Πώς μπορεί να συμβάλλει η TÜV AUSTRIA στη συμμόρφωση με την οδηγία NIS2, τον Νόμο 5160/2024 και την ΚΥΑ 1689/2025;

Η Οδηγία NIS2 (EU Directive 2022/2555) αποτελεί τη νέα θεμελιώδη ευρωπαϊκή ρύθμιση στον τομέα της κυβερνοασφάλειας, αντικαθιστώντας την αρχική Οδηγία NIS (2016/1148/ΕΕ). Στόχος της είναι η ενίσχυση της ανθεκτικότητας κρίσιμων και σημαντικών φορέων απέναντι σε απειλές κυβερνοασφάλειας, μέσα από αυστηρότερες απαιτήσεις διακυβέρνησης, διαχείρισης κινδύνου, και κοινοποίησης περιστατικών.

Θανάσης Μητσάκος
Head of Information Systems Inspection Division
TÜV AUSTRIA Hellas
www.tuvaustriahellas.gr

Οι νέες απαιτήσεις της NIS2

Η οδηγία NIS2 διευρύνει το πεδίο εφαρμογής της, προσθέτοντας νέους τομείς με βάση τον βαθμό ψηφιοποίησης και διασύνδεσής τους και τη σημασία τους για την οικονομία και την κοινωνία, επιβάλλοντας νέες υποχρεώσεις εστιάζοντας σε 3 βασικούς άξονες:

1. Υποχρεώσεις κρατών μελών (π.χ. εθνικές αρχές και στρατηγικές κυβερνοασφάλειας, πλαίσιο για τη διαχείριση κρίσεων για συμβάντα κυβερνοεπιθέσεων).
2. Διαχείριση κινδύνων (π.χ. οι οργανισμοί που υπόκεινται στο NIS2 οφείλουν να λαμβάνουν μέτρα ασφαλείας και να κοινοποιούν περιστατικά εντός συγκεκριμένου χρονικού πλαισίου).

• Συνεργασία και ανταλλαγή πληροφοριών (π.χ. δημιουργία δικτύου ανταπόκρισης σε περιστατικά κυβερνοεπιθέσεων CSIRT – Computer Security Incident Response Teams, CyCLONe – δημιουργία δομής διαχείρισης κυβερνοκρίσεων Cyber Crisis Liaison Organizations Network, έκθεση του ENISA για την κυβερνοασφάλεια).

Οι βασικές αλλαγές της οδηγίας NIS2, σε σχέση με την οδηγία NIS, μπορούν να συνοψιστούν στα εξής:

• Περιλαμβάνει περισσότερους και νέους τομείς εφαρμογής.
• Περιλαμβάνει περισσότερες οντότητες.
• Καθορίζει νέες προθεσμίες κοινοποίησης περιστατικών.
• Δημιουργεί πρόσθετες απαιτήσεις και υποχρεώσεις.

Η οδηγία NIS2 θα εφαρμοστεί σε ένα ευρύτερο και εκτενέστερο σύνολο οντοτήτων, σε σχέση με αυτούς της οδηγίας NIS. Η οδηγία NIS2 περιλαμβάνει:

Τομείς υψηλής κρισιμότητας: Υγεία – Ενέργεια – Μεταφορές – Πόσιμο νερό – Ψηφιακές υποδομές – Λύματα –  Διάστημα – Δημόσια διοίκηση – Διαχειριζόμενες υπηρεσίες ICT –  Τράπεζες – Υποδομές χρηματοπιστωτικών αγορών.

Άλλοι κρίσιμοι τομείς: Ψηφιακοί πάροχοι  – Έρευνα – Παραγωγή, μεταποίηση και διανομή τροφίμων –  Ταχυδρομικές υπηρεσίες και ταχυμεταφορές – Διαχείριση αποβλήτων – Παρασκευή, παραγωγή και διανομή χημικών προϊόντων – Κατασκευαστικός τομέας

Οι οργανισμοί που εμπίπτουν στο πεδίο εφαρμογής του NIS2 καθορίζονται με κριτήρια κατηγοριοποίησης των οντοτήτων βάση μεγέθους και τομέα δραστηριοποίησης της οντότητας (π.χ. αριθμό εργαζομένων, ετήσιες πωλήσεις, ετήσιο απολογισμό).

