Sima Security white logo
NIS2

Τι είναι η οδηγία NIS 2

Περιεχόμενα

Τι είναι η οδηγία NIS – Τι ίσχυε έως τώρα.

Η οδηγία για την Ασφάλεια των Συστημάτων Δικτύου και Πληροφοριών (ΕΕ) 2016/1148, γνωστή ως NIS, που εφαρμόστηκε το 2016, ήταν η πρώτη προσπάθεια της Ευρωπαϊκής Ένωσης για μία ενιαία προσέγγιση σχετικά με την κυβερνοασφάλεια. Στόχος της ήταν να επιτευχθεί ένα βασικό επίπεδο ασφάλειας σε επιχειρηματικούς τομείς ζωτικής σημασίας όπως ο τομέας της ενέργειας, των μεταφορών και των χρηματοοικονομικών. Η οδηγία NIS απαιτούσε από τα κράτη μέλη της Ευρωπαϊκής Ένωσης να εφαρμόσουν νόμους που υποχρέωναν τους υπεύθυνους να αναφέρουν περιστατικά ασφάλειας και να λαμβάνουν μέτρα για τη διαχείριση των κινδύνων στον κυβερνοχώρο.

Ωστόσο, η οδηγία NIS παρουσίασε εγγενείς αδυναμίες που την εμπόδιζαν να αντιμετωπίσει αποτελεσματικά τις τρέχουσες και τις αναδυόμενες προκλήσεις στον τομέα της κυβερνοασφάλειας. Επιπλέον, η εξουσία επιβολής ανήκε στο εθνικό δίκαιο του εκάστοτε κράτους μέλους, οδηγώντας σε ασυνέπειες στην εφαρμογή σε ολόκληρη την ΕΕ. Αυτές οι ελλείψεις άνοιξαν το δρόμο για την εισαγωγή μιας αυστηρότερης και πιο σύγχρονης Οδηγίας για την Ασφάλεια των Συστημάτων Δικτύου και Πληροφοριών (ΕΕ) 2022/2555, την οδηγία NIS 2, το 2022.

 

Τι είναι η οδηγία NIS 2 – Χρονικός ορίζοντας συμμόρφωσης.

Η οδηγία NIS 2 εγκρίθηκε τον Δεκέμβριο του 2022 από το Συμβούλιο της Ευρωπαϊκής Ένωσης και το Ευρωπαϊκό Κοινοβούλιο, ενώ τα κράτη μέλη της ΕΕ πρέπει να μεταφέρουν την οδηγία NIS 2 στο εθνικό τους δίκαιο έως τις 17 Οκτωβρίου 2024. Επιπλέον, έχουν προθεσμία έως τις 17 Απριλίου 2025 για να καθορίσουν τον κατάλογο των οργανισμών που υποχρεώνονται σε συμμόρφωση.

Η οδηγία NIS 2 ενισχύει σημαντικά τους κανονισμούς για την κυβερνοασφάλεια σε ολόκληρη την Ευρωπαϊκή Ένωση και εφαρμόζεται σε ένα ευρύτερο φάσμα επιχειρήσεων που δραστηριοποιούνται σε τομείς και υπηρεσίες ζωτικής σημασίας για βασικές κοινωνικές και οικονομικές δραστηριότητες όπως είναι εταιρείες διαχείρισης λυμάτων, ταχυδρομικές υπηρεσίες, κατασκευαστικές εταιρείες και παρόχους ψηφιακών υπηρεσιών.

Ο βασικός στόχος της οδηγίας είναι να θεσπίσει ένα κοινό κανονιστικό πλαίσιο επιβάλλοντας μέτρα για την κυβερνοασφάλεια, όπως πρακτικές διαχείρισης κινδύνου, υποχρεώσεις αναφοράς συμβάντων και αξιολογήσεις ασφάλειας της εφοδιαστικής αλυσίδας. Επιπλέον, στοχεύει στη βελτίωση της συνεργασίας των μελών της ΕΕ σε επίπεδο απειλών κυβερνοασφάλειας, καθώς θα υποχρεώνει τις αρμόδιες αρχές, τις αρχές διαχείρισης κρίσεων στον κυβερνοχώρο και τις ομάδες αντιμετώπισης περιστατικών ασφάλειας υπολογιστών (CSIRT) σε κάθε κράτος μέλος, να συνεργάζονται και να ανταλλάσσουν πληροφορίες.

 

Κατανόηση της συμμόρφωσης με την οδηγία NIS 2.

