς διατάξεις σχετικά με την αναφορά περιστατικών, συμπεριλαμβανομένων, για παράδειγμα, του περιεχομένου και του χρονοδιαγράμματος των αναφορών. Σύμφωνα με την οδηγία, η κοινοποίηση πρέπει να γίνεται εντός 24 ωρών από την εμφάνιση του συμβάντος και πρέπει να περιλαμβάνει μια πιο λεπτομερή διαδικασία αναφοράς. Η NIS2 απαιτεί επίσης την αντιμετώπιση της ασφάλειας της αλυσίδας εφοδιασμού. Αυτό περιλαμβάνει και τους κινδύνους που δημιουργούνται από τις σχέσεις συνδιαλλαγής. Η NIS2 υπογραμμίζει επίσης την ευθύνη της διοίκησης για την οργανωτική ασφάλεια στον κυβερνοχώρο και θέτει ατομική ευθύνη στα διοικητικά όργανα, όπως τα διοικητικά συμβούλια των εταιρειών και τη διοίκηση, ώστε να διασφαλίζεται η αποτελεσματική εφαρμογή των απαιτήσεων ασφάλειας στον κυβερνοχώρο. Οι οργανισμοί μπορεί να υπόκεινται σε διάφορες εντολές επιβολής και η μη συμμόρφωση μπορεί να οδηγήσει σε σημαντικά πρόστιμα.
