NIS (ΟΔΗΓΙΑ (EE) 2016/1148): Ανάλυση, Κύρια Σημεία, και σχέση με Πρότυπα Διαχείρισης ISO 27001 & ISO 22301

 Στέφανος Σπανός

Director & CTO – ISONIKE Ltd

www.isonike.com

Η Οδηγία NIS : Ιστορικό και Περιεχόμενο

Με τον Ν. 4577/2018, ενσωματώνεται στην ελληνική νομοθεσία η ΟΔΗΓΙΑ (EE) 2016/1148 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ  ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 6ης Ιουλίου 2016 σχετικά με  μέτρα για  υψηλό κοινό  επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ευρωπαϊκή  Ένωση – γνωστή ως ‘NIS  Directive ’ ή ‘NISD’.

Μη συμμόρφωση με την Οδηγία μπορεί να έχει ως συνέπεια την επιβολή προστίμων.

Κύριοι στόχοι της Οδηγίας αποτελούν

  • Διαχείριση της Διακινδύνευσης της Ασφάλειας (Managing Security Risk)
  • Προστασία από κυβερνο-επιθέσεις (Protecting against cyber attacks)
  • Εντοπισμός συμβάντων που σχετίζονται με τη κυβερνο-ασφάλεια (Detecting cyber security events)
  • Ελαχιστοποίηση της επίπτωσης από συμβάντα κυβερνο-ασφάλειας (Minimising the impact of cyber incidents)

Η οδηγία εφαρμόζεται άμεσα σε δυο είδη οργανισμών (με δραστηριότητες εντός της Ένωσης):

  • Σε Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών – OES (Operators of Essential Services)
  • Σε Παρόχους Ψηφιακών Υπηρεσιών DSP (Digital Service Providers)

Ως Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών  ορίζονται (σύμφωνα με το Παράρτημα ΙΙ της οδηγίας) οργανισμοί που δραστηριοποιούνται σε 7 τομείς δραστηριότητας: Ενέργεια (ηλεκτρική ενέργεια, Πετρέλαιο, Αέριο) Μεταφορές (αεροδρομικές, σιδηροδρομικές, πλωτές, οδικές), Τράπεζες, Υποδομές χρηματοπιστωτικών αγορών, Τομέα υγείας, Προμήθεια και διανομή πόσιμου νερού, και Ψηφιακής υποδομής.

Ως Πάροχοι Ψηφιακών Υπηρεσιών νοούνται υπό όρους (recitals 17,18,19) οι οργανισμοί που δραστηριοποιούνται στην παροχή υπηρεσιών Νεφοϋπολογιστικής (Cloud Computing), επιγραμμικών αγορών (Online Marketplaces) και Μηχανών Αναζήτησης (Search Engines). Επίσης η οδηγία εφαρμόζεται μόνο σε εκείνους τους φορείς δημόσιας διοίκησης οι οποίοι έχουν προσδιοριστεί ως φορείς εκμετάλλευσης βασικών  υπηρεσιών.

Σύμφωνα με τον τίτλο της, η οδηγία θεσπίζει μέτρα για την επίτευξη υψηλού κοινού επιπέδου ασφάλειας συστημάτων δικτύου και πληροφοριών εντός της Ένωσης, με σκοπό την καλύτερη λειτουργία της εσωτερικής αγοράς. Προβλέπει την επιβολή κοινών απαιτήσεων ασφάλειας και κοινοποίησης στους φορείς εκμετάλλευσης βασικών  υπηρεσιών  και στους παρόχους ψηφιακών  υπηρεσιών,  με σκοπό την προαγωγή νοοτροπίας διαχείρισης  κινδύνου και τη διασφάλιση  της κοινοποίησης των σοβαρότερων συμβάντων.

Κινούμενη στο ίδιο πνεύμα με το ΓΚΠΠΔ (GDPR), η οδηγία απαιτεί την λήψη και ενεργοποίηση κατάλληλων και ανάλογων τεχνικών και οργανωτικών μέσων στα συστήματα δικτύων και πληροφοριών καθώς και την κοινοποίησή συμβάντων του στις Αρμόδιες Αρχές ή Ομάδες Απόκρισης για Συμβάντα που αφορούν την Ασφάλεια Υπολογιστών CSIRT (Computer Security Incident Response Teams).