H εξειδίκευση των μέτρων στην Ελληνική νομοθεσία

Στην Ελλάδα, η ενσωμάτωση της NIS2 στην εθνική νομοθεσία έγινε με τον Νόμο 5160/2024, ενώ η ΚΥΑ 1689/2025 εξειδικεύει τα τεχνικά και οργανωτικά μέτρα που απαιτούνται και αποτελεί το βασικό εργαλείο εφαρμογής της οδηγίας στην πράξη. Εκδόθηκε από τα συναρμόδια Υπουργεία Ψηφιακής Διακυβέρνησης και Εσωτερικών, σε συνεργασία με την Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ). Αποτελεί το εκτελεστικό πλαίσιο της Οδηγίας NIS2 στην Ελλάδα και περιλαμβάνει, μεταξύ άλλων:

Ελάχιστα Τεχνικά και Οργανωτικά Μέτρα Ασφάλειας: Διακυβέρνηση και ηγεσία ασφάλειας – Διαχείριση κινδύνων – Έλεγχος προσβασιμότητας – Κρυπτογράφηση και προστασία δεδομένων – Ενημερώσεις και διαχείριση ευπαθειών – Επιτήρηση συστημάτων – Διαχείριση περιστατικών – Ασφάλεια προμηθευτών και εφοδιαστικής αλυσίδας – Εκπαίδευση προσωπικού – Ασφάλεια ανάπτυξης και λογισμικού – Αποκατάσταση λειτουργιών και business continuity

Ειδικότερα η ΚΥΑ 1689/2025 αναφέρει:

• Στο Άρθρο 5 (Πλαίσιο διαχείρισης κινδύνων)

“ Οι βασικές και σημαντικές οντότητες εφαρμόζουν τα ακόλουθα:

β. Η οντότητα διενεργεί, σε περιοδική βάση και με αναλογικό τρόπο, εκτίμηση κινδύνων (risk assessment), εφαρμόζοντας διαδικασίες αναγνώρισης, ανάλυσης και αξιολόγησης των κινδύνων που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών της. Για την υλοποίηση των εν λόγω διαδικασιών, εφαρμόζονται μεθοδολογίες που βασίζονται σε διεθνή πρότυπα ή/και βέλτιστες πρακτικές.”

• Πώς μπορεί να βοηθήσει η TÜV AUSTRIA:

Παρέχουμε στους οργανισμούς, τη δυνατότητα ελέγχου και πιστοποίησης με τα διεθνή πρότυπα:

• ISO/IEC27001:2022, το διεθνές αναγνωρισμένο πρότυπο ασφάλειας πληροφοριών.
• ISO/IEC22301:2019, το διεθνές αναγνωρισμένο πρότυπο επιχειρησιακής συνέχειας.

Η πιστοποίηση με τα πρότυπα ISO/IEC27001:2022 και ISO/IEC22301:2019 συμβάλλει σημαντικά στη συμμόρφωση με την οδηγία NIS2, καθώς παρέχει ένα δομημένο πλαίσιο για τη διαχείριση κινδύνων ασφάλειας πληροφοριών, την ικανοποίηση απαιτήσεων επιχειρησιακής συνέχειας, την εφαρμογή τεχνικών και οργανωτικών μέτρων και την καθιέρωση διαδικασιών παρακολούθησης και βελτίωσης, τα οποία ευθυγραμμίζονται με πολλές από τις απαιτήσεις της NIS2.

