- Οι βασικές και σημαντικές οντότητες λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες και οργανισμούς. Λαμβάνοντας υπόψη τα πλέον σύγχρονα και, κατά περίπτωση, σχετικά εθνικά, ευρωπαϊκά και διεθνή πρότυπα, καθώς και το κόστος εφαρμογής, τα μέτρα που αναφέρονται στο πρώτο εδάφιο εξασφαλίζουν επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριακών συστημάτων ανάλογο προς τον εκάστοτε κίνδυνο. Κατά την αξιολόγηση της αναλογικότητας των εν λόγω μέτρων, λαμβάνονται υπόψη ο βαθμός έκθεσης της οντότητας σε κινδύνους, το μέγεθος της οντότητας, η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, συμπεριλαμβανομένων των κοινωνικών και οικονομικών επιπτώσεών τους.
- Τα μέτρα της παρ. 1 βασίζονται σε ολιστική προσέγγιση του κινδύνου που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά, περιλαμβάνουν δε τουλάχιστον τα ακόλουθα:
α) πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων,
β) διαχείριση περιστατικών,
γ) επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των κρίσεων,
δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των σχετικών με την ασφάλεια πτυχών που αφορούν τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της,
ε) ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένων του χειρισμού και της γνωστοποίησης ευπαθειών,
στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας,
ζ) βασικές πρακτικές κυβερνοϋγιεινής και κατάρτιση στην κυβερνοασφάλεια,
η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης, σε συνεργασία με την εθνική αρχή CRYPTO, όπου απαιτείται,
θ) ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων,
ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας ή συνεχούς επαλήθευσης ταυτότητας, ασφαλών φωνητικών επικοινωνιών, επικοινωνιών βίντεο και κειμένου και ασφαλών συστημάτων επικοινωνιών έκτακτης ανάγκης εντός της οντότητας, κατά περίπτωση.
- Εφόσον το μέτρο της περ. δ) της παρ. 2 κριθεί, σύμφωνα με την απόφαση της παρ. 16 του άρθρου 29, ως κατάλληλο, οι οντότητες λαμβάνουν υπόψη τις ευπάθειες που χαρακτηρίζουν κάθε άμεσο προμηθευτή και πάροχο υπηρεσιών, τη συνολική ποιότητα των προϊόντων και των πρακτικών κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους, καθώς και τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με την παρ. 1 του άρθρου 22 της Οδηγίας 2022/2555.
- Κάθε οντότητα που διαπιστώνει ότι δεν συμμορφώνεται με τα μέτρα που προβλέπονται στην παρ. 2 λαμβάνει, αμελλητί, όλα τα αναγκαία, κατάλληλα και αναλογικά διορθωτικά μέτρα.
- Οι βασικές και οι σημαντικές οντότητες:
α) Ορίζουν ένα αρμόδιο στέλεχός τους, ανάλογων προσόντων και εμπειρογνωμοσύνης, ως Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), ο οποίος αναλαμβάνει:
αα) τη διαχείριση πάσης φύσεως επικοινωνιών και επαφών με την Εθνική Αρχή Κυβερνοασφάλειας,
ββ) την επιμέλεια και τον εσωτερικό συντονισμό για τη συμμόρφωση της οικείας οντότητας με τις απαιτήσεις του παρόντος άρθρου, καθώς και τις απαιτήσεις αναφοράς περιστατικών σύμφωνα με το άρθρο 16.
Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.) του άρθρου 37 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119) και των άρθρων 7 και 8 του ν. 4624/2019 (Α’ 137). Ο Υ.Α.Σ.Π.Ε. διαθέτει κατάλληλο επίπεδο αυτονομίας στη λήψη αποφάσεων, τη δυνατότητα εφαρμογής τους από τις επιμέρους οργανικές μονάδες της οντότητας, την ενημέρωση των οργάνων διοίκησης, τον συντονισμό της διαχείρισης περιστατικών ασφαλείας, καθώς και των διαδικασιών εφαρμογής των σχεδίων επιχειρησιακής συνέχειας και ανάκαμψης από καταστροφή. Για τους φορείς της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143), εφαρμόζονται τα άρθρα 18 και 19 του ν. 4961/2022 (Α’ 146), σχετικά με τον ορισμό, τα προσόντα και τα καθήκοντα του Υ.Α.Σ.Π.Ε..
β) Τηρούν ενιαία πολιτική κυβερνοασφάλειας, στην οποία συμπεριλαμβάνεται το σύνολο των επιμέρους μέτρων, πολιτικών και διαδικασιών που τηρούνται σύμφωνα με την παρ. 2 του παρόντος. Σε περίπτωση τήρησης από τον φορέα επιμέρους καταγεγραμμένων πολιτικών και διαδικασιών, που αφορούν κατ’ ελάχιστο τα μέτρα συμμόρφωσης της παρ. 2 του παρόντος, η ενιαία πολιτική κυβερνοασφάλειας παραπέμπει για τις επιμέρους λεπτομέρειες στις πολιτικές και διαδικασίες αυτές.
γ) Tηρούν συνολική καταγραφή των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών, τα οποία ιεραρχούνται βάσει της κρισιμότητάς τους.
