Εν αναμονή της Ελληνικής θεσμοθέτησης σύμφωνα με την οδηγία NIS2 θα επιχειρήσουμε να αναφέρουμε όσο το δυνατόν πιο απλά, αλλά σε καμία περίπτωση απλοϊκά, τα καίρια σημεία της οδηγίας ώστε να αναδείξουμε την επιχειρηματική, ακόμη και εμπορική διάστασή της.

Κυριακή Αναστασοπούλου
Solution Architect
Algosystems S.A.
www.algosystems.gr

 

 

 

Ενδεχομένως λόγω του περιορισμένου εύρους των εμπλεκόμενων φορέων στην αρχική οδηγία NIS ή λόγω πιθανής εκτίμησης, ότι τα σχετικά μέτρα δεν είναι επαρκή, είτε ακόμη λόγω της αναμφισβήτητης διαρκούς αλλαγής του τοπίου των κυβερνοεπιθέσεων ή το πιο πιθανό για όλους τους παραπάνω λόγους η Ευρωπαϊκή Ένωση προχώρησε στην οδηγία NIS2 με άμεσο στόχο τη δημιουργία ενός υψηλού ΚΟΙΝΟΥ επιπέδου ασφάλειας στον κυβερνοχώρο σε ολόκληρη την Ευρωπαϊκή Ένωση. Ταυτόχρονα αναγνωρίζοντας τις ιδιαιτερότητες κάθε κράτους-μέλους αφήνει σε αυτά τις αποφάσεις των Εθνικών νομοθετήσεων δείχνοντας την απαιτούμενη κατεύθυνση.

Με απλά λόγια η μετάβαση από την οδηγία NIS στην NIS2 πραγματοποιείται:

  • Με επαυξημένο εύρος εφαρμογής σε οργανισμούς δημιουργώντας καταλόγους βασικών (κρίσιμων) κλάδων/οργανισμών και συμπεριλαμβάνοντας ευρύτερα και παρόχους ψηφιακών υπηρεσιών, ψηφιακών αγορών, κ.τ.λ.
  • Με αυξημένη συνεργασία μέσα στην Ευρωπαϊκή Ένωση
  • Με τη δημιουργία Cyber Crisis Management Structure (CyCLONe), που έχει στόχο να υποστηρίξει τη διαχείριση κυβερνοεπιθέσεων σε μεγάλη κλίμακα
  • Με την ένταξη της ασφάλειας της εφοδιαστικής αλυσίδας στα κρίσιμα μέτρα προστασίας
  • Με επαυξημένες απαιτήσεις ασφάλειας και διαχείρισης ρίσκου
  • Με πιο αυστηρές & λεπτομερείς απαιτήσεις στις ενημερώσεις των σχετικών απαντήσεων σε περιστατικά (Incident Response Reporting)
  • Με επαυξημένα πρόστιμα
  • Με θέσπιση της επίβλεψης και της υπευθυνότητας άμεσα από τη διοίκηση

 

Απαιτήσεις Συνεργασίας 

Εκτός από το πεδίο εφαρμογής σε οργανισμούς/ιδιωτικές επιχειρήσεις ένα μεγάλο μέρος της οδηγίας έχει στόχο την προσαρμογή των κρατών-μελών σε εθνικό επίπεδο στη νέα πραγματικότητα, στη συμμόρφωση των εθνικών οργανισμών και της κεντρικής κυβέρνησης, καθώς και στον ορισμό, οργάνωση και λειτουργία Εθνικών Ομάδων αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRTS – Computer Security Incident Response Teams), που θα συμμετέχουν σε ομάδες συνεργασίας σε Ευρωπαϊκό επίπεδο.

Ο βασικός αυτός πυλώνας της οδηγίας αναγνωρίζει την αναγκαιότητα της συνεργασίας ανάμεσα στους φορείς καθώς και της διαρκούς προσπάθειας για βελτίωση της θέσης ασφάλειας (security posture) ενός οργανισμού/επιχείρησης. Η ανάλυση της οδηγίας μας καθοδηγεί να αναγνωρίσουμε, ότι κανένας οργανισμός δε δραστηριοποιείται σε απομονωμένο περιβάλλον. Το επιχειρηματικό οικοσύστημα περιλαμβάνει τους προμηθευτές και συνεργάτες μας και η επιλογή/αξιολόγησή τους δε βασίζεται μόνο σε οικονομικά κριτήρια, αλλά στον επαγγελματισμό και σοβαρότητα, που τους καθορίζουν σε όλο τον κύκλο λειτουργία τους, όπως και στα κριτήρια βιωσιμότητας. Για το λόγο αυτό εισάγει την ασφάλεια της εφοδιαστικής αλυσίδας στις ελάχιστες απαιτήσεις για την ασφάλεια του οργανισμού.

