Στην έγκριση της οδηγίας NIS2 προχώρησε η ΕΕ, κάτι το οποίο θα επηρεάσει τις επιχειρήσεις. Η έγκριση αποτελεί μέρος της στρατηγικής της ΕΕ για τη διαμόρφωση του ψηφιακού μέλλοντος στον τομέα της κυβερνοασφάλειας και την άμεση επέκταση της οδηγίας NIS του 2016, η οποία ήταν η πρώτη νομοθεσία για την ασφάλεια στον κυβερνοχώρο για την ΕΕ.
Το υπόβαθρο της νέας οδηγίας είναι ένα ταχέως μεταβαλλόμενο τοπίο απειλών που επηρεάζει όλο και περισσότερο τα δίκτυα των επιχειρήσεων, και η αναγνώριση ότι η πρώτη οδηγία NIS εφαρμόστηκε με διαφορετικό τρόπο στα κράτη μέλη της ΕΕ. Ως εκ τούτου, η ΕΕ επιθυμεί μια πιο ολιστική και ομοιόμορφη προσέγγιση όσον αφορά την προστασία στον κυβερνοχώρο σε διαφορετικούς τομείς και αλυσίδες εφοδιασμού που επηρεάζουν τις υποδομές ζωτικής σημασίας, καθώς μια καταστροφική κυβερνοεπίθεση μπορεί να έχει τεράστιο αντίκτυπο στην οικονομία κάθε κράτους μέλους, αλλά και στην υπόλοιπη Ευρώπη. Για παράδειγμα, εάν η εθνική εταιρεία ενέργειας μιας χώρας τεθεί εκτός λειτουργίας για σύντομο ή μεγάλο χρονικό διάστημα, οι τιμές της ηλεκτρικής ενέργειας θα αυξηθούν. Και δεδομένου ότι η ηλεκτρική ενέργεια διαπραγματεύεται σε ευρωπαϊκό χρηματιστήριο, οι τιμές θα αυξηθούν σε ολόκληρη την Ευρώπη.
Κυβερνοασφάλεια: Πώς το ChatGPT αλλάζει τα δεδομένα
Γιατί είναι σημαντικό για τις επιχειρήσεις;
Σε αντίθεση με την οδηγία GDPR, η οποία προστατεύει τα προσωπικά δεδομένα των πολιτών, η NIS2 στοχεύει στην προστασία των οικονομικών δεδομένων – δεδομένων που επηρεάζουν τις οικονομίες των επιχειρήσεων και των χωρών μελών.
Σύμφωνα με τη νέα νομοθεσία, τα κράτη μέλη πρέπει να εφαρμόσουν, μεταξύ άλλων, μια εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο και μια εθνική νομοθεσία που περιλαμβάνει απαιτήσεις διαχείρισης κινδύνων και υποβολής εκθέσεων για τις εταιρείες που καλύπτονται από την οδηγία NIS2, καθώς και ένα ενιαίο εθνικό σημείο επαφής για τη διαχείριση της NIS2.
Ποιοι επηρεάζονται;
Εκτός από τους τομείς που είχαν συμπεριληφθεί στην οδηγία NIS, η νέα NIS2 επεκτείνεται επίσης σε αρκετούς νέους δημόσιους και ιδιωτικούς τομείς που συμπεριλαμβάνουν εταιρείες τροφίμων, ναύλων και ναυτιλιακών, παρόχους τηλεπικοινωνιών και δεδομένων, πλατφόρμες κοινωνικών μέσων και παρόχους data centers, εταιρείες που ασχολούνται με τη διαχείριση αποβλήτων και λυμάτων και κατασκευαστικές εταιρείες που είναι σημαντικές για την οικονομία της χώρας. Οι εταιρείες βάσει της οδηγίας χωρίζονται σε δύο κατηγορίες: significant entities (π.χ. εταιρείες τηλεπικοινωνιών, επιχειρήσεις κοινής ωφέλειας και τράπεζες) και important entities (π.χ. εταιρείες τροφίμων και εταιρείες εμπορευματικών μεταφορών). Ωστόσο, απαλλάσσονται οι εταιρείες που απασχολούν λιγότερους από 250 εργαζομένους ή έχουν ετήσιο κύκλο εργασιών μικρότερο των 50 εκατομμυρίων ευρώ.
