
Στην έγκριση της οδηγίας NIS2 προχώρησε η ΕΕ, κάτι το οποίο θα επηρεάσει τις επιχειρήσεις. Η έγκριση αποτελεί μέρος της στρατηγικής της ΕΕ για τη διαμόρφωση του ψηφιακού μέλλοντος στον τομέα της κυβερνοασφάλειας και την άμεση επέκταση της οδηγίας NIS του 2016, η οποία ήταν η πρώτη νομοθεσία για την ασφάλεια στον κυβερνοχώρο για την ΕΕ.
Το υπόβαθρο της νέας οδηγίας είναι ένα ταχέως μεταβαλλόμενο τοπίο απειλών που επηρεάζει όλο και περισσότερο τα δίκτυα των επιχειρήσεων, και η αναγνώριση ότι η πρώτη οδηγία NIS εφαρμόστηκε με διαφορετικό τρόπο στα κράτη μέλη της ΕΕ. Ως εκ τούτου, η ΕΕ επιθυμεί μια πιο ολιστική και ομοιόμορφη προσέγγιση όσον αφορά την προστασία στον κυβερνοχώρο σε διαφορετικούς τομείς και αλυσίδες εφοδιασμού που επηρεάζουν τις υποδομές ζωτικής σημασίας, καθώς μια καταστροφική κυβερνοεπίθεση μπορεί να έχει τεράστιο αντίκτυπο στην οικονομία κάθε κράτους μέλους, αλλά και στην υπόλοιπη Ευρώπη. Για παράδειγμα, εάν η εθνική εταιρεία ενέργειας μιας χώρας τεθεί εκτός λειτουργίας για σύντομο ή μεγάλο χρονικό διάστημα, οι τιμές της ηλεκτρικής ενέργειας θα αυξηθούν. Και δεδομένου ότι η ηλεκτρική ενέργεια διαπραγματεύεται σε ευρωπαϊκό χρηματιστήριο, οι τιμές θα αυξηθούν σε ολόκληρη την Ευρώπη.
Κυβερνοασφάλεια: Πώς το ChatGPT αλλάζει τα δεδομένα
Γιατί είναι σημαντικό για τις επιχειρήσεις;
Σε αντίθεση με την οδηγία GDPR, η οποία προστατεύει τα προσωπικά δεδομένα των πολιτών, η NIS2 στοχεύει στην προστασία των οικονομικών δεδομένων – δεδομένων που επηρεάζουν τις οικονομίες των επιχειρήσεων και των χωρών μελών.
Σύμφωνα με τη νέα νομοθεσία, τα κράτη μέλη πρέπει να εφαρμόσουν, μεταξύ άλλων, μια εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο και μια εθνική νομοθεσία που περιλαμβάνει απαιτήσεις διαχείρισης κινδύνων και υποβολής εκθέσεων για τις εταιρείες που καλύπτονται από την οδηγία NIS2, καθώς και ένα ενιαίο εθνικό σημείο επαφής για τη διαχείριση της NIS2.
Ποιοι επηρεάζονται;
Εκτός από τους τομείς που είχαν συμπεριληφθεί στην οδηγία NIS, η νέα NIS2 επεκτείνεται επίσης σε αρκετούς νέους δημόσιους και ιδιωτικούς τομείς που συμπεριλαμβάνουν εταιρείες τροφίμων, ναύλων και ναυτιλιακών, παρόχους τηλεπικοινωνιών και δεδομένων, πλατφόρμες κοινωνικών μέσων και παρόχους data centers, εταιρείες που ασχολούνται με τη διαχείριση αποβλήτων και λυμάτων και κατασκευαστικές εταιρείες που είναι σημαντικές για την οικονομία της χώρας. Οι εταιρείες βάσει της οδηγίας χωρίζονται σε δύο κατηγορίες: significant entities (π.χ. εταιρείες τηλεπικοινωνιών, επιχειρήσεις κοινής ωφέλειας και τράπεζες) και important entities (π.χ. εταιρείες τροφίμων και εταιρείες εμπορευματικών μεταφορών). Ωστόσο, απαλλάσσονται οι εταιρείες που απασχολούν λιγότερους από 250 εργαζομένους ή έχουν ετήσιο κύκλο εργασιών μικρότερο των 50 εκατομμυρίων ευρώ.

