Κεφάλαια 08 Σε Ισχύ: 18 Οκτωβρίου 2024

Οδηγία NIS2

Οδηγία για την Ασφάλεια των Δικτύων και των Πληροφοριακών Συστημάτων

Επισκόπηση

Η NIS2 αντικαθιστά και επεκτείνει σημαντικά την αρχική Οδηγία NIS, καθιερώνοντας ένα υψηλό κοινό επίπεδο κυβερνοασφάλειας σε όλη την ΕΕ. Εφαρμόζεται σε πολύ ευρύτερο φάσμα τομέων και οντοτήτων, εισάγει αυστηρότερα μέτρα εποπτείας και εναρμονίζει τις κυρώσεις μεταξύ των Κρατών Μελών.[1]

Ως οδηγία, η NIS2 απαιτούσε ενσωμάτωση στο εθνικό δίκαιο έως τις 17 Οκτωβρίου 2024. Η εφαρμογή διαφέρει ανά Κράτος Μέλος.

Πεδίο Εφαρμογής: Βασικές vs Σημαντικές Οντότητες

Βασικές Οντότητες (Αυστηρότερος Έλεγχος)[2]

ΤομέαςΠαραδείγματα
ΕνέργειαΗλεκτρισμός, πετρέλαιο, φυσικό αέριο, υδρογόνο, τηλεθέρμανση
ΜεταφορέςΑεροπορικές, σιδηροδρομικές, υδάτινες, οδικές
Τραπεζικός τομέαςΠιστωτικά ιδρύματα
Χρηματοπιστωτικές αγορέςΧρηματιστηριακές πλατφόρμες, κεντρικοί αντισυμβαλλόμενοι
ΥγείαΠάροχοι υγειονομικής περίθαλψης, εργαστήρια, φαρμακευτικές, ιατρικές συσκευές
Νερό πόσηςΠρομηθευτές νερού
ΑποχέτευσηΕπεξεργασία λυμάτων
Ψηφιακή υποδομήIXPs, DNS, μητρώα TLD, cloud, κέντρα δεδομένων, CDNs, TSPs
Διαχείριση υπηρεσιών ΤΠΠάροχοι διαχειριζόμενων υπηρεσιών, πάροχοι διαχειριζόμενων υπηρεσιών ασφάλειας
Δημόσια διοίκησηΚεντρικές κυβερνητικές οντότητες
Διαστημικός τομέαςΧειριστές επίγειας υποδομής

Σημαντικές Οντότητες (Ελαφρύτερος Έλεγχος)

ΤομέαςΠαραδείγματα
Ταχυδρομικές υπηρεσίεςΤαχυδρομικές και ταχυμεταφορικές υπηρεσίες
Διαχείριση αποβλήτωνΣυλλογή και επεξεργασία αποβλήτων
ΧημικάΠαραγωγή και διανομή
ΤρόφιμαΠαραγωγή και διανομή
ΒιομηχανίαΙατρικές συσκευές, ηλεκτρονικά, μηχανήματα, οχήματα
Ψηφιακοί πάροχοιΗλεκτρονικές αγορές, μηχανές αναζήτησης, κοινωνικά δίκτυα
ΈρευναΕρευνητικοί οργανισμοί

Όρια Μεγέθους

Η NIS2 εφαρμόζεται γενικά σε μεσαίες και μεγάλες οντότητες:

  • Μεσαίες: 50+ εργαζόμενοι Ή €10 εκατ.+ κύκλος εργασιών/ισολογισμός
  • Μεγάλες: 250+ εργαζόμενοι Ή €50 εκατ.+ κύκλος εργασιών Ή €43 εκατ.+ ισολογισμός

Ορισμένες οντότητες εφαρμόζονται ανεξαρτήτως μεγέθους (DNS, μητρώα TLD, πάροχοι cloud, κέντρα δεδομένων κ.ά.).