Η απαίτηση για εκπαίδευση του προσωπικού σε θέματα κυβερνοασφάλειας είναι άλλη μία απόδειξη, ότι η οδηγία λαμβάνει υπόψη της το επιχειρηματικό περιβάλλον των οργανισμών ολιστικά. Ποιος θα ήταν πιο κατάλληλος να παρατηρήσει πιθανά προβλήματα και να προστατέψει τον οργανισμό από το ίδιο το προσωπικό; Η στοχευμένη και επαναλαμβανόμενη εκπαίδευση των εργαζομένων έχει στόχο να αποτελέσει ασπίδα στις κυβερνοεπιθέσεις, που εκμεταλλεύονται την άγνοια του ανθρώπινου παράγοντα.

Οι τεχνολογικές λύσεις ασφάλειας έρχονται να θωρακίσουν τις εταιρείες έναντι επιθέσεων, αλλά και να τους δώσουν τη δυνατότητα για γρήγορη και ολοκληρωμένη ανάκαμψη των λειτουργιών τους μετά από πιθανό περιστατικό. Για το λόγο αυτό τα τεχνολογικά συστήματα έρχονται να συμπληρωθούν από τη συνεχή εποπτεία τους και την έγκαιρη ανίχνευση προβλημάτων ώστε να αντιμετωπίζονται αποτελεσματικά ενδεχόμενα περιστατικά.

Τέλος η διαμόρφωση των υπαρχόντων διαδικασιών και η εισαγωγή νέων διαδικασιών με στόχο την εκτίμηση της αποτελεσματικότητας των τεχνολογικών λύσεων & υπηρεσιών καθώς και η διαχείριση του ρίσκου συμπεριλαμβάνονται στη συμμόρφωση των οργανισμών και αποτελούν βασική ευθύνη της διοίκησης. Η διοίκηση/ανώτερα στελέχη έχουν και την τελική ευθύνη για τη διαχείριση κινδύνων στον κυβερνοχώρο στους οργανισμούς. Η μη συμμόρφωση της διοίκησης με τις απαιτήσεις NIS2 θα μπορούσε να έχει σοβαρές συνέπειες, όπως ευθύνη, προσωρινές απαγορεύσεις και διοικητικά πρόστιμα, όπως θα προβλεφθεί στην εθνική νομοθεσία εφαρμογής.

Η κατανόηση της οδηγίας NIS2 και η εφαρμογή της στο δικό μας οργανισμό απαιτεί χρόνο, αλλά και προσαρμογή στο ξεχωριστό περιβάλλον, που δραστηριοποιούμαστε. Δεν υπάρχουν έτοιμες συνταγές, που ταιριάζουν σε όλους.

Προσέγγιση Συμμόρφωσης με εμπειρία και προσαρμογή

Η Algosystems για το λόγο αυτό προτείνει τον έλεγχο του οργανισμού σε σχέση με τις απαιτήσεις της οδηγίας (gap analysis) προκειμένου να αναδειχθούν τα κρίσιμα σημεία, που χρειάζονται βελτίωση ή πλήρη ανάπτυξη τόσο σε επίπεδο πολιτικών & διεργασιών όσο και σε υπηρεσίες ελέγχου ή τεχνολογικών συστημάτων.

Η έκταση του ελέγχου εξαρτάται από το είδος της εταιρείας και το μέγεθός της ώστε να καθορισθεί, αν ανήκει στην κατηγορία των κρίσιμων ή σημαντικών οργανισμών και προσαρμόζεται ανάλογα και με την πιθανή υιοθέτηση σχετικών προτύπων, όπως ISO 27001 ή/και ISO 22301. Επίσης η εμπειρία της Algosystems από τη λειτουργία Security Operations Center (SOC) και την αντιμετώπιση περιστατικών (Incident Response) κυβερνοεπιθέσεων μπορεί να βοηθήσει τους οργανισμούς στην αξιολόγηση και συμμόρφωση σύμφωνα με την οδηγία NIS2.

Η ενίσχυση της ψηφιακής ασφάλειας θα προσφέρει ανάπτυξη στις επιχειρήσεις και οργανισμούς μέσα στο ευρύτερο περιβάλλον της ψηφιακής οικονομίας στην Ευρώπη και συνεπώς αποτελεί δικό τους κέρδος η ευθύνη αυτή.

Σίγουρα, η προσέγγιση της οδηγίας NIS2 εδραιώνει την ασφάλεια ως στρατηγικό πλεονέκτημα ενός οργανισμού και συνεπώς οι επιχειρήσεις θα πρέπει να επενδύσουν σε αυτό ώστε να μη δώσουν την αφορμή στους πελάτες τους να αμφιβάλλουν ή και να χάσουν την εμπιστοσύνη στον επαγγελματισμό και τη φερεγγυότητά τους. Το κόστος συμμόρφωσης θα πρέπει σε κάθε περίπτωση να αντιστοιχεί στη λειτουργία του οργανισμού και η Algoystems διαθέτει την εμπειρία στην προσαρμογή των υπηρεσιών και προϊόντων σε σχετική αναλογία.

Είναι όντως ένα μεγάλο ταξίδι, αλλά δεν είσαι μόνος…