ΜΕΡΟΣ Α’ ΟΡΓΑΝΩΣΗ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ ΚΕΦΑΛΑΙΟ Α’ ΣΚΟΠΟΣ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ Άρθρο 1 Σκοπός

Σκοπός του παρόντος Μέρους είναι:
α) η οργάνωση ενός λειτουργικού συστήματος σχετικά με την κυβερνοασφάλεια, μέσω του εκσυγχρονισμού και της ενίσχυσης των δυνατοτήτων της αρμόδιας εθνικής αρχής κυβερνοασφάλειας, η οποία καθίσταται νομικό πρόσωπο δημοσίου δικαίου (ν.π.δ.δ.), προκειμένου να καταστεί αποτελεσματικότερη η άσκηση των καθηκόντων της,
β) η διατήρηση και ενίσχυση της εμπιστοσύνης των πολιτών στις ψηφιακές υπηρεσίες, μέσω του καθορισμού ενός διαφανούς πλαισίου ρόλων, ευθυνών και λογοδοσίας για την εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα των δεδομένων κρίσιμων ψηφιακών συστημάτων.

  • 17 Ιανουαρίου 2024, 17:25 | Ορέστης Κων.

    Να προστεθεί άρθρο σχετικά με το κτίριο της ΕΑΚ.

    Είναι κρίσιμο ζήτημα το θέμα της σωστής κτιριακής και ψηφιακής υποδομής της Εθνικής Αρχής Κυβερνοασφάλειας. Τα γραφεία της Υπηρεσίας θα πρέπει να είναι σε ασφαλή χώρο σύμφωνα με τους κανονισμούς ασφαλείας. Καθώς η νέα Αρχή έχει αρμοδιότητες CERT και SOC θα πρέπει να υλοποιεί τις προβλέψεις του ν, 4577/2018, αρ 8, ειδικότερα όσον αφορά την ασφάλεια των κτιριακών εγκαταστάσεων.

    Ο νεότερος νόμος θα πρέπει να έχει πρόβλεψη που να εφαρμόζει τις υποχρεώσεις που ήδη έχουν ψηφισθεί και επιβάλλονται από την ΕΕ.
    Τέλος, δεν γίνεται η Εθνική Αρχή Κυβερνοασφάλειας να είναι φιλοξενούμενη σε κτίριο άλλου οργανισμού.

  • Ο υπό δημόσια διαβούλευση νόμος αφορά στη δημιουργία μιας νέας Αρχής, σε αντικατάσταση της «Γενικής Διεύθυνσης Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης». Αυτό άλλωστε επιβεβαιώνεται στο παρόν άρθρο, όχι όμως στο να υπάρξει μια «τομή» σε θέματα Κυβερνοασφάλειας.
    Θεωρούμε λοιπόν, ότι οι ρυθμίσεις του δεν επιτρέπουν την αναβάθμιση της νέας Αρχής, γιατί ακολουθείται και πάλι η δομή «Δημοσίου» αλλά και η συγκρότηση της με όρους και με συνθήκες δημόσιου φορέα και όχι μιας σύγχρονης Υπηρεσίας που θα λειτουργεί για το δημόσιο συμφέρον αλλά με όρους ιδιωτικού τομέα. Τέτοιοι όροι όμως (που θα αποτυπώνονταν και στον τρόπο πρόσληψης αλλά και στις μισθολογικές αποδοχές) θεωρούμε ότι θα ήταν απαραίτητοι στη νέα Αρχή, προκειμένου να συγκροτηθεί από προσωπικό που θα κληθεί να αντιμετωπίσει αποτελεσματικά τις σύγχρονες προκλήσεις κυβερνοασφάλειας ή/ και να υλοποιεί ως, ενδιάμεσος φορέας, συγχρηματοδοτούμενα προγράμματα.
    Γίνεται δε εμφανές ότι η εκτεταμένη αλλά χωρίς «βάθος» αρμοδιότητα δεν προσδίδει το αναγκαίο κύρος και δυναμισμό στη νέα Αρχή, τα οποία θεωρούμε απαραίτητα για ένα τόσο δύσκολο έργο, σε επίπεδο εθνικό αλλά και ευρωπαϊκό. Και, κυρίως, δεν της δίνει τεχνοκρατική υπόσταση.

  • 17 Ιανουαρίου 2024, 14:58 | Ειρήνη Παν.

    Προκειμένου η Εθνική Αρχή Κυβερνοασφάλειας να είναι σε θέση να προμηθευτεί απαραίτητο λογισμικό για τη λειτουργία του Ενοποιημένου SOC, του εργαστηρίου της καθώς και λοιπές πλατφόρμες που θα λειτουργούν στον χώρο της, είναι απαραίτητο να εξαιρεθεί ως Φορέας από το πεδίο εφαρμογής της παρ 4 του άρθρου 88 του ν. 4727/2020 όπως τροποποιήθηκε και ισχύει.

    Προτείνεται να προστεθεί άρθρο ως εξής:

    «Προμήθειες για τη λειτουργία της Εθνικής Αρχής Κυβερνοασφάλειας – Εξαίρεση από το πεδίο εφαρμογής της παρ. 4 του άρθρου 88 του ν. 4727/2020.

    Η παρ. 4 του άρθρου 88 του ν. 4727/2020 δεν εφαρμόζεται για την ανάθεση και εκτέλεση συμβάσεων προμηθειών που συνάπτονται από την Εθνική Αρχή Κυβερνοασφάλειας και έχουν ως αντικείμενο την προμήθεια εξοπλισμού και υποδομών για τις ανάγκες της λειτουργία της».

