Η νέα κοινοτική οδηγία NIS2 φέρνει σειρά προκλήσεων και αυξημένων υποχρεώσεων για τις ελληνικές επιχειρήσεις

Σειρά αυξημένων υποχρεώσεων βάσει της νέας κοινοτικής Οδηγίας 2022/2555 ή Οδηγίας NIS2 (Network and Information Systems Directive 2) καλούνται να αναλάβουν μεσαίες και μεγάλες ελληνικές επιχειρήσεις και οργανισμοί που δραστηριοποιούνται σε διάφορους κλάδους προκειμένου να είναι σε θέση να αμύνονται καλύτερα έναντι στους κινδύνους των κυβερνοεπιθέσεων.

Γιώργος Κουϊμηντζής
Εμπορικός Διευθυντής
NSS – www.nss.gr

Η ευρωπαϊκή Οδηγία 2022/2555 που τίθεται σε εφαρμογή τον Οκτώβριο του 2024, αναμένεται να αυξήσει σημαντικά τους εποπτευόμενους φορείς στην χώρα μας από 70 σε περίπου 2.000 σε αριθμό καθώς πέρα από τις «παραδοσιακά» κρίσιμες υποδομές, όπως είναι ο χρηματοπιστωτικός τομέας και ο τομέας της ενέργειας ή οι ψηφιακές υποδομές, συμπεριλαμβάνονται πλέον και η δημόσια διοίκηση, οι ταχυμεταφορές και η παρασκευή και διανομή χημικών προϊόντων, η παραγωγή και μεταποίηση τροφίμων κ.ά.

Σύμφωνα με την επικαιροποιημένη κοινοτική οδηγία, τα κράτη μέλη έχουν προθεσμία μέχρι περίπου τα μέσα Οκτωβρίου του 2024 για να μεταφέρουν τις διατάξεις της στο υφιστάμενο εθνικό νομικό πλαίσιο, να προχωρήσουν στην χάραξη μίας εθνικής στρατηγικής για τον προσδιορισμό των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής της και να ορίσουν αρμόδιες αρχές για την εποπτεία και για τη συνεργασία σε Ευρωπαϊκό επίπεδο. Ακόμα, τα κράτη μέλη πρέπει να αναπτύξουν και να εφαρμόσουν μία εθνική στρατηγική κυβερνοασφαλείας και να διαθέτουν και να υποστηρίζουν κέντρα ανταπόκρισης σε συμβάντα κυβερνοασφαλείας (CSIRT) για την παρακολούθηση, την ανάλυση, την πρόληψη και την αντιμετώπιση περιστατικών.

Πεδίο εφαρμογής

Η οδηγία NIS2 καλύπτει περισσότερες οντότητες -τομείς και τύπους οργανισμών- σε σύγκριση με την αρχική NIS. Περιλαμβάνει κρίσιμες υποδομές όπως ο τομέας της ενέργειας (π.χ. ηλεκτρική, πυρηνική, υδρογονάνθρακες), ο τομέας των μεταφορών (αεροπορικές, σιδηροδρομικές εταιρίες κ.ά.), ο χρηματοπιστωτικός τομέας, ο τομέας της υγείας κ.ά. Οι εταιρείες διακρίνονται σε δύο κατηγορίες, τις «απαραίτητες» οντότητες (π.χ. χρηματοπιστωτικά ιδρύματα, παρόχους υπηρεσιών τηλεπικοινωνίων κ.ά.) και τις «σημαντικές» (π.χ. εταιρείες εμπορευματικών μεταφορών, εταιρείες τροφίμων κ.ά.). Εξαίρεση αποτελούν όσες εταιρείες απασχολούν λιγότερους από 250 υπαλλήλους ή έχουν κύκλο εργασιών μικρότερο των 50 εκ. ευρώ.

Αυστηρότερα μέτρα και κυρώσεις

Σε σύγκριση με την NIS, η οδηγία NIS2 επεκτείνει τις απαιτήσεις ασφάλειας και το πεδίο εφαρμογής σε επίπεδο ΕΕ των καλυπτόμενων οργανισμών και τομέων για τη βελτίωση της ασφάλειας της αλυσίδας εφοδιασμού, την απλούστευση των υποχρεώσεων υποβολής εκθέσεων και την επιβολή αυστηρότερων μέτρων και κυρώσεων σε ολόκληρη την Ευρώπη.