Η Οδηγία NIS 2 κατηγοριοποιεί τις εταιρείες που υποχρεούνται σε συμμόρφωση σε δύο ομάδες, με βάση το αντικείμενο δραστηριότητάς τους και το μέγεθός τους (αριθμό υπαλλήλων και κύκλο εργασιών): σε «Βασικές» οντότητες (υψηλής κρισιμότητας) και «Σημαντικές» οντότητες (απλής κρισιμότητας). (Δείτε αναλυτικά στον πίνακα.) Στις εταιρείες που υποχρεούνται σε συμμόρφωση περιλαμβάνονται και οι πάροχοι MSPs.

Βασικές Οντότητες
(υψηλής κρισιμότητας)
Σημαντικές Οντότητες
(απλής κρισιμότητας)
Τουλάχιστον 250 εργαζόμενοι (Μεγάλες εταιρείες)
Τουλάχιστον 50 εργαζόμενοι (Μεσαίες & Μεγάλες εταιρείες)
Ελάχιστος κύκλος εργασιών 50 εκατ. ευρώ ή ετήσιος ισολογισμός 43 εκατ. Ευρώ.
Ελάχιστος κύκλος εργασιών 10 εκατ. ευρώ ή ετήσιος ισολογισμός 10 εκατ. Ευρώ.
Όσες εταιρείες ανήκουν στους τομείς των «Βασικών» οντοτήτων (υψηλής κρισιμότητας) αλλά δεν πληρούν το κριτήριο του μεγέθους (αριθμό υπαλλήλων & κύκλο εργασιών), θεωρούνται «Σημαντικές» (απλής κρισιμότητας), ακόμα και οι Μικρές Επιχειρήσεις.
Τομείς
Ενέργεια, Μεταφορές, Τράπεζες και υποδομές χρηματοπιστωτικών αγορών, Υγεία, πόσιμο νερό, Λύματα, Ψηφιακές Υποδομές, Διαχείριση Υπηρεσιών Τεχνολογίας Πληροφορικής και Επικοινωνιών, Δημόσια διοίκηση, Διάστημα.
Ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, Διαχείριση των αποβλήτων, παρασκευή, παραγωγή και διανομή χημικών προϊόντων, παραγωγή, μεταποίηση και διανομή τροφίμων, κατασκευαστικός τομέας, κυρίως ιατροτεχνολογικών προϊόντων, προϊόντων υπολογιστών, ηλεκτρονικών και οπτικών προϊόντων, ορισμένων ειδών ηλεκτρολογικού εξοπλισμού και μηχανημάτων, μηχανοκίνητων οχημάτων και άλλου εξοπλισμού μεταφορών ψηφιακοί πάροχοι, οργανισμοί ερευνών.
Βασικά Μέτρα Κυβερνοασφάλειας.

Η οδηγία NIS 2 επιβάλλει μια ομάδα μέτρων κυβερνοασφάλειας τα οποία επικεντρώνονται στη διαχείριση κινδύνου, απαιτώντας από τις εταιρείες να διενεργούν τακτικές αξιολογήσεις κινδύνου, να εφαρμόζουν τεχνικές και οργανωτικές διασφαλίσεις (πχ firewalls και access controls) και να θεσπίζουν διαδικασίες για τον εντοπισμό, την αναφορά και την απόκριση σε συμβάντα ασφαλείας. Επιπλέον περιλαμβάνει μέτρα για την πρόληψη συμβάντων, την ελαχιστοποίηση των επιπτώσεών τους και τελικά, τη διατήρηση ενός επιπέδου ασφάλειας. Τα βασικά μέτρα που περιγράφονται στην οδηγία NIS 2 περιλαμβάνουν:

  • Ανάλυση κινδύνου και πολιτικές ασφάλειας συστημάτων πληροφοριών
  • Χειρισμός συμβάντων
  • Σχέδιο επιχειρηματικής συνέχειας που περιλαμβάνει τη διαχείριση αντιγράφων ασφαλείας, την αποκατάσταση από καταστροφές και τη διαχείριση κρίσεων.
  • Ασφάλεια εφοδιαστικής αλυσίδας, συμπεριλαμβανομένων πτυχών που σχετίζονται με την ασφάλεια που αφορούν τις σχέσεις μεταξύ της επιχείρησης και των άμεσων προμηθευτών της ή των παρόχων υπηρεσιών.
  • Ασφάλεια στην ανάπτυξη και συντήρηση συστημάτων δικτύων και πληροφοριών, συμπεριλαμβανομένου πολιτικών διαχείρισης ευπάθειας.
  • Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον κυβερνοχώρο.
  • Βασικές πρακτικές και εκπαίδευση εργαζομένων στην προστασία δεδομένων.
  • Πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας.
  • Ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση περιουσιακών στοιχείων.
Υποχρεώσεις αναφοράς συμβάντων.

