- Το παρόν μέρος εφαρμόζεται σε δημόσιες ή ιδιωτικές οντότητες των τύπων που αναφέρονται στα παραρτήματα Ι ή ΙΙ του παρόντος νόμου, οι οποίες χαρακτηρίζονται ως μεσαίες επιχειρήσεις σύμφωνα με την παρ. 1 του άρθρου 2 του παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων (L 124), ή υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που αναφέρονται στο εν λόγω άρθρο και οι οποίες παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της ελληνικής επικράτειας. Η παρ. 4 του άρθρου 3 του παραρτήματος της εν λόγω Σύστασης δεν εφαρμόζεται για τους σκοπούς του παρόντος.
- Το παρόν μέρος εφαρμόζεται, επίσης, στις οντότητες, στους τομείς και υποτομείς που αναφέρονται στα παραρτήματα Ι ή ΙΙ, ανεξάρτητα από το μέγεθός τους, εφόσον:
α) οι υπηρεσίες παρέχονται από:
αα) παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών,
αβ) παρόχους υπηρεσιών εμπιστοσύνης,
αγ) μητρώα ονομάτων τομέα ανωτάτου επιπέδου και παρόχους υπηρεσιών συστήματος ονομάτων τομέα,
β) η οντότητα είναι ο μοναδικός πάροχος στη χώρα υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων,
γ) η διατάραξη της υπηρεσίας που παρέχει η οντότητα θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία,
δ) η διατάραξη της υπηρεσίας που παρέχεται από την οντότητα θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, συμπεριλαμβανομένων των τομέων στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,
ε) η οντότητα είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη χώρα,
στ) η οντότητα είναι:
στα) φορέας δημόσιας διοίκησης της κεντρικής κυβέρνησης, όπως αυτή ορίζεται στην περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143),
στβ) Οργανισμός Τοπικής Αυτοδιοίκησης α’ βαθμού,
στγ) Οργανισμός Τοπικής Αυτοδιοίκησης β’ βαθμού.
- Το παρόν μέρος εφαρμόζεται σε οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες σύμφωνα με την Οδηγία (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333), ανεξάρτητα από το μέγεθός τους.
- Το παρόν μέρος εφαρμόζεται σε οντότητες που παρέχουν υπηρεσίες καταχώρισης ονομάτων τομέα, ανεξάρτητα από το μέγεθός τους.
- Το παρόν μέρος εφαρμόζεται με την επιφύλαξη των μέτρων που λαμβάνει η χώρα για την προστασία της εθνικής ασφάλειας και του κυριαρχικού της δικαιώματος να διαφυλάσσει άλλες ουσιώδεις κρατικές λειτουργίες, συμπεριλαμβανομένων της διασφάλισης της εδαφικής ακεραιότητάς της και της διατήρησης της δημόσιας τάξης.
- Το παρόν μέρος δεν εφαρμόζεται σε οντότητες δημόσιας διοίκησης που ασκούν τις δραστηριότητές τους στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων της πρόληψης, της διακρίβωσης, της διαπίστωσης και της δίωξης ποινικών αδικημάτων. Τα μέτρα εποπτείας και επιβολής που αναφέρονται στο Κεφάλαιο Ζ΄ του παρόντος μέρους δεν εφαρμόζονται σε συγκεκριμένες οντότητες που ασκούν δραστηριότητες στους τομείς του δεύτερου εδαφίου της παρ. 2 του άρθρου 29 του παρόντος.
- Η παρ. 6 και τα εδάφια δεύτερο έως τέταρτο της παρ. 2 του άρθρου 29 δεν εφαρμόζονται όταν μια οντότητα ενεργεί ως πάροχος υπηρεσιών εμπιστοσύνης σύμφωνα με την περ. 16 του άρθρου 3 του Κανονισμού (ΕΕ) 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014.
- Το παρόν μέρος δεν εφαρμόζεται σε οντότητες τις οποίες η Ελλάδα εξαιρεί από το πεδίο εφαρμογής του Κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των Κανονισμών (ΕΚ) 1060/2009, (ΕΕ) 648/2012, (ΕΕ) 600/2014, (ΕΕ) 909/2014 και (ΕΕ) 2016/1011 (L 333), σύμφωνα με την παρ. 4 του άρθρου 2 του εν λόγω Κανονισμού.
