Μετά τις πρόσφατες νομοθετικές ρυθμίσεις ο Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών ή CISO, καλείται να αποτελέσει τον συνδετικό κρίκο σε έναν οργανισμό, ανάμεσα στην τεχνική ομάδα, τη διοίκηση, τη νομική λειτουργία και την Εθνική Αρχή Κυβερνοασφάλειας

 

Στέργιος Κωνσταντίνου

Δικηγόρος
Εξειδικευμένος σε θέματα GDPR, IP & Tech Law

 

 

 

Η κυβερνοασφάλεια δεν αντιμετωπίζεται πλέον ως αμιγώς τεχνικό θέμα. Με την Οδηγία NIS2 και το ν.5160/2024, ο οποίος την ενσωμάτωσε στην Ελληνική έννομη τάξη, μετατρέπεται σε ζήτημα εταιρικής διακυβέρνησης, εποπτείας και τεκμηριωμένης λογοδοσίας. Για τον CISO, ή κατά την ελληνική ορολογία τον Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), αυτό σημαίνει ότι ο ρόλος του δεν εξαντλείται στην επιλογή εργαλείων, firewall, SIEM ή διαδικασιών hardening. Καλείται να λειτουργήσει ως γέφυρα ανάμεσα στην τεχνική ομάδα, τη διοίκηση, τη νομική λειτουργία και την Εθνική Αρχή Κυβερνοασφάλειας.

Ουσιαστικός και Διακριτός Ρόλος

Πρώτο πρακτικό ερώτημα είναι αν η οντότητα υπάγεται στο πλαίσιο. Κατά κανόνα, απαιτείται να δραστηριοποιείται σε τομέα των Παραρτημάτων Ι ή ΙΙ του ν.5160/2024 και να υπερβαίνει τα όρια μεσαίας επιχείρησης. Ορισμένες κατηγορίες, όπως πάροχοι DNS ή άλλες κρίσιμες ψηφιακές υπηρεσίες, μπορεί να υπάγονται ανεξαρτήτως μεγέθους. Η κατάταξη ως βασική ή σημαντική οντότητα δεν είναι τυπική λεπτομέρεια: επηρεάζει την εποπτεία, την ένταση των υποχρεώσεων και το ύψος των κυρώσεων.

Ο Υ.Α.Σ.Π.Ε. προβλέπεται στο άρθρο 15 παρ. 5α του ν.5160/2024. Οι βασικές και σημαντικές οντότητες ορίζουν αρμόδιο στέλεχος με ανάλογα προσόντα και εμπειρογνωμοσύνη, το οποίο αναλαμβάνει την επικοινωνία με την Εθνική Αρχή Κυβερνοασφάλειας, τον εσωτερικό συντονισμό συμμόρφωσης και την υποστήριξη της αναφοράς περιστατικών. Η ΥΑ 1899/2025 εξειδικεύει προσόντα, καθήκοντα, κωλύματα, ασυμβίβαστα και υποχρεώσεις. Επομένως, ο ορισμός δεν πρέπει να γίνεται «για να κλείσει η εκκρεμότητα», αλλά με πραγματική αξιολόγηση γνώσεων, εμπειρίας και θέσης στο οργανόγραμμα.

Ιδιαίτερη σημασία έχουν τα ασυμβίβαστα. Ο Υ.Α.Σ.Π.Ε. δεν πρέπει και δεν επιτρέπεται να ορίζεται και ως DPO. Ο DPO ελέγχει τη συμμόρφωση με το ρυθμιστικό πλαίσιο επεξεργασίας προσωπικών δεδομένων, ο Υ.Α.Σ.Π.Ε. συντονίζει την ασφάλεια συστημάτων και την κυβερνοανθεκτικότητα. Η ΥΑ 1899/2025 προβλέπει επίσης ασυμβίβαστο με τον υπεύθυνο ΤΠΕ της οντότητας. Άλλα καθήκοντα είναι δυνατά μόνο αν δεν δημιουργούν σύγκρουση συμφερόντων και δεν εμποδίζουν την αποτελεσματική άσκηση του ρόλου.

 

Από τις Νομικές Υποχρεώσεις στην Επιχειρησιακή Ετοιμότητα

Για έναν επαγγελματία κυβερνοασφάλειας, το πιο κρίσιμο σημείο είναι ότι οι νομικές υποχρεώσεις μεταφράζονται σε τεχνική ετοιμότητα. Η υποχρέωση αναφοράς σημαντικών περιστατικών δεν μπορεί να ικανοποιηθεί με αυτοσχεδιασμό. Απαιτούνται μηχανισμοί ανίχνευσης, ταξινόμηση σοβαρότητας, escalation path, καταγραφή αποφάσεων και σαφές incident playbook. Ο κανόνας των 24 και 72 ωρών σημαίνει ότι ο οργανισμός πρέπει να γνωρίζει εκ των προτέρων ποιος αξιολογεί το περιστατικό, ποιος ενημερώνει τη διοίκηση, ποιος εγκρίνει την αναφορά και ποια τεχνικά στοιχεία συλλέγονται: logs, indicators of compromise, επηρεαζόμενα συστήματα, εκτίμηση αντικτύπου και μέτρα περιορισμού.

