Μετά το GDPR ήρθε η Οδηγία NIS: Ποιοι επηρεάζονται άμεσα

Νέες Απαιτήσεις Ασφάλειας Πληροφοριών για τους Οργανισμούς Εκμετάλλευσης Βασικών Υπηρεσιών

  • Το νέο θεσμικό πλαίσιο, που ενσωματώνει πλέον την Οδηγία NIS, επηρεάζει τους βασικούς κλάδους της αγοράς

Πρόσφατα η Ελληνική Πολιτεία ανακοίνωσε νέο θεσμικό πλαίσιο, το οποίο προσδιορίζει τις απαιτήσεις που θα πρέπει να ικανοποιήσουν οι Οργανισμοί Εκμετάλλευσης Βασικών Υπηρεσιών και παροχής Ψηφιακών Υπηρεσιών προκειμένου να διασφαλίσουν τη Ασφάλεια και τη Συνέχειά τους. Το νέο θεσμικό πλαίσιο ουσιαστικά θεσπίζει μέτρα για την επίτευξη ενός κοινού ελάχιστου επιπέδου ως προς την ασφάλεια συστημάτων δικτύου και πληροφοριών για τους εν λόγω Οργανισμούς, που δραστηριοποιούνται σε κρίσιμους κλάδους, όπως η ενέργεια, οι μεταφορές, οι τράπεζες – χρηματοπιστωτικός τομέας, ο τομέας της υγείας, η διανομή νερού και η ψηφιακή υποδομή.

Το νέο πλαίσιο είναι σε συμφωνία με οδηγίες της Ευρωπαϊκής Κοινότητας και υποχρεώνει τους Οργανισμούς να προβούν στη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων, ώστε να μπορούν να αντιμετωπίζουν έγκαιρα και αποτελεσματικά γεγονότα που είναι δυνατόν να επιδράσουν δυσμενώς στις βασικές υπηρεσίες που παρέχουν.  Για το σκοπό αυτό θα πρέπει να προβούν στην ανάπτυξη και εφαρμογή πολιτικής Ασφάλειας, που θα είναι σε συμφωνία με την Ενιαία Πολιτική Ασφάλειας, η οποία έχει οριστεί από την Εθνική Αρχή Κυβερνοασφάλειας.  Βασικοί στόχοι της Πολιτικής Ασφαλείας θα πρέπει να είναι:

  • Η διασφάλιση της ακεραιότητας, διαθεσιμότητας και εμπιστευτικότητας των δεδομένων, συστημάτων και υπηρεσιών
  • Η ικανοποίηση νομικών και κανονιστικών απαιτήσεων
  • Η επιχειρησιακή συνέχεια βασικών υπηρεσιών
  • Η ενημέρωση και εκπαίδευση του προσωπικού και τρίτων μερών σχετικά με την παροχή βασικών υπηρεσιών

Οι Οργανισμοί υποχρεούνται να λάβουν μέτρα για:

  • Την ανάπτυξη και εφαρμογή πολιτικών, διεργασιών και διαδικασιών προστασίας των βασικών υπηρεσιών
  • Τον έλεγχο πρόσβασης
  • Τη φυσική και Περιβαλλοντική Ασφάλεια
  • Την Ασφάλεια συστημάτων και εφαρμογών
  • Την Ασφάλεια δεδομένων
  • Τη λήψη αντιγράφων ασφάλειας
  • Την υιοθέτηση τεχνολογικών λύσεων για την ανίχνευση, καταγραφή και ανάλυση απειλών
  • Τις δοκιμές συστημάτων
  • Τη διαχείριση αλλαγών
  • Τη διενέργεια δραστηριοτήτων ευαισθητοποίησης και κατάρτισης

Κεντρικό ρόλο στη λειτουργία των Οργανισμών θα έχει ο Υπεύθυνος Ασφάλειας ο οποίος θα είναι υπεύθυνος για την ομαλή εφαρμογή των απαραίτητων οργανωτικών και τεχνικών μέτρων Ασφάλειας Πληροφοριών.

Βάσει του νέου θεσμικού πλαισίου, η Εθνική Αρχή Κυβερνοασφάλειας προβλέπεται να έχει ουσιαστικό ρόλο στον έλεγχο της συμμόρφωσης των Οργανισμών, αφού προβλέπεται:

  • Να διενεργεί προγραμματισμένες και έκτακτες επιθεωρήσεις
  • Να επιβάλει ποινές στους Οργανισμούς σε περιπτώσεις διαπίστωσης μη συμμόρφωσής τους με τις απαιτήσεις του θεσμικού πλαισίου ή σε περιπτώσεις που διαπιστωθεί ανεπαρκής αντιμετώπιση περιστατικών που επηρέασαν δυσμενώς τις παρεχόμενες υπηρεσίες

Θεσμοθετείται παράλληλα, κανάλι επικοινωνίας μεταξύ των Οργανισμών και της Εθνικής Αρχής Κυβερνοασφάλειας. Συγκεκριμένα:

  • Στο πλαίσιο των ενεργειών αντιμετώπισης συμβάντων που σχετίζονται με τις παρεχόμενες υπηρεσίες, οι Οργανισμοί θα πρέπει να υποβάλλουν αναφορές στην Εθνική Αρχή Κυβερνοασφάλειας και στο αρμόδιο CSIRT (τουλάχιστον αρχική και τελική αναφορά)
  • Σε ετήσια βάση οι Οργανισμοί θα πρέπει να υποβάλλουν τα αποτελέσματα διενεργηθέντων αυτοαξιολογήσεων σε σχέση με την Ασφάλεια Πληροφοριών, καθώς και το πλάνο των διορθωτικών Ενεργειών.

Προκειμένου οι Οργανισμοί Εκμετάλλευσης Βασικών Υπηρεσιών και παροχής Ψηφιακών Υπηρεσιών να ανταπεξέλθουν στις απαιτήσεις του νέου θεσμικού πλαισίου και να διασφαλίσουν την απρόσκοπτη παροχή των βασικών τους υπηρεσιών, είναι απαραίτητο να προβούν στην ανάπτυξη και εφαρμογή Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών και Επιχειρησιακής Συνέχειας. Η ανάπτυξη Συστήματος Διαχείρισης σύμφωνα με διεθνή και αναγνωρισμένα πρότυπα, όπως το ISO 27001:2013 και ISO 22301:2012, διασφαλίζει την εφαρμογή των οργανωτικών και τεχνικών μέτρων προκειμένου:

  • Να παρέχονται οι βασικές υπηρεσίες ελαχιστοποιώντας τους κινδύνους που ενδέχεται να τις επηρεάσουν δυσμενώς
  • Να αντιμετωπίζονται άμεσα και αποτελεσματικά  γεγονότα που είναι δυνατόν να επηρεάσουν αρνητικά τα χαρακτηριστικά τους
  • Να υπάρχουν οι μηχανισμοί που είναι απαραίτητοι για την άμεση ανάκαμψη των λειτουργιών τους σε περιπτώσεις εμφάνισης καταστροφικών γεγονότων

Η PRIORITY έχοντας πολύχρονη εμπειρία στην παροχή συμβουλευτικών υπηρεσιών στον τομέα της Ασφάλειας Πληροφοριών και Επιχειρησιακής Συνέχειας με πληθώρα ολοκληρωμένων και πιστοποιημένων έργων, είναι σε θέση να συνδράμει Οργανισμούς εκμετάλλευσης Βασικών Υπηρεσιών και παροχής Ψηφιακών Υπηρεσιών ώστε να αναπτύξουν και να εφαρμόσουν τους μηχανισμούς που είναι απαραίτητοι προκειμένου να διασφαλιστεί η απρόσκοπτη και απροβλημάτιστη παροχή των υπηρεσιών τους. Η επιτυχία ενός τέτοιου εγχειρήματος, το οποίο εξασφαλίζεται από την τεχνογνωσία της PRIORITY, δεν έγκειται μόνο στην ανάπτυξη νέων διαδικασιών και εφαρμογή νέων τεχνικών μέτρων, αλλά στην ολοκλήρωσή τους με τις επιχειρησιακές διαδικασίες του εκάστοτε Οργανισμού, ελαχιστοποιώντας τυχόν δυσλειτουργίες που είναι δυνατόν να εμφανιστούν στην πορεία υλοποίησής τους.

Κατηγορία ΔΙΑΠΙΣΤΕΥΣΗ ΕΝΕΡΓΕΙΑ ΕΠΙΚΑΙΡΟΤΗΤΑ ΕΠΙΧΕΙΡΗΣΙΑΚΗ ΣΥΝΕΧΕΙΑ ΠΛΗΡΟΦΟΡΙΚΗ ΥΓΕΙΑ ΥΓΕΙΑ & AΣΦΑΛΕΙΑ