• Στο Άρθρο 5 (Πλαίσιο διαχείρισης κινδύνων)

“ Οι βασικές και σημαντικές οντότητες εφαρμόζουν τα ακόλουθα:

2. Οι βασικές οντότητες, επιπλέον των μέτρων της παρ. 1, διενεργούν, σε περιοδική βάση και με αναλογικό τρόπο, εμπεριστατωμένες διαδικασίες εκτίμησης κινδύνων (risk assessment), λαμβάνοντας υπόψη πληροφορίες που αφορούν σε κυβερνοαπειλές (cyber threat intelligence) από αξιόπιστες και τεχνικά εξειδικευμένες πηγές, καθώς και τα αποτελέσματα πλήρους αξιολόγησης των ευπαθειών στα συστήματα δικτύου και πληροφοριών τους.”

• Πώς μπορεί να βοηθήσει η TÜV AUSTRIA:

Μέσω της TÜV AUSTRIA Trust IT, προσφέρουμε υπηρεσίες Security Operation Center (SOCaaS), με δυνατότητα 24ωρης παρακολούθησης των IT και OT υποδομών, με την βοήθεια ομάδας έμπειρων αναλυτών κυβερνοασφάλειας και cutting-edge technology στις υπηρεσίες SOC, εξασφαλίζει τον άμεσο εντοπισμό κυβερνοαπειλών (cyber threat intelligence) και την ταχεία αντιμετώπιση των κυβερνοεπιθέσεων, ανιχνεύοντας παράλληλα πιθανά κενά στα μέτρα ασφαλείας των οργανισμών.

• Στο Άρθρο 8 (Ανεξάρτητος έλεγχος ασφάλειας πληροφοριών)

“ Οι βασικές και σημαντικές οντότητες εφαρμόζουν τα ακόλουθα:

α. Η οντότητα υλοποιεί, σε περιοδική βάση, ανεξάρτητους ελέγχους (independent audits) του συνόλου των παραμέτρων του προγράμματος διαχείρισης ασφάλειας πληροφοριών της, συμπεριλαμβανομένων του προσωπικού, των πολιτικών, των διαδικασιών και των τεχνολογιών που χρησιμοποιεί. Οι ως άνω έλεγχοι δύνανται να διενεργούνται από εσωτερικούς ή εξωτερικούς ελεγκτές.

δ. Οι ανεξάρτητοι έλεγχοι διενεργούνται σε προγραμματισμένα χρονικά διαστήματα, καθώς και όταν λαμβάνουν χώρα σοβαρά περιστατικά κυβερνοασφάλειας ή σημαντικές αλλαγές στις λειτουργίες της οντότητας ή εφόσον έχει μεταβληθεί το τρέχον διεθνές περιβάλλον κυβερνοαπειλών.”

• Πώς μπορεί να βοηθήσει η TÜV AUSTRIA:

Παρέχουμε στους οργανισμούς, που εμπίπτουν στην εφαρμογή της οδηγίας και της νομοθεσίας, τη δυνατότητα να διενεργήσουν ένα ολοκληρωμένο NIS2 Gap Assessment, ώστε να αναγνωριστούν και να αποτυπωθούν τα κενά ή οι αποκλίσεις που υπάρχουν με βάση τις υπάρχουσες απαιτήσεις συμμόρφωσης.

• Άρθρο 17 (Διαχείριση και γνωστοποίηση ευπαθειών)

“Οι βασικές και σημαντικές οντότητες εφαρμόζουν τα ακόλουθα:

ε. Η οντότητα διενεργεί σε περιοδική βάση σαρώσεις ευπαθειών (vulnerability scanning) στα συστήματα δικτύου και πληροφοριών της μέσω αυτοματοποιημένων εργαλείων, τα αποτελέσματα των οποίων καταγράφονται σε αναλυτική αναφορά.”