Το ίδιο ισχύει και για τη διαχείριση κινδύνων. Ο CISO πρέπει να μπορεί να δείξει, όχι απλώς να περιγράψει, ότι υπάρχουν asset inventory, πολιτική πρόσβασης, MFA, backup strategy, vulnerability management, supplier risk controls, business continuity plan και τακτικές ασκήσεις. Η εφοδιαστική αλυσίδα αποκτά ιδιαίτερη σημασία: cloud providers, MSPs, SaaS εργαλεία και προμηθευτές με πρόσβαση σε κρίσιμα συστήματα πρέπει να εντάσσονται στη χαρτογράφηση κινδύνων. Η ΥΑ 1899/2025 θέτει ρητή υποχρέωση του Υ.Α.Σ.Π.Ε. να μεριμνά για τα μέτρα ασφάλειας αλυσίδας εφοδιασμού «καθ’ όλο τον κύκλο ζωής των συμβάσεων», όχι μόνο κατά την επιλογή προμηθευτή.

 

Η Διοικητική ευθύνη

Η μεγαλύτερη αλλαγή αφορά τη διοίκηση. Τα όργανα διοίκησης οφείλουν να εγκρίνουν και να επιβλέπουν τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας. Αυτό δεν σημαίνει ότι το Δ.Σ. πρέπει να γίνει SOC. Σημαίνει όμως ότι πρέπει να λαμβάνει κατανοητά reports, να εγκρίνει πολιτικές, να διαθέτει πόρους και να τεκμηριώνει αποφάσεις. Ο Υ.Α.Σ.Π.Ε. πρέπει να έχει επαρκή αυτονομία και απευθείας πρόσβαση στο ανώτατο διοικητικό επίπεδο. Αν ο ρόλος είναι «θαμμένος» στο ΙΤ χωρίς δυνατότητα escalation, το οργανόγραμμα γίνεται πρόβλημα συμμόρφωσης.

Πρακτικά, κάθε CISO πρέπει να έχει έτοιμο έναν μικρό φάκελο συμμόρφωσης: απόφαση ορισμού Υ.Α.Σ.Π.Ε., περιγραφή ρόλου, απόδειξη προσόντων, reporting line, μητρώο κρίσιμων assets, πολιτικές ασφάλειας, incident response plan, αρχείο εκπαιδεύσεων, supplier register, απόδειξη εκτέλεσης ασκήσεων ετοιμότητας και δείγματα αναφορών προς τη διοίκηση. Σε περίπτωση ελέγχου ή περιστατικού, η τεκμηρίωση είναι συχνά η διαφορά ανάμεσα σε έναν ώριμο οργανισμό και σε μια εκ των υστέρων προσπάθεια δικαιολόγησης.

Μια χρήσιμη πρακτική προσέγγιση για τις πρώτες 90 ημέρες είναι η εξής:

  1. Επιβεβαίωση υπαγωγής και διοικητικός ορισμός Υ.Α.Σ.Π.Ε.,·
  2. Ορισμός στην εγγραφή στην πλατφόρμα της Εθνικής Αρχής Κυβερνοασφάλειας,
  3. διενέργεια gap analysis για τη συμμόρφωση με τις απαιτήσεις του ν.5160/2024 και των σχετικών Υπουργικών Αποφάσεων,
  4. Επικαιροποίηση διαδικασιών αντιμετώπισης περιστατικών ασφαλείας και διαχείρισης σχέσεων προμηθευτών,
  5. Σύντομη ενημέρωση διοίκησης με τρεις κατηγορίες ευρημάτων:
    • άμεσοι κίνδυνοι,
    • μέτρα χαμηλού κόστους και
    • αποφάσεις που απαιτούν πόρους.

Αυτή η προσέγγιση βοηθά τον CISO να μεταφράσει το νομικό πλαίσιο σε εφαρμόσιμο πλάνο δράσης, χωρίς να εγκλωβιστεί σε γενικόλογες πολιτικές. Το συμπέρασμα είναι απλό: ο ν.5160/2024 δεν ζητά από τον CISO να γίνει νομικός. Ζητά όμως από τον οργανισμό να αποδείξει ότι η κυβερνοασφάλεια διοικείται, χρηματοδοτείται, ελέγχεται και τεκμηριώνεται. Για τον επαγγελματία της ασφάλειας, αυτό είναι ευκαιρία αναβάθμισης του ρόλου του. Από τεχνικός διαχειριστής κινδύνου σε κεντρικό συνομιλητή της διοίκησης για την επιχειρησιακή ανθεκτικότητα.

 

Αν χρειαστεί moto

Ο Υ.Α.Σ.Π.Ε. πρέπει να έχει επαρκή αυτονομία και απευθείας πρόσβαση στο ανώτατο διοικητικό επίπεδο.