Κύριες Απαιτήσεις

Μέτρα Διαχείρισης Κινδύνου (Άρθρο 21)[3]

Οι οντότητες πρέπει να εφαρμόζουν κατάλληλα τεχνικά, λειτουργικά και οργανωτικά μέτρα:

  1. Πολιτικές: Ανάλυση κινδύνου και πολιτικές ασφάλειας πληροφοριακών συστημάτων
  2. Διαχείριση περιστατικών: Διαδικασίες ανίχνευσης, αντίδρασης και αποκατάστασης
  3. Συνέχεια επιχειρήσεων: Αντίγραφα ασφαλείας, ανάκτηση από καταστροφή, διαχείριση κρίσεων
  4. Ασφάλεια εφοδιαστικής αλυσίδας: Απαιτήσεις ασφάλειας για προμηθευτές
  5. Ασφάλεια δικτύου: Ασφάλεια απόκτησης, ανάπτυξης και συντήρησης
  6. Αξιολόγηση αποτελεσματικότητας: Πολιτικές για την αξιολόγηση της αποτελεσματικότητας των μέτρων ασφάλειας
  7. Βασική κυβερνοϋγιεινή: Εκπαιδευτικά και ενημερωτικά προγράμματα
  8. Κρυπτογραφία: Πολιτικές για κρυπτογραφικό έλεγχο και κρυπτογράφηση
  9. Ανθρώπινο δυναμικό: Ασφάλεια προσωπικού και έλεγχοι πρόσβασης
  10. Πολυπαραγοντική αυθεντικοποίηση: MFA και ασφαλή συστήματα επικοινωνίας

Αναφορά Περιστατικών (Άρθρο 23)[4]

ΧρονοδιάγραμμαΑπαίτηση
24 ώρεςΠρώιμη προειδοποίηση προς CSIRT/αρμόδια αρχή
72 ώρεςΕιδοποίηση περιστατικού με αρχική αξιολόγηση
1 μήναςΤελική αναφορά με αιτία και μέτρα αντιμετώπισης

Σημαντικά περιστατικά πρέπει να αναφέρονται εάν προκαλούν ή ενδέχεται να προκαλέσουν σοβαρή λειτουργική διαταραχή ή οικονομική ζημία, ή επηρεάζουν άλλους φυσικούς ή νομικούς προσώπους.

Υπευθυνότητα Διοίκησης

Τα διοικητικά όργανα πρέπει να:

  • Εγκρίνουν τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας
  • Εποπτεύουν την εφαρμογή των μέτρων ασφάλειας
  • Φέρουν προσωπική ευθύνη για μη συμμόρφωση
  • Παρακολουθούν εκπαίδευση στην κυβερνοασφάλεια

Κυρώσεις

  • Βασικές οντότητες: Έως €10 εκατ. ή 2% του παγκόσμιου κύκλου εργασιών
  • Σημαντικές οντότητες: Έως €7 εκατ. ή 1,4% του παγκόσμιου κύκλου εργασιών[5]

Τα Κράτη Μέλη μπορούν να επιβάλουν επιπλέον κυρώσεις, συμπεριλαμβανομένων προσωρινών απαγορεύσεων διοίκησης.

Υποχρεώσεις Προγραμματιστών και Παρόχων Υπηρεσιών ΤΠ

Εάν παρέχετε υπηρεσίες ή προϊόντα ΤΠ:

  1. Πάροχοι Διαχειριζόμενων Υπηρεσιών: Άμεσα εντός πεδίου ως βασικές οντότητες
  2. Πάροχοι Cloud: Άμεσα εντός πεδίου ως βασικές οντότητες
  3. Προγραμματιστές Λογισμικού: Υποχρεώσεις εφοδιαστικής αλυσίδας από πελάτες οντότητες
  4. Προμηθευτές Ασφάλειας: Μπορεί να χαρακτηριστούν ως σημαντικές οντότητες

Πηγές & Αναφορές

[1]
Οδηγία (ΕΕ) 2022/2555 για υψηλό κοινό επίπεδο κυβερνοασφάλειας. EUR-Lex: Επίσημο Κείμενο NIS2
[2]
Παραρτήματα I και II της NIS2: Τομείς βασικών και σημαντικών οντοτήτων. NIS2-Directive.com: Τομείς
[3]
Άρθρο 21 της NIS2: Μέτρα διαχείρισης κινδύνου κυβερνοασφάλειας. NIS2-Directive.com: Άρθρο 21
[4]
Άρθρο 23 της NIS2: Υποχρεώσεις αναφοράς περιστατικών. NIS2-Directive.com: Άρθρο 23
[5]
Άρθρο 34 της NIS2: Διοικητικά πρόστιμα. NIS2-Directive.com: Άρθρο 34