• Πώς μπορεί να βοηθήσει η TÜV AUSTRIA:

Παρέχουμε τη δυνατότητα στους οργανισμούς να διενεργήσουν Vulnerability Assessment. Τα πλεονεκτήματα διενέργειας Vulnerability Assessment είναι:

• Έγκαιρη ανίχνευση αδυναμιών ασφαλείας
• Μείωση του κινδύνου παραβίασης δεδομένων από κυβερνοεπιθέσεις
• Ενίσχυση της ετοιμότητας αντιμετώπισης κακόβουλων επιθέσεων
• Υποστήριξη της συνεχούς βελτίωσης της ασφάλειας πληροφοριών
• Συμμόρφωση με το νομικό και ρυθμιστικό πλαίσιοΆρθρο 18 (Αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας)

“Οι βασικές και σημαντικές οντότητες εφαρμόζουν τα ακόλουθα:

α. Η οντότητα διενεργεί σε περιοδική βάση, τουλάχιστον μία φορά ετησίως ή κατόπιν σοβαρού περιστατικού κυβερνοασφάλειας, εσωτερικούς ελέγχους παρείσδυσης (internal penetration tests) στα συστήματα δικτύου και πληροφοριών της, με βάση το σχήμα ταξινόμησης των αγαθών και των δεδομένων.

β. Η οντότητα διενεργεί σε περιοδική βάση, τουλάχιστον μία φορά ετησίως ή κατόπιν σοβαρού περιστατικού κυβερνοασφάλειας, εξωτερικούς ελέγχους παρείσδυσης (external penetration tests) στα συστήματα δικτύου και πληροφοριών της.”

• Πώς μπορεί να βοηθήσει η TÜV AUSTRIA:

Παρέχουμε τη δυνατότητα στους οργανισμούς να διενεργήσουν Penetration Tests. Η TÜV AUSTRIA, με το έμπειρο και εξειδικευμένο προσωπικό της, διενεργεί Penetration Tests, βοηθώντας τους οργανισμούς να:

• Εντοπίσουν και να ιεραρχήσουν κενά και ευπάθειες ασφαλείας
• Ενισχύσουν την ασφάλεια πληροφοριών και συστημάτων δικτύου
• Επιτύχουν συμμόρφωση με ρυθμιστικές, κανονιστικές ή νομικές απαιτήσειςΣτο Άρθρο21 (Εκπαίδευση και ευαισθητοποίηση σε θέματα κυβερνοασφάλειας)

“ Οι βασικές και σημαντικές οντότητες εφαρμόζουν τα ακόλουθα:

α. Η οντότητα διενεργεί, σε περιοδική βάση, προγράμματα εκπαίδευσης και ευαισθητοποίησης για το σύνολο του προσωπικού, καθώς και μελών του κατά περίπτωση ανώτατου οργάνου διοίκησης, σε θέματα κυβερνοασφάλειας.”

• Πώς μπορεί να βοηθήσει η TÜV AUSTRIA:

Προσφέρουμε υπηρεσίες δια ζώσης Εκπαίδευσης ή Τηλεκπαίδευσης (Σύγχρονη & Ασύγχρονη) σε θέματα ασφάλειας πληροφοριών, προστασίας προσωπικών δεδομένων, επιχειρησιακής συνέχειας, βοηθώντας παράλληλα τους οργανισμούς να δημιουργήσουν εταιρική κουλτούρα συνεχούς μάθησης στη κυβερνοασφάλεια.

Η μη συμμόρφωση με τις διατάξεις του NIS2 και του Νόμου 5160/2024 συνεπάγεται αυστηρές διοικητικές και οικονομικές κυρώσεις (π.χ. υψηλά χρηματικά πρόστιμα, ανάκληση ή περιορισμό αδειών λειτουργίας), ανάλογα με τη σοβαρότητα και την επαναληψιμότητα των παραβάσεων από τους οργανισμούς.

Εν κατακλείδι, η TÜV AUSTRIA με τις ολιστικές υπηρεσίες που παρέχει, αποτελεί ουσιαστικό συνεργάτη σε όλους τους οργανισμούς και τις επιχειρήσεις που θέλουν να ενισχύσουν την ανθεκτικότητα τους στις απειλές του κυβερνοχώρου και να συμμορφωθούν με την οδηγία NIS2.

📞 Τηλέφωνο: +30 210 5220920
📧 Email: info@tuvaustriahellas.gr
🌐 Ιστοσελίδα: www.tuvaustriahellas.gr