EE – Καθοριστικό βήμα προς την ενίσχυση της κυβερνοασφάλειας – Τα μέτρα

Η ΕΕ καταβάλλει συνεχείς προσπάθειες για την επίτευξη ανθεκτικότητας ενάντια σε ολοένα και μεγαλύτερες κυβερνοαπειλές, καθώς και για τη διατήρηση της ασφάλειας και της προστασίας της ψηφιακής κοινωνίας και οικονομίας.

Σε ένα καθοριστικό βήμα προς την κατεύθυνση αυτή το Ευρωπαϊκό Συμβούλιο, καθόρισε σήμερα τη θέση του («γενική προσέγγιση») σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την ΕΕ, για την περαιτέρω βελτίωση της ανθεκτικότητας και των ικανοτήτων αντιμετώπισης περιστατικών τόσο του δημόσιου και του ιδιωτικού τομέα όσο και της ΕΕ στο σύνολό της.

Μόλις εγκριθεί, η νέα οδηγία, με την ονομασία «NIS2», θα αντικαταστήσει την ισχύουσα οδηγία για την ασφάλεια των συστημάτων δικτύου και πληροφοριών (οδηγία NIS).

Σχολιάζοντας την απόφαση, ο προεδρεύων Υπουργός Δημόσιας Διοίκησης της Σλοβενίας Boštjan Koritnik, τονίζει ότι διαπιστώθηκε «ταχεία αύξηση του αριθμού των κυβερνοεπιθέσεων κατά του δημόσιου και του ιδιωτικού τομέα και κατά των πολιτών μας, καθώς και τον σημαντικό αντίκτυπο που έχουν οι επιθέσεις αυτές στην κοινωνία μας, κυρίως επειδή ζούμε σε έναν ολοένα και πιο ψηφιοποιημένο κόσμο».

Πρόσθεσε επίσης, ότι διακυβεύονται πολλά, και η νέα οδηγία NIS θα παίξει πολύ σημαντικό ρόλο στην ενίσχυση της κυβερνοασφάλειάς μας. Θα καταδείξει επίσης τον ηγετικό ρόλο που κατέχει η Ευρώπη όσον αφορά τη νομοθεσία για την ασφάλεια στον κυβερνοχώρο.

Ισχυρότερη διαχείριση κινδύνων και ισχυρότερη συνεργασία

Η οδηγία NIS2 θα θέσει τα θεμέλια για τον καθορισμό μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας και υποχρεώσεων αναφοράς περιστατικών σε όλους τους τομείς τους οποίους καλύπτει, όπως η ενέργεια, οι μεταφορές, η υγεία και οι ψηφιακές υποδομές.

Η αναθεωρημένη οδηγία αποσκοπεί στην εξάλειψη των αποκλίσεων στις απαιτήσεις κυβερνοασφάλειας και στην εφαρμογή μέτρων κυβερνοασφάλειας στα διάφορα κράτη μέλη.
Για τον σκοπό αυτόν, καθορίζει ελάχιστους κανόνες για ένα κανονιστικό πλαίσιο και θεσπίζει μηχανισμούς για την αποτελεσματική συνεργασία μεταξύ των αρμόδιων αρχών σε κάθε κράτος μέλος. Επικαιροποιεί τον κατάλογο τομέων και δραστηριοτήτων που υπόκεινται σε υποχρεώσεις στον τομέα της κυβερνοασφάλειας, προβλέπει δε λύσεις και κυρώσεις για να διασφαλίζεται η τήρησή τους.

Με την οδηγία θεσπίζεται επίσημα το ευρωπαϊκό δίκτυο οργανισμών διασύνδεσης για τις κρίσεις στον κυβερνοχώρο, το EU-CyCLONe, το οποίο θα στηρίζει τη συντονισμένη διαχείριση περιστατικών κυβερνοασφάλειας μεγάλης κλίμακας.

Ευρύτερο πεδίο εφαρμογής των κανόνων όπως τροποποιήθηκαν από το Συμβούλιο

Ενώ, σύμφωνα με την παλιά οδηγία NIS, τα κράτη μέλη ήταν υπεύθυνα για τον προσδιορισμό των οντοτήτων που πληρούν τα κριτήρια για να χαρακτηριστούν φορείς εκμετάλλευσης βασικών υπηρεσιών, με τη νέα οδηγία εισάγεται κανόνας ορίου μεγέθους. Αυτό σημαίνει ότι όλες οι μεσαίες και μεγάλες οντότητες που δραστηριοποιούνται σε τομείς ή παρέχουν υπηρεσίες που καλύπτονται από την οδηγία θα εμπίπτουν στο πεδίο εφαρμογής της.

Μολονότι η θέση του Συμβουλίου διατηρεί αυτόν τον γενικό κανόνα, περιλαμβάνει πρόσθετες διατάξεις για τη διασφάλιση της αναλογικότητας, υψηλότερου επιπέδου διαχείρισης κινδύνου και σαφών κριτηρίων αξιολόγησης της κρισιμότητας για τον προσδιορισμό των οντοτήτων που καλύπτονται.

Το κείμενο του Συμβουλίου διευκρινίζει επίσης ότι η οδηγία δεν θα ισχύει για οντότητες που ασκούν δραστηριότητες σε τομείς όπως η άμυνα ή η εθνική ασφάλεια, η δημόσια ασφάλεια, η επιβολή του νόμου και η δικαιοσύνη. Τα κοινοβούλια και οι κεντρικές τράπεζες εξαιρούνται επίσης από το πεδίο εφαρμογής.

Δεδομένου ότι οι δημόσιες διοικήσεις αποτελούν επίσης συχνά στόχους κυβερνοεπιθέσεων, η οδηγία NIS2 θα ισχύει για οντότητες της δημόσιας διοίκησης κεντρικών κυβερνήσεων. Επιπλέον, τα κράτη μέλη μπορούν να αποφασίσουν ότι ισχύει και για τις ως άνω οντότητες σε περιφερειακό και τοπικό επίπεδο.

Άλλες τροποποιήσεις που επέφερε το Συμβούλιο

Το Συμβούλιο ευθυγράμμισε το κείμενο με την τομεακή νομοθεσία, και ειδικότερα με τον κανονισμό σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα (DORA) και την οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων (CER), ώστε να εξασφαλίζεται νομική σαφήνεια και συνοχή μεταξύ της οδηγίας NIS2 και των εν λόγω πράξεων.

Η δημιουργία εθελοντικού μηχανισμού μάθησης από ομοτίμους θα ενισχύσει την αμοιβαία εμπιστοσύνη και την άντληση διδαγμάτων από ορθές πρακτικές και εμπειρίες, συμβάλλοντας έτσι στην επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας.

Βελτιστοποίησε επίσης τις υποχρεώσεις αναφοράς περιστατικών προκειμένου να αποφεύγεται η υπερβολική αναφορά περιστατικών και η υπερβολική επιβάρυνση των οντοτήτων που καλύπτονται από την οδηγία.

Τα κράτη μέλη θα έχουν στη διάθεσή τους δύο έτη από την έναρξη ισχύος της οδηγίας για να μεταφέρουν τις διατάξεις στο εθνικό τους δίκαιο.

Επόμενα βήματα

Η γενική προσέγγιση που επιτεύχθηκε σήμερα θα επιτρέψει στην Προεδρία του Συμβουλίου να αρχίσει διαπραγματεύσεις με το Ευρωπαϊκό Κοινοβούλιο. Το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο θα πρέπει να συμφωνήσουν επί του τελικού κειμένου.