  • 17 Ιανουαρίου 2024, 10:22 | Χάρης Ράλλης

    Μια κυβέρνηση που εκθειάζει τις πρακτικές του ιδιωτικού τομέα και της ελεύθερης οικονομίας θα έπρεπε ήδη να έχει αντιληφθεί (ή δεν θέλει) δύο πολύ απλά αλλά θεμελιώδη ζητήματα: 1. όσο εξελίσσονται οι τεχνολογικές προκλήσεις και απειλές, η ζήτηση σε εμπειρογνώμονες κυβερνοασφάλειας μεταβάλλεται ραγδαία με αυξητικές τάσεις, 2. η προσφορά εργασίας καταρτισμένων ειδικών λόγω σημαντικής απαιτούμενης εξειδίκευσης είναι ανελαστική. Συμπερασματικά, με μια απλή οικονομική σκέψη με δεδομένη την μεγάλη δυσκολία της προσφοράς να καλύψει τη ζήτηση (Cyber Workforce Study 2023, ISC2 «https://www.isc2.org/research»), οι αμοιβές του εν λόγω δυναμικού είναι τέτοιου επιπέδου που είναι αδύνατο ο δημόσιος τομέας να τις ανταγωνιστεί (προκύπτει τεράστιο μισθολογικό χάσμα). Πολύ περισσότερο, ακόμη και τα στελέχη που ήδη υπηρετούν σε αντίστοιχες νευραλγικές υπηρεσίες του δημοσίου τομέα και διαθέτουν σοβαρή εμπειρία είναι αδύνατο να παραμείνουν στις θέσεις τους, όταν μπορούν να εργαστούν με πολύ καλύτερες συνθήκες και εξαιρετικά υψηλές απολαβές στον ιδιωτικό τομέα. Ποιος λοιπόν θα έχει τη βούληση να στελεχώσει η και να παραμείνει στη θέση της Υπηρεσίας αυτής και γιατί?

  • 16 Ιανουαρίου 2024, 17:21 | J.H.

    Η σύσταση της Εθνικής Αρχής Κυβερνοασφάλειας ως ΝΠΔΔ, είναι μεν ορθή, αλλά θα πρέπει να επιλυθούν πολλά ζητήματα προκειμένου αυτή να έχει ουσιαστικές αρμοδιότητες και – το σημαντικότερο – να μπορέσει να
    τις ασκήσει. Πολλά θέματα έχουν επισημανθεί σε αυτή τη διαβούλευση. Σε κάποιο άρθρο έχει σχολιαστεί ότι η Αλβανία συστήνει Εθνική Αρχή Κυβερνοασφάλειας, προσφέροντας ως κίνητρο τις υψηλότερες αποδοχές στον
    δημόσιο τομέα. Η Αλβανία έφτασε σε αυτό το επίπεδο συνειδητοποίησης, διότι πολύ πρόσφατα δέχθηκε παραλητικές επιθέσεις σε ψηφιακές υποδομές της στο πλαίσιο του γεωπολιτικού ανταγωνισμού. Αντίστοιχεςοδυνηρές εμπειρίες είχαν και άλλα κράτη με χαμηλότερο οικονομικό επίπεδο από την Ελλάδα (βλ. Ουκρανία),οι οποίες ωστόσο τους ανάγκασαν να αναπτύξουν τις ικανότητες τους στο πεδίο της κυβερνοασφάλειας
    προκειμένου να μπορούν εν τέλει να προστατεύσουν την εθνική τους ασφάλεια. Η Ελλάδα, ίσως από καθαρή τύχη, έχει ακόμα την πολυτέλεια να μην χρειαστεί να “πάθει για να μάθει” από ψηφιακά “Τέμπη”. Ας ληφθείαυτό υπόψη προκειμένου οι ταγοί να επισπεύσουν τη δημιουργία ενός αποτελεσματικού πλαισίου κυβερνοασφάλειας, καθώς δεν υπάρχουν άλλα χρονικά περιθώρια. Η ψηφιοποίηση της οικονομίας και της κοινωνίας δεν μπορεί να σταματήσει και όσο δεν υπάρχουν αποτελεσματικές δικλείδες ασφάλειας, οι κυβερνοαπειλές θα προστεθούν στον μακρύ κατάλογο των λόγων για τους οποίους ό έλληνας πολίτης δεν
    νιώθει ασφαλής στην ίδια του την χώρα.

  • 16 Ιανουαρίου 2024, 11:39 | KR

    Ο ραγδαίος ρυθμός τεχνολογικών εξελίξεων σε τομείς όπως η τεχνητή νοημοσύνη (ΑΙ) και οι κβαντικοί υπολογιστές (quantum computing) και η εξάπλωση της επιφάνειας απειλής επιθέσεων του κυβερνοχώρου όχι μόνο σε ατομικές συσκευές και δεδομένα, αλλά σε βασικές υπηρεσίες όπως ο ηλεκτρισμός και η διανομή πόσιμου νερού, δεν αποτελούν γενικόλογα «μια σειρά από εθνικές ανάγκες και ενωσιακές υποχρεώσεις» στις οποίες καλείται η χώρα να προσαρμοσθεί.
    Συνιστούν κατεπείγοντα ζητήματα στα οποία η πολιτεία έπρεπε ήδη να έχει ανταποκριθεί με κατάλληλο πλαίσιο, δομές και διαδικασίες. Μια τέτοια μεταρρύθμιση, η αξία της οποίας είναι τεράστια για όλους τους πυλώνες της κοινωνικοοικονομικής ζωής, δεν μπορεί να αντιμετωπίζεται με δισταγμούς, ως «βλέποντας και κάνοντας» (muddling through), μεταθέτοντας ζητήματα όπως η αποτελεσματική οργάνωση, η λειτουργία και το πλαίσιο κινήτρων στελέχωσης σε μελλοντική θεσμοθέτηση.
    Απαιτείται η πολιτική ηγεσία να επιδείξει την αρμόζουσα τόλμη και να προβεί στις απαιτούμενες μεταρρυθμιστικές τομές, ήδη με την κατάθεση του ν/σ στη Βουλή, ώστε μια Εθνική Αρχή Κυβερνοασφάλειας της επιδιωκόμενης αποστολής και έργου να είναι σε θέση να λειτουργήσει τάχιστα οργανωτικά και επιχειρησιακά, πριν την προλάβουν οι εξελίξεις.