Με τη νέα ευρωπαϊκή οδηγία εισάγονται επίσης αυστηρότερες κυρώσεις για παραλείψεις ή αστοχίες συμμόρφωσης με τα διοικητικά πρόστιμα για τις «απαραίτητες οντότητες» να φτάνουν έως και τα 10 εκ. ευρώ ή το 2% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών του προηγούμενου οικονομικού έτους (όποιο από τα δύο είναι υψηλότερο) και για τις «σημαντικές οντότητες» να φτάνουν τα 7 εκ. ευρώ ή το 1,4% του συνολικού ετήσιου παγκόσμιου κύκλου εργασιών κατά το προηγούμενο οικονομικό έτος (όποιο από τα δύο είναι υψηλότερο). Η οδηγία επίσης αλλάζει τα δεδομένα όσον αφορά την λογοδοσία και την ευθύνη με τα υψηλόβαθμα στελέχη και τα μέλη του διοικητικού συμβουλίου που είναι υπεύθυνα για την διακυβέρνηση της υποδομής της εταιρείας και την αντιμετώπιση κινδύνων να θεωρούνται συνυπεύθυνα στην περίπτωση παραβίασης, γεγονός που θα μπορούσε να οδηγήσει στην απομάκρυνση από τη θέση τους.

Νέες απαιτήσεις και υποχρεώσεις

Για να ενισχυθεί η ανθεκτικότητα της Ευρώπης έναντι τόσο των σημερινών όσο και των μελλοντικών απειλών στον κυβερνοχώρο, η οδηγία NIS2 εισάγει νέες απαιτήσεις και υποχρεώσεις για τους οργανισμούς και τις μεσαίες και μεγάλες επιχειρήσεις, οι οποίες διακρίνονται σε τέσσερις τομείς: τη διαχείριση κινδύνων, την εταιρική λογοδοσία, την υποχρέωση υποβολής εκθέσεων και την επιχειρησιακή συνέχεια.

• Διαχείριση κινδύνων –Για να συμμορφωθούν με τη νέα οδηγία, οι οργανισμοί πρέπει να λάβουν μέτρα για την ελαχιστοποίηση των κινδύνων στον κυβερνοχώρο. Τα μέτρα αυτά περιλαμβάνουν: διαχείριση περιστατικών, ισχυρότερη ασφάλεια για την αλυσίδα εφοδιασμού, ενισχυμένη δικτυακή ασφάλεια, καλύτερο έλεγχο πρόσβασης και κρυπτογράφηση.
• Εταιρική λογοδοσία – Η κοινοτική οδηγία NIS2 απαιτεί επίσης από την εταιρική ηγεσία και το διοικητικό συμβούλιο να επιβλέπει, να εγκρίνει και να εκπαιδεύεται σχετικά με τα μέτρα κυβερνοασφάλειας και να είναι σε θέση να προσφέρει καθοδήγηση σχετικά με την αντιμετώπιση των κινδύνων στον κυβερνοχώρο. Οι παραβιάσεις μπορεί να επιφέρουν κυρώσεις για τα μέλη των διοικητικών συμβουλίων, συμπεριλαμβανομένης της ευθύνης και της πιθανής προσωρινής απαγόρευσης από διοικητικούς ρόλους.
• Υποχρεώσεις υποβολής εκθέσεων – Οι «απαραίτητες» και «σημαντικές» οντότητες πρέπει να διαθέτουν διαδικασίες για την άμεση αναφορά περιστατικών ασφάλειας που έχουν σημαντικό αντίκτυπο στην παροχή υπηρεσιών ή στους πελάτες τους. Η NIS2 ορίζει συγκεκριμένες προθεσμίες κοινοποίησης, μεταξύ των οποίων και μία πρώτη προειδοποίηση εντός 24ώρου.
• Επιχειρησιακή συνέχεια – Οι οργανισμοί καλούνται να θεσπίσουν ένα στρατηγικό σχέδιο σχετικά με το πως σκοπεύουν να διασφαλίσουν την επιχειρησιακή συνέχεια σε περίπτωση κάποιου σημαντικού περιστατικού ή συμβάντος κυβερνοασφαλείας. Το σχέδιο θα πρέπει να λαμβάνει υπόψη την αποκατάσταση των συστημάτων, τις διαδικασίες έκτακτης ανάγκης και τη σύσταση ομάδας αντιμετώπισης κρίσεων.

