Αρχική Εθνική Αρχή Κυβερνοασφάλειας και λοιπές διατάξεις του Υπουργείου Ψηφιακής ΔιακυβέρνησηςΜΕΡΟΣ Α’ ΟΡΓΑΝΩΣΗ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ ΚΕΦΑΛΑΙΟ Α’ ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ Άρθρο 1 ΣκοπόςΣχόλιο του χρήστη Χρυσόστομος Παπαλεονάρδος | 4 Ιανουαρίου 2024, 14:50
Το παρόν σχέδιο νόμου βρίσκεται στην σωστή κατεύθυνση, ωστόσο δεν φέρνει λύσεις σε βασικά οργανωτικά ζητήματα. Πιο πολύ δίνεται η αίσθηση ότι το κρίσιμο ζήτημα της οργάνωσης ενός αποτελεσματικού πλαισίου διακυβέρνησης παραπέμπεται σε δεύτερο χρόνο, ενώ τα χρονικά περιθώρια για την εφαρμογή αυτού του πλαισίου, έχουν ήδη εκλείψει. Το γεγονός ότι στην Ελλάδα δεν υφίσταται μια εθνική αρχή κυβερνοασφάλειας η οποία να έχει στη διάθεση της τους απαιτούμενους ανθρώπινους, οικονομικούς και τεχνικούς πόρους προκειμένου να υλοποιήσει το έργο της, δεν φαίνεται να αντιμετωπίζεται αποτελεσματικά με τις προτεινόμενες ρυθμίσεις. Ακόμα και αν θεωρήσουμε ότι το προτεινόμενο πλαίσιο είναι μεταβατικό, τα ρυθμιζόμενα θέματα, δεν δημιουργούν κατάλληλες συνθήκες προκειμένου να «τρέξει» η οργάνωση του πλαισίου διακυβέρνησης με την απαιτούμενη ταχύτητα ώστε αυτό να μπορέσει να ανταποκριθεί στις αυξημένες απαιτήσεις που θέτει η νέα Οδηγία NIS, η οποία θα πρέπει άμεσα να μεταφερθεί πλήρως στην εθνική έννομη τάξη. Πέραν της αυταπόδεικτης ανάγκης για ίδρυση ενός διακριτού αρμόδιου φορέα και της διεύρυνσης της οργανωτικής του δομής του προκειμένου να «χωρέσει» το μεγάλο εύρος των ασκούμενων αρμοδιοτήτων, οι προτεινόμενες ρυθμίσεις δεν κομίζουν κάποια άλλη κρίσιμη οργανωτική εξέλιξη. Ωστόσο, η συμμόρφωση της χώρας με τις απαιτήσεις της NIS απαιτεί μία σειρά ενεργειών που επιτρέψουν στην εθνική αρχή να μπορέσει να ασκήσει άμεσα τις κρίσιμες αρμοδιότητες της και να μην βρεθεί σε καθεστώς μακράς μεταβατικής λειτουργίας. Σύμφωνα με το άρθρο 4, παρ.2, περ. ι του σχεδίου νόμου, η Εθνική Αρχή «ασκεί ελεγκτικές αρμοδιότητες, διενεργεί επιθεωρήσεις και επιβάλλει κυρώσεις στο πλαίσιο του ελέγχου συμμόρφωσης προς το νομικό πλαίσιο για την κυβερνοασφάλεια». Παραμένει το ερώτημα, πως θα ασκηθεί αυτή η αρμοδιότητα δεδομένου ότι δεν υφίστανται: α) νομοθετικό πλαίσιο ελέγχων κυβερνοασφάλειας, αλλά και β) πλαίσιο κινήτρων για την άσκηση ελεγκτικού έργου από εξειδικευμένους/καταρτισμένους υπαλλήλους, δεδομένου μάλιστα ότι η ελεγκτική ύλη αφορά οντότητες που διαχειρίζονται κρίσιμες υποδομές με πολύ μεγάλο κύκλο εργασιών και εκτενείς πληροφοριακές υποδομές, οι οποίες πλέον θα υπάγονται σε αυξημένες απαιτήσεις κανονιστικής συμμόρφωσης σύμφωνα με την νέα οδηγία. Θα πρέπει να υπάρξουν διατάξεις για την ρύθμιση αμφότερων αυτών των ζητημάτων. Επιπλέον, σύμφωνα με το άρθρο 19 της νέας οδηγίας NIS, θα διενεργούνται αξιολογήσεις εμπειρογνωμόνων κυβερνοασφάλειας προερχόμενων από τα κράτη – μέλη προς τις εθνικές αρχές, μεταξύ άλλων για: α) το επίπεδο εφαρμογής των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και των υποχρεώσεων υποβολής εκθέσεων που προβλέπονται στα άρθρα 21 και 23 και β) το επίπεδο των ικανοτήτων, συμπεριλαμβανομένων των διαθέσιμων οικονομικών, τεχνικών και ανθρώπινων πόρων, και την αποτελεσματικότητα της άσκησης των καθηκόντων εκ μέρους των αρμόδιων αρχών. Πως θα μπορέσει η Εθνική Αρχή Κυβερνοασφάλειας ως η αρμόδια εθνική αρχή κατά την οδηγία NIS, να ανταποκριθεί σε αυτές και άλλες απαιτήσεις, εφόσον δεν καθιερώνονται κίνητρα προσέλκυσης στελεχών ειδικών προσόντων; Επισημαίνεται ότι εντός της Αρχής, βάσει του ισχύοντος πλαισίου, θα πρέπει να λειτουργήσει εθνική αρχή πιστοποιήσεων κυβερνοασφάλειας, εθνικό κέντρο συντονισμού για χρηματοδοτήσεις και το SOC του ν.5002/2022. Επίσης, σύμφωνα με το σχέδιο νόμου, θα μπορεί να λειτουργήσει και ως ενδιάμεσος φορέας των επιχειρησιακών προγραμμάτων του Ε.Σ.Π.Α. Άρα, σύμφωνα με το ισχύον πλαίσιο στην Γενική Διεύθυνση Κυβερνοασφάλειας ήδη συγκεντρώνονται, μεταξύ άλλων, αρμοδιότητες κανονιστικές, ελεγκτικές και χρηματοδοτικές. Η άσκηση αυτών των αρμοδιοτήτων απαιτεί τη διατήρηση του υπάρχοντος προσωπικού και την περαιτέρω στελέχωση της με υπαλλήλους ειδικών προσόντων και σχετικής κατάρτισης. Ενώ για το νέο ΝΠΔΔ, ορθά προβλέπονται 155 οργανικές θέσεις, είναι απορίας άξιο το πως αυτές εν τέλει θα καλυφθούν και πως θα ασκηθεί το πλήθος των παραπάνω αρμοδιοτήτων. Πρέπει να γίνει επιτέλους πλήρως κατανοητό, ότι όσο δεν προωθείται μία αποτελεσματική αναδιοργάνωση του πλαισίου διακυβέρνησης κυβερνοασφάλειας, η οποία ξεκινάει μεν από την καθιέρωση ενός εξειδικευμένου φορέα, αλλά δεν σταματάει εκεί, αυτό μέσο - μακροπρόθεσμα βαίνει εις βάρος της εθνικής ασφάλειας και της ικανότητας μιας χώρας με περιορισμένες δημοσιονομικές δυνατότητες όπως η Ελλάδα, να αξιοποιήσει τους ήδη διαθέσιμους ευρωπαϊκούς πόρους για την ενίσχυση της κυβερνοασφάλειας του δημόσιου και ιδιωτικού τομέα και εν τέλει της ενίσχυση της ασφάλειας των μεμονωμένων πολιτών και της διατήρησης της εμπιστοσύνης τους στην ψηφιακή μετάβαση.