  • 15 Ιανουαρίου 2024, 22:06 | Ιάσωνας Παρισινός

    Γενικά σχόλια

    Το σχέδιο νόμου έρχεται έστω και με μεγάλη καθυστέρηση – λόγω πολιτικής αναποφασιστικότητας και απρονοησίας προηγούμενων ετών – να αντιμετωπίσει κρίσιμα ζητήματα στον τομέα της κυβερνοασφάλειας στην Ελλάδα. Θετικό σημείο το γεγονός ότι το εν λόγω σχέδιο νόμου έρχεται να προσδιορίσει ένα επαρκές; (θα φανεί εν τοις πράγμασι) θεσμικό πλαίσιο και να αποτελέσει τον βασικό πυλώνα για την ενίσχυση της δημόσιας πολιτικής κυβερνοασφάλειας και την υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας, στο πλαίσιο των εθνικών αναγκών και των ενωσιακών δεσμεύσεων της χώρας.

    Δυστυχώς, οι νόμοι στην Ελλάδα θεσπίζονται χωρίς να εφαρμόζονται στην πράξη, ενώ ταυτόχρονα απουσιάζει η αξιολόγησή τους μέσω μίας συγκεκριμένης μεθοδολογίας αποτίμησης ως προς την αποτελεσματικότητα, την αποδοτικότητα και την προστιθέμενη αξία τους. Τυχαίνει ως Έλληνας να εργάζομαι σε οργανισμό της Ευρωπαϊκής Ένωσης και να έχω μία πολύ σαφή και εκ του σύνεγγυς (συγκριτική) εικόνα της ελληνικής κατάστασης στον τομέα της κυβερνοασφάλειας έναντι των άλλων ευρωπαϊκών χωρών.

    Δυστυχώς, η χώρα μας έχει ήδη μείνει αρκετά πίσω παρά τις πολύ σημαντικές, ουσιαστικές και φιλότιμες ενέργειες κάποιων λίγων ανθρώπων του δημόσιου τομέα που ασχολούνται με την κυβερνοασφάλεια στην πατρίδα μας. Από προσωπική εμπειρία επισημαίνω την εξαιρετική κατάρτιση, το υψηλό επίπεδο προετοιμασίας και τη διαρκή παρουσία των ελληνικών αποστολών κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης σε ευρωπαϊκές επιτροπές και ομάδες εργασίας για θέματα αρμοδιότητάς τους. Όμως, πέραν αυτού, μία απλή και μόνο αναζήτηση στις ιστοσελίδες των οργανισμών κυβερνοασφάλειας των άλλων ΚΜ της ΕΕ και κυρίως του έργου που παράγουν οι περισσότερες εξ αυτών, αρκούν για να γίνουν κάποιες χρήσιμες, κρίσιμες αλλά και απογοητευτικές διαπιστώσεις. Χωρίς να υπεισέρχομαι στην ουσία και χωρίς επιπλέον σχόλια, η εικόνα και μόνο της ιστοσελίδας κυβερνοασφάλειας του ελληνικού Υπουργείου Ψηφιακής Διακυβέρνησης μιλάει από μόνη της.

    Για να μπορέσει η νέα Αρχή της Ελλάδας να εξελιχθεί και να παράξει έργο, απαιτείται σοβαρή και διαρκής χρηματοδότηση, σαφές και άμεσα εφαρμόσιμο θεσμικό πλαίσιο, στελέχωση με εξειδικευμένο προσωπικό, συνεχείς εκπαιδεύσεις και – το βασικότερο – συντονισμό σε ανώτατο πολιτικό επίπεδο με ισχυρές, άμεσες, ουσιαστικές και ευέλικτες πολιτικές αποφάσεις – σε συνεργασία με τη διοίκηση της Αρχής – και όχι ατέρμονες θεωρητικολογίες και αναβλητικότητες.

    Τη στιγμή που τα άλλα ΚΜ εξελίσσονται στον τομέα της κυβερνοασφάλειας με ραγδαίους ρυθμούς, συνεργάζονται, αναπτύσσουν συμμαχίες και κοινότητες με το σχετικό γνωστικό υπόβαθρο, η χώρα μας ακολουθεί αγκομαχώντας ελλείψει ορθών πολιτικών πρωτοβουλιών και αποφάσεων. Η ατολμία και οι γραφειοκρατικές αγκυλώσεις δεν συνάδουν με το έργο που θα κληθεί να επιτελέσει η Αρχή το προσεχές διάστημα μέσα σε ένα διαρκώς εξελισσόμενο και μεταβαλλόμενο παγκοσμιοποιημένο περιβάλλον κυβερνοαπειλών. Η Ελλάδα οφείλει να βρίσκεται στο ίδιο επίπεδο ανάπτυξης, ετοιμότητας, τεχνογνωσίας, με τα άλλα κράτη – μέλη και όχι να αποτελεί τον φτωχό συγγενή ή την ψωροκώσταινα της ΕΕ.

    Ειδικότερα σχόλια επί των άρθρων:

    Άρθρο 1

    Σύμφωνα με τη παράγραφο 2 «ο καθορισμός ενός διαφανούς πλαισίου ρόλων, ευθυνών και λογοδοσίας» δεν αποτυπώνεται σε κανένα σημείο του σχεδίου νόμου. Φράση κενή νοήματος και περιεχομένου. Προτείνεται να διαγραφεί ή να επαναδιατυπωθεί.

    Άρθρο 6

    Προτείνεται ο Διοικητής να ορίζεται μέσω διαφανών και αδιάβλητων διαδικασιών (επιτροπή ΑΣΕΠ) κατόπιν ελέγχου των φακέλων τουλάχιστον 3-4 υποψηφίων και όχι κατόπιν εισήγησης του Υπουργού Ψηφιακής Διακυβέρνησης ενός και μόνο προτεινόμενου. Οι συγκεκριμένες θέσεις δεν πρέπει να έχουν πολιτική απόχρωση ως προς την επιλογή αλλά να βασίζονται στην τεχνογνωσία, την εμπειρογνωμοσύνη, και – αυτονόητα – την απαραίτητη τεχνική κατάρτιση επί του αντικειμένου, τα οποία θα αποδεικνύονται εμπράκτως από αρμόδια επιτροπή.

    Άρθρο 8

    Ισχύουν τα αναφερόμενα στο άρθρο 6. Επίσης, οφείλουν και οι Υποδιοικητές να διαθέτουν κατ’ ελάχιστον μεταπτυχιακό τίτλο σπουδών. Επιπρόσθετα, θα πρέπει να προσδιοριστούν με σαφήνεια οι αρμοδιότητές τους κατ’ αναλογία μ’ εκείνες του Διοικητή.

    Άρθρο 9

    Σύμφωνα με την παρ. 2, άρθρο 14, το προσωπικό της Αρχής έχει υποχρέωση διαβάθμισης για χειρισμό Εθνικά Διαβαθμισμένων Πληροφοριών και Υλικού. Πώς αυτό συμβιβάζεται με τους μετακλητούς υπαλλήλους του άρθρου 9, ως συνεργάτες της διοίκησης της Αρχής; Πώς εξασφαλίζεται η εχεμύθειά τους μετά την ολοκλήρωση της θητείας τους και οι πληροφορίες που απέκτησαν δεν θα χρησιμοποιηθούν στο μέλλον σε άλλο περιβάλλον εργασίας; Προτείνεται οι συνεργάτες Διοικητή και Υποδιοικητών να μην καλύπτονται από μετακλητούς υπαλλήλους αλλά αποκλειστικά από έμπειρο και καταρτισμένο προσωπικό της ίδιας της Αρχής ή από άλλους συναφείς φορείς του δημοσίου τομέα.

    Άρθρο 20

    Η άσκηση μίας πληθώρας νέων αρμοδιοτήτων της Αρχής απαιτεί όχι μόνο τη διατήρησή του όποιου υπάρχοντος έμψυχου δυναμικού της αλλά και τη στελέχωσή της με επιπλέον εξειδικευμένο προσωπικό για να μπορέσει να τις υλοποιήσει με σοβαρότητα, επάρκεια και αποτελεσματικότητα. Με τις πενιχρές αποδοχές του δημοσίου τομέα και χωρίς επιπλέον οικονομικά κίνητρα (η φράση «δύναται να προβλέπεται ειδικό επίδομα…» με βάση την ελληνική εμπειρία μεταφράζεται σε ‘δεν γίνεται να…’ ή ‘δεν δίνεται…’ και παραπέμπεται στις καλένδες), ως ένα σημαντικό μέσο προσέλκυσης ικανών στελεχών, η πλήρωση των οργανικών θέσεων θα παραμείνει σε πολύ χαμηλά επίπεδα. Ίσως να οδηγούσε μέσω νέας πρόσληψης και τον γράφοντα – και όχι μόνο – στην επιστροφή του στην Ελλάδα. Συνεπώς, το έργο που καλείται να επιτελέσει η Αρχή, παραμένει εξαρχής και εν πολλοίς μη εφαρμόσιμο με τις όποιες συνέπειες αυτό συνεπάγεται για την ασφάλεια της χώρας. Οι έμπειροι και καταρτισμένοι στο τομέα της κυβερνοασφάλειας αμείβονται πλουσιοπάροχα στον ιδιωτικό τομέα ή/και σε διεθνείς οργανισμούς εντός και εκτός της χώρας μας. Άρα, ελάχιστοι θα επιλέξουν να στελεχώσουν την ελληνική Αρχή, καθώς θα μπορούν με μεγάλη ευκολία να προσληφθούν σε μεγάλες ιδιωτικές εταιρείες της Ελλάδας ή του εξωτερικού με πολλαπλάσιο μισθό.

    Άρθρο 21

    Σύμφωνα με το τελευταίο εδάφιο του της παρ. 4 «Από την 1η Ιανουαρίου 2025 το συνολικό κόστος μισθοδοσίας, καθώς και κάθε είδους αποδοχές, βαρύνουν την Αρχή και καταβάλλονται από αυτήν». Όμως, κατά το άρθρο 13 «οι αποσπώμενοι, κατά τον χρόνο της απόσπασής τους, μισθοδοτούνται και ασφαλίζονται από τον φορέα προέλευσής τους, και εξακολουθούν να λαμβάνουν τις πρόσθετες αποδοχές, επιδόματα και την ασφαλιστική κάλυψη που λάμβαναν από αυτόν προ της απόσπασης, εξαιρουμένου του επιδόματος θέσης ευθύνης.» Δεν προσδιορίζεται με σαφήνεια το μισθοδοτούμενο καθεστώς του προσωπικού που παραμένει ως αποσπασμένο στη νέα Αρχή.

    Σχόλια επί της Ανάλυσης Συνεπειών Ρύθμισης:

    Τα όσα πολυσέλιδα αναφέρονται στην αιτιολογική έκθεση ανάλυσης συνεπειών θα πρέπει να αποτυπωθούν εμπράκτως στο σχέδιο νόμου. Ενδεικτικά, τι ακριβώς σημαίνει η φράση «Ακολουθώντας μια ολοκληρωμένη προσέγγιση, προκειμένου να μην καταλείπονται τυχόν κενά και αρρυθμίες στην επίτευξη του αναγκαίου συντονισμού όλων των εμπλεκομένων δρώντων» (σελ. 3) και πώς αυτό απτά και ουσιαστικά αποτυπώνεται στο σχέδιο νόμου;

    Επίσης, μπορείτε, ενδεικτικά, να προσδιορίσετε με σαφήνεια ποιες είναι οι «ειδικές ρυθμίσεις για το προσωπικό του»; (σελ. 8). Οι βραχυπρόθεσμοι και μακροπρόθεσμοι στόχοι απαιτούν επάρκεια προσωπικού το οποίο απ’ ότι φαίνεται θα καθυστερήσει αρκετά μεγάλο χρονικό διάστημα για να ενταχθεί στη νέα Αρχή, με δεδομένο ότι με βάση το άρθρο 20 του σχεδίου νόμου προβλέπεται προεδρικό διάταγμα, που θα ορίζει τον Οργανισμό της Αρχής (περιγράμματα θέσεων, μετατάξεις, προσλήψεις, αποσπάσεις).

    Οι καλές πρακτικές άλλων χωρών που αναφέρετε, ενδεχομένως να μην βρίσκουν έρεισμα καθώς θα έπρεπε ήδη αυτές να έχουν αποτυπωθεί σε σχέδιο προεδρικού διατάγματος για την Αρχή σε συνεργασία και με τα στελέχη της υφιστάμενης δομής, τα οποία προφανώς διαθέτουν την απαραίτητη εμπειρία ως προς τα προαπαιτούμενα στελέχωσης της Αρχής. Εάν έχει ήδη γίνει τέτοια προετοιμασία, παρακαλώ αγνοήστε το σχόλιό μου.

    Η Εθνική Αρχή Κυβερνοασφάλειας της χώρας μας οφείλει να αποτελέσει την αιχμή του δόρατος στον τομέα της κυβερνοασφάλειας στη χώρα μας. Για το λόγο αυτό, πρέπει να περιβάλλεται και να επενδύεται με το ανάλογο, αυξημένο κύρος για να πετύχει τους επιδιωκόμενους σκοπούς της. Η λύση του “shop in a shop” (η Εθνική Αρχή Κυβερνοασφάλειας να εδρεύει εντός του κτηρίου του Υπουργείου Ψηφιακής Διακυβέρνησης) δεν είναι δυνατόν να αποτελεί την ενδεδειγμένη λύση για τους κάτωθι ενδεικτικά αναφερόμενους λόγους:

    · Λόγοι ασφαλείας: κατόπιν μελέτης κρίνεται απαραίτητη η άμεση μετεγκατάσταση της Αρχής σε δικές της κτηριακές εγκαταστάσεις, οι οποίες θα τηρούν συγκεκριμένες προδιαγραφές ασφαλείας, όπως ενδεικτικά η απόσταση ασφαλείας από άλλα γειτνιάζοντα κτήρια, φωτισμός και περίφραξη κτηρίου, συστήματα ελέγχου πρόσβασης επισκεπτών και εργαζομένων, διαχείριση διαφορετικών επιπέδων πρόσβασης προσωπικού και επισκεπτών με χρήση ηλεκτρονικών καρτών ή/και βιομετρικών συστημάτων, εγκατάσταση ψηφιακών υποδομών (computer room, servers, δίκτυα, κλπ.), ασφάλεια δικτύου υπολογιστών, ασφαλείς χώροι αποθήκευσης (π.χ. ερμάρια με αντικλεπτικούς μηχανισμούς), κρυπτογράφηση ψηφιακών δεδομένων, κρυπτογράφηση επικοινωνιών με χρήση ανάλογου εξοπλισμού κλπ.

    · Επωνυμία και ταυτότητα (branding): Ένα ξεχωριστό κτίριο επιτρέπει στην Αρχή να καθιερώσει τη δική της ταυτότητα και την εννοιολογική μεταξύ άλλων οντότητά της. Να αναδείξει το σκοπό και την αποστολή της και να βοηθήσει στην οικοδόμηση μιας ξεχωριστής οργανωτικής κουλτούρας τόσο σε εσωτερικό επίπεδο όσο και ως προς την εικόνα που θα εμφανίζει προς τα έξω. Αυτά σε συνδυασμό και με ένα λογότυπο το οποίο θα αποτελεί ένα ξεκάθαρο σημείο αναφοράς του έργου με το οποίο είναι επιφορτισμένη η Αρχή.