Ωστόσο, λόγω της έννοιας της ευθύνης της αλυσίδας εφοδιασμού, πρέπει να υποθέσουμε ότι οι μικρότερες εταιρείες που είναι προμηθευτές σε τομείς που καλύπτονται από την οδηγία, πρέπει επίσης να συμμορφώνονται με την οδηγία NIS2.
Επιπλέον, η οδηγία καλύπτει επίσης τις δημόσιες διοικήσεις, αλλά δεν είναι σαφές σε αυτό το στάδιο εάν αυτό περιλαμβάνει, για παράδειγμα, τους δήμους.
Τι σημαίνει αυτό για τους οργανισμούς;
Η NIS2 επιβάλλει νέες απαιτήσεις στις επηρεαζόμενες εταιρείες και οργανισμούς. Σε αυτές περιλαμβάνονται απαιτήσεις για εξειδίκευση και ευθύνη της διοίκησης, αποτελεσματική διαχείριση κινδύνων, συμπεριλαμβανομένης της ανάλυσης κινδύνου και της αντιμετώπισης συμβάντων, καθώς και αναφορά και χειρισμός συμβάντων στον κυβερνοχώρο.
Ως εκ τούτου, η διοίκηση είναι υπεύθυνη για τη συμμόρφωση του οργανισμού με την οδηγία NIS2 και μπορεί να θεωρηθεί υπεύθυνη για τη μη συμμόρφωση. Η ίδια η εταιρεία ή ο οργανισμός πρέπει να συμμορφώνεται με διάφορες απαιτήσεις ασφάλειας στον κυβερνοχώρο, συμπεριλαμβανομένης της εφαρμογής μέτρων ασφαλείας και διεθνών προτύπων όπως το ISO27001 ή το πλαίσιο NIST.
Οι εταιρείες που δεν συμμορφώνονται με την οδηγία NIS2 ενδέχεται να υπόκεινται σε πρόστιμα έως και 10 εκατομμύρια ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας.
Είναι σημαντικό να επισημανθεί ότι, όπως και με την οδηγία GDPR, δεν θα υπάρχει ετικέτα NIS2 ή λίστα ελέγχου που θα ακολουθούν οι εταιρείες. Εναπόκειται στον ίδιο τον οργανισμό να εφαρμόσει μέτρα ώστε η προστασία των δεδομένων του να συμμορφώνεται. Οι προμηθευτές ασφάλειας στον κυβερνοχώρο, όπως η Check Point, μπορούν να βοηθήσουν με τις οδηγίες, αλλά εναπόκειται στην ίδια την εταιρεία να θέσει σε εφαρμογή τις απαραίτητες αναφορές.
Πότε πρέπει ένας οργανισμός να συμμορφώνεται με την NIS2;
Στα τέλη Δεκεμβρίου 2023, η οδηγία NIS2 εγκρίθηκε και επισημοποιήθηκε στην ΕΕ. Στη συνέχεια, τα κράτη μέλη έχουν στη διάθεσή τους 21 μήνες για να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο. Αλλά αυτό δεν σημαίνει ότι μπορείτε να περιμένετε μέχρι τότε για να εφαρμόσετε τα νέα μέτρα. Σε κάθε περίπτωση σε 18 μήνες από την έγκριση, οι οργανισμοί που επηρεάζονται από την οδηγία πρέπει να είναι σε θέση να συμμορφωθούν.
Αν και αυτό μπορεί να φαίνεται πολύ καιρό, γνωρίζουμε από την εμπειρία μας ότι για πολλές εταιρείες μπορεί να χρειαστεί πολύς χρόνος για την εφαρμογή νέων μέτρων, διαδικασιών κ.λπ. Επομένως, είναι σημαντικό οι οργανισμοί να ξεκινήσουν σήμερα.
Συμβουλές για την εκκίνηση