- Οι υποχρεώσεις που προβλέπονται στο παρόν μέρος δεν περιλαμβάνουν την παροχή πληροφοριών, η γνωστοποίηση των οποίων θα ήταν αντίθετη προς ουσιώδη συμφέροντα εθνικής ασφάλειας, δημόσιας τάξης ή άμυνας της χώρας.
- Ο παρών νόμος εφαρμόζεται με την επιφύλαξη του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, L 119), του ν. 4624/2019 (Α΄ 137), του ν. 3471/2006 (Α΄ 133), του ν. 4267/2014 (Α΄ 137), του ν. 4411/2016 (Α΄ 142) και της Οδηγίας (ΕΕ) 2022/2557 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, για την ανθεκτικότητα των κρίσιμων οντοτήτων και την κατάργηση της Οδηγίας 2008/114/ΕΚ του Συμβουλίου (L 333).
- Με την επιφύλαξη του άρθρου 346 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, πληροφορίες που είναι εμπιστευτικές σύμφωνα με ενωσιακούς ή εθνικούς κανόνες, όπως κανόνες περί επιχειρηματικού απορρήτου, ανταλλάσσονται με την Επιτροπή και άλλες αρμόδιες αρχές σύμφωνα με τον παρόντα νόμο, μόνον εφόσον η ανταλλαγή αυτή είναι αναγκαία για την εφαρμογή των διατάξεών του και των διατάξεων της Οδηγίας (ΕΕ) 2022/2555. Οι ανταλλασσόμενες πληροφορίες περιορίζονται σε ό,τι είναι συναφές και αναλογικό προς τον σκοπό της ανταλλαγής αυτής. Η ανταλλαγή πληροφοριών διαφυλάσσει το απόρρητο αυτών των πληροφοριών και προστατεύει τα συμφέροντα ασφάλειας και τα εμπορικά συμφέροντα των οικείων οντοτήτων.
- Οι οντότητες, η Εθνική Αρχή Κυβερνοασφάλειας του άρθρου 3 του ν. 5086/2024 (Α΄ 23) και οι CSIRTs του άρθρου 10 του παρόντος επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στον βαθμό που είναι αναγκαίο για τους σκοπούς του παρόντος νόμου και σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, μόνον εφόσον η εν λόγω επεξεργασία βασίζεται στο άρθρο 6 του εν λόγω Κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του παρόντος μέρους από παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών πραγματοποιείται σύμφωνα με το δίκαιο της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων και για την προστασία της ιδιωτικότητας, καθώς και με τον ν. 4624/2019 και τον ν. 3471/2006.
Δεδομένου του κόστους που συνεπάγεται και της τεχνογνωσίας και επιχειρησιακής ικανότητας που προϋποθέτει η συμμόρφωση με τις απαιτήσεις του παρόντος σχεδίου νόμου, θα προτείναμε να εξετασθεί ο περιορισμός του πεδίου εφαρμογής στον βαθμό που αφορά ΟΤΑ (ενδεχομένως, ανάλογα με το είδος τους, το μέγεθός τους και την κρισιμότητα των λειτουργιών τους)· εναλλακτικά, θα προτείναμε να εξετασθεί η δυνατότητα εισαγωγής μεταβατικών ή σταδιακών ρυθμίσεων σχετικά με τις υποχρεώσεις που καλούνται να αναλάβουν οι ΟΤΑ.
Αναφορικά με την προβλεπόμενη επιφύλαξη του ν.3471/2006, επισημαίνεται ότι πρόκειται για τον νόμο με τον οποίο ενσωματώθηκε στην εθνική έννομη τάξη η ευρωπαϊκή νομοθεσία για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες (Οδηγία 2002/58/ΕΚ e-privacy). Διευκρινίζεται ότι με τον νόμο αυτό, ο εθνικός νομοθέτης δεν ανέθεσε όλες τις απορρέουσες από την Οδηγία 2002/58/ΕΚ αρμοδιότητες αποκλειστικά στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ειδικότερα, σύμφωνα με τα άρθρα 4 και 13 ν.3471/2006, οι διατάξεις της Οδηγίας 2002/58/ΕΚ που αφορούν στο απόρρητο αναφέρονται στην Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ), η οποία ορίζεται και ως αποδέκτης των γνωστοποιήσεων παραβίασης δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες, από κοινού με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (άρθρο 12 «Ασφάλεια Επεξεργασίας» ν.3471/2006, όπως ισχύει). Η διαπίστωση αυτή είναι κρίσιμη και κατά την ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555, έχοντας υπόψη ότι η εμπιστευτικότητα, ήτοι το απόρρητο, ορίζεται, μαζί με τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα, ως παράμετρος της «ασφάλειας συστημάτων δικτύου και πληροφοριών», σύμφωνα με τους ορισμούς της υπό ενσωμάτωση Οδηγίας.