    · Λειτουργική ανεξαρτησία, προστασία απορρήτου, εμπιστευτικότητα: Η ύπαρξη δικού της κτιρίου παρέχει στον Αρχή έναν βαθμό επιχειρησιακής ανεξαρτησίας, ενισχύει την εμπιστευτικότητα και την ιδιωτικότητα (μειωμένος κίνδυνος διαρροής πληροφοριών).

  • 14 Ιανουαρίου 2024, 12:24 | Lisbeth Salander

    Η φιλοδοξία του προτεινόμενου σχεδίου νόμου να ανταποκριθεί στις καταδεικνυόμενες αυξανόμενες εθνικές ανάγκες και τις επιτακτικές ενωσιακές δεσμεύσεις στον τομέα κυβερνοασφάλειας φαίνεται να υπονομεύεται από μεν τον αυξανόμενο όγκο εργασιών και υποχρεώσεων, τη φειδωλή χρηματοδότηση, την έλλειψη οικονομικών και άλλων κινήτρων για την προσέλκυση και διατήρηση στελεχών όλων των πεδίων, την απουσία πρόβλεψης κτιριακών και άλλων υποδομών, μεταξύ άλλων, δε.
    Ευελπιστούμε στη συνειδητοποίηση των τρωτών σημείων αυτού του κρίσιμου εγχειρήματος και στην άμεση ανταπόκριση για την αντιμετώπισή τους, ώστε να αξιοποιηθούν κατάλληλα οι πολλαπλές ευκαιρίες που αναδύονται μέσω της Εθνικής Αρχής Κυβερνοασφάλειας.

  • 11 Ιανουαρίου 2024, 13:33 | Μ. Παπαδοπούλου

    Στην αιτιολογική έκθεση αναφέρεται το εξής:
    «Βασικό ζήτημα το οποίο αντιμετωπίζεται με το προτεινόμενο σχέδιο νόμου είναι η αναγκαία ενίσχυση του εθνικού συστήματος διακυβέρνησης της δημόσιας πολιτικής κυβερνοασφάλειας, στα πρότυπα του συνόλου σχεδόν των κρατών – μελών της Ευρωπαϊκής Ένωσης,καθώς και όλων των κρατών με ισχυρή θέση στον τομέα της κυβερνοασφάλειας.» και

    «Οι κυβερνοεπιθέσεις στην Ελλάδα ακολουθούν, σε αντιστοιχία με το σύνολο των χωρών του δυτικού κόσμου, μια διαρκώς αυξητική τάση, με τα σοβαρά περιστατικά να
    πολλαπλασιάζονται {..}.»

    Παρά την ως άνω λεκτική αποτύπωση και αναγνώριση της κρισιμότητας του πεδίου πολιτικής στο οποίο καλείται να δραστηριοποιηθεί η Αρχή, ασκώντας μάλιστα συντονιστικά και ελεγκτικά καθήκοντα, απουσιάζει πλήρως η πρόβλεψη των απαραίτητων κινήτρων που θα οδηγήσουν στην άντληση κατάλληλα καταρτισμένων στελεχών.

    Έχει άραγε ο νομοθέτης λάβει υπόψιν του την δομή, τις απολαβές και το πλαίσιο που διέπει την άσκηση αρμοδιοτήτων των αντίστοιχων εθνικών αρχών Κυβερνοασφάλειας των Κρατών μελών της ΕΕ;

  • 10 Ιανουαρίου 2024, 22:35 | Κώστας Περρίκος

    Θα πρότεινα επίσης το πλαίσιο να συμπεριλαμβάνει και «κατευθυντήριες γραμμές», τις οποίες θα ορίζει η Αρχή και θα είναι βάσει διεθνών προτύπων ως επιπλέον για το σημείο β

  • 8 Ιανουαρίου 2024, 08:07 | Χριστίνα Μυτούλα

    Δημιουργία του σωστού νομοθετικού πλαισίου ε αρμόδια δικαστήρια και εξειδικευμένο προσωπικό.

  • 6 Ιανουαρίου 2024, 16:01 | Ορέστης

    Είμαι ειδικός Κυβερνοασφάλειας και εργάζομαι στο αντικείμενο πάνω από 12 χρόνια. Παίρνω αυτή την στιγμή μισθό περίπου 4 φορές μεγαλύτερο ενός δημοσίου υπαλλήλου. Κάθε μέρα δέχομαι πάνω απ 4-5 μηνύματα στο linkedin από εταιρίες για εργασία. Δεν απαντάω σε κανέναν και συνεχίζουν με ψυχωτική μανία να στέλνουν.. Θεωρείται πραγματικά πως θα βρείτε ειδικούς στην Κυβερνοασφάλεια με μισθό δημοσίου υπαλλήλου χωρίς καν επιπλέον σοβαρά επιδόματα και κίνητρα?
    Αυτό που θα συμβεί στην πράξη είναι να στελεχωθει ο νέος αυτός Οργανισμός με Διοικητικούς δημόσιους υπάλληλους που θα κάνουν την χαρτουρα για να δίνεται συνολικά η εργασία ως projects στον ιδιωτικό τομέα.

  • 5 Ιανουαρίου 2024, 22:36 | Α.Π.