Ωστόσο, λόγω της έννοιας της ευθύνης της αλυσίδας εφοδιασμού, πρέπει να υποθέσουμε ότι οι μικρότερες εταιρείες που είναι προμηθευτές σε τομείς που καλύπτονται από την οδηγία, πρέπει επίσης να συμμορφώνονται με την οδηγία NIS2.
Επιπλέον, η οδηγία καλύπτει επίσης τις δημόσιες διοικήσεις, αλλά δεν είναι σαφές σε αυτό το στάδιο εάν αυτό περιλαμβάνει, για παράδειγμα, τους δήμους.
Τι σημαίνει αυτό για τους οργανισμούς;
Η NIS2 επιβάλλει νέες απαιτήσεις στις επηρεαζόμενες εταιρείες και οργανισμούς. Σε αυτές περιλαμβάνονται απαιτήσεις για εξειδίκευση και ευθύνη της διοίκησης, αποτελεσματική διαχείριση κινδύνων, συμπεριλαμβανομένης της ανάλυσης κινδύνου και της αντιμετώπισης συμβάντων, καθώς και αναφορά και χειρισμός συμβάντων στον κυβερνοχώρο.
Ως εκ τούτου, η διοίκηση είναι υπεύθυνη για τη συμμόρφωση του οργανισμού με την οδηγία NIS2 και μπορεί να θεωρηθεί υπεύθυνη για τη μη συμμόρφωση. Η ίδια η εταιρεία ή ο οργανισμός πρέπει να συμμορφώνεται με διάφορες απαιτήσεις ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένης της εφαρμογής μέτρων ασφαλείας και διεθνών προτύπων όπως το ISO27001 ή το πλαίσιο NIST.
Οι εταιρείες που δεν συμμορφώνονται με την οδηγία NIS2 ενδέχεται να υπόκεινται σε πρόστιμα έως και 10 εκατομμύρια ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας.
Είναι σημαντικό να επισημανθεί ότι, όπως και με την οδηγία GDPR, δεν θα υπάρχει ετικέτα NIS2 ή λίστα ελέγχου που θα ακολουθούν οι εταιρείες. Εναπόκειται στον ίδιο τον οργανισμό να εφαρμόσει μέτρα ώστε η προστασία των δεδομένων του να συμμορφώνεται. Οι προμηθευτές ασφάλειας στον κυβερνοχώρο, όπως η Check Point, μπορούν να βοηθήσουν με τις οδηγίες, αλλά εναπόκειται στην ίδια την εταιρεία να θέσει σε εφαρμογή τις απαραίτητες αναφορές.
Πότε πρέπει ένας οργανισμός να συμμορφώνεται με την NIS2;
Στα τέλη Δεκεμβρίου 2023, η οδηγία NIS2 εγκρίθηκε και επισημοποιήθηκε στην ΕΕ. Στη συνέχεια, τα κράτη μέλη έχουν στη διάθεσή τους 21 μήνες για να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο. Αλλά αυτό δεν σημαίνει ότι μπορείτε να περιμένετε μέχρι τότε για να εφαρμόσετε τα νέα μέτρα. Σε κάθε περίπτωση σε 18 μήνες από την έγκριση, οι οργανισμοί που επηρεάζονται από την οδηγία πρέπει να είναι σε θέση να συμμορφωθούν.