Πρώτα απ ‘όλα, η οδηγία NIS 2 της ΕΕ δεν επιβάλλει τη συμπερίληψη των «τοπικών κυβερνήσεων», επιπλέον το εύρος των βιομηχανιών θα πρέπει να περιοριστεί στο ελάχιστο και δεν πρέπει να υπερβαίνει το πεδίο εφαρμογής που ορίζεται από την οδηγία. Η ελληνική οδηγία NIS2 στοχεύει στη βελτίωση της κυβερνοασφάλειας στους δημόσιους οργανισμούς, αλλά δημιουργεί προκλήσεις για τις μικρομεσαίες επιχειρήσεις που συνεργάζονται με τις τοπικές κυβερνήσεις. Πολλές επιχειρήσεις μπορεί να μην έχουν τις τεχνικές δεξιότητες ή τους οικονομικούς πόρους για να ανταποκριθούν στις αυστηρές απαιτήσεις, γεγονός που θα μπορούσε να βλάψει τις συνεργασίες τους με τους δήμους και να οδηγήσει ακόμη και σε λειτουργικά προβλήματα. Αυτό θα μπορούσε να επηρεάσει αρνητικά τις τοπικές οικονομίες και τις ευκαιρίες απασχόλησης. Για να συμμορφωθούν με την NIS2, οι επιχειρήσεις θα πρέπει να επενδύσουν περαιτέρω στην τεχνολογία κάτι που μπορεί να είναι πολύ δαπανηρό. Ως εκ τούτου, μια ευέλικτη προσέγγιση για την εφαρμογή της οδηγίας είναι σημαντική, δίνοντας στις επιχειρήσεις τον χρόνο να προσαρμοστούν διατηρώντας παράλληλα τις σχέσεις τους με τις τοπικές κυβερνήσεις. Η επανεξέταση του ρόλου των τοπικών κυβερνήσεων στην NIS2 ή η υιοθέτηση της απλούστερης ρυθμιστικής προσέγγισης θα μπορούσε επίσης να συμβάλει στη στήριξη τόσο των βελτιώσεων στον κυβερνοχώρο όσο και της οικονομικής σταθερότητας.
1. Με το άρθρο 2 παρ. 1 της Οδηγίας (ΕΕ/2022/2555) προβλέπεται ότι η Οδηγία αυτή εφαρμόζεται σε δημόσιες ή σε ιδιωτικές επιχειρήσεις των Παραρτημάτων Ι και ΙΙ αυτής, οι οποίες χαρακτηρίζονται ως μεσαίες επιχειρήσεις, κατά την έννοια του άρθρου 2 του Παραρτήματος της Συστάσεως 2003/361/ΕΚ, ή οι οποίες υπερβαίνουν τα όρια των μεσαίων επιχειρήσεων, που αναφέρονται στο εν λόγω άρθρο, και παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της Ευρωπαϊκής Ενώσεως.
2. Περαιτέρω, με το άρθρο 2 παρ. 2 περ. στ της Οδηγίας 2022/2555 προβλέπεται ότι η Οδηγία αυτή εφαρμόζεται και στις οντότητες δημοσίας διοικήσεως του Παραρτήματος Ι αυτής και ως τέτοιες θωρούνται (α) οι φορείς της Κεντρικής Κυβερνήσεως, όπως ορίζονται από το κράτος μέλος σύμφωνα με το εθνικό δίκαιο και (β) σε περιφερειακό επίπεδο οι φορείς, οι οποίοι, μετά από αξιολόγηση, που γίνεται από το κράτος μέλος, παρέχουν υπηρεσίες των οποίων η διατάραξη θα μπορούσε να έχει σημαντικό αντίκτυπο σε κρίσιμες κοινωνικές ή ατομικές δραστηριότητες.
