Σε φάση εφαρμογής η Οδηγία NIS στη χώρα μας

Η Οδηγία NIS περνάει πλέον στο στάδιο της εφαρμογής της και στη χώρα μας, καθώς έχουν ήδη ενημερωθεί σχετικά οι 70 Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ) που ορίστηκαν από το Υπουργείο Επικρατείας και Ψηφιακής Διακυβέρνησης. Αυτό είναι το βασικό συμπέρασμα που προέκυψε κατά την ενημερωτική συνάντηση με θέμα: «Οδηγία NIS: Πώς πρέπει να κινηθούν οι Φορείς Βασικών Υπηρεσιών», που διοργάνωσε η εταιρεία συμβούλων οργάνωσης και πληροφορικής PRIORITY στο ξενοδοχείο King George, την Πέμπτη 20 Φεβρουαρίου 2020.

Τις εργασίες της ενημερωτικής συνάντησης άνοιξε η κα. Αντιγόνη Γιαννακάκη, Νομική Σύμβουλος του Υπουργού κ. Κυριάκου Πιερρακάκη, από το Υπουργείο Επικρατείας και Ψηφιακής Διακυβέρνησης, η οποία αναφέρθηκε στις ενέργειες του Υπουργείου, που «μπορούν να προσομοιαστούν με εκείνες του χειρουργού, ο οποίος διέγνωσε τις παθογένειες και, κατόπιν, με προσεκτικές-χειρουργικές (στην περίπτωσή μας νομοθετικές και οργανωτικές) κινήσεις προέβη στην αντιμετώπιση των άμεσων προβλημάτων». Η χώρα μας ενσωμάτωσε το 2018 με τον ν. 4577/2018 την Οδηγία NIS κάνοντας ένα πρώτο βήμα για τη θέσπιση ενός κοινού επιπέδου ασφάλειας συστημάτων δικτύου και πληροφοριών. Το Υπουργείο από την πρώτη στιγμή προχώρησε στις απαραίτητες θεσμικές και οργανωτικές ενέργειες:

  • Εξέδωσε την 1027/2019 απόφασή του και προσδιόρισε επακριβώς -μεταξύ άλλων- τους γενικούς όρους και τις υποχρεώσεις των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών και των Παρόχων Ψηφιακών Υπηρεσιών, με έμφαση στην διαδικασία κοινοποίησης συμβάντων ασφάλειας, την διαδικασία ελέγχων της Εθνικής Αρχής Κυβερνοασφάλειας, την διαδικασία επιβολής διοικητικών κυρώσεων και τα κριτήρια επιμέτρησης αυτών, καθώς και την μεθοδολογία προσδιορισμού των ΦΕΒΥ.
  • Η Εθνική Αρχή Κυβερνοασφάλειας, εν συνεχεία, ενημέρωσε τις περίπου 70 επιχειρήσεις που ορίστηκαν ως Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών.
  • Με τον ν. 4635/2019 ο Υπουργός προχώρησε στη σύσταση μιας νέας Γενικής Διεύθυνσης Κυβερνοασφάλειας, αναβαθμίζοντας την πρώην Διεύθυνση Κυβερνοασφάλειας. Με τον ίδιο νόμο προβλέφθηκε η άμεση στελέχωση της Γενικής Διεύθυνσης Κυβερνοασφάλειας.

Η κα. Γιαννακάκη μάλιστα έδωσε και μια είδηση, καθώς εντός των επόμενων ημερών θα δημοσιευθεί ο νέος Οργανισμός του Υπουργείου Ψηφιακής Διακυβέρνησης, σύμφωνα με τον οποίο η Εθνική Αρχή Κυβερνοασφάλειας θα διαρθρώνεται ως εξής: α) στη Διεύθυνση Στρατηγικού Σχεδιασμού Κυβερνοασφάλειας, β) στη Διεύθυνση Πρόληψης και Προστασίας, γ) στη Διεύθυνση Επιχειρησιακής Συνέχειας και δ) στη Διεύθυνση Συντονισμού Φορέων.

Η κα Γιαννακάκη εξήρε τη συνεργασία του Υπουργείου με τον  ENISA, η έδρα του οποίου – μετά την κύρωση της σχετικής συμφωνίας αλλαγής έδρας με τον ν. 4627/2019 – έμεινε στην Ελλάδα και μεταφέρθηκε στην Αθήνα. Κλείνοντας τόνισε ότι σκοπός της Εθνικής Αρχής Κυβερνοασφάλειας δεν είναι η εξάντληση της αυστηρότητας των προβλεπόμενων κυρώσεων, καθώς προέχει η άμεση συνεργασία της Εθνικής Αρχής Κυβερνοασφάλειας με τους ΦΕΒΥ και τους Παρόχους Ψηφιακών Υπηρεσιών και η έκδοση κατευθυντήριων γραμμών. Αναφέρθηκε μάλιστα στην αναγκαιότητα της «Κυβερνο- υγιεινής», δηλαδή της υιοθέτησης απλών μέτρων ρουτίνας τα οποία, όταν εφαρμόζονται και εκτελούνται τακτικά από πολίτες, οργανισμούς και επιχειρήσεις, ελαχιστοποιούν την έκθεσή τους σε κινδύνους από κυβερνοαπειλές.

Αποτυχία η επιβολή προστίμου 

«Αν επιβληθεί πρόστιμο σε ΦΕΒΥ, θα έχουμε αποτύχει και εμείς», είναι η χαρακτηριστική τοποθέτηση του κ. Γιώργου Δρίβα, Διευθυντή Κυβερνοασφάλειας της Εθνικής Αρχής Κυβερνοασφάλειας στο πάνελ που ακολούθησε. Η πολιτική της Αρχής και του Υπουργείου εν γένει κατευθύνεται στην ορθή ενημέρωση και σύμπλευση με τους ΦΕΒΥ προκειμένου να αυξηθεί το επίπεδο ωριμότητας τους σε θέματα Κυβερνοασφάλειας και όχι στην τιμωριτική οδό των προστίμων που γενούν και επιπλέον γραφειοκρατία. Η Εθνική Αρχή Κυβερνοασφάλειας αξιοποιεί πλέον μια εργαλειοθήκη για την εφαρμογή της Οδηγίας NIS, με πρωτεύουσα την Εθνική Στρατηγική Κυβερνοασφάλειας, η οποία ενσωματώνει 18 από τις 20 προτεινόμενες δράσεις του ENISA, όντας από τις πληρέστερες σε πανευρωπαϊκό επίπεδο και πλέον θα δημιουργηθεί action plan για την εφαρμογή της με στόχο να φέρει αποτελέσματα στην αγορά.  

Η κα. Δήμητρα Λιβέρη, Μέλος ΔΣ, ENISA αναφέρθηκε στην ευρωπαϊκή εμπειρία του Οργανισμού μέσα από το CSIRT Network (όπου συμμετέχουν όλες οι αντίστοιχες εθνικές ομάδες), αλλά και το Cooperation Group, όπου συμμετέχουν 27 Αρχές Κυβερνοασφάλειας δημιουργώντας αντίστοιχες ομάδες εργασίας (Work streams). Πλέον σε Ευρωπαϊκό επίπεδο έχουν αρχίσει να δημιουργούνται κλαδικά workstreams, όπως για ενέργεια, μεταφορές και υγεία, που εξειδικεύουν την Οδηγία ΝIS σε συνεργασία με τις επιμέρους Εθνικές Αρχές που έχουν υπό την εποπτεία τους, τους ΦΕΒΥ. Εν προκειμένω στον τομέα ενέργειας, συμμετέχει η ΡΑΕ (Ρυθμιστική Αρχή Ενέργειας). Στόχος του ENISA είναι να μεταφέρει βέλτιστες πρακτικές, αλλά και πολιτικές εναρμόνισης μεταξύ των φορέων διαφόρων κλάδων.      

Ο κ. Ροβέρτος Γκόγκλης, Διευθυντής Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών της ALPHA BANK, ανέφερε ότι η «Οδηγία NIS επιχειρεί να παντρέψει τον φυσικό κόσμο με τον αμιγώς ψηφιακό κόσμο, δύο κόσμους με αντικρουόμενες προτεραιότητες». Σύμφωνα με τον ίδιο οι κυβερνο-απειλές πλέον χωρίζονται σε 2 κατηγορίες: αυτές που έχουν στόχο το χρήμα και αυτές που αποκαλούνται cyber-terrorism και είναι χρηματοδοτούμενες από κράτη. Κανένας οργανισμός μόνος του δεν μπορεί να ανταπεξέλθει σε καμία από τις 2 μορφές επιθέσεων, σύμφωνα με τον κ. Γκόγκλη και η Οδηγία NIS προσφέρει πλέον το υπόβαθρο για συνεργασία των φορέων και των κλάδων, ιδανικά σε μια πανεθνική άσκηση IT & ΟΤ συστημάτων σε όλες τις κρίσιμες υποδομές της χώρας (όπως αντίστοιχα συμβαίνει στην άσκηση του TIBER-EU στον τραπεζικό κλάδο), ώστε να βρεθούν οι αδυναμίες και να εξαλειφθούν τα τρωτά σημεία στην κυβερνοασφάλεια. 

Ο κ. Φίλιππος Κομνηνός, Ειδικός Ασφάλειας Πληροφοριών του Διεθνή Αερολιμένα Αθηνών, τόνισε από την πλευρά του ότι η Οδηγία NIS ήρθε να προστεθεί μέσα σε ένα πλέγμα κανονιστικών απαιτήσεων στο θέμα της κυβερνοασφάλειας και από άλλες απαιτήσεις του κλάδου των αερομεταφορών (ΑΔΑΕ, GDPR, Πολιτική Αεροπορία), οπότε χρειάστηκε να γίνει αρχικά η ομαλοποίηση των απαιτήσεων και η δόμηση ενός ελάχιστου επιπέδου συμμόρφωσης που να λαμβάνει υπόψη όλα τα κανονιστικά πλαίσια. Ο ΔΑΑ σε σχέση με το NIS Directive και τη συμμόρφωση, έχει ήδη προχωρήσει σε Gap Analysis, εμπλουτίζει το εφαρμοζόμενο ISMS προκειμένου να είναι ώριμο ως προς τις νέες απαιτήσεις, σε ομαλοποίηση του GDPR, καθώς και επενδύσεις σε ασφάλεια πληροφοριών σε συστήματα ΙΤ, αλλά και σε συστήματα ΟΤ, που είναι εξίσου σημαντικά για την Οδηγία NIS.

Πάντρεμα ΙΤ & OT

Από την εταιρεία PRIORITY, ο κ. Δημήτρης Ξερνός, Technology Manager, στην παρουσίαση του με τίτλο: «NIS Directive – Ενσωμάτωση στην Ελληνική Νομοθεσία & Απαιτήσεις Συμμόρφωσης» τόνισε την αναγκαιότητα να ληφθούν από τους ΦΕΒΥ τεχνικά και οργανωτικά μέτρα, αναφέροντας ότι ο ανθρώπινος παράγοντας εξακολουθεί να παραμένει ο πιο σημαντικός στην αλυσίδα της κυβερνοασφάλειας. Τόνισε μάλιστα την αντίφαση των ΙΤ με τα ΟΤ συστήματα των οργανισμών ως προς τις προτεραιότητες τους, ωστόσο η συμμόρφωση με την Οδηγία NIS προϋποθέτει τη δημιουργία ενός Πλαισίου Διασφάλισης της Επιχειρησιακής Συνέχειας και της Ασφάλειας Πληροφοριών, που περιλαμβάνει προβλέψεις και διαδικασίες και για τα 2 συστήματα (ΙΤ & OT) και λαμβάνει υπόψη τα διεθνή standard και βέλτιστες πρακτικές.  

Κατηγορία ΕΠΙΚΑΙΡΟΤΗΤΑ ΕΠΙΧΕΙΡΗΣΙΑΚΗ ΣΥΝΕΧΕΙΑ