Η οδηγία NIS 2 (ΟΔΗΓΙΑ (ΕΕ) 2022/2555 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 και της οδηγίας (ΕΕ) 2018/1972 και την κατάργηση της οδηγίας (ΕΕ) 2016/1148) αποτελεί την εξέλιξη της αρχικής οδηγίας NIS σχετικά με την ασφάλεια δικτύων και συστημάτων πληροφοριών που παρέχει νομικά μέτρα για την ενίσχυση του συνολικού επιπέδου ασφάλειας στον κυβερνοχώρο στην Ευρωπαϊκή Ένωση (ΕΕ).
του Κων/νου Κουλούρη
Managing InfoSec Consultant / GRC Lead
Cyber Noesis
www.cybernoesis.com
Εισαγωγή
Σκοπός της NIS 2 είναι να ενθαρρύνει τους οργανισμούς να βελτιώσουν την ανθεκτικότητά τους και τις ικανότητες αντιμετώπισης συμβάντων. Πρόκειται για μια ευρεία οδηγία, η οποία εφαρμόζεται σε μεσαίες και μεγάλες οντότητες (μέσω δοκιμής ανώτατου ορίου μεγέθους) σε ένα ευρύ φάσμα βιομηχανιών που δραστηριοποιούνται στον δημόσιο και τον ιδιωτικό τομέα (μέσω τομεακής δοκιμής). Παρόμοια με το GDPR, το NIS 2 ισχύει όχι μόνο για οργανισμούς που είναι εγκατεστημένοι στην ΕΕ αλλά και για κάθε επιχείρηση που προσφέρει αγαθά και υπηρεσίες στην ΕΕ και πληροί το ανώτατο όριο μεγέθους και τις τομεακές δοκιμές.
Πρώτον, η οδηγία NIS 2 επιβάλλει στις επιχειρήσεις την υποχρέωση να υιοθετήσουν κατάλληλα τεχνικά, οργανωτικά και επιχειρησιακά μέτρα για την κατάλληλη διαχείριση των κινδύνων κυβερνοασφάλειας και των αντιδράσεών τους σε τυχόν περιστατικά κυβερνοασφάλειας.
Δεύτερον, η NIS 2 επικεντρώνεται στην εταιρική διακυβέρνηση, υποχρεώνοντας τα διοικητικά όργανα των επιχειρήσεων να εγκρίνουν μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας και να επιβλέπουν την εφαρμογή τους. Είναι ενδιαφέρον ότι τα μέλη αυτών των διοικητικών οργάνων ενδέχεται να ευθύνονται βάσει της NIS 2 για τη μη συμμόρφωση της επιχείρησής τους με τις απαιτήσεις της NIS 2.
Ο κίνδυνος προσωπικής ευθύνης θα πρέπει να ενθαρρύνει τα διοικητικά όργανα να εξετάζουν προσεκτικά τα πλαίσια / προγράμματα συμμόρφωσης των επιχειρήσεων τους με την ασφάλεια στον κυβερνοχώρο.
Τρεις γενικοί στόχοι της NIS 2
- Μείωση των ασυνεπειών όσον αφορά την ανθεκτικότητα σε ολόκληρη την εσωτερική αγορά
- Αύξηση του επιπέδου ανθεκτικότητας έναντι κυβερνοεπιθέσεων
- Βελτίωση του επιπέδου της κοινής επίγνωσης της κατάστασης και της συλλογικής ικανότητας προετοιμασίας και αντίδρασης
Από την NIS στην NIS 2 – Τροποποιήσεις & Αλλαγές
Η οδηγία NIS 2 περιλαμβάνει έξι (6) μείζονες αλλαγές για την αντιμετώπιση αυτών των προκλήσεων και την αντιμετώπιση του εξελισσόμενου τοπίου των απειλών στον κυβερνοχώρο που θέτει η ψηφιοποίηση, μεταξύ των οποίων:
- Ευρύτερο πεδίο εφαρμογής
- Ενισχυμένες απαιτήσεις ασφάλειας
- Ενισχυμένη συνεργασία σε επίπεδο ΕΕ
- Αυστηρότερα χρονοδιαγράμματα αναφοράς περιστατικών
- Υψηλότερες κυρώσεις και πρόστιμα για μη συμμόρφωση
- Εποπτεία και λογοδοσία του «διοικητικού οργάνου»
Ποιος πρέπει να συμμορφώνεται με την οδηγία NIS 2;
Σύμφωνα με το άρθρο 2 (Πεδίο εφαρμογής) της οδηγίας NIS 2, η NIS 2 εφαρμόζεται σε:
Δημόσιους ή ιδιωτικούς φορείς του τύπου που αναφέρεται στο παράρτημα Ι ή ΙΙ της οδηγίας, οι οποίοι χαρακτηρίζονται ως μεσαίες επιχειρήσεις ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις και οι οποίοι παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της Ευρωπαϊκής Ένωσης.