3. Εξ ετέρου, με το άρθρο 3 του σχεδίου νόμου ως οντότητες δημοσίας διοικήσεως σε περιφερειακό επίπεδο χαρακτηρίζονται οι ΟΤΑ πρώτου και δευτέρου βαθμού (δηλαδή οι δήμοι και οι περιφέρειες).
4. Όμως, σύμφωνα με σοβαρές αξιολογήσεις (βλ. την έκθεση Ambrosetti) η συμμόρφωση στην Οδηγία (ΕΕ)2022/2555 απαιτεί τεράστιο κόστος, το οποίο οι φορείς της τοπικής αυτοδιοικήσεως, δεν θα μπορούν να αναλάβουν και αναγκαίως θα μετακυλήσουν στις επιχειρήσεις, που συνεργάζονται μαζί τους. Σύμφωνα δε με σοβαρές αξιολογήσεις το κόστος συμμορφώσεως κάθε εταιρίας στην εν λόγω Οδηγία θα ανέλθει στο ποσό των 850.000 Ευρώ ετησίως, ενώ το συνολικό κόστος συμμορφώσεως των κρατών μελών της Ευρωπαϊκής Ενώσεως, θα υπερβεί το ποσό των 35 δισ. Ευρώ ετησίως.
Από την άλλη πλευρά, η χώρα μας βρίσκεται σε κρίσιμη φάση ψηφιακού μετασχηματισμού και υφίσταται ήδη ένα τεράστιο κόστος.
5. Υπό τα ανωτέρω δεδομένα είναι, κατά την γνώμη μας, αδύνατο σ’ αυτήν την φάση να υποστούν οι ελληνικές επιχειρήσεις το κόστος συμμορφώσεως, στην Οδηγία (ΕΕ) 2022/2555.
6. Για τους λόγους αυτούς προτείνεται να εξαιρεθούν από την εφαρμογή της Οδηγίας (ΕΕ) 2022/2555 οι φορείς τοπικής αυτοδιοικήσεως, άλλως να θεσπισθή για αυτούς μεταβατική περίοδος προσαρμογής πέντε (5) ετών.
1. Με το άρθρο 2 παρ. 1 της Οδηγίας (ΕΕ/2022/2555) προβλέπεται ότι η Οδηγία αυτή εφαρμόζεται σε δημόσιες ή σε ιδιωτικές επιχειρήσεις των Παραρτημάτων Ι και ΙΙ αυτής, οι οποίες χαρακτηρίζονται ως μεσαίες επιχειρήσεις, κατά την έννοια του άρθρου 2 του Παραρτήματος της Συστάσεως 2003/361/ΕΚ, ή οι οποίες υπερβαίνουν τα όρια των μεσαίων επιχειρήσεων, που αναφέρονται στο εν λόγω άρθρο, και παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της Ευρωπαϊκής Ενώσεως.
2. Περαιτέρω, με το άρθρο 2 παρ. 2 περ. στ της Οδηγίας 2022/2555 προβλέπεται ότι η Οδηγία αυτή εφαρμόζεται και στις οντότητες δημοσίας διοικήσεως του Παραρτήματος Ι αυτής και ως τέτοιες θωρούνται (α) οι φορείς της Κεντρικής Κυβερνήσεως, όπως ορίζονται από το κράτος μέλος σύμφωνα με το εθνικό δίκαιο και (β) σε περιφερειακό επίπεδο οι φορείς, οι οποίοι, μετά από αξιολόγηση, που γίνεται από το κράτος μέλος, παρέχουν υπηρεσίες των οποίων η διατάραξη θα μπορούσε να έχει σημαντικό αντίκτυπο σε κρίσιμες κοινωνικές ή ατομικές δραστηριότητες.
3. Εξ ετέρου, με το άρθρο 3 του σχεδίου νόμου ως οντότητες δημοσίας διοικήσεως σε περιφερειακό επίπεδο χαρακτηρίζονται οι ΟΤΑ πρώτου και δευτέρου βαθμού (δηλαδή οι δήμοι και οι περιφέρειες).
