Σε μια χώρα όπου η χαλαρότητα και η μη σοβαρότητα είναι σχεδόν εθνικό έθιμο, δεν αποτελεί έκπληξη αν η Ελλάδα καθυστερεί στην εφαρμογή του NIS 2. Όπως συνήθως, δημόσιοι και ιδιωτικοί φορείς περιμένουν την τελευταία στιγμή για να κινηθούν, ακόμα και όταν πρόκειται για θέματα κρίσιμης σημασίας όπως η κυβερνοασφάλεια.

Ο NIS 2 (Directive (EU) 2022/2555) είναι η αναθεώρηση της Οδηγίας για την ασφάλεια των δικτύων και των πληροφοριών (“Network and Information Security” Directive) που θεσπίστηκε από την Ευρωπαϊκή Ένωση. Η ανάγκη για τον NIS 2 προκύπτει από την αυξανόμενη σημασία της ψηφιακής ασφάλειας, καθώς οι κρίσιμες υποδομές και οι ψηφιακές υπηρεσίες έχουν γίνει θεμελιώδεις για την οικονομία και την κοινωνία.

Η νέα αυτή οδηγία εισάγει αυστηρότερα μέτρα και υποχρεώσεις για τα κράτη μέλη, τις επιχειρήσεις και τους δημόσιους φορείς, με στόχο τη βελτίωση της κυβερνοασφάλειας σε ολόκληρη την Ευρώπη. Η Οδηγία αυτή απαιτεί από τα κράτη μέλη να την έχουν ενσωματώσει στο εθνικό τους δίκαιο έως τις 17 Οκτωβρίου 2024. Αυτό σημαίνει, σήμερα 27 Οκτωβρίου 2024, ότι η Ελληνική κυβέρνηση έχει υπερβεί το περιθώριο να υιοθετήσει τα απαραίτητα μέτρα για τη συμμόρφωση και την εφαρμογή των διατάξεών της.

Οι οργανισμοί που επηρεάζονται από τον NIS 2 είναι κυρίως αυτοί που παρέχουν κρίσιμες υπηρεσίες ή είναι στρατηγικής σημασίας για τη λειτουργία της κοινωνίας και της οικονομίας. Δημόσιες ή ιδιωτικές επιχειρήσεις, μεσαίες και μεγάλες εταιρείες σε κρίσιμους τομείς θα πρέπει να συμμορφωθούν με τις απαιτήσεις του NIS 2.

Κρίσιμοι τομείς χαρακτηρίζονται οι επιχειρήσεις υγείας, ενέργειας, μεταφορών, υποδομών, νερού, χρηματοοικονομικών αγορών και ψηφιακές υποδομές. Επιπλέον όσες επιχειρήσεις σχετίζονται με τις ταχυδρομικές υπηρεσίες, την παρασκευή, παραγωγή και διανομή χημικών προϊόντων, μεταποίησης και διανομής τροφίμων, προϊόντων υπολογιστών, ηλεκτρονικών και οπτικών προϊόντων και οι ψηφιακοί πάροχοι διαδικτυακών αγορών, διαδικτυακών μηχανών αναζήτησης, πλατφόρμες υπηρεσιών κοινωνικής δικτύωσης και οργανισμοί έρευνας ανήκουν στην κατηγορία των κρίσιμων εταιρειών προς συμμόρφωση. Στη νέα νομοθεσία εντάσσονται επιχειρήσεις από τους παραπάνω τομείς με 50 και πλέον υπαλλήλους και ετήσιο κύκλο εργασιών από 10 έως 50 εκατομμυρίων ευρώ (μικρομεσαίες επιχειρήσεις). Ωστόσο, είναι πιθανή η ένταξη κι άλλων, μικρότερων επιχειρήσεων, εφόσον η συμβολή τους στην αλυσίδα αξίας μιας κρίσιμης οντότητας θεωρηθεί σημαντική.

Στον δημόσιο τομέα, οι οργανισμοί που υπόκεινται στον NIS 2 περιλαμβάνουν τους Οργανισμούς Τοπικής Αυτοδιοίκησης (ΟΤΑ), δηλαδή όλες τις Περιφέρειες και όλους τους Δήμους, καθώς και Υπουργεία, Δημόσιες επιχειρήσεις και εποπτικούς φορείς, όπως οι ρυθμιστικές Αρχές.

Η ακριβής καταμέτρηση των οργανισμών που θα επηρεαστούν είναι δύσκολη, αλλά υπολογίζεται ότι πολλές χιλιάδες, από 2.000 έως και 10.000, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, θα χρειαστεί να τηρήσουν τις νέες απαιτήσεις.

Προφανώς η κατάσταση στην Ελλάδα σχετικά με την εφαρμογή του NIS 2 είναι προβληματική. Υπάρχει μια σημαντική έλλειψη έμπειρου προσωπικού στον τομέα της κυβερνοασφάλειας, γεγονός που καθιστά δύσκολη την υλοποίηση των απαιτούμενων μέτρων. Επιπλέον, η έλλειψη πολιτικής βούλησης από ορισμένους οργανισμούς, ενώ η γενικευμένη άγνοια σχετικά με την κρισιμότητα της κυβερνοασφάλειας συμβάλλουν στην καθυστέρηση της εφαρμογής του NIS 2. Πολλοί οργανισμοί δεν έχουν κατανοήσει πλήρως τους κινδύνους που ενέχει η μη συμμόρφωση και δεν διαθέτουν την κατάλληλη κουλτούρα για να προσαρμοστούν στις νέες απαιτήσεις.

Σε περίπτωση μη συμμόρφωσης με τον NIS 2, οι οργανισμοί ενδέχεται να αντιμετωπίσουν αυστηρά πρόστιμα, που μπορεί να φτάσουν έως το 2% του ετήσιου κύκλου εργασιών τους ή 10 εκατομμύρια ευρώ, ανάλογα με το ποιο από τα δύο είναι υψηλότερο. Οι συνέπειες δεν περιορίζονται μόνο στα οικονομικά πρόστιμα. Η απουσία των απαραίτητων μέτρων ασφαλείας μπορεί να οδηγήσει σε αυξημένο κίνδυνο κυβερνοεπιθέσεων, που μπορούν να προκαλέσουν σοβαρές οικονομικές και λειτουργικές ζημίες. Η απώλεια δεδομένων ή η παραβίαση των προσωπικών πληροφοριών μπορεί επίσης να επηρεάσει την εμπιστοσύνη των πελατών και να βλάψει τη φήμη των οργανισμών. Επιπλέον, οι νομικές ευθύνες μπορούν να προκύψουν από μηνύσεις πελατών ή συνεργατών που θίγονται από την παραβίαση των δεδομένων τους.

Συνολικά, η εφαρμογή του NIS 2 είναι καθοριστική για την ενίσχυση της κυβερνοασφάλειας και την προστασία των κρίσιμων υποδομών στην Ελλάδα. Η συμμόρφωση με τις απαιτήσεις του μπορεί να συμβάλει στην θωράκιση των οργανισμών απέναντι στις κυβερνοαπειλές και στη διασφάλιση της ομαλής λειτουργίας των υπηρεσιών που παρέχουν. Ωστόσο, απαιτείται σοβαρότητα και επιτάχυνση της εφαρμογής του νομικού πλαισίου, και όχι η προσέγγιση του “πάμε και όπου βγει”, η οποία έχει αποδειχθεί μοιραία.