Πολλοί οργανισμοί έχουν ήδη εφαρμόσει ορισμένα μέτρα, καθώς έπρεπε να συμμορφωθούν με τις αρχικές απαιτήσεις NIS. Αλλά άλλοι οργανισμοί πρέπει να προσαρμοστούν σε μια εντελώς νέα πραγματικότητα. Μπορεί να είναι ένα μεγάλο και τρομακτικό έργο και σε μερικούς, μπορεί να φαίνεται βουνό συντριπτικό, για αυτό το λόγο συγκεντρώσαμε τις παρακάτω συμβουλές για να βοηθήσουμε στην προετοιμασία για την οδηγία NIS2.
Όπως αναφέρθηκε προηγουμένως, η οδηγία NIS2 δεν παρέχει κατάλογο ελέγχου ή ένα ελάχιστο σύνολο απαιτήσεων για την τεχνολογία προστασίας. Θέτει τον όρο «κατάλληλη προστασία», ο οποίος μπορεί να ερμηνευτεί με πολλούς τρόπους. Ωστόσο, μπορούμε να υποθέσουμε ότι οι εταιρείες χρειάζονται , τουλάχιστον τεχνολογία τείχους προστασίας και πρόληψης εισβολής στο δίκτυό τους, αλλά και προστασία ασφάλειας τελικού σημείου και εφαρμογή ελέγχου ταυτότητας πολλαπλών-παραγόντων, κρυπτογράφησης δεδομένων, και περιορισμού πρόσβασης.
Ωστόσο, είναι σημαντικό να αναφέρουμε ότι δεν μπορούν να διορθωθούν όλα με την τεχνολογία. Εξίσου σημαντική είναι και η διαδικασία. Αυτό σημαίνει ότι κάθε οργανισμός θα πρέπει να έχει σφαιρική εικόνα και πλάνο και όχι απλώς να αναζητά μια γρήγορη λύση.
Αρχικά είναι σημαντικό να ελεγχθεί αν η εταιρεία καλύπτεται από τη νέα οδηγία. Αν η απάντηση είναι ναι, τότε τα πρώτα βήματα με τα οποία μπορεί ξεκινήσει ένας οργανισμός είναι τα εξής:
· Να βεβαιωθεί ότι η ασφάλεια στον κυβερνοχώρο αποτελεί κορυφαία προτεραιότητα για τη διοίκηση του οργανισμού και ότι η διοίκηση γνωρίζει τις ευθύνες της σχετικά με αυτό. Στην αρχή πρέπει να αναλυθούν οι ανάγκες της εταιρείας και να δημιουργηθεί ένα πλάνο με σαφείς στόχους και χρονοδιαγράμματα για την υλοποίηση.
· Να προσδιοριστούν και να ιεραρχηθούν τα περιουσιακά του στοιχεία, συμπεριλαμβανομένων των πληροφοριών, των διαδικασιών και των συστημάτων.
· Να εφαρμοστεί ένα πλαίσιο πάνω στο οποίο θα χτιστεί η ασφάλειά του. Αυτό θα μπορούσε να είναι ISO2001 ή NIST. Είναι επίσης σημαντικό να εφαρμοστεί διαχείριση κινδύνου των περιουσιακών στοιχείων και των λειτουργιών του οργανισμού.
· Να αυτοματοποιηθούν όσο το δυνατόν περισσότερες διαδικασίες και ρουτίνες. Για παράδειγμα, στο μέλλον, η ασφάλεια IT θα πρέπει πάντα να αποτελεί μέρος νέων συστημάτων και αναπτύξεων cloud.
· Να γίνει ενοποίηση των λειτουργιών και των λύσεων ασφαλείας. Αυτό καθιστά τις λειτουργίες ευκολότερες και ασφαλέστερες και θα μειώσει, για παράδειγμα, το κόστος προσωπικού.
· Να καθιερωθεί μια διαδικασία αναφοράς που συμμορφώνεται με τις απαιτήσεις NIS2 – και να είναι βέβαιο ότι μπορεί να χρησιμοποιηθεί ενεργά για τον μετριασμό των επιθέσεων και των απειλών.