Αν και αυτό μπορεί να φαίνεται πολύ καιρό, γνωρίζουμε από την εμπειρία μας ότι για πολλές εταιρείες μπορεί να χρειαστεί πολύς χρόνος για την εφαρμογή νέων μέτρων, διαδικασιών κ.λπ. Επομένως, είναι σημαντικό οι οργανισμοί να ξεκινήσουν σήμερα.
Συμβουλές για την εκκίνηση
Πολλοί οργανισμοί έχουν ήδη εφαρμόσει ορισμένα μέτρα, καθώς έπρεπε να συμμορφωθούν με τις αρχικές απαιτήσεις NIS. Αλλά άλλοι οργανισμοί πρέπει να προσαρμοστούν σε μια εντελώς νέα πραγματικότητα. Μπορεί να είναι ένα μεγάλο και τρομακτικό έργο και σε μερικούς, μπορεί να φαίνεται βουνό συντριπτικό, για αυτό το λόγο συγκεντρώσαμε τις παρακάτω συμβουλές για να βοηθήσουμε στην προετοιμασία για την οδηγία NIS2.
Όπως αναφέρθηκε προηγουμένως, η οδηγία NIS2 δεν παρέχει κατάλογο ελέγχου ή ένα ελάχιστο σύνολο απαιτήσεων για την τεχνολογία προστασίας. Θέτει τον όρο «κατάλληλη προστασία», ο οποίος μπορεί να ερμηνευτεί με πολλούς τρόπους. Ωστόσο, μπορούμε να υποθέσουμε ότι οι εταιρείες χρειάζονται , τουλάχιστον τεχνολογία τείχους προστασίας και πρόληψης εισβολής στο δίκτυό τους, αλλά και προστασία ασφάλειας τελικού σημείου και εφαρμογή ελέγχου ταυτότητας πολλαπλών-παραγόντων, κρυπτογράφησης δεδομένων, και περιορισμού πρόσβασης.
Ωστόσο, είναι σημαντικό να αναφέρουμε ότι δεν μπορούν να διορθωθούν όλα με την τεχνολογία. Εξίσου σημαντική είναι και η διαδικασία. Αυτό σημαίνει ότι κάθε οργανισμός θα πρέπει να έχει σφαιρική εικόνα και πλάνο και όχι απλώς να αναζητά μια γρήγορη λύση.
Αρχικά είναι σημαντικό να ελεγχθεί αν η εταιρεία καλύπτεται από τη νέα οδηγία. Αν η απάντηση είναι ναι, τότε τα πρώτα βήματα με τα οποία μπορεί ξεκινήσει ένας οργανισμός είναι τα εξής:
· Να βεβαιωθεί ότι η ασφάλεια στον κυβερνοχώρο αποτελεί κορυφαία προτεραιότητα για τη διοίκηση του οργανισμού και ότι η διοίκηση γνωρίζει τις ευθύνες της σχετικά με αυτό. Στην αρχή πρέπει να αναλυθούν οι ανάγκες της εταιρείας και να δημιουργηθεί ένα πλάνο με σαφείς στόχους και χρονοδιαγράμματα για την υλοποίηση.
· Να προσδιοριστούν και να ιεραρχηθούν τα περιουσιακά του στοιχεία, συμπεριλαμβανομένων των πληροφοριών, των διαδικασιών και των συστημάτων.
· Να εφαρμοστεί ένα πλαίσιο πάνω στο οποίο θα χτιστεί η ασφάλειά του. Αυτό θα μπορούσε να είναι ISO2001 ή NIST. Είναι επίσης σημαντικό να εφαρμοστεί διαχείριση κινδύνου των περιουσιακών στοιχείων και των λειτουργιών του οργανισμού.
· Να αυτοματοποιηθούν όσο το δυνατόν περισσότερες διαδικασίες και ρουτίνες. Για παράδειγμα, στο μέλλον, η ασφάλεια IT θα πρέπει πάντα να αποτελεί μέρος νέων συστημάτων και αναπτύξεων cloud.