Τα περισσότερα σχόλια εδώ φαίνεται να αφορούν το κομμάτι του ρίσκου της εφοδιαστικής αλυσίδας και φόβους προμηθευτών, από ότι φαίνεται, που ανησυχούν ότι θα αποκλειστούν από την αγορά γιατί δεν θα πληρούν τις προϋποθέσεις αυτές. Στην κυβερνοασφάλεια η προστασία δεδομένων και πληροφοριών και η προστασία της ιδιωτικότητας είναι πολύ πιο σημαντικοί στόχοι – αγαθά από την ελεύθερη αγορά και την ανταγωνιστικότητα.
Στην τελική ας φροντίσει κάθε προμηθευτής να συμμορφωθεί με τα διεθνή πρότυπα ασφαλείας αλλιώς καλώς θα αποκλειστεί από την αγορά μιας και θα αποτελεί κίνδυνο για την ψηφιακή ασφάλεια της χώρας.
Θα πρότεινα αντιθέτως να επεκταθεί η παράγραφος ι3 και να δηλώνει ρητά πως οι άμεσοι προμηθευτές οφείλουν να συμμορφώνονται με την σειρά τους σε μέρος των διατάξεων της παρούσας νομοθεσίας και μάλιστα είναι ευθύνη των κρίσιμων και σημαντικών οντοτήτων να επιβάλουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα που εναρμονίζονται με το προφίλ ρίσκου τους στους προμηθευτές τους μέσω σχετικών τροποποιήσεων των συμβολαίων και των συμβάσεων που συνυπογράφονται κατά την έναρξης ή επέκταση της εκάστοτε συνεργασίας με τους προμηθευτές.
Να θυμίσω ότι τα περισσότερα συμβάντα ασφαλείας τα τελευταία χρόνια (Solarwinds, Microsoft κλπ.) έχουν συμβεί από ευπάθειες στην εφοδιαστική αλυσίδα και ήρθε η ώρα οι προμηθευτές να συμμορφωθούν με τα διεθνή πρότυπα κυβερνοασφαλειας ανεξαρτήτως του μεγέθους τους.
Ως εκπρόσωπος της IP PARTNERS υποστηρίζουμε με συνέπεια την ενίσχυση της κυβερνοασφάλειας μέσα από την εφαρμογή της οδηγίας NIS2. Ωστόσο, κρίνουμε απαραίτητο να διασφαλιστεί η τεχνολογική ουδετερότητα και να αποφευχθούν διακρίσεις που θα μπορούσαν να δημιουργήσουν εμπόδια στη λειτουργία και στην ανάπτυξη των επιχειρήσεων.
Εκφράζουμε την έντονη ανησυχία μας πως ενδεχόμενοι αποκλεισμοί ή περιορισμοί σε τεχνολογίες και προϊόντα που ήδη χρησιμοποιούμε μπορεί να έχουν σοβαρές επιπτώσεις στη λειτουργία της εταιρείας μας, υπονομεύοντας την επιχειρησιακή μας ομαλότητα και καθυστερώντας σημαντικά την τεχνολογική μας πρόοδο και καινοτομία.
Στην παράγραφο 3 αναφέρεται ότι «καθώς και τα αποτελέσματα συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με το άρθρο 22 παράγραφος 1 της οδηγίας 2022/2555» Υποθέτοντας ότι οι μέθοδοι αξιολόγησης και τα αποτελέσματα της ΕΕ δεν υιοθετήσουν τελικά τεχνική μέθοδο, αυτό θα έχει πολύ δυσμενείς επιπτώσεις ειδικά για μια αγορά όπως η Ελληνική Επιπλέον, δεν υπάρχει ενιαίος ορισμός του τι συνιστά τεχνικό/μη τεχνικό, το οποίο θα οδηγήσει σε σύγχυση κατά τη διαδικασία αξιολόγησης και σε σύγκρουση με την ισχύουσα νομοθεσία, με αποτέλεσμα τελικά να προκύψουν αποκλίσεις επιβολής. Ως εκ τούτου, συνιστάται η παράληψης της παραγράφου για να διασφαλιστεί μεγαλύτερη ευελιξία και ευθυγράμμιση των ισχυουσών εθνικών νομοθεσιών, αποφεύγοντας νομοθετικούς κινδύνους
Ως προς την παράγραφο 3 συνιστάται ανεπιφύλακτα η διαχείριση των κινδύνων στον κυβερνοχώρο να γίνεται με βάση τεχνικά μέσα. Αλλά η εκτίμηση των κινδύνων της ΕΕ (που αναφέρεται στο άρθρο 22 παράγραφος 1 της οδηγίας 2022/2555 ΕΕ) μπορεί να περιλαμβάνει και μη τεχνικές προδιαγραφές κάτι που δημιουργεί ερωτήματα για το πως και με ποια μη τεχνικά κριτήρια θα λειτουργει στο μέλλον η αγορά . Αν η εκτίμηση κινδύνων οδηγήσει στο μέλλον σε περιορισμούς ή ακόμη και αποκλεισμούς τότε θα έχουμε στρέβλωση σε βάρος των ελληνικών επιχειρήσεων που θα είναι υποχρεωμένες να προμηθεύονται εξοπλισμό υψηλής ποιότητας από περιορισμένο αριθμό διεθνών προμηθευτών. Ο περιορισμός του ανταγωνισμού δεν είναι προς όφελος κανενός και η παράγραφος αυτή , είναι προβληματική γιατί οδηγεί νομοτελειακά σε ακριβότερα προϊόντα και υπηρεσίες.