4. Όμως, σύμφωνα με σοβαρές αξιολογήσεις (βλ. την έκθεση Ambrosetti) η συμμόρφωση στην Οδηγία (ΕΕ)2022/2555 απαιτεί τεράστιο κόστος, το οποίο οι φορείς της τοπικής αυτοδιοικήσεως, δεν θα μπορούν να αναλάβουν και αναγκαίως θα μετακυλήσουν στις επιχειρήσεις, που συνεργάζονται μαζί τους. Σύμφωνα δε με σοβαρές αξιολογήσεις το κόστος συμμορφώσεως κάθε εταιρίας στην εν λόγω Οδηγία θα ανέλθει στο ποσό των 850.000 Ευρώ ετησίως, ενώ το συνολικό κόστος συμμορφώσεως των κρατών μελών της Ευρωπαϊκής Ενώσεως, θα υπερβεί το ποσό των 35 δισ. Ευρώ ετησίως.
Από την άλλη πλευρά, η χώρα μας βρίσκεται σε κρίσιμη φάση ψηφιακού μετασχηματισμού και υφίσταται ήδη ένα τεράστιο κόστος.
5. Υπό τα ανωτέρω δεδομένα είναι, κατά την γνώμη μας, αδύνατο σ’ αυτήν την φάση να υποστούν οι ελληνικές επιχειρήσεις το κόστος συμμορφώσεως, στην Οδηγία (ΕΕ) 2022/2555.
Η Ελλάδα βρίσκεται σε μια κομβική περίοδο όσον αφορά την ανάπτυξη των ψηφιακών τεχνολογιών, αντιμετωπίζοντας προκλήσεις στην ανάπτυξη του εργατικού δυναμικού, τη χρήση του διαδικτύου και την ενσωμάτωση της τεχνολογίας στην καθημερινότητα. Η συμπερίληψη των τοπικών αρχών στην οδηγία NIS2 θα μπορούσε να περιπλέξει περαιτέρω τα πράγματα για τους δήμους που έχουν ήδη περιορισμένους πόρους. Εάν οι τοπικές αρχές δε λαμβάνουν επαρκή χρηματοδότηση, ενδέχεται να υπάρξει έντονη αντιπαράθεση από τον κόσμο, το οποίο μπορεί να δει την οδηγία ως εμπόδιο στην πρόοδο. Επιπλέον, οι περιορισμοί που εφαρμοζονται από την NIS2 σε υπηρεσίες που βελτιώνουν την καθημερινή ζωή θα μπορούσαν να περιορίσουν την πρόσβαση των πολιτών στα οφέλη του ψηφιακού κόσμου, ιδιαίτερα σε μεγαλύτερες πόλεις με υψηλή ζήτηση για αποτελεσματικές δημόσιες υπηρεσίες. Για την αποτελεσματική αντιμετώπιση αυτών των προκλήσεων, θα ήταν συνετό να αποκλειστούν πλήρως οι τοπικές κυβερνήσεις από την NIS2.
Η Ελλάδα βρίσκεται αυτή τη στιγμή σε μια σημαντική φάση ψηφιακού μετασχηματισμού, όπως τονίζεται στην έκθεση EU DESI, η οποία εντοπίζει σημαντικές προκλήσεις στους ανθρώπινους πόρους, τη χρήση του διαδικτύου και την υιοθέτηση ψηφιακών τεχνολογιών. Η επέκταση της Οδηγίας NIS2 ώστε να συμπεριλάβει την τοπική αυτοδιοίκηση (ΠΑΡΑΓΡΑΦΟΣ ΣΤ) θα μπορούσε να περιπλέξει περαιτέρω αυτές τις προκλήσεις τουλάχιστον σε αυτό το μεταβατικό στάδιο, ιδιαίτερα για δήμους που έχουν ήδη ανεπαρκείς πόρους και υποδομές.
Εάν οι τοπικές αρχές, αρμόδιες για βασικές δημόσιες υπηρεσίες, ενσωματωθούν στο πλαίσιο NIS2 χωρίς επαρκή δημοσιονομική στήριξη και προγραμματισμό, ενδέχεται να προκληθούν ασυμφωνίες και κωλυσιεργίες σε επίπεδο τοπικής αυτοδιοίκησης. Αυτό θα μπορούσε να ενισχύσει την αντίληψη ότι η οδηγία αποτελεί τροχοπέδη και όχι διευκόλυνση των επιμέρους λειτουργιών. Εάν το NIS2 επιβάλει περιορισμούς σε υπηρεσίες που ενισχύουν την καθημερινή ζωή των πολιτών, ενδέχεται να εμποδίσει την πρόσβαση του κοινού στα οφέλη της επερχόμενης ψηφιοποίησης. Οι συνέπειες θα ήταν ιδιαίτερα έντονες σε μεγαλύτερες αστικές περιοχές, όπου η ζήτηση για αποτελεσματικές δημόσιες υπηρεσίες είναι αυξημένη.