Ως μεσαία επιχείρηση ορίζεται η επιχείρηση η οποία απασχολεί λιγότερους από 50 εργαζομένους και της οποίας ο ετήσιος κύκλος εργασιών κυμαίνεται μεταξύ 10 και 50 εκατομμυρίων ευρώ και/ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 43 εκατομμύρια ευρώ.
Ο κατάλογος των τομέων / υποτομέων που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας NIS 2, παρουσιάζεται στον ακόλουθο πίνακα:
Απαιτήσεις ασφάλειας στον κυβερνοχώρο και διαχείρισης κινδύνων
Οι οντότητες που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας NIS 2 («ουσιώδεις και σημαντικές οντότητες») θα πρέπει να λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για την αποτελεσματική διαχείριση των κινδύνων για την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν οι εν λόγω οντότητες για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους, και για την πρόληψη ή την ελαχιστοποίηση των επιπτώσεων των συμβάντων στους αποδέκτες των υπηρεσιών τους και σε άλλες υπηρεσίες.
Τα εν λόγω μέτρα περιλαμβάνουν τουλάχιστον τα ακόλουθα:
- Πολιτικές και Διαδικασίες Ανάλυσης Κινδύνου,
- Πολιτικές και Διαδικασίες Ασφάλειας Πληροφοριακών Συστημάτων,
- Πολιτικές και Διαδικασίες Διαχείρισης Συμβάντων,
- Διαχείριση Επιχειρησιακής Συνέχειας (Business Continuity Management), συμπεριλαμβανομένης της Διαχείρισης Αντιγράφων Ασφαλείας, της Αποκατάστασης Καταστροφών και της Διαχείρισης Κρίσεων,
- Ασφάλεια της εφοδιαστικής αλυσίδας, συμπεριλαμβανομένων των πτυχών που σχετίζονται με την ασφάλεια και αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της,
- Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριών, συμπεριλαμβανομένου του χειρισμού και της αποκάλυψης ευπαθειών,
- Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας,
- Βασικές πρακτικές υγιεινής στον κυβερνοχώρο και εκπαίδευση στον κυβερνοχώρο,
- Πολιτικές και Διαδικασίες σχετικά με τη χρήση της Κρυπτογραφίας,
- Ασφάλεια Ανθρώπινου Δυναμικού,
- Πολιτικές ελέγχου πρόσβασης,
- Διαχείριση Περιουσιακών Στοιχείων,
- Χρήση λύσεων ελέγχου ταυτότητας πολλαπλών παραγόντων ή συνεχούς ελέγχου ταυτότητας, ασφαλών επικοινωνιών φωνής, βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.
Χρονοδιάγραμμα
Οδικός χάρτης συμμόρφωσης οδηγίας NIS 2
Υπηρεσίες συμμόρφωσης της Cyber Noesis
Οι σύμβουλοι Cyber Noesis με βάση την εκτενή εμπειρία και τη βαθιά γνώση τους μπορούν να βοηθήσουν τους οργανισμούς να επιτύχουν και να διατηρήσουν τη συμμόρφωση με την οδηγία NIS 2 με ρεαλιστικές και οικονομικά αποδοτικές μεθόδους.
Η Cyber Noesis έχει αναπτύξει μια αποδεδειγμένη μεθοδολογία για την επίτευξη συμμόρφωσης με την οδηγία NIS 2, η οποία αποτελείται από τα ακόλουθα βήματα:
