Αρχική Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με...ΜΕΡΟΣ Α’ Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022   ΚΕΦΑΛΑΙΟ Α΄ ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ Άρθρο 1 ΣκοπόςΣχόλιο του χρήστη Marina Gavrilaki | 23 Οκτωβρίου 2024, 11:27
  • Σχόλιο του χρήστη 'Marina Gavrilaki' | 23 Οκτωβρίου 2024, 11:27

    A. Παραδοχές ~ Είναι βέβαιο ότι σχεδόν σε όλους τους Φορείς υπάρχει (σημαντικό) έλλειμα (Κυβερνο)Ασφάλειας. Για βελτίωση της κατάστασης χρειάζεται πολλή δουλειά, προσήλωση στο στόχο και… χρηματοδότηση. ~ Cyber-Governance: όχι απλά Cyber-Security ~ Τρεις+1 Πυλώνες Επιτυχίας: ΑΝΘΡΩΠΟΙ, Διαδικασίες, Τεχνολογία && Προτυποποίηση B. Προκλήσεις - Δυσχέρειες Υλοποίησης ~Κουλτούρα (Κυβερνο)Ασφάλειας !!! ~Υποδομές υψηλής διαχειριστικής δυσκολίας ~Βιωσιμότητα ~Στελέχωση => Διαχείριση / υλοποίηση από στελέχη με τεχνογνωσία και εμπειρία ~Επικαλύψεις: συνάθροιση απαιτήσεων, ανασχεδιασμός, χρήση συμβάσεων-πλαίσιο για την πραγματοποίησή τους ~Operational Excellence ~Cost Optimization C. Προϋποθέσεις α.ΟΡΑΜΑ β.Σταθερή και επαρκής στήριξη από Ηγεσία και Επιτελικό Δυναμικό, με ΣΟΒΑΡΕΣ Κυρώσεις σε αντίθετη περίπτωση (σοβαρότερες από τις αναφερόμενες π.χ. αφαίρεση του δικαιώματος του εκλέγειν και εκλέγεσθαι κτλ.) γ.Αναθεώρηση Οργανισμού ΕΑΚ, Διοικητικό Συμβούλιο δ.Θεσμοθέτηση Οργανωτικής Δομής εντός των οντοτήτων (βλέπε σημείο D) ε.*Δεσμευτικό* σχέδιο δράσης συνολικά για όλους στ.Στοχοθεσία – αξιολόγηση – KPIs ζ.ΣΔΙΤ, με μεγάλη προσοχή (…) D. Επειδή η προτεινόμενη λύση του ΥΑΣΠΕ ΔΕΝ είναι ΛΥΣΗ Σε αναλογία με το άρθρο 9 του ν. 4727/2020: Σε κάθε βασική και σημαντική οντότητα να δημιουργηθεί «Υπηρεσία/Μονάδα ΚυβερνοΑσφάλειας», επιπέδου Διεύθυνσης, ως αυτοτελής και ανεξάρτητη διοικητική δομή, υπαγόμενη απευθείας στο Ανώτατο Διοικητικό Όργανο του Φορέα. Για να αποφευχθούν οι επικαλύψεις και να υπάρξει Αγαστή Συνεργασία με την Μονάδα Πληροφορικής (ΙΤ), θα μπορούσε να δημιουργηθεί αυτοτελής και ανεξάρτητη Γενική Διεύθυνση Τεχνολογιών Πληροφορικής, η οποία θα περιλαμβάνει αυτές τις δύο Διευθύνσεις. Η οργανωτική δομή της Μονάδας ΚυβερνοΑσφάλειας οφείλει να υποστηρίζει τους άξονες: 1.Awareness, 2.Prevent, 3.Detect, 4.Respond, 5.Continuity && Resilience, 6.Legal. E. Συμπερασματικά 1.Ενσωμάτωση στην NIS2 όσο το δυνατόν περισσότερων φορέων, αφού εξεταστεί η «διαλειτουργικότητα» μεταξύ τους (διοικητικό, νομικό, τεχνολογικό επίπεδο). Αιτιολόγηση και αξιολόγηση των «συνδέσεων». 2.ΠΡΟΛΗΨΗ – Αντίδραση – Ανάκαμψη: δημιουργία *Σαφούς Πλαισίου* πρότυπων ενεργειών ανά τομέα, μέγεθος και «πελατολόγιο» ꓯ φορέα. 3.Σταθερή Υποστήριξη «αδύναμων» ή πολύπλοκων φορέων π.χ. ΟΤΑ Β’ βαθμού κτλ. 4.«Δυναμική» εποπτεία εκ μέρους της ΕΑΚ. Όχι εθελοντική ανατροφοδότηση/ανταλλαγή πληροφοριών. a. Ένταξη όλων των βασικών και σημαντικών φορέων (και όσων άλλων το ζητήσουν) στο εργαλείο monitoring της ΕΑΚ. b. Άμεση έναρξη των πιστοποιήσεων ατόμων από ΕΑΚ && ΕΚΔΔ: τα πρότυπα και το υλικό υπάρχουν, να ξεκινήσει ΑΜΕΣΑ η διαδικασία c. Αποκέντρωση Υπηρεσιών της ΕΑΚ: να δημιουργηθούν Τμήματα τουλάχιστον σε 3 περιοχές-πόλεις, εκτός από την Αθήνα για άμεση αντιμετώπιση περιστατικών και ορθή ανατροφοδότηση 5. Initial Assessment σε όλους τους φορείς, χρήση εργαλείων SWOT, PESTEL, pen tests, Risk Assessment κτλ. κτλ. 6. Δημιουργία Ολοκληρωμένης Συνεργατικής Πλατφόρμας (χωρίς να γίνεται single point of failure) για: a. Μητρώο Φορέων, Οντοτήτων κτλ. b. Μητρώο SWE και πιστοποιημένων Πληροφορικών c. Μητρώα SW, HW, Κτηρίων, Τεχνολογικών Λύσεων που ήδη/θα εφαρμόζονται d. καταγραφή περιστατικών e. καταγραφή λύσεων / αντιμετώπισης f. ανταλλαγή πληροφοριών g. βέλτιστων πρακτικών h. workflows κτλ i. κτλ κτλ κτλ Αυτά τα λίγα... :-)