Ειδικότερα, σύμφωνα με τα άρθρα 14 και 16 οι οι Φορείς εκμετάλλευσης Βασικών Υπηρεσιών (OES) και οι Πάροχοι Ψηφιακών Υποδομών (DSP) θα πρέπει να :

  • λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά  μέτρα για τη διαχείριση  των κινδύνων  όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν στις δραστηριότητές τους. Λαμβάνοντας υπόψη τις πλέον πρόσφατες τεχνικές δυνατότητες, τα μέτρα αυτά θα πρέπει να διασφαλίζουν επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο.(Αρθρο 14.1 & Αρθρο 16.1. αντίστοιχα )

Σημείωση: Η ασφάλεια των συστημάτων δικτύου και πληροφοριών περιλαμβάνει την ασφάλεια των δεδομένων που αποθηκεύονται, μεταδίδονται και υφίστανται επεξεργασία.

  • λαμβάνουν κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια ων συστημάτων δικτύου και πληροφοριών που χρησιμοποιούνται για την παροχή αυτών των βασικών υπηρεσιών,  με σκοπό τη διασφάλιση της συνέχειάς τους. (Άρθρο 14.2 & Άρθρο 16.2. αντίστοιχα)
  • κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην αρμόδια αρχή ή στην CSIRT συμβάντα με σοβαρό αντίκτυπο στη συνέχεια  των βασικών υπηρεσιών που παρέχουν.  Οι κοινοποιήσεις  περιλαμβάνουν  πληροφορίες  που επιτρέπουν  στην αρμόδια αρχή ή την CSIRT  να προσδιορίσει τυχόν διασυνοριακό αντίτυπο του συμβάντος. Η κοινοποίηση δεν συνεπάγεται αυξημένη ευθύνη για τον κοινοποιούντα. (Άρθρο 14.3 & Άρθρο 16.3. αντίστοιχα)

 Η Σχέση της Οδηγίας NIS με τα ISO 27001:2013, ISO 22301:2019, ISO 31000:2018 και ISO 27035:2016

Με βάση τα ανωτέρω, ένας από τους βασικότερους πυλώνες στον οποίο στηρίζεται η εφαρμογή της Οδηγίας NIS είναι ένα Σύστημα Διοίκησης το οποίο να έχει ως κύρια συστατικά του τη Διαχείριση της Διακινδύνευσης (Risk Management), και τη Διαχείριση Συμβάντων (Incident Management).

H Διαχείριση της Διακινδύνευσης (Risk Management), βασίζεται με τη σειρά της στην Αξιολόγηση της Διακινδύνευσης (Risk Assessment). Αυτό προϋποθέτει χρήση μίας μεθοδολογίας (π.χ. ISO 31000:2018 ή ISO 27005:2018) για την αναγνώριση και ανάλυση της διακινδύνευσης (risk identification and risk analysis) καθώς και για την αποτίμηση της διακινδύνευσης (risk evaluation). Κατόπιν ο οργανισμός εφαρμόζει αυτό που η Οδηγία ακριβώς απαιτεί, δηλαδή τα κατάλληλα και αναλογικά τεχνικά και οργανωτικά  μέτρα για την Αντιμετώπιση της Διακινδύνευσης (Risk Treatment)

Η Διαχείρισης Συμβάντων (Incident Management) προωθεί και εφαρμόζει επίσης αυτό που ο Οδηγία απαιτεί, δηλαδή σύστημα για τον εντοπισμό, ανάλυση, διαχείριση συμβάντων και εφαρμογή των κατάλληλων μέτρων για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων (π.χ. ISO 27035) που επηρεάζουν την ασφάλεια  των συστημάτων δικτύου και πληροφοριών. Επίσης περιλαμβάνει ένα σύστημα αναφοράς των συμβάντων στα ενδιαφερόμενα μέρη – άρα και στην αρμόδια αρχή ή στην CSIRT