Πέρα από τους τέσσερις παραπάνω βασικούς τομείς απαιτήσεων, η κοινοτική οδηγία NIS2 επιβάλλει στις «απαραίτητες» και «σημαντικές» οντότητες να εφαρμόσουν τα παρακάτω βασικά μέτρα ασφαλείας προκειμένου να είναι σε θέση να αντιμετωπίσουν συγκεκριμένες μορφές απειλών στον κυβερνοχώρο και κυβερνοεπιθέσεων:

• Αξιολογήσεις κινδύνων και πολιτικές ασφάλειας για τα συστήματα πληροφοριών
• Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων ασφαλείας.
• Πολιτικές και διαδικασίες για τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης.
• Σχέδιο για τη διαχείριση περιστατικών ασφαλείας.
• Ασφάλεια γύρω από την προμήθεια συστημάτων και την ανάπτυξη και λειτουργία των συστημάτων. Αυτό σημαίνει την εφαρμογή πολιτικών για το χειρισμό και την αναφορά ευπαθειών και κενών ασφαλείας.
• Εκπαίδευση στην κυβερνοασφάλεια και πρακτική εξάσκηση για βασικά θέματα υγιεινής των υπολογιστών, ακόμα και για τα μέλη του διοικητικού συμβουλίου.
• Διαδικασίες ασφαλείας για τους υπαλλήλους με πρόσβαση σε ευαίσθητα ή σημαντικά δεδομένα, συμπεριλαμβανομένων πολιτικών για την πρόσβαση σε ευαίσθητα δεδομένα. Οι επηρεαζόμενοι οργανισμοί θα πρέπει να έχουν ολοκληρωμένη εικόνα όλων των σχετικών περιουσιακών στοιχείων τους διασφαλίζοντας παράλληλα την σωστή χρήση και διαχείριση τους.
• Σχέδιο για τη διαχείριση των επιχειρηματικών λειτουργιών κατά τη διάρκεια ή και μετά από την εμφάνιση ενός περιστατικού ασφαλείας. Αυτό σημαίνει ότι τα αντίγραφα ασφαλείας πρέπει να είναι ενημερωμένα. Πρέπει επίσης να υπάρχει σχέδιο για τη διασφάλιση της πρόσβασης στα συστήματα πληροφορικής/ τεχνολογίας πληροφοριών και στη λειτουργικότητά τους κατά τη διάρκεια ή και μετά από ένα περιστατικό ασφαλείας.
• Η χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων, λύσεων διαρκούς ελέγχου της ταυτότητας, κρυπτογράφησης φωνής, βίντεο και κειμένου, καθώς και κρυπτογράφησης εσωτερικών επικοινωνιών έκτακτης ανάγκης, όταν ενδείκνυται.
• Ασφάλεια της εφοδιαστικής αλυσίδας και έλεγχος της σχέσης μεταξύ της εταιρείας και τρίτων προμηθευτών. Οι εταιρείες πρέπει να επιλέγουν μέτρα ασφαλείας που να καλύπτουν ενδεχόμενα τρωτά σημεία κάθε τρίτου προμηθευτή. Επίσης θα πρέπει να αξιολογούν διαρκώς το συνολικό επίπεδο ασφάλειας όλων των προμηθευτών τους.

Εργαλεία, λύσεις και μέτρα

Η NSS, ως διεθνής διανομέας προστιθέμενης αξίας (VAD) εξειδικεύεται σε λύσεις αιχμής που καλύπτουν τους τεχνολογικούς τομείς της ασφάλειας των πληροφοριών, της δικτύωσης, των ενοποιημένων επικοινωνιών, την αποθήκευση δεδομένων, την εικονικοποίηση (virtualization) και τα συστήματα υποδομής του υπολογιστικών κέντρων δεδομένων (datacenters). Μέσω της υψηλής τεχνολογίας και της βαθιάς γνώσης της αγοράς, η NSS έχει συνάψει στρατηγικές συνεργασίες με κατασκευάστριες εταιρίες που ηγούνται στο χώρο της πληροφορικής και της κυβερνοασφάλειας. Μερικές από τις αποδεδειγμένες και εξειδικευμένες λύσεις που προσφέρει για την συμμόρφωση και την ικανοποίηση των απαιτήσεων της νέας κοινοτικής Οδηγίας 2022/2555 (NIS2) για οργανισμούς όλων των μεγεθών είναι οι παρακάτω:

Πρόληψη, ανάλυση και διαχείριση κινδύνων

Για την πραγματοποίηση τακτικών αναλύσεων κινδύνων, τη δημιουργία πολιτικών ασφάλειας και τον εντοπισμό και τη διαχείριση πιθανών απειλών.​ Ειδικά για τις εταιρείες και τους οργανισμούς που δεν διαθέτουν εξειδικευμένη ομάδα ασφαλείας ή SOC (Security Operations Center), η καλύτερη λύση μακράν είναι το Sophos MDR (Managed Detection Response) που αξιοποιεί τους μηχανικούς και ειδικούς της Sophos για να κάνουν τα πάντα για εσάς. Σε όσους οργανισμούς δεν είναι ακόμη έτοιμη να προχωρήσουν σε άμεση εφαρμογή λύσεις SOC η Sophos δίνει την ασφαλιστική λύση

Sophos Incident Response Services Retainer .Η λύση Fortra VM (Vulnerability Management) είναι μία εξαιρετική πρόταση για τη διαχείριση ευπαθειών, βοηθώντας τους οργανισμούς να εντοπίζουν, να αξιολογούν και να αντιμετωπίζουν ευπάθειες στα συστήματα τους.. Σε  συνιασμό με τις λύσεις , προσομοίωσης απειλών μέσω των Core Impact και Cobalt Strike της Fortra σας δίνουν τη δυνατότητα να δώσετε  προτεραιότητα στις ευπάθειες και να κλείσετε κενά ασφαλείας πριν από τους αντιπάλους σας. Στον ίδιο άξονα κινούνται και οι λύσεις  λύση Invicti, για τον προσδιορισμό και τη διαχείριση ευπαθειών και κενών ασφαλείας στις εφαρμογές Web

Διαχείριση και αντιμετώπιση συμβάντων

Καθιέρωση διαδικασιών για την αντιμετώπιση περιστατικών, συμπεριλαμβανομένης της ανίχνευσης, διαχείρισης και ανάκαμψης από περιστατικά (περιλαμβάνεται η δημιουργία και η διαχείριση ενός σχεδίου επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφές​​). Το Sophos Intercept XΗ λύση sophos MDR είναι η ενδεδειγμένη λύση για οργανισμούς κάθε μεγέθους για την έγκαιρη αντιμετώπιση περιστατικών ασφαλείας). Όσον αφορά την δημιουργία αντιγράφων ασφαλείας και την αποκατάσταση, προτείνεται λύσεις όπως το  Datto SIRIS που συμβάλει στην επιχειρησιακή συνέχεια.

Ασφάλεια εφοδιαστικής αλυσίδας

Εξασφάλιση της ασφάλειας σε όλη την αλυσίδα προμηθειών, με πολιτικές για την ασφάλεια των σχέσεων με προμηθευτές και τη διαχείριση των ευπαθειών των συστημάτων που αποκτώνται, αναπτύσσονται ή διατηρούνται. Η εταιρεία Fortra  με τις λύσεις  (Data Classification) εξειδικεύεται στον κλάδο της διαβάθμισης δεδομένων και στην ασφαλή ανταλλαγή μηνυμάτων παρέχοντας παγκόσμιας εμβέλειας αναγνωρισμένες καινοτομίες, άριστες υπηρεσίες και τις καλύτερες στην κλάση τους τεχνολογίες, με την ενσωμάτωση τους σε ισχυρά οικοσυστήματα διακυβέρνησης και ασφάλειας δεδομένων.. Η λύση Privileged Remote Access της BeyondTrust εξασφαλίζει ασφαλή πρόσβαση προμηθευτών και συνεργατών στα κρίσιμα συστήματα του οργανισμού, προστατεύοντας από απειλές που προέρχονται από την εφοδιαστική αλυσίδα​.

Αξιολόγηση και εκπαίδευση κυβερνοασφάλειας

Δημιουργία πολιτικών και διαδικασιών για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων και τη διεξαγωγή τακτικής εκπαίδευσης των υπαλλήλων σε θέματα βασικής υγιεινής πληροφορικής και προληπτικών μέτρων​. Επιπλέον, η συμμόρφωση με την οδηγία NIS2 απαιτεί από τις διοικήσεις των εταιρειών να είναι πλήρως ενήμερες και υπεύθυνες για τα μέτρα κυβερνοασφάλειας που εφαρμόζονται, ενώ μπορεί να επιβάλλονται κυρώσεις για μη συμμόρφωση, συμπεριλαμβανομένων σημαντικών προστίμων​. Η Sophos προσφέρει λύσεις εκπαίδευσης για την προσομοίωση επιθέσεων phishing και την ευαισθητοποίηση και εκπαίδευση των υπαλλήλων σε θέματα κυβερνοασφάλειας με τη λύση Phish Threat. Η λύση Cobalt strike και  Outflank της Fortraπέρα από υπηρεσίες προσομοίωσης επιθέσεων προσφέρει και υπηρεσίες εκπαίδευσης ασφάλειας, ενισχύοντας την ετοιμότητα των οργανισμών να αντιμετωπίσουν πραγματικές απειλές. H εταιρεία Fortra επίσης προσφέρει τη λύση Security Awareness Training για την ευαισθητοποίηση του προσωπικού σε θέματα ασφάλειας αξιοποιώντας σενάρια phishing και κοινωνικής μηχανικής ενώ σημαντική είναι και το Core Security Identity Governance για τη διαχείριση της πρόσβασης και των ταυτοτήτων (ώστε μόνο εξουσιοδοτημένο προσωπικό να έχει πρόσβαση σε κρίσιμα συστήματα και δεδομένα).

