Skip to main content
NIS2ΔιαδικασίεςΣυμμόρφωση

Η Οδηγία NIS2: Ενίσχυση της Κυβερνοασφάλειας

nis2solutions30 Μαρτίου 2025
Λύσεις Ασφάλειας & Συμμόρφωσης NIS2 | Nis2 Solution | Nis2solutions.gr

Η οδηγία NIS2 (Network and Information Systems Directive) αποτελεί ένα σημαντικό βήμα προς την ενίσχυση της κυβερνοασφάλειας στην Ευρωπαϊκή Ένωση. Εισάγει νέες απαιτήσεις και μέτρα για την προστασία των κρίσιμων υποδομών και των βασικών υπηρεσιών από τις αυξανόμενες απειλές στον κυβερνοχώρο. Ας δούμε αναλυτικά τι περιλαμβάνει η οδηγία NIS2 και πώς επηρεάζει τις επιχειρήσεις.

Τι είναι η Οδηγία NIS2;

Η οδηγία NIS2 αντικαθιστά την προηγούμενη οδηγία NIS και επεκτείνει το πεδίο εφαρμογής της, καλύπτοντας περισσότερους τομείς και οντότητες

Στόχος της είναι να επιτευχθεί ένα υψηλό κοινό επίπεδο κυβερνοασφάλειας σε όλη την ΕΕ, ενισχύοντας τις απαιτήσεις ασφαλείας και εισάγοντας εναρμονισμένες κυρώσεις

Ποιοι Τομείς Καλύπτονται από την Οδηγία NIS2;

Η οδηγία NIS2 καλύπτει δύο κατηγορίες οντοτήτων: Βασικές Οντότητες (Essential Entities) και Σημαντικές Οντότητες (Important Entities)

Aπαιτήσεις υπαγωγής μιας επιχείρησης στην οδηγία NIS2

Μέγεθος Επιχείρησης

  • Μεγάλες επιχειρήσεις:
    ≥250 εργαζόμενοι και/ή
    ετήσιος κύκλος εργασιών >50 εκατ. ευρώ και/ή
    συνολικός ισολογισμός >43 εκατ. ευρώ

  • Μεσαίες επιχειρήσεις:
    ≥50 εργαζόμενοι και
    κύκλος εργασιών >10 εκατ. ευρώ

Πιο συγκεκριμένα, η Οδηγία NIS2 κατηγοριοποιεί τις οντότητες βάσει μεγέθους, αναφερόμενη στο Άρθρο 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ, ως ακολούθως:

Κατηγορία Μέγεθους Αριθμός εργαζομένων Ετήσιες Πωλήσεις Ετήσιος Ισολογισμός
Μικρές Εταιρίες <50 < 10.000.000 < 10.000.000
Μεσαίες Εταιρίες <250 < 50.000.000 < 43.000.000
Μεγάλες εταιρίες >250 > 50.000.000 > 43.000.000

Με βάση την παραπάνω κατηγοριοποίηση, η Οδηγία NIS2 καθιερώνει ένα ρυθμιστικό καθεστώς βασισμένο στην παρακάτω διαστρωματική προσέγγιση.

Ανεξάρτητα από το μέγεθος, επιχειρήσεις που δραστηριοποιούνται σε κρίσιμους τομείς δύνανται να υπαχθούν, εφόσον επηρεάζουν την κοινωνία ή/και την οικονομία.

Βασικές Οντότητες (Essential Entities)

  1. Ενέργεια
  2. Μεταφορές
  3. Τραπεζικός τομέας
  4. Υποδομές χρηματοπιστωτικών αγορών
  5. Υγεία
  6. Πόσιμο νερό
  7. Διαχείριση λυμάτων
  8. Ψηφιακές υποδομές (π.χ. πάροχοι υπηρεσιών cloud, διαχείριση ICT)
  9. Δημόσια διοίκηση
  10. Διάστημα

Σημαντικές Οντότητες (Important Entities)

