Ποια είναι η ευρωπαϊκή οδηγία NIS2 και ποια είναι η διαδικασία πιστοποίησης – Ποιους κλάδους επηρεάζει

Η οδηγία (ΕΕ) 2022/2555, οδηγία για την ασφάλεια δικτύων και πληροφοριών, (γνωστή και σαν οδηγία NIS2), τέθηκε σε εφαρμογή στις 18 Οκτωβρίου 2024 και έχει σαν στόχο να ενισχύσει την ανθεκτικότητα της ΕΕ στο κυβερνοχώρο, μέσω της δημιουργίας ενός υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση.

Η οδηγία NIS2 είναι συνέχεια της οδηγίας (ΕΕ) 2016/1148 (οδηγία NIS) και επιδιώκει να ενισχύσει περαιτέρω την ανθεκτικότητα της ΕΕ στις κυβερνοαπειλές. Η οδηγία NIS2 διευρύνει το πεδίο εφαρμογής της, προσθέτοντας νέους τομείς με βάση τον βαθμό ψηφιοποίησης και διασύνδεσής τους και τη σημασία τους για την οικονομία και την κοινωνία, επιβάλλοντας νέες υποχρεώσεις εστιάζοντας σε 3 βασικούς άξονες:

Υποχρεώσεις κρατών μελών (π.χ. εθνικές αρχές και στρατηγικές κυβερνοασφάλειας, πλαίσιο για τη διαχείριση κρίσεων για συμβάντα κυβερνοεπιθέσεων).
Διαχείριση κινδύνων (π.χ. οι οργανισμοί που υπόκεινται στο NIS2 οφείλουν να λαμβάνουν μέτρα ασφαλείας και να κοινοποιούν περιστατικά εντός συγκεκριμένου χρονικού πλαισίου).

Συνεργασία και ανταλλαγή πληροφοριών (π.χ. δημιουργία δικτύου ανταπόκρισης σε περιστατικά κυβερνοεπιθέσεων CSIRT – Computer Security Incident Response Teams, CyCLONe – δημιουργία δομής διαχείρισης κυβερνοκρίσεων Cyber Crisis Liaison Organizations Network, έκθεση του ENISA για την κυβερνοασφάλεια).

Οι βασικές αλλαγές της οδηγίας NIS2, σε σχέση με την οδηγία NIS, μπορούν να συνοψιστούν στα εξής:
-Περιλαμβάνει περισσότερους και νέους τομείς εφαρμογής.
-Περιλαμβάνει περισσότερες οντότητες.
-Καθορίζει νέες προθεσμίες κοινοποίησης περιστατικών.
-Δημιουργεί πρόσθετες απαιτήσεις και υποχρεώσεις.

Η οδηγία NIS2 θα εφαρμοστεί σε ένα ευρύτερο και εκτενέστερο σύνολο οντοτήτων, σε σχέση με αυτούς της οδηγίας NIS. Η οδηγία NIS2 περιλαμβάνει:

-Τομείς υψηλής κρισιμότητας:
-Υγεία
-Ενέργεια
-Μεταφορές
-Πόσιμο νερό
-Ψηφιακές υποδομές
-Λύματα
-Διάστημα
-Δημόσια διοίκηση
-Διαχειριζόμενες υπηρεσίες ICT
-Τράπεζες
-Υποδομές χρηματοπιστωτικών αγορών

Άλλοι κρίσιμοι τομείς:

-Ψηφιακοί πάροχοι
-Έρευνα
-Παραγωγή, μεταποίηση και διανομή τροφίμων
-Ταχυδρομικές υπηρεσίες και ταχυμεταφορές
-Διαχείριση αποβλήτων
-Παρασκευή, παραγωγή και διανομή χημικών προϊόντων
-Κατασκευαστικός τομέας

Οι οργανισμοί που εμπίπτουν στο πεδίο εφαρμογής του NIS2 καθορίζονται με κριτήρια κατηγοριοποίησης των οντοτήτων βάση μεγέθους και τομέα δραστηριοποίησης της οντότητας (π.χ. αριθμό εργαζομένων, ετήσιες πωλήσεις, ετήσιο απολογισμό).

Η οδηγία NIS2 παρέχει στις εθνικές αρχές έναν ελάχιστο κατάλογο εξουσιών επιβολής για τη μη συμμόρφωση των οργανισμών με την οδηγία NIS2 όπως:
-Έκδοση προειδοποιήσεων για μη συμμόρφωση.
-Έκδοση δεσμευτικών οδηγιών.
-Παύση μη συμμορφούμενης συμπεριφοράς.
-Εφαρμογή των συστάσεων που παρέχονται ως αποτέλεσμα ενός ελέγχου ασφαλείας εντός εύλογης προθεσμίας.
-Επιβολή διοικητικών προστίμων (π.χ. πρόστιμα έως 2% του ετήσιου παγκόσμιου τζίρου ή 10.000.000€ ελάχιστο για ουσιαστικές οντότητες, 1.4% του ετήσιου παγκόσμιου τζίρου ή 10.000.000€ μέγιστο αντίστοιχα για τις σημαντικές οντότητες).

Η TÜV AUSTRIA στην Ελλάδα παρέχει ολιστικές υπηρεσίες και αξιόπιστες λύσεις κυβερνοασφάλειας, που μπορούν να συμβάλουν και να βοηθήσουν τους οργανισμούς στη συμμόρφωσή τους με την οδηγία NIS2. Οι υπηρεσίες αυτές περιλαμβάνουν:

-Πιστοποίηση με το διεθνές αναγνωρισμένο πρότυπο ασφάλειας πληροφοριών ISO/IEC27001:2022.
-Πιστοποίηση με το διεθνές αναγνωρισμένο πρότυπο επιχειρησιακής συνέχειας ISO/IEC22301:2019.
-Εκπαίδευσης NIS2, μέσω της TÜV AUSTRIA Academy.
-Διενέργεια Penetration Tests και Vulnerability Assessments.
-Διενέργεια NIS2 Gap Assessment.
-Υπηρεσίες Security Operation Center (SOC), μέσω της TÜV AUSTRIA TRUST IT.

Η TÜV AUSTRIA αποτελεί ουσιαστικό συνεργάτη σε όλους τους οργανισμούς και τις επιχειρήσεις που θέλουν να ενισχύσουν την ανθεκτικότητα τους στις απειλές του κυβερνοχώρου και να συμμορφωθούν με την οδηγία NIS2.