· Να γίνει ενοποίηση των λειτουργιών και των λύσεων ασφαλείας. Αυτό καθιστά τις λειτουργίες ευκολότερες και ασφαλέστερες και θα μειώσει, για παράδειγμα, το κόστος προσωπικού.
· Να καθιερωθεί μια διαδικασία αναφοράς που συμμορφώνεται με τις απαιτήσεις NIS2 – και να είναι βέβαιο ότι μπορεί να χρησιμοποιηθεί ενεργά για τον μετριασμό των επιθέσεων και των απειλών.
Latest News
Ποια είναι η Bluesky που «έκλεψε» 700.000 χρήστες από το Χ
Σύμφωνα με ειδικούς, το Bluesky έχει μετατραπεί σε «καταφύγιο» για τους πρώην πλέον χρήστες του Χ
Ανησυχία στη Γερμανία για κυβερνοεπιθέσεις και fake news ενόψει εκλογών
Οι υβριδικές αυτές απειλές για τη Γερμανία προέρχονται «κυρίως από το καθεστώς του Πούτιν»
Γιατί πολλές κυβερνοεπιθέσεις δεν αναφέρονται στην Ελλάδα
Το επερχόμενο σχέδιο νόμου για την κυβερνοασφάλεια επιβάλλει κάποιες βασικές τεχνικές προδιαγραφές για τις κυβερνοεπιθέσεις
Μεγαλώνει η σύγκρουση για τα μικροτσίπ
Το αρμόδιο υπουργείο Εμπορίου των Ηνωμένων Πολιτειών διέταξε την TSMC να σταματήσει να αποστέλλει ημιαγωγούς που χρησιμοποιούνται σε εφαρμογές ΑΙ σε κινεζικές εταιρείες
Ποιες είναι οι επόμενες θεωρίες συνομωσίας; Ρωτήστε τους εφήβους - Ο ρόλος των social media
Οι έφηβοι δυσκολεύονται να αναγνωρίσουν τις ψευδείς πληροφορίες και τις θεωρίες συνωμοσίας στο διαδίκτυο - Πού υπερτερούν σε σχέση με τις υπόλοιπες ηλικίες
Huawei: Μάχη σε δικαστήριο των ΗΠΑ για να απορριφθούν οι κατηγορίες περί συνωμοσίας
«Η κυβέρνηση προσέγγισε την Huawei ως εισαγγελικό στόχο σε αναζήτηση εγκλήματος», ισχυρίστηκε ο εκπρόσωπος της Huawei
Αγώνας δρόμου της OpenAI για πιο έξυπνη ΑΙ - Πιάνουν «ταβάνι» τα σημερινά μοντέλα
Εταιρείες τεχνητής νοημοσύνης όπως η OpenAI επιδιώκουν να ξεπεράσουν απροσδόκητες καθυστερήσεις και προκλήσεις
Η Τεχνητή Νοημοσύνη γίνεται εξειδικευμένη και βιώσιμη
Στελέχη και ειδικοί της SAS, εταιρείας που δραστηριοποιείται στον τομέα των δεδομένων και του AI, έκαναν προβλέψεις για τις τάσεις και τις βασικές επιχειρηματικές και τεχνολογικές εξελίξεις του 2025
Το πιο διαδεδομένο κακόβουλο λογισμικό κατά τον Οκτώβριο
Οι ειδικοί της Check Point Software στην κυβερνοασφάλεια αποκαλύπτουν σημαντική αύξηση των infostealers όπως το Lumma Stealer, ενώ κακόβουλο λογισμικό για κινητά όπως το Necro συνεχίζει να αποτελεί σημαντική απειλή
Samsung: Οι επικοινωνίες της επόμενης ημέρας και οι τεχνολογίες AI-native
Ηγέτες του κλάδου και εμπειρογνώμονες συζήτησαν σε συνέδριο της Samsung για τις επικοινωνίες επόμενης γενιάς, εστιάζοντας σε τεχνολογίες AI-native