  1. Χημικά
  2. Έρευνα (π.χ. ιατρικές συσκευές και άλλο εξοπλισμό)
  3. Ψηφιακοί πάροχοι (π.χ. κοινωνικά δίκτυα, μηχανές αναζήτησης, διαδικτυακές αγορές)
  4. Ταχυδρομικές και ταχυμεταφορικές υπηρεσίες
  5. Διαχείριση αποβλήτων
  6. Παραγωγή, επεξεργασία και διανομή τροφίμων
  7. Βιομηχανία κατασκευών

Απαιτήσεις της Οδηγίας NIS2

Η οδηγία NIS2 εισάγει νέες απαιτήσεις για τις επιχειρήσεις που ανήκουν στους παραπάνω τομείς

Οι βασικές απαιτήσεις περιλαμβάνουν:

  1. Ανάλυση κινδύνου και πολιτικές ασφάλειας συστημάτων πληροφοριών: Οι οργανισμοί πρέπει να αναλύουν τους κινδύνους και να εφαρμόζουν πολιτικές ασφάλειας για την προστασία των πληροφοριακών συστημάτων τους
  2. Χειρισμός συμβάντων: Απαιτείται η ύπαρξη διαδικασιών για την αντιμετώπιση και διαχείριση κυβερνοεπιθέσεων και άλλων συμβάντων ασφαλείας
  3. Σχέδιο επιχειρηματικής συνέχειας: Οι οργανισμοί πρέπει να διαθέτουν σχέδια για την επιχειρηματική συνέχεια, συμπεριλαμβανομένης της διαχείρισης αντιγράφων ασφαλείας, της αποκατάστασης από καταστροφές και της διαχείρισης κρίσεων.
  4. Υποβολή εκθέσεων: Οι οργανισμοί πρέπει να ενημερώνουν τις αρμόδιες εθνικές αρχές για σημαντικά συμβάντα και να υποβάλλουν εκθέσεις σχετικά με την αντιμετώπιση περιστατικών και τη διαχείριση κρίσεων

Υποχρεώσεις

Εφόσον μια επιχείρηση υπάγεται, αποκτά υποχρεώσεις που περιλαμβάνουν:

  • Υιοθέτηση μέτρων κυβερνοασφάλειας

  • Διορισμό υπευθύνου ασφάλειας

  • Καταγραφή και διατήρηση συμβάντων

  • Αναφορά περιστατικών κυβερνοασφάλειας εντός 24 ωρών

  • Επαλήθευση συμμόρφωσης από τις αρμόδιες αρχές

Επιβολή και κυρώσεις

Τα άρθρα 31 έως 37 περιγράφουν το πλαίσιο εποπτείας και επιβολής, χορηγώντας στις εθνικές αρχές εξουσίες για τη διασφάλιση της συμμόρφωσης. Μέσα σε αυτά τα πλαίσια, το Άρθρο 32 παρέχει εξουσίες για την εφαρμογή μέτρων που είναι αποτελεσματικά, αναλογικά και αποτρεπτικά για τις οντότητες εντός του πεδίου εφαρμογής της Οδηγίας. Αυτά δυνητικά περιλαμβάνουν εποπτεία επί τόπου και εκτός τόπου, τυχαίους ελέγχους και στοχευμένους ελέγχους ασφαλείας, όπως φαίνεται αναλυτικότερα στον παρακάτω πίνακα.

 

Ουσιαστικές Οντότητες Σημαντικές Οντότητες
·         Τακτικοί και στοχευμένοι έλεγχοι ασφαλείας (προληπτικοί)·         Έλεγχοι επιτόπου

·         Πρόστιμα έως 2% του ετήσιου παγκόσμιου τζίρου, ή 10.000.000 ελάχιστο

 ·         Έλεγχοι μόνο σε περίπτωση βάσιμων υποψιών (εκ των υστέρων)·         Επιτόπιες επιθεωρήσεις και εξωτερικά μέτρα επιβολής εκ των υστέρων

·         Πρόστιμα έως 1,4% του ετήσιου παγκόσμιου τζίρου, ή 7.000.000 μέγιστο

Επιπρόσθετα, η Οδηγία NIS2 δίνει στις εθνικές αρχές ένα φάσμα εξουσιών επιβολής, που  περιλαμβάνουν τη δυνατότητα έκδοσης προειδοποιήσεων για μη συμμόρφωση, δεσμευτικών οδηγιών προς τις οργανώσεις, εξουσιών για την επιβολή της διαχείρισης κινδύνου και της εφαρμογής προτάσεων.