Το NIS 2 επιβάλλει αυστηρότερες απαιτήσεις αναφοράς συμβάντων σε σύγκριση με την Οδηγία NIS. Αυτές οι απαιτήσεις ισχύουν τόσο για «Βασικές» όσο και για «Σημαντικές» εταιρείες:

  • Έγκαιρη προειδοποίηση: Κατά τον εντοπισμό ενός σημαντικού συμβάντος, οι εταιρείες πρέπει να υποβάλουν μια αναφορά «έγκαιρης προειδοποίησης» στην αρμόδια αρχή εντός 24 ωρών. Αυτή η έκθεση θα πρέπει να παρέχει μια προκαταρκτική αξιολόγηση της φύσης και των πιθανών επιπτώσεων του συμβάντος.
  • Ειδοποίηση περιστατικού: Μετά την έγκαιρη προειδοποίηση, πρέπει να υποβληθεί μια πιο λεπτομερής αναφορά «ειδοποίησης περιστατικού» εντός 72 ωρών. Αυτή η αναφορά θα πρέπει να περιλαμβάνει λεπτομέρειες όπως την ώρα και τον τύπο του συμβάντος, τα επηρεαζόμενα συστήματα και δεδομένα καθώς και τις ενέργειες που λαμβάνονται για τον μετριασμό των επιπτώσεων.
  • Τελική Έκθεση: Το αργότερο ένα μήνα μετά την αρχική ειδοποίηση, πρέπει να υποβληθεί μια τελική έκθεση με ολοκληρωμένη ανάλυση του περιστατικού, τη βασική αιτία, τα διδάγματα που αντλήθηκαν και τις διορθωτικές ενέργειες που έγιναν.

Πέρα από την κοινοποίηση της αρμόδιας αρχής στο κράτος μέλος τους, οι εταιρίες ενδέχεται επίσης να υποχρεωθούν να ενημερώσουν και άλλα κράτη μέλη, τους πελάτες τους και το κοινό.

Κυρώσεις μη συμμόρφωσης.
H οδηγία NIS 2 επιβάλλει βαριές οικονομικές κυρώσεις για τη μη συμμόρφωση, που επιβάλλονται και καθορίζονται από την αρμόδια αρχή του κάθε κράτος μέλος της ΕΕ με βάση τη σοβαρότητα της μη συμμόρφωσης. Πέρα από τις οικονομικές κυρώσεις, περιορίζεται ή και αναστέλλεται κατά περιπτώσεις η λειτουργία της επιχείρησης, ενώ και η φήμη της εταιρείας βλάπτεται ανάλογα.
Βασικές Οντότητες
(υψηλής κρισιμότητας)
Σημαντικές Οντότητες
(απλής κρισιμότητας)
Πρόστιμο που ξεκινά από 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου κύκλου εργασιών της εταιρείας κατά το προηγούμενο έτος.
Πρόστιμο που ξεκινά από 7 εκατομμύρια ευρώ ή 1,4% του παγκόσμιου κύκλου εργασιών της εταιρείας κατά το προηγούμενο έτος.
Δημόσια αποκάλυψη παραβιάσεων.
Δημόσια αποκάλυψη παραβιάσεων.
Αναστολή ή περιορισμός λειτουργιών.
Περιορισμός λειτουργίας.
Απόδοση ευθύνης στη διοίκηση μέχρι το επίπεδο του CEO.

Οδηγία NIS 2 και άλλα γνωστά πρότυπα ασφάλειας.

Το ISO 27001 είναι ένα παγκοσμίως αναγνωρισμένο πρότυπο που καθορίζει τις απαιτήσεις για τη δημιουργία, την εφαρμογή, τη συντήρηση και τη συνεχή βελτίωση ενός συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS). Αν και δεν αποτελεί εγγύηση συμμόρφωσης με την οδηγία NIS 2, η πιστοποίηση κατά ISO 27001 αποδεικνύει μια ισχυρή πολιτική ασφάλειας πληροφοριών και μπορεί να βοηθήσει τους οργανισμούς να ανταποκριθούν σε πολλές από τις απαιτήσεις της NIS 2. Οι οργανισμοί που υπόκεινται στην οδηγία NIS 2 μπορούν να αξιοποιήσουν το ISO 27001 ως οδικό χάρτη για την επίτευξη συμμόρφωσης.

Εκτός από το ISO 27001, τα κράτη μέλη της ΕΕ διερευνούν άλλα πλαίσια, όπως το NIST CSF και το CIS Controls. Η εφαρμογή αυτών των πλαισίων αναμένεται να θεωρηθεί επαρκής απόδειξη ότι έχουν ληφθεί κατάλληλα μέτρα ασφαλείας.

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης με την οδηγία NIS 2: https://eur-lex.europa.eu/eli/dir/2022/2555

SHARE:

FACEBOOK
LINKEDIN