Κρυπτογράφηση

Εφαρμογή κρυπτογραφίας και άλλων σχετικών μεθόδων προστασίας δεδομένων, όπου είναι απαραίτητο, για την προστασία των ευαίσθητων πληροφοριών​. Με τη λύση της, η SealPath μπορεί να προστατεύσει έγγραφα οπουδήποτε και αν βρίσκονται, ενώ επιτρέπει τον εύκολο και ασφαλή διαμοιρασμό τους. Έτσι, έχετε τον πλήρη έλεγχο των δικαιωμάτων των εγγράφων σας σε πραγματικό χρόνο, όπου και αν βρίσκονται, ακόμα και μετά τον διαμοιρασμό τους. Επίσης η λύση της Keeper επιτρέπει την κρυπτογράφηση κρισιμων πληροφοριών όπως συνθηματικά , τραπεζικοί λογαριασμοί και κρίσιμα αρχεία.

Αυθεντικοποίηση και ασφαλής πρόσβαση

Χρήση πολυπαραγοντικής αυθεντικοποίησης και λύσεων συνεχούς αυθεντικοποίησης για την προστασία των συστημάτων και των δεδομένων από μη εξουσιοδοτημένη πρόσβαση. Η προσέγγιση Zero Trust της Sophos περιλαμβάνει την αυστηρή επαλήθευση ταυτότητας για πρόσβαση σε δίκτυα και δεδομένα, διασφαλίζοντας ότι μόνο οι εξουσιοδοτημένοι χρήστες έχουν πρόσβαση στις απαραίτητες πληροφορίες. H λύση BeyondTrust Privileged Access Management (PAM) είναι επίσης ιδανική για τη διαχείριση και προστασία των προνομιούχων λογαριασμών και την πολυπαραγοντική αυθεντικοποίηση​. Η λύση Zero–Trust Authentication της Keeper εφαρμόζει επίσης την αρχή της μηδενικής εμπιστοσύνης, εξασφαλίζοντας συνεχή αυθεντικοποίηση και προστασία από μη εξουσιοδοτημένη πρόσβαση​. Για την διασφάλιση των διαπιστευτηρίων υπάρχει το προϊόν Keeper Password Manager με το Digital Vault που παρέχει στρατιωτικών προδιαγραφών κρυπτογράφηση για την προστασία των κωδικών πρόσβασης και των ευαίσθητων δεδομένων.

Εκθέσεις και αναφορές περιστατικών

Υποχρέωση αναφοράς σημαντικών περιστατικών ασφάλειας εντός 24 ωρών από την ανακάλυψή τους, με επιπλέον λεπτομέρειες να παρέχονται εντός 72 ωρών και μια τελική αναφορά εντός ενός μήνα​.

Τέτοιες αναφορές είναι αναπόσταστο μέρος των λύσεων Sophos MDR  ενώ και  τα εργαλεία Incident Reporting της Fortra παρέχουν όλα όσα χρειάζεστε για την καταγραφή και αναφορά περιστατικών κυβερνοασφάλειας, διασφαλίζοντας την συμμόρφωση με τις απαιτήσεις αναφοράς της Οδηγίας 2022/2555 (NIS2). Ορισμένα προϊόντα ακόμα που προσφέρουν δυνατότητες δημιουργίας αναφορών για περιστατικά ασφαλείας είναι το BeyondInsight της BeyondTrust, το Keeper Security Audit & Reporting, το Datto RMM κ.ά.

Η συμμόρφωση με την οδηγία NIS2 απαιτεί μια πολυεπίπεδη προσέγγιση στην κυβερνοασφάλεια. Τα εργαλεία που αναφέρθηκαν είναι κρίσιμα και καλύπτουν πλήρως τις απαιτήσεις της κοινοτικής Οδηγίας 2022/2555 (NIS2).