Ένα νέο στοιχείο είναι η προσωπική ευθύνη των ανώτερων μελών της διοίκησης (π.χ., μέλη του διοικητικού συμβουλίου, διευθύνοντες σύμβουλοι) που πρέπει να εγκρίνουν και να παρακολουθούν τα μέτρα διαχείρισης κινδύνου στον τομέα της κυβερνοασφάλειας.  Η Οδηγία δίνει, εξουσίες στην εθνική αρχή για την επιβολή της ευθύνης της διοίκησης. Σαν αποτέλεσμα, σε ακραίες περιπτώσεις, ο Διευθύνων Σύμβουλος ή ο νομικός αντιπρόσωπος μπορεί να απαγορευθεί προσωρινά από την εκτέλεση των διοικητικών του καθηκόντων.

Πώς να Προετοιμαστείτε για την Οδηγία NIS2

Για να συμμορφωθείτε με την οδηγία NIS2, είναι σημαντικό να ακολουθήσετε τα παρακάτω βήματα

  1. Εκτίμηση κινδύνου: Πραγματοποιήστε μια λεπτομερή ανάλυση κινδύνου για να εντοπίσετε πιθανούς κινδύνους και απειλές.
  2. Εφαρμογή πολιτικών ασφάλειας: Αναπτύξτε και εφαρμόστε πολιτικές ασφάλειας για την προστασία των πληροφοριακών συστημάτων σας.
  3. Εκπαίδευση προσωπικού: Εκπαιδεύστε το προσωπικό σας σχετικά με τις διαδικασίες ασφαλείας και τις ενέργειες που πρέπει να ακολουθήσουν σε περίπτωση έκτακτης ανάγκης.
  4. Δημιουργία αντιγράφων ασφαλείας: Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας και διασφαλίστε ότι έχετε ένα σχέδιο ανάκτησης δεδομένων σε περίπτωση απώλειας.
  5. Υποβολή εκθέσεων: Ενημερώστε τις αρμόδιες εθνικές αρχές για σημαντικά συμβάντα και υποβάλλετε εκθέσεις σχετικά με την αντιμετώπιση περιστατικών και τη διαχείριση κρίσεων.

Η συμμόρφωση με την οδηγία NIS2 είναι κρίσιμη για την προστασία της επιχείρησής σας από τις αυξανόμενες απειλές στον κυβερνοχώρο. Ακολουθώντας τις παραπάνω πρακτικές, μπορείτε να ενισχύσετε την ασφάλεια της επιχείρησής σας και να προστατεύσετε τους εργαζομένους και τα περιουσιακά σας στοιχεία.

Recommended For You

Σύγχρονες Προκλήσεις στην Κυβερνοασφάλεια - Cyber Security NIS2ΔιαδικασίεςΣυμμόρφωση Οδηγός Εφαρμογής NIS2 στην Πράξη

Οδηγός Εφαρμογής NIS2 στην Πράξη

nis2solutions
nis2solutions25 Μαΐου 2025
Λύσεις Ασφάλειας & Συμμόρφωσης NIS2 | Nis2 Solution | Nis2solutions.gr NIS2ΝέαΝομοθεσία Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων – Κοινή Υπουργική Απόφαση 1689/2025

Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων – Κοινή Υπουργική Απόφαση 1689/2025

nis2solutions
nis2solutions18 Μαΐου 2025
Σύγχρονες Προκλήσεις στην Κυβερνοασφάλεια - Cyber Security NIS2Νέα Σύγχρονες Προκλήσεις στην Κυβερνοασφάλεια

Σύγχρονες Προκλήσεις στην Κυβερνοασφάλεια

nis2solutions
nis2solutions27 Απριλίου 2025

Πολιτική Απορρήτου