Eπιθυμούμε να εκφράσουμε τη δέσμευσή μας στην ενίσχυση της κυβερνοασφάλειας σύμφωνα με τις απαιτήσεις της οδηγίας NIS2, κατανοώντας την αναγκαιότητα αυτών των κανονισμών για τη βελτίωση της προστασίας.
Θέλουμε να τονίσουμε την ανάγκη να διασφαλιστεί η τεχνολογική ουδετερότητα και να αποφευχθούν διακρίσεις. Η επιλογή τεχνολογικών λύσεων που ήδη χρησιμοποιούμε αποτελεί σημαντική παράμετρο για την ομαλή λειτουργία και ανάπτυξή μας. Πιθανοί αποκλεισμοί ή περιορισμοί θα μπορούσαν να επιφέρουν σοβαρές δυσκολίες στην επιχείρησή μας και να καθυστερήσουν την υλοποίηση νέων καινοτόμων λύσεων.
Είμαστε στη διάθεσή σας για περαιτέρω συζήτηση και συνεργασία σχετικά με την επίτευξη ενός δίκαιου και ισορροπημένου πλαισίου εφαρμογής των προτεινόμενων κανονισμών.
Η κυβερνοασφάλεια είναι θεμέλιος λίθος του σύγχρονου ψηφιακού κόσμου και επηρεάζει όλες τις πτυχές της κοινωνίας. Στη διαμόρφωση νομοθεσίας για την κυβερνοασφάλεια, είναι σημαντικό να ακολουθείται μια προσέγγιση με τεχνολογική καθοδήγηση, ώστε όλοι οι εμπλεκόμενοι να επιτυγχάνουν υψηλά επίπεδα ασφάλειας βασισμένα σε τεχνικά πρότυπα. Είναι εξίσου σημαντικό να εξασφαλιστεί ότι κατά την ενσωμάτωση αξιολογήσεων από την ΕΕ ή άλλους φορείς, αποφεύγεται η επιρροή μη τεχνικών παραγόντων, ώστε να παραμένει η έμφαση αποκλειστικά στις τεχνολογικές παραμέτρους
Η κυβερνοασφάλεια αποτελεί τον ακρογωνιαίο λίθο του ψηφιακού κόσμου, επηρεάζοντας κάθε πτυχή της κοινωνίας. Κατά τη νομοθέτηση για την κυβερνοασφάλεια, είναι απαραίτητο να διασφαλιστεί μια τεχνολογικά καθοδηγούμενη προσέγγιση, που επιτρέπει σε όλους τους ενδιαφερόμενους να επιτύχουν υψηλά επίπεδα ασφάλειας με βάση τα τεχνικά πρότυπα. Είναι επίσης κρίσιμο να εξασφαλιστεί ότι, κατά την ενσωμάτωση των αξιολογήσεων της ΕΕ ή τρίτων μερών, αποφεύγεται η εισαγωγή μη τεχνικών παραγόντων, προκειμένου να διατηρηθεί η έμφαση αποκλειστικά στις τεχνικές πτυχές
Σημειώνουμε την αναφορά στην παρ. 1 του άρθρου 22 της Οδηγίας 2022/2555, όπου γίνεται περαιτέρω αναφορά σε τεχνικούς και μη τεχνικούς παράγοντες κινδύνου. Κατ’ αρχήν, θα θέλαμε να επισημάνουμε ότι οι προτεινόμενες νομοθετικές ρυθμίσεις (τόσο οι περιλαμβανόμενες στο παρόν σχέδιο νόμου, όσο και όσες θα περιληφθούν σε κανονιστικά κείμενα που θα εκδοθούν κατ’ εξουσιοδότηση του παρόντος) θα πρέπει να λαμβάνουν υπόψη και να συμμορφώνονται με τις θεμελιώδεις αρχές της Ευρωπαϊκής Ένωσης, ιδίως με τις αρχές της ελεύθερης κυκλοφορίας αγαθών και υπηρεσιών (ΣΕΕ), το ευρωπαϊκό δίκαιο του ανταγωνισμού, την αρχή της τεχνολογικής ουδετερότητας, καθώς και με τις αρχές της επιχειρηματικής ελευθερίας (Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης), της μη διάκρισης και της ίσης μεταχείρισης.
Συνεπώς, οι ίδιες προδιαγραφές ασφάλειας θα πρέπει να εφαρμόζονται, με συνέπεια, σε κάθε προμηθευτή (αρχή της ίσης μεταχείρισης), η αξιολόγηση των οποίων θα πρέπει να βασίζεται σε αντικειμενικά πρότυπα και παράγοντες κινδύνου, διασφαλίζοντας κατ’ αυτόν τον τρόπο, αμερόληπτη μεταχείριση, προάγοντας δε τον ανταγωνισμό και την καινοτομία.
Δεδομένων των ανωτέρω, στον βαθμό που η αναφορά στην παρ. 1 του άρθρου 22 της Οδηγίας 2022/2555 ενδέχεται να συμβάλει στη δημιουργία νομικά προβληματικών εντυπώσεων σχετικά με τις αποτελεσματικές μεθοδολογίες εκτιμήσεων κινδύνου (και τα κριτήρια με βάση τα οποία αυτές θα πρέπει να εκπονούνται), θα προτείναμε τη διαγραφή της συγκεκριμένης αναφοράς, διαγραφή η οποία θα ήταν σε συμμόρφωση και με τις ορθές διατυπώσεις του άρθρου 24 παρ. 2(δ) και του άρθρου 25 παρ. 2(γ) («σαρώσεις ασφαλείας βάσει αντικειμενικών, αμερόληπτων, δίκαιων και διαφανών κριτηρίων αξιολόγησης του κινδύνου»).
