ΚΕΦΑΛΑΙΟ Δ΄ ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΑΝΑΦΟΡΑΣ ΠΕΡΙΣΤΑΤΙΚΩΝ Άρθρο 14 Διακυβέρνηση (άρθρο 20 της Οδηγίας (ΕΕ) 2022/2555)
- Τα όργανα διοίκησης των βασικών και σημαντικών οντοτήτων εγκρίνουν, εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω οντότητες προκειμένου να συμμορφώνονται με το άρθρο 15, επιβλέπουν την εφαρμογή τους και είναι υπεύθυνα για την εκ μέρους των οντοτήτων παραβίαση των υποχρεώσεων του παρόντος άρθρου. Η παρούσα δεν θίγει τους ισχύοντες κανόνες περί ευθύνης στις οντότητες της δημόσιας διοίκησης, καθώς και την ευθύνη δημοσίων υπαλλήλων και αιρετών ή διορισμένων αξιωματούχων.
- Τα μέλη των οργάνων διοίκησης των βασικών και σημαντικών οντοτήτων παρακολουθούν εκπαίδευση και διασφαλίζουν ότι οι βασικές και σημαντικές οντότητες παρέχουν όμοια κατάρτιση στους υπαλλήλους τους σε τακτική βάση, προκειμένου να αποκτούν επαρκείς γνώσεις και δεξιότητες που τους επιτρέπουν να εντοπίζουν τους κινδύνους και να αξιολογούν τις πρακτικές διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τον αντίκτυπό τους στις υπηρεσίες που παρέχει η οντότητα.
- Το Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης, σε συνεργασία με την Εθνική Αρχή Κυβερνοασφάλειας και τη Γενική Γραμματεία Δημόσιας Διοίκησης του Υπουργείου Εσωτερικών, οργανώνει ειδικό πρόγραμμα πιστοποίησης επάρκειας στον τομέα της κυβερνοασφάλειας.
Πλοήγηση στη Διαβούλευση
- ΚΕΦΑΛΑΙΟ Δ΄ ΜΕΤΡΑ ΔΙΑΧΕΙΡΙΣΗΣ ΚΙΝΔΥΝΩΝ ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ ΚΑΙ ΥΠΟΧΡΕΩΣΕΙΣ ΑΝΑΦΟΡΑΣ ΠΕΡΙΣΤΑΤΙΚΩΝ Άρθρο 14 Διακυβέρνηση (άρθρο 20 της Οδηγίας (ΕΕ) 2022/2555)
Άρθρο 14 && Άρθρο 29 §12,13
§1 Με ποιον τρόπο/μηχανισμό/εργαλεία τα όργανα διοίκησης θα έχουν την δυνατότητα να επιβλέπουν, παρακολουθούν, διασφαλίζουν τη συμμόρφωση του φορέα τους; Μήπως πρέπει να αναπτυχθούν ενιαία/κάθετα εργαλεία, όπως AI, MIS, BI κτλ.?
§2 Συστηματική Εκπαίδευση/Κατάρτιση οργάνων διοίκησης και υπαλλήλων: αδρή περιγραφή με ποιον τρόπο, από ποιον, συχνότητα κτλ. Πρέπει να γίνει πιο σαφές και να αναπτυχθεί / παρουσιαστεί σχετικό πλάνο.
§3 Πλάνο Πιστοποίησης -> απαραίτητο!!!
Στο Αρ. 14, Παρ. 1 αναφέρεται ότι «Τα όργανα διοίκησης των βασικών και σημαντικών οντοτήτων εγκρίνουν, εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω οντότητες προκειμένου να συμμορφώνονται με το άρθρο 15…»
Στο Αρ. 29, Παρ. 3 αναφέρεται ότι «Με απόφαση του Διοικητή της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία εκδίδεται το αργότερο εντός τεσσάρων (4) μηνών από την έναρξη ισχύος του παρόντος, προσδιορίζονται τα κριτήρια χαρακτηρισμού μιας οντότητας ως βασικής ή σημαντικής και καταρτίζεται κατάλογος βασικών και σημαντικών οντοτήτων…»
Με βάση αυτή τη χρονική αλληλουχία θα πρέπει οι οντότητες να έχουν εγκεκριμένα από τη διοίκηση μέτρα διαχείρισης κινδύνων, ενδεχομένως πριν προσδιοριστούν τα κριτήρια χαρακτηρισμού μιας οντότητας ως βασικής ή σημαντικής και φυσικά πριν ακόμα καταρτιστεί ο κατάλογος των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής του Νόμου. Αυτό ενδέχεται να δημιουργήσει θέματα για εταιρίες ιδίως για τις εκείνες για τις οποίες δεν είναι απόλυτα ξεκάθαρο αν εμπίπτουν ή όχι στο πεδίο εφαρμογής του Νόμου. Η ανακοίνωση των κριτηρίων και η οριστικοποίηση του καταλόγου οντοτήτων κανονικά θα έπρεπε να προηγείται της προθεσμίας που δίνεται στις εταιρίες να εκπληρώσουν υποχρεώσεις όπως έγκριση μέτρων κλπ.
Να υπάρχει «track record» εκπαιδεύσεων και να απαιτείται η συμπλήρωση συγκεκριμένων ωρών εκπαίδευσης σε σχετικό αντικείμενο. Ομοίως το τακτική βάση είναι αυθαίρετο, ας προσαρμοστεί στο «ετήσια».
Προσθήκη στην Παράγραφο 2 του Άρθρου 14 – Εκπαίδευση και ευαισθητοποίηση
«… Με την ίδια απόφαση δύναται να καθίσταται υποχρεωτική η κατά τα ανωτέρω εκπαίδευση και σε υπαλλήλους των προμηθευτών και συνεργατών των βασικών και σημαντικών οντοτήτων που είναι αρμόδιοι για την κυβερνοασφάλεια.»