Πέραν της προβλεπόμενης εφαρμογής των κατάλληλων και αναλογικών τεχνικών και οργανωτικών  μέτρων για την ασφάλειας πληροφοριών – άρα και σε άμεση σχέση με το ISO 27001, η Οδηγία NIS προβλέπει (άρθρο 16.1.γ.) την επιχειρησιακή συνέχεια μέσα από την εφαρμογή κατάλληλων μέτρων για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων που επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούνται για την παροχή των βασικών υπηρεσιών, με σκοπό τη διασφάλιση της συνέχειάς τους – άρα σε άμεση σχέση με το ISO 22301.

Όπως γίνεται αντιληπτό, το πλαίσιο του Συστήματος Διαχείρισης που προσφέρουν τα πρότυπα ISO 27001:2013 για την Ασφάλεια Πληροφοριών και το ISO 22301:2019 για την Επιχειρησιακή Συνέχεια  είναι πλήρως συμβατά και με τους ίδιους στόχους με την Οδηγία NIS. Αποτελούν δε τα μόνα σχετικά με τη NIS πρότυπα συστημάτων διαχείρισης που μπορούν να πιστοποιηθούν κάτω από διαπιστευμένα σχήματα πιστοποίησης.

Τα δυο κυριότερα (αν όχι μοναδικά ) έγγραφα που έχουν επισήμως εκδοθεί και παρέχουν οδηγίες εφαρμογής της Οδηγίας NIS είναι τα κάτωθι:

  • Οδηγός Εφαρμογής της Επιτροπής για την Οδηγία 2016/1148 σύμφωνα με την επίσημη εφημερίδα της ΕΕ ημερομηνίας 31/1/2018. Ο οδηγός περιλαμβάνει μέτρα τα οποία είναι στη πλειοψηφία τους παραπλήσιοι με του ISO 27001 και του ISO
  • Τεχνικές κατευθυντήριες γραμμές για την εφαρμογή ελάχιστων μέτρων ασφάλειας για τους Παρόχους Ψηφιακών Υπηρεσιών (DSP) του ENISA. Οι κατευθυντήριες γραμμές αυτές περιλαμβάνουν 27 στόχους ασφαλείας που η μεγάλη πλειοψηφία τους είναι επίσης παραπλήσιοι με του ISO 27001 και του ISO

Αξίζει να σημειωθεί, ότι η συνεκτίμηση για τη συμμόρφωση με τα διεθνή πρότυπα εντάσσεται πλέον στο κείμενο της Οδηγίας. (π.χ. Αθρο 16.1.ε.). Παράγραφοι όπως η παράγραφος 50 του προοιμίου (recital) αναφέρει ότι «Οι φορείς εκμετάλλευσης βασικών υπηρεσιών και οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να εγγυώνται την ασφάλεια των συστημάτων  δικτύου και πληροφοριών  που χρησιμοποιούν».

Δεν υπάρχει αμφιβολία ότι η υλοποίηση Συστημάτων Διαχείρισης σύμφωνα με τις απαιτήσεις των διεθνών προτύπων ISO 27001:2013 και ISO 22301:2019 είναι ένα πολύ χρήσιμο και αποτελεσματικό εργαλείο το οποίο πέραν των υπολοίπων πλεονεκτημάτων βοηθάει σε μεγάλο βαθμό στη κάλυψη των απαιτήσεων της Οδηγίας NIS. H πιστοποίηση (από διαπιστευμένους Φορείς) των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (OES) και Παρόχων Ψηφιακών Υπηρεσιών (DSP) (αλλά και των κρισίμων προμηθευτών τους) κατά ISO 27001:2013 και ISO 22301:2019 αυξάνει τον βαθμό εμπιστοσύνης ως προς την συμμόρφωση με την Οδηγίας NIS και αποτελεί σημαντική απόδειξη συνέπειας και ευθηνής.