Άρθρο 15 && Άρθρο 29 §15
§1 «κατάλληλα και αναλογικά» Ποιος, Πώς, Πότε θα βγει η απόφαση του Διοικητή της ΕΑΚ; Είναι απαραίτητο:
• να πραγματοποιηθεί πρόσληψη εξειδικευμένου προσωπικού
• να δωθούν κατευθύνσεις: πρότυπα/προτυποποίηση, λίστες με πιθανά μέτρα και ενέργειες κτλ.
•Υποχρεωτική η αρχική εκτίμηση υφιστάμενης κατάστασης για όλες τις οντότητες, η οποία και θα κατατεθεί στην ΕΑΚ, θα αξιολογηθεί η (μη) συμμόρφωση, ώστε να γνωρίζουμε τι έχουμε και τι να περιμένουμε, για να φτάσουμε στο επιθυμητό αποτέλεσμα: SWOT, Risk Assessment κτλ., αξιολόγηση ικανότητας και στόχου πρόληψης και ανάκαμψης
§2 Χρηματοδότηση???
§2 θ) εδραίωση κουλτούρας ασφάλειας, διαχείρισης αλλαγών κτλ. –> να περιγραφούν συνοπτικά απαραίτητες ενέργειες
§3 μάλλον εννοεί «της παρ. 17 του άρθρου 29»
§4 Πώς το διαπιστώνει (ξανά); με ποιον, από ποιον, πώς διασφαλίζεται η ειλικρίνεια και ακεραιότητα της αναφοράς επιπέδου/αποτελεσμάτων; Θα δωθεί κάποιο checklist?
§5 α) «αναλόγων προσόντων και εμπειρογνωμοσύνης» ασαφές!
Χωρίς καν αναφορά σε οικονομική αποζημίωση (αντίστοιχη Προϊσταμένου Διεύθυνσης).
Άλλωστε, δύο άτομα ΔΕΝ μπορούν να ανταπεξέλθουν στον φόρτο εργασίας, ούτε να γίνουν ελεγκτές του ΙΤ.
***Απαιτείται η ύπαρξη Αυτοτελούς Μονάδας ΚυβερνοΑσφάλειας!!!***
§5 β) Νοηματικά οδηγεί πίσω στα ερωτήματα της §1.
§5 γ) Απαραίτητη η δημιουργία, κεντρικά, εθνικών Μητρώων καταγραφής πόρων: ανθρώπινων, υλικού, λογισμικού, διαδικασιών, βέλτιστων πρακτικών κτλ. (Εθνική Συνεργατική Ολοκληρωμένη Πλατφόρμα)
Το εν λόγω άρθρο δεν είναι σαφές και με τον τρόπο που διατυπώνεται, αφήνει περιθώρια για ερμηνείες που θα βασίζονται σε υποκειμενικά δεδομένα, οι οποίες μπορεί να οδηγούν σε διακρίσεις και όχι ισότιμη μεταχείριση προμηθευτών, ανάλογα με τα κριτήρια που θέτει η εκάστοτε οντότητα, ιδίως όταν αυτά δεν είναι επαρκώς τεκμηριωμένα. Είναι δέον να προσδιοριστεί με μεγαλύτερη σαφήνεια ο τρόποςαξιολόγησης των ευπαθειών που χαρακτηρίζουν προμηθευτές και παρόχους υπηρεσιών.
Για να υποστηρίξει τη βιώσιμη οικονομική ανάπτυξη, η Ελλάδα θα πρέπει να διατηρήσει την ανεξαρτησία της για την αξιολόγηση κινδύνων και να προωθήσει ένα διαφανές, δίκαιο επιχειρηματικό περιβάλλον, απαραίτητο για την προώθηση των ψηφιακών και πράσινων μετασχηματισμών. Συνίσταται να αφαιρεθεί το τμήμα της παραγράφου 3 σχετικά με «τα αποτελέσματα των συντονισμένων αξιολογήσεων κινδύνου κρίσιμων αλυσίδων εφοδιασμού σύμφωνα με το άρθρο 22 παράγραφος 1 της Οδηγίας 2022/2555». Αυτή η αλλαγή ενδέχεται να διατηρήσει την ευελιξία και την ανεξαρτησία στην εφαρμογή και τη βιωσιμότητα του νόμου, θωρακίζοντας την οικονομία από πιθανές παγκόσμιες γεωπολιτικές συγκρούσεις. Επιπλέον, η συμπερίληψη αυτής της ρήτρας θα μπορούσε να δημιουργήσει προκλήσεις εάν οι μέθοδοι αξιολόγησης της ΕΕ δεν χρησιμοποιούν τεχνικά κριτήρια, επηρεάζοντας αρνητικά τις κρίσεις κινδύνου της Ελλάδας. Η απουσία σαφούς ορισμού για το τεχνικό σκέλος έναντι του μη τεχνικού θα μπορούσε να οδηγήσει σε ενδεχόμενες συγχύσεις και ασυνέπειες στην επιβολή του νόμου.