    Θεωρώ ότι είναι στη σωστή κατεύθυνση.. δυστυχώς όμως διαβάζοντας το νόμο αντιλαμβάνομαι οτι δεν υπάρχει καν η προθεση να δημιουργηθεί κάτι που θα μπορεσει να δουλέψει.
    Μηδενικά κίνητρα για τους υπαλλήλους που θα πρέπει να στελεχώσουν αυτη την νέα εταιρεία, ελάχιστο budget, άμεση εξάρτηση από την εκάστοτε πολιτική ηγεσία και αυτά αφορούν μόνο την ελληνική πραγματικότητα.
    Η οδηγία NIS2 τέλη του 2024, θα ειναι σε ισχύ πως ακριβώς αυτος ο οργανισμός θα μπορέσει να ανταποκριθεί;

    Δυστυχώς για άλλη μια φορά, σε θέματα που ειναι εξόχως σημαντικά γίνεται δουλειά στο γόνατο, αδυνατώ να καταλάβω τι είναι αυτό που σας εμποδίζει στη δημιουργία ενός σοβαρού οργανισμού που θα αποτελεί ουσιαστικό μέσο πρόληψης και προστασίας των κρίσιμων υποδομών, και αντ’αυτού «τρεχουν» έργα από άσχετους με κυβερνοασφάλεια φορείς όπως ΚτΠ.
    Με ποια κριτήρια;

    Ευχομαι οι λίγοι ήρωες δημόσιοι υπάλληλοι που θα στελεχώσουν τον νέο φορέα (εταιρεία περιορισμένης ευθύνης) να αντέξουν.

  • 5 Ιανουαρίου 2024, 13:26 | Δημήτρης

    Οι ειδικοί στον τομέα της Κυβερνοασφάλειας είναι περιζητοι από τον ιδιωτικό τομέα παγκοσμίως. Ποια κίνητρα δίνονται για να προσελκύσουν τα κατάλληλα στελέχη στην δομή αυτή? Τον μισθό του δημοσίου χωρίς έστω επιπλέον επιδόματα? Δυστυχως χωρίς τους κατάλληλους ανθρώπους θα παραμείνει ένα ακόμα ευχολόγιο αυτός ο νόμος.