Ως εκ τούτου, μια στρατηγική και μετρημένη προσέγγιση για την επέκταση της τοπικής αυτοδιοίκησης στην πρωτοβουλία NIS2 είναι απαραίτητη ώστε να εφαρμοστεί επιτυχώς χωρίς να δημιουργήσει προβλήματα.Σε αυτό το μεταβατικό στάδιο η τοπική αυτοδιοίκηση θα μπορούσε να απέχει από την πρωτοβουλία ή να εκσυγχρονιστούν οι υποδομές της ώστε να εφαρμοστεί επιτυχώς.
Όσον αφορά στην παράγραφο ΣΤ και στην οδηγία NIS2 που παρουσιάστηκε πρόσφατα και στοχεύει στην ενίσχυση των μέτρων κυβερνοασφάλειας στους οργανισμούς του δημόσιου τομέα, θεωρώ πως δημιουργεί σημαντικά προβλήματα για τις μικρές και μεσαίες επιχειρήσεις που συνεργάζονται με φορείς τοπικής αυτοδιοίκησης. Αυτό συμβαίνει γιατί ένας σημαντικός αριθμός από αυτές τις επιχειρήσεις δεν διαθέτει την απαιτούμενη τεχνογνωσία και τους οικονομικούς πόρους για να ανταποκριθεί άμεσα στα υποχρεωτικά πρότυπα κυβερνοασφάλειας, γεγονός που θα μπορούσε να θέσει σε κίνδυνο τις εν εξελίξει συνεργασίες τους με δήμους. Επίσης, υπάρχει σοβαρός κίνδυνος οι επιχειρήσεις αυτές να καταλήξουν με μειωμένη ρευστότητα, να μη μπορούν να συνεχίσουν να ειναι φερέγγυες και να υπάρξουν τελικά δυσμενείς επιπτώσεις στην τοπική οικονομία και μειωμένα επίπεδα απασχόλησης.
Παράλληλα, η συμμόρφωση με τις αυστηρές απαιτήσεις κυβερνοασφάλειας του NIS2 απαιτεί σημαντικές επενδύσεις σε προηγμένες τεχνολογίες και ολοκληρωμένα προγράμματα κατάρτισης— δαπάνες που είναι συχνά απαγορευτικές για πολλές μικρές επιχειρήσεις. Για αυτόν τον λόγο, θα ήταν προτιμότερο ένα πιο σταδιακό και ευέλικτο πλαίσιο εφαρμογής για την οδηγία NIS2 που θα μπορούσε να δώσει στις μικρές και μεσαίες επιχειρήσεις τον απαραίτητο χρόνο προσαρμογής, διευκολύνοντας έτσι την αδιάσπαστη συνεργασία με τους φορείς τοπικής αυτοδιοίκησης. Αυτή η προσέγγιση θα συνέβαλε στη διατήρηση της σταθερότητας στην τοπική αγορά και στην προστασία των ευκαιριών απασχόλησης.
Σε αυτό το πλαίσιο θα ήταν βοηθητικό να εξεταστεί περαιτέρω ο ρόλος της τοπικής αυτοδιοίκησης στην οδηγία NIS2 ή να οριστεί μια ελάχιστη ρυθμιστική επιβάρυνση λαμβάνοντας υπόψη τις ιδιαίτερες ανάγκες και δυσκολίες που αντιμετωπίζουν οι μικρές και μεσαίες επιχειρήσεις.
Στην παράγραφο 10 του άρθρου 3 αναφέρεται ότι «Οι οντότητες, η Εθνική Αρχή Κυβερνοασφάλειας του άρθρου 3 του ν. 5086/2024 (Α΄ 23) και οι CSIRTs του άρθρου 10 του παρόντος επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στον βαθμό που είναι αναγκαίο για