1. Με το άρθρο 21 παρ. 3 της Οδηγίας (ΕΕ) 2022/2555 προβλέπεται ότι:
΄΄Τα κράτη μέλη διασφαλίζουν, επίσης, ότι όταν εξετάζουν ποια από τα μέτρα, που αναφέρονται στο εν λόγω στοιχείο είναι κατάλληλα, οι οντότητες υποχρεούνται να λαμβάνουν υπόψη τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού, που διενεργούνται σύμφωνα με το άρθρο 22 παράγραφος 1΄΄.
2. Εξ ετέρου, με το άρθρο 15 παρ. 3 του σχεδίου νόμου προβλέπεται ότι:
΄΄Εφόσον το μέτρο της παρ. 2 κριθεί, σύμφωνα με την απόφαση της παρ. 16 του άρθρου 29, ως κατάλληλο, οι οντότητες λαμβάνουν υπόψη τις ευπάθειες, που χαρακτηρίζουν κάθε άμεσο προμηθευτή και πάροχο υπηρεσιών, την συνολική ποιότητα των προϊόντων και των πρακτικών κυβερνοασφάλειας των προμηθευτών και των παρόχων υπηρεσιών τους, συμπεριλαμβανομένων των ασφαλών διαδικασιών ανάπτυξής τους, καθώς και τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού, που διενεργούνται σύμφωνα με την παρ. 1 του άρθρου 22 της Οδηγίας 2022/2555΄΄.
3. Όμως, η παραπάνω φράση ΄΄καθώς και τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των κρίσιμων αλυσίδων εφοδιασμού, που διενεργούνται σύμφωνα με την παρ. 1 του άρθρου 22 της Οδηγίας 2022/2555΄΄ παρατίθεται αορίστως χωρίς να προβλέπονται σαφή κριτήρια προσδιορισμού των ΄΄συντονισμένων εκτιμήσεων κινδύνου΄΄, η τοιαύτη δε ασάφεια το μεν καθιστά μη προβλέψιμη την εφαρμογή της εν λόγω διατάξεως κατά παραβίαση της αρχής της ασφαλείας του δικαίου, και, συνεπώς γεννά μείζονα κίνδυνο κηρύξεως αυτής ως ανίσχυρης, το δε εγκυμονεί σοβαρό κίνδυνο ερμηνείας και εφαρμογής της εν λόγω διατάξεως, σοβαρό κίνδυνο εμπλοκών και σοβαρό κίνδυνο άρσεως της εμπιστοσύνης από επιχειρήσεις και επενδυτές.
4. Εν όψει τούτων προτείνεται η απαλειφή της ανωτέρω φράσεως, άλλως η θέσπιση σαφών κριτηρίων εφαρμογής αυτής.
Είναι σαφές ότι είναι απαραίτητη η διαγραφή του τελευταίου εδαφίου της παρ.3 του αρθρου 15, διότι αυτό απορρέει από το άρθρο 22 παρ 1 της Οδηγίας 2022/2555, στο οποίο όμως περιλαμβάνονται μη τεχνικά κριτήρια, και ως εκ τούτο έρχεται σε αντίθεση με το Ελληνικό δίκαιο και το Σύνταγμα που απαγορεύουν τις διακρίσεις (αρ.5 Συνταγματος). Ο νόμος που θα ενσωματώσει την οδηγία NIS2 θα πρέπει να συμμορφώνεται προς την αρχή αυτή, καθώς σε αντίθετη περίπτωση δύναται να οδηγήσει στην μείωση των διαθέσιμων ικανών προμηθευτών και σταδιακά να οδηγήσει σε μονοπώλια, να διαταράξει το επιχειρηματικό οικοσύστημα, και να βλάψει την οικονομία.
Το εδάφιο: «Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπεύθυνου Προστασίας Δεδομένων… και των άρθρων 7 και 8 του ν. 4624/2019» σκόπιμο είναι να διαγραφεί, για τους εξής λόγους:
• Δεδομένου ότι δεν υπάρχει σχετική πρόβλεψη στην οδηγία (ΕΕ) 2022/2555 δεν είναι υποχρεωτική η ενσωμάτωση του εδαφίου αυτού στο νέο νόμο.
• Το ζήτημα του ασυμβίβαστου του ρόλου του Υπεύθυνου Προστασίας Δεδομένων (DPO) είναι ένα ζήτημα που έχει απασχολήσει τόσο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EPDB – βλ. Κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων της 13 Δεκεμβρίου 2016, όπως αναθεωρήθηκε τελευταία και εγκρίθηκε στις 5 Απριλίου 2017) όσο και το Δικαστήριο της Ε.Ε. και πολλές εποπτικές αρχές προστασίας δεδομένων χωρών της Ε.Ε. (βλ. Απόφαση του Δικαστηρίου (έκτο τμήμα) της 9ης Φεβρουαρίου 2023 [αίτηση του Bundesarbeitsgericht (Γερμανία) για την έκδοση προδικαστικής αποφάσεως] – X-FAB Dresden GmbH & Co. KG κατά FC, CNPD (Luxembourg) – Délibération n°37FR/2021, Απόφαση της Βέλγικης Αρχής Προστασίας Δεδομένων της 28ης Απριλίου 2020, Απόφαση της Βέλγικης Αρχής Προστασίας Δεδομένων της 16ης Δεκεμβρίου 2021 κ.α.). Δεν είναι σκόπιμο λοιπόν ο νόμος που ενσωματώνει την Οδηγία NIS2 να επιχειρήσει να ρυθμίσει το πολύπλοκο αυτό ζήτημα.