Latest News

«Υψηλό» πρόστιμο για τη Meta από την Τουρκία
Η αμερικανική Meta, μητρική των Facebook, Instagram και WhatsApp, κατηγορείται από τις τουρκικές αρχές ότι δεν συμμορφώνεται στις εντολές ελέγχου περιεχομένου εν μέσω πολιτικής αναταραχής

Profile: Αύξηση τζίρου 33% το 2024 και επενδύσεις 100 εκατ. στην τριετία
H Profile είχε τζίρο 40,1 εκατ. το 2024, ενώ το ανεκτέλεστο ανέρχεται σε 130 εκατ ευρώ - Στόχος ο υπερδιπλασιασμός εσόδων στην τριετία

Η Nintendo ανακοίνωσε την ημερομηνία κυκλοφορίας του Switch 2
Ανακοίνωσε ότι το Mario Kart World θα είναι στην αρχική λίστα παιχνιδιών για το Nintendo Switch 2 - Οι νέες δυνατότητες της κονσόλας

Ο Ζάκερμπεργκ επιστρατεύει τον Τραμπ κατά της ΕΕ - Αιτία οι κυρώσεις στη Meta
Ο Μαρκ Ζάκερμπεργκ, πιέζει κυβερνητικούς αξιωματούχους να αντιταχθούν στον ευρωπαϊκό νόμο που θα μπορούσε να υπονομεύσει τις διαφημιστικές δραστηριότητες της Meta Platforms

Τίτλοι τέλους για την «μπλε οθόνη του θανάτου» των Windows!
Η Microsoft δοκιμάζει στα Windows ένα νέο BSOD που καταργεί το συνοφρυωμένο πρόσωπο, τον κωδικό QR και το παραδοσιακό μπλε χρώμα.

Η Arm ήθελε εξαγορά της Alphawave για να βάλει στο χέρι την τεχνολογία SerDes
Αυτό που... κέντρισε το ενδιαφέρον της Arm ήταν μία συγκεκριμένη τεχνολογία της Alphawave που καθορίζει πόσο γρήγορα οι πληροφορίες μπορούν να εισαχθούν αλλά και να εξαχθούν από ένα μικροτσίπ

Ο Michael Kratsios σε θέση «κλειδί» στον Λευκό Οίκο - Τα «πυρά» στην Κίνα από το OT Forum
Ο Michael Kratsios θα βρίσκεται στην αιχμή του δόρατος της τεχνολογικής μάχης των ΗΠΑ με την Κίνα στην τεχνητή νοημοσύνη

Ανάδειξη καινοτόμων ιδεών με το Beyond Tomorrow Competition
Ο διαγωνισμός Beyond Tomorrow Competition υλοποιείται με την στήριξη των HDB, KPMG και ΕΚΚΟΜΕΔ Creative Greece

Kaspersky: Πώς να μετατρέπετε αρχεία με ασφάλεια
Οι ιστοσελίδες μετατροπής αρχείων στο διαδίκτυο αποτελούν έναν ελκυστικό τρόπο για να αλλάξετε τη μορφή των αρχείων σας, αλλά ενέχουν κινδύνους

Πόλος έλξης η Δ. Μακεδονία για data centers αμερικανικών κολοσσών - Το project της ΔΕΗ
Το σχέδιο της ΔΕΗ για data centers στη Δυτική Μακεδονία, το αμερικανικό ενδιαφέρον και οι κινήσεις των άλλων παικτών