Για την αντιμετώπιση της αυξημένης έκθεσης της Ευρώπης σε κυβερνοαπειλές, η οδηγία 2022/2555, γνωστή και ως NIS2,  απαιτεί από τα κράτη μέλη να ενισχύσουν τις ικανότητές τους στον τομέα της κυβερνοασφάλειας, εισάγοντας παράλληλα μέτρα διαχείρισης κινδύνων και απαιτήσεις υποβολής εκθέσεων σε οντότητες από περισσότερους τομείς και θεσπίζοντας κανόνες για τη συνεργασία, την ανταλλαγή πληροφοριών, την εποπτεία και την επιβολή των μέτρων Κυβερνοασφάλειας.

Ποιους αφορά η οδηγία NIS 2;

Η οδηγία NIS 2 εγκρίθηκε τον Δεκέμβριο του 2022 από το Συμβούλιο της Ευρωπαϊκής Ένωσης και το Ευρωπαϊκό Κοινοβούλιο και τα κράτη μέλη της ΕΕ όφειλαν να μεταφέρουν την οδηγία NIS 2 στο εθνικό τους δίκαιο έως τις 17 Οκτωβρίου 2024. Επιπλέον:

  • Τα κράτη μέλη της ΕΕ έχουν προθεσμία έως τις 17 Απριλίου 2025 για να καθορίσουν τον κατάλογο των οργανισμών που υποχρεώνονται σε συμμόρφωση.
  • Οι εταιρείες – οργανισμοί που εμπίπτουν στις βασικές οντότητες (όπως δημοσίου συμφέροντος, ψηφιακών υπηρεσιών και πληροφορικής κ.λ.π.) πρέπει να υποβάλουν στοιχεία που τις αφορούν σύμφωνα με την παρ. 3 του άρθρου 4 του ν. 5160/2024, μέχρι και την 11η Απριλίου 2025, στην Εθνική Αρχή Κυβερνοασφάλειας. Οι εταιρείες διακρίνονται σε «Βασικές» οντότητες (υψηλής κρισιμότητας) και σε «Σημαντικές» οντότητες (απλής κρισιμότητας), όπως παρακάτω:
Βασικές Οντότητες (υψηλής κρισιμότητας) Σημαντικές Οντότητες (απλής κρισιμότητας)
Τουλάχιστον 250 εργαζόμενοι (Μεγάλες εταιρείες Τουλάχιστον 50 εργαζόμενοι (Μεσαίες & Μεγάλες εταιρείες)
Ελάχιστος κύκλος εργασιών 50 εκατ. ευρώ ή ετήσιος ισολογισμός 43 εκατ. Ευρώ. Ετήσιος ισολογισμός 43 εκατ. Ευρώ. Ελάχιστος κύκλος εργασιών 10 εκατ. ευρώ ή ετήσιος ισολογισμός 10 εκατ. Ευρώ.
  • Οι πάροχοι υπηρεσιών Domain Name System (DNS), τα μητρώα ονομάτων top-level domain (TLD), οι οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, οι πάροχοι υπηρεσιών υπολογιστικού νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι πάροχοι δικτύων διανομής περιεχομένου, οι πάροχοι διαχειριζομένων υπηρεσιών, οι πάροχοι διαχειριζομένων υπηρεσιών ασφάλειας, καθώς και οι πάροχοι επιγραμμικών αγορών, επιγραμμικών μηχανών αναζήτησης ή πλατφορμών υπηρεσιών κοινωνικής δικτύωσης, πρέπει υποβάλλουν υποχρεωτικώς στην Εθνική Αρχή Κυβερνοασφάλειας, το αργότερο έως τις 28 Μαρτίου 2025.

Τι κυρώσεις επιβάλλει η μη συμμόρφωση με την οδηγία;

Το NIS 2 εισάγει αυστηρές κυρώσεις για τις επιχειρήσεις που δεν συμμορφώνονται με τις απαιτήσεις της οδηγίας. Οι κυρώσεις μπορεί να περιλαμβάνουν πρόστιμα, περιορισμούς ή άλλες διοικητικές κυρώσεις. Οι ποινές και τα πρόστιμα κυμαίνονται από 7 εκατομμύρια ευρώ ή 1,4% του κύκλου εργασιών, έως 10 εκατομμύρια ευρώ ή 2% του κύκλου εργασιών, με δημόσια αποκάλυψη παραβιάσεων, αναστολή ή περιορισμό λειτουργιών και απόδοση ευθύνης στη διοίκηση μέχρι και το επίπεδο του CEO.

Ποια είναι τα βασικά στάδια για τη συμμόρφωση:

  • NIS 2 GAP Analysis για την αποτύπωση των αναγκών και των ελλείψεων της εταιρίας
  • Risk Analysis για τον εντοπισμός & εκτίμηση των κινδύνων που ενδέχεται να επηρεάσουν τον οργανισμό
  • Ανάπτυξη των απαραίτητων διαδικασιών για την ικανοποίηση των απαιτήσεων της οδηγίας NIS 2 με στόχο τη διαχείριση των κινδύνων του πληροφοριακού συστήματος της εταιρίας από απειλές

Ποια είναι τα οφέλη για κάθε επιχείρηση;

  • Ενίσχυση της Κυβερνοασφάλειας, με ταυτόχρονη μείωση του κινδύνου κυβερνοεπιθέσεων και προστασία των δεδομένων
  • Βελτίωση της Εμπιστοσύνης των πελατών και των συνεργατών, καθώς διασφαλίζεται η ασφάλεια των πληροφοριών και των συστημάτων
  • Ανταγωνιστικό Πλεονέκτημα της εταιρίας, καθώς αποδεικνύεται ότι λαμβάνεται σοβαρά υπόψη η ασφάλεια και η προστασία των δεδομένων
  • Συμμόρφωση με Κανονισμούς, αποτρέποντας την επιβολή αυστηρών προστίμων και άλλων κυρώσεων και διασφαλίζοντας την ομαλή λειτουργία της επιχείρησης

Πώς συνδυάζεται η οδηγία με Ενοποιημένα Συστήματα Διαχείρισης;

Όταν μια επιχείρηση συμμορφώνεται με την Ευρωπαϊκή Οδηγία NIS2 ((ΕΕ) 2022/2555), πρακτικά είναι έτοιμη να πιστοποιηθεί για τα πρότυπα ISO 27001 για την ασφάλεια πληροφοριών, ISO 22301 για την επιχειρησιακή συνέχεια και ISO 9001 για την ποιότητα των προϊόντων και υπηρεσιών, χωρίς επιπλέον φόρτο εργασίας και κόστος. Η συμμόρφωση με την NIS2 απαιτεί την εφαρμογή αυστηρών μέτρων για την ασφάλεια και την ετοιμότητα για την αντιμετώπιση διακοπών λειτουργίας, την ανάπτυξη πολιτικών ασφάλειας, την εκτίμηση κινδύνων και την εφαρμογή ελέγχων, τα οποία είναι πλήρως συμβατά με τις απαιτήσεις των προτύπων αυτών.