• Στην αγορά ο Υ.Α.Σ.Π.Ε., στο πλαίσιο διακυβέρνησης ενός οργανισμού για την διαχείριση κινδύνων, λειτουργεί είτε ως 1η γραμμή άμυνας κυρίως σε μικρούς οργανισμούς είτε ως ανεξάρτητος σαν 2η γραμμή άμυνας (και αναφέρεται απευθείας στη διοίκηση). Ιδίως για την δεύτερη περίπτωση δε μπορεί να τεθεί θέμα ασυμβίβαστου, αφού τόσο τα καθήκοντα του Υ.Α.Σ.Π.Ε. όσο και του Υπεύθυνου Προστασίας Δεδομένων είναι κυρίως να ενημερώνει και να συμβουλεύει ως προς τις εκάστοτε υποχρεώσεις, να παρακολουθεί την συμμόρφωση και να παρέχει τακτικές αναφορές.
• Εάν όντως τεθεί θέμα ασυμβίβαστου τότε θα πρέπει να καθοριστεί με γενικό τρόπο, όπως π.χ. ρυθμίζει το ζήτημα ο Γενικός Κανονισμός Προστασίας Δεδομένων ( αρ. 38, παρ. 6. «Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων»).
Ειδάλλως θα πρέπει να καθοριστούν όλα τα ασυμβίβαστα και με όλους τους άλλους ρόλους (π.χ. Επικεφαλής Πληροφορικής, Επικεφαλής Κανονιστικής Συμμόρφωσης, Επικεφαλής Εσωτερικού Ελέγχου, Επικεφαλής Διαχείρισης Κινδύνων)
• Τέλος, τουλάχιστον στην Ελληνική αγορά, το ανωτέρω εδάφιο του νομοσχεδίου θα δημιουργήσει ουσιώδες πρακτικό ζήτημα, δεδομένου ότι σε πολλές εταιρείες υπάρχει ταύτιση σήμερα του ρόλου του Υ.Α.Σ.Π.Ε. (ως 2η γραμμή άμυνας) με αυτόν του Υπεύθυνου Προστασίας Δεδομένων, με επιτυχημένη εφαρμογή.
Το άρθρο 15, παράγραφος 3, θα πρέπει να εναρμονιστεί με το ελληνικό Σύνταγμα, το οποίο απαγορεύει τις διακρίσεις. Το άρθρο αυτό περιορίζει έμμεσα τον υγιή ανταγωνισμό στην ελληνική αγορά, καθώς επιβάλλει μη τεχνικά κριτήρια που μπορούν να μειώσουν σημαντικά τον αριθμό των διαθέσιμων προμηθευτών, δημιουργώντας μονοπωλιακές συνθήκες.
Θα διαταράξει τον ανταγωνισμό στην αγορά, με αποτέλεσμα υψηλότερες τιμές και χαμηλότερη ποιότητα υπηρεσιών.
Θα βλάψει επίσης την οικονομία, καθώς θα επιβαρύνει τις επιχειρήσεις με περιττή γραφειοκρατία και θα λειτουργήσει αποτρεπτικά για την ανάπτυξη και την καινοτομία.
Ο αποκλεισμός των μη -τεχνικών μέτρων είναι ο μόνος τρόπος για τη δημιουργία ενός δίκαιου και ανταγωνιστικού περιβάλλοντος για όλους.
Το άρθρο αυτό παρουσιάζεται αρκετά γενικό και αφήνει περιθώριο για περαιτέρω διαφοροποίηση μεταξύ των παρόχων, ιδιαίτερα όσον αφορά τις περιπτώσεις αθέμιτης ή άδικης μεταχείρισης. Θα μπορούσε να δοθεί μεγαλύτερη έμφαση στη διαφοροποίηση των παρόχων ανάλογα με το βαθμό στον οποίο εφαρμόζουν πρακτικές που ενδέχεται να περιέχουν διακρίσεις ή άλλες μορφές μεροληπτικής αντιμετώπισης, ώστε να αποσαφηνιστούν οι διαφορές στην πολιτική ή τη συμπεριφορά κάθε παρόχου.
Όσον αφορά την παράγραφο 3, η ρήτρα παραπέμπει στο άρθρο 22 παράγραφος 1 των ΝΑΚ της ΕΕ, στο οποίο η περιγραφή αναφέρεται σε μη τεχνικούς παράγοντες, αλλά στην πραγματικότητα δεν υπάρχει σαφές πρότυπο που να εξηγεί. Εάν δεν υπάρχει σαφές πρότυπο, δεν υπάρχει ενιαίος ορισμός του τι συνιστά τεχνικό/μη τεχνικό, το οποίο θα οδηγήσει σε σύγχυση κατά τη διαδικασία αξιολόγησης και σε σύγκρουση με τη νομοθεσία, με αποτέλεσμα τελικά να προκύψουν αποκλίσεις επιβολής. Από πρακτική άποψη, προτάθηκε η ρήτρα αυτή «συντονισμένες αξιολογήσεις κινδύνου των κρίσιμων αλυσίδων εφοδιασμού που διενεργούνται σύμφωνα με το άρθρο 22 παράγραφος 1 της οδηγίας 2022/2555″ότι θα πρέπει να διαγραφεί εάν δεν υπάρχουν σαφή κριτήρια, καθώς αυτό θα προκαλέσει σύγχυση στη δικαιοσύνη και ενδεχομένως θα θέσει σε κίνδυνο την εμπιστοσύνη των ξένων επενδυτών.
Η ασφάλεια στον κυβερνοχώρο είναι καθοριστική για την Ελλάδα. Είναι ενθαρρυντικό ότι η χώρα υλοποιεί νομοθετικά μέτρα με σκοπό την ευαισθητοποίηση και τη βελτίωση της διαχείρισης ασφάλειας στον κυβερνοχώρο σε διάφορους τομείς. Παράλληλα, απαιτείται να εξελιχθούν οι ψηφιακές υπηρεσίες, να ενσωματωθούν καινοτόμοι συνεργάτες και να ενισχυθεί η ανταγωνιστική μας θέση σε διεθνές επίπεδο. Η εφαρμογή ενός αμερόληπτου και δίκαιου μηχανισμού αξιολόγησης των κινδύνων για την αλυσίδα εφοδιασμού, χωρίς διακρίσεις, θα υποστηρίξει την επιχειρηματική δραστηριότητα σημαντικά. Η Ελλάδα πρέπει να διαμορφώσει ένα σύστημα αξιολόγησης που να εξυπηρετεί τις τοπικές ανάγκες οικονομικής ανάπτυξης, αποφεύγοντας την κυριαρχία ολιγοπωλίων που θα μπορούσαν να επηρεάσουν αρνητικά την επιχειρηματικότητα και την ανταγωνιστικότητά της. Επομένως, είναι κρίσιμο να βελτιωθούν ορισμένα σημεία του νομοσχεδίου, για να προωθηθεί η ελληνική επιχειρηματικότητα και να επιταχυνθεί ο ψηφιακός μετασχηματισμός με ξεκάθαρα και αντικειμενικά κριτήρια.
Η ασφάλεια στον κυβερνοχώρο είναι πολύ σημαντική για την Ελλάδα. Χαιρόμαστε που βλέπουμε ότι η Ελλάδα μπορεί να εισαγάγει αυτόν τον νόμο για την προώθηση της ευαισθητοποίησης και των μηχανισμών διαχείρισης της ασφάλειας στον κυβερνοχώρο σε διάφορους κλάδους. Ταυτόχρονα, πρέπει να αναπτύξουμε ψηφιακές υπηρεσίες, να εισάγουμε καινοτόμους εταίρους και να βελτιώσουμε την ανταγωνιστικότητά μας. Ως εκ τούτου, ελπίζουμε ότι αυτό το μέρος του μηχανισμού αξιολόγησης του κινδύνου της αλυσίδας εφοδιασμού μπορεί να είναι δίκαιο, και χωρίς διακρίσεις. Η Ελλάδα θα πρέπει να αναπτύξει έναν μηχανισμό αξιολόγησης με βάση τις δικές της απαιτήσεις οικονομικής ανάπτυξης, για να αποφευχθεί το ολιγοπώλειο κάτι που θα επηρεάσει σοβαρά την επιχειρηματική δραστηριότητα και την ανταγωνιστικότητα της Ελλάδας. Συνεπώς, θα ήταν σκόπιμο να βελτιωθεί το συγκεκριμένο εδάφιο, ώστε να ενισχυθεί η ελληνική επιχειρηματικότητα, και να επιταχυνθεί ο ψηφιακός μετασχηματισμός της χώρας, εισαγάγοντας σαφή και αντικειμενικά κριτήρια.
Για να μπορεί να διαθέτει κατάλληλο επίπεδο αυτονομίας στη λήψη αποφάσεων, ενημέρωσης των οργάνων διοίκησης, στη χάραξη στρατηγικής, στον συντονισμό και τη διαχείριση των περιστατικών ασφάλειας ο Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), θα πρέπει να συμπεριληφθεί στην Εθνική Νομοθεσία ξεκάθαρα ότι η συγκεκριμένη οντότητα θα αποτελεί τμήμα ανεξάρτητο που θα υπάγεται κατευθείαν στη Διοίκηση. Ένας ΥΑΣΠΕ που οργανωτικά βρίσκεται κάτω από κάποιο τμήμα πληροφορικής ή έναν ΔΝΤΗ κλπ είναι ασυμβίβαστα και δεν μπορεί να επιτελέσει σε καμία περίπτωση τους στόχους που περιγράφονται και ανατίθενται στον ρόλο.
Η αναφορά ¨διαθέτει κατάλληλο επίπεδο αυτονομίας στη λήψη αποφάσεων, τη δυνατότητα εφαρμογής τους από τις επιμέρους οργανικές μονάδες της οντότητας, την ενημέρωση των οργάνων δοιίκησης¨ είναι πολύ γενική και δεν εξασφαλίζει το επίπεδο αναφοράς του Υπευθύνου Ασφαλείας ούτε το είδος και τον τρόπο ενημέρωσης της δοιίκησης
Σε βασικες υποδομές το επίπεδο αναφοράς θα πρέπει αν είναι στο ΔΣ ώστε το γεγονός της απουσίας του από το αντίστοιχο όργανο να αντισταθμίζεται με την άμεση δυνατότητα επαφής και αναφοράς σε αυτό χωρίς ενδιάμεσους.
Μόνο τότε έχει δυνατότητα Αυτονομίας στην λήψη αποφάσεων και εφαρμογής αυτών και μόνο τότε η ενημέρωση του ΔΣ διασφαλίζεται.
Σε σχέση με την παρ. 3, είναι ασαφές με ποια κριτήρια θα γίνονται οι εκτιμήσεις κινδύνου, τα αποτελέσματα των οποίων θα λαμβάνουν υπόψη τους οι οντότητες, δεδομένου ότι στη χώρας μας μπορεί να συντρέχουν κίνδυνοι ποικίλης φύσεως, όπως γεωπολιτικοί ή άλλοι, που θα είναι πέρα και πάνω από τον έλεγχο της εκάστοτε οντότητας.
Είναι σκόπιμο επομένως να απαλειφθεί η πρόβλεψη σχετικά με τα αποτελέσματα των συντονισμένων εκτιμήσεων κινδύνου των αλυσίδων εφοδιασμού, αφού αυτή μπορεί να δράσει αποτρεπτικά για ξένες επενδύσεις στη χώρα.
α) Ορίζουν ένα αρμόδιο στέλεχός τους, ανάλογων προσόντων και εμπειρογνωμοσύνης, ως Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.)
>> Ομοίως με συγκεκριμένες γνώσεις, πιστοποιήσεις, κλπ ώστε να πιστοποιείται με κάποιο τρόπο η κατάρτισή του. Δεν νοείται ο ΥΑΣΠ (ειδικά σε κρίσιμες/σημαντικές οντότητες) να μην έχει συναφή πανεπιστημιακή γνώση και κατάλληλες διεθνώς αναγνωρισμένες πιστοποιήσεις στην Ασφάλεια Πληροφοριών.
1. Τροποποίηση Άρθρου 15 – Μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας
Προσθήκη νέας παραγράφου 5:
«5. Οι βασικές και σημαντικές οντότητες υποχρεούνται να διασφαλίζουν ότι οι άμεσοι προμηθευτές και συνεργάτες τους, συμπεριλαμβανομένων των μικρότερων εταιρειών που δεν εμπίπτουν απευθείας στο πεδίο εφαρμογής του παρόντος νόμου, συμμορφώνονται με συγκεκριμένα πρότυπα κυβερνοασφάλειας. Συγκεκριμένα, οι οντότητες οφείλουν να απαιτούν από τους προμηθευτές και συνεργάτες τους:
α) Να υποβάλλονται σε ετήσιους ελέγχους κυβερνοασφάλειας από πιστοποιημένους φορείς, σύμφωνα με διεθνώς αναγνωρισμένα πρότυπα, όπως το ISO/IEC 27001 ή το NIST Cybersecurity Framework.
β) Να διενεργούν τακτικές δοκιμές διείσδυσης (penetration testing) στην IT υποδομή τους, από ανεξάρτητους και πιστοποιημένους επαγγελματίες.
γ) Να παρέχουν εκπαίδευση στο προσωπικό τους σχετικά με θέματα κυβερνοασφάλειας και ασφαλείς πρακτικές ανάπτυξης λογισμικού.
δ) Να αναφέρουν άμεσα οποιαδήποτε περιστατικά ασφαλείας που ενδέχεται να επηρεάσουν τις βασικές και σημαντικές οντότητες.
Οι βασικές και σημαντικές οντότητες οφείλουν να ενσωματώνουν τις ανωτέρω απαιτήσεις στις συμβατικές τους σχέσεις με τους προμηθευτές και συνεργάτες τους.»
2. Προσθήκη νέου Άρθρου 15Α – Υποχρεώσεις Προμηθευτών και Συνεργατών των Βασικών και Σημαντικών Οντοτήτων
«Άρθρο 15Α
Υποχρεώσεις Προμηθευτών και Συνεργατών των Βασικών και Σημαντικών Οντοτήτων
Οι προμηθευτές και συνεργάτες των βασικών και σημαντικών οντοτήτων που παρέχουν υπηρεσίες ή προϊόντα που επηρεάζουν την ασφάλεια των συστημάτων δικτύου και πληροφοριών των οντοτήτων αυτών, υποχρεούνται να:
α) Εφαρμόζουν κατάλληλα και αναλογικά μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, λαμβάνοντας υπόψη τις απαιτήσεις του άρθρου 15.
β) Υποβάλλονται σε ετήσιους ελέγχους κυβερνοασφάλειας από πιστοποιημένους φορείς και να παρέχουν τα αποτελέσματα των ελέγχων αυτών στις βασικές και σημαντικές οντότητες με τις οποίες συνεργάζονται.
γ) Διενεργούν τακτικές δοκιμές διείσδυσης (penetration testing) στην IT υποδομή τους και να λαμβάνουν τα απαραίτητα μέτρα για την αντιμετώπιση των ευπαθειών που εντοπίζονται.
δ) Εκπαιδεύουν το προσωπικό τους σε θέματα κυβερνοασφάλειας και να προωθούν κουλτούρα ασφάλειας σε όλες τις βαθμίδες της επιχείρησης.
ε) Αναφέρουν άμεσα στις βασικές και σημαντικές οντότητες και στην Εθνική Αρχή Κυβερνοασφάλειας οποιαδήποτε περιστατικά ασφαλείας που ενδέχεται να έχουν αντίκτυπο στην ασφάλεια των οντοτήτων αυτών.
Η μη συμμόρφωση με τις υποχρεώσεις της παρούσας συνιστά λόγο επιβολής κυρώσεων, σύμφωνα με τα άρθρα 26 και 27.»