  • 4 Ιανουαρίου 2024, 14:50 | Χρυσόστομος Παπαλεονάρδος

    Το παρόν σχέδιο νόμου βρίσκεται στην σωστή κατεύθυνση, ωστόσο δεν φέρνει λύσεις σε βασικά οργανωτικά ζητήματα. Πιο πολύ δίνεται η αίσθηση ότι το κρίσιμο ζήτημα της οργάνωσης ενός αποτελεσματικού πλαισίου διακυβέρνησης παραπέμπεται σε δεύτερο χρόνο, ενώ τα χρονικά περιθώρια για την εφαρμογή αυτού του πλαισίου, έχουν ήδη εκλείψει.
    Το γεγονός ότι στην Ελλάδα δεν υφίσταται μια εθνική αρχή κυβερνοασφάλειας η οποία να έχει στη διάθεση της τους απαιτούμενους ανθρώπινους, οικονομικούς και τεχνικούς πόρους προκειμένου να υλοποιήσει το έργο της, δεν φαίνεται να αντιμετωπίζεται αποτελεσματικά με τις προτεινόμενες ρυθμίσεις. Ακόμα και αν θεωρήσουμε ότι το προτεινόμενο πλαίσιο είναι μεταβατικό, τα ρυθμιζόμενα θέματα, δεν δημιουργούν κατάλληλες συνθήκες προκειμένου να «τρέξει» η οργάνωση του πλαισίου διακυβέρνησης με την απαιτούμενη ταχύτητα ώστε αυτό να μπορέσει να ανταποκριθεί στις αυξημένες απαιτήσεις που θέτει η νέα Οδηγία NIS, η οποία θα πρέπει άμεσα να μεταφερθεί πλήρως στην εθνική έννομη τάξη.
    Πέραν της αυταπόδεικτης ανάγκης για ίδρυση ενός διακριτού αρμόδιου φορέα και της διεύρυνσης της οργανωτικής του δομής του προκειμένου να «χωρέσει» το μεγάλο εύρος των ασκούμενων αρμοδιοτήτων, οι προτεινόμενες ρυθμίσεις δεν κομίζουν κάποια άλλη κρίσιμη οργανωτική εξέλιξη. Ωστόσο, η συμμόρφωση της χώρας με τις απαιτήσεις της NIS απαιτεί μία σειρά ενεργειών που επιτρέψουν στην εθνική αρχή να μπορέσει να ασκήσει άμεσα τις κρίσιμες αρμοδιότητες της και να μην βρεθεί σε καθεστώς μακράς μεταβατικής λειτουργίας.
    Σύμφωνα με το άρθρο 4, παρ.2, περ. ι του σχεδίου νόμου, η Εθνική Αρχή «ασκεί ελεγκτικές αρμοδιότητες, διενεργεί επιθεωρήσεις και επιβάλλει κυρώσεις στο πλαίσιο του ελέγχου συμμόρφωσης προς το νομικό πλαίσιο για την κυβερνοασφάλεια». Παραμένει το ερώτημα, πως θα ασκηθεί αυτή η αρμοδιότητα δεδομένου ότι δεν υφίστανται: α) νομοθετικό πλαίσιο ελέγχων κυβερνοασφάλειας, αλλά και β) πλαίσιο κινήτρων για την άσκηση ελεγκτικού έργου από εξειδικευμένους/καταρτισμένους υπαλλήλους, δεδομένου μάλιστα ότι η ελεγκτική ύλη αφορά οντότητες που διαχειρίζονται κρίσιμες υποδομές με πολύ μεγάλο κύκλο εργασιών και εκτενείς πληροφοριακές υποδομές, οι οποίες πλέον θα υπάγονται σε αυξημένες απαιτήσεις κανονιστικής συμμόρφωσης σύμφωνα με την νέα οδηγία. Θα πρέπει να υπάρξουν διατάξεις για την ρύθμιση αμφότερων αυτών των ζητημάτων.
    Επιπλέον, σύμφωνα με το άρθρο 19 της νέας οδηγίας NIS, θα διενεργούνται αξιολογήσεις εμπειρογνωμόνων κυβερνοασφάλειας προερχόμενων από τα κράτη – μέλη προς τις εθνικές αρχές, μεταξύ άλλων για: α) το επίπεδο εφαρμογής των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και των υποχρεώσεων υποβολής εκθέσεων που προβλέπονται στα άρθρα 21 και 23 και β) το επίπεδο των ικανοτήτων, συμπεριλαμβανομένων των διαθέσιμων οικονομικών, τεχνικών και ανθρώπινων πόρων, και την αποτελεσματικότητα της άσκησης των καθηκόντων εκ μέρους των αρμόδιων αρχών. Πως θα μπορέσει η Εθνική Αρχή Κυβερνοασφάλειας ως η αρμόδια εθνική αρχή κατά την οδηγία NIS, να ανταποκριθεί σε αυτές και άλλες απαιτήσεις, εφόσον δεν καθιερώνονται κίνητρα προσέλκυσης στελεχών ειδικών προσόντων; Επισημαίνεται ότι εντός της Αρχής, βάσει του ισχύοντος πλαισίου, θα πρέπει να λειτουργήσει εθνική αρχή πιστοποιήσεων κυβερνοασφάλειας, εθνικό κέντρο συντονισμού για χρηματοδοτήσεις και το SOC του ν.5002/2022. Επίσης, σύμφωνα με το σχέδιο νόμου, θα μπορεί να λειτουργήσει και ως ενδιάμεσος φορέας των επιχειρησιακών προγραμμάτων του Ε.Σ.Π.Α.
    Άρα, σύμφωνα με το ισχύον πλαίσιο στην Γενική Διεύθυνση Κυβερνοασφάλειας ήδη συγκεντρώνονται, μεταξύ άλλων, αρμοδιότητες κανονιστικές, ελεγκτικές και χρηματοδοτικές. Η άσκηση αυτών των αρμοδιοτήτων απαιτεί τη διατήρηση του υπάρχοντος προσωπικού και την περαιτέρω στελέχωση της με υπαλλήλους ειδικών προσόντων και σχετικής κατάρτισης. Ενώ για το νέο ΝΠΔΔ, ορθά προβλέπονται 155 οργανικές θέσεις, είναι απορίας άξιο το πως αυτές εν τέλει θα καλυφθούν και πως θα ασκηθεί το πλήθος των παραπάνω αρμοδιοτήτων.
    Πρέπει να γίνει επιτέλους πλήρως κατανοητό, ότι όσο δεν προωθείται μία αποτελεσματική αναδιοργάνωση του πλαισίου διακυβέρνησης κυβερνοασφάλειας, η οποία ξεκινάει μεν από την καθιέρωση ενός εξειδικευμένου φορέα, αλλά δεν σταματάει εκεί, αυτό μέσο – μακροπρόθεσμα βαίνει εις βάρος της εθνικής ασφάλειας και της ικανότητας μιας χώρας με περιορισμένες δημοσιονομικές δυνατότητες όπως η Ελλάδα, να αξιοποιήσει τους ήδη διαθέσιμους ευρωπαϊκούς πόρους για την ενίσχυση της κυβερνοασφάλειας του δημόσιου και ιδιωτικού τομέα και εν τέλει της ενίσχυση της ασφάλειας των μεμονωμένων πολιτών και της διατήρησης της εμπιστοσύνης τους στην ψηφιακή μετάβαση.

  • 4 Ιανουαρίου 2024, 08:48 | Μανώλης

    Στα 22 τρισ. ευρώ θα φτάσουν οι απώλειες παγκοσμίως μέχρι το 2027 λόγω κυβερνοεπιθέσεων. Επιπλέον εκτιμώνται σε δεκάδες χιλιάδες μόνο σε Ευρωπαϊκό επίπεδο η έλλειψη εξειδικευμένων στελεχών στον τομέα της Κυβερνοασφάλειας.
    Απέναντι σε αυτές τις προκλήσεις ένα νομοσχέδιο στήνει μια Αρχή που θα αναζητήσει ειδικούς (μέσα από το δημόσιο τομέα) αμοιβόμενους με ενιαίο μισθόλογιο. Τι πιθανότητες επιτυχίας έχει να επιτύχει με αυτούς τους όρους τον σκοπό του? Δυστυχώς καμία

  • 3 Ιανουαρίου 2024, 21:32 | ΠΑΠΑΔΟΠΟΥΛΟΣ ΔΗΜΗΤΡΙΟΣ

    Αξιότιμες κυρίες / Αξιότιμοι κύριοι,

    νομίζω δεν είναι πρέπον να δημοσιεύεται για διαβούλευση η «ΟΡΓΑΝΩΣΗ
    ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ» σε ιστοσελίδα
    που δεν είναι ασφαλής, όπως φορτώνεται στον browser(Chrome).
    (not secure – your connection to this site is not secure).

    Αυτοαναιρείται ο σκοπός β), όπως αναφέρεται στο άρθρο 1.

    <>

  • 3 Ιανουαρίου 2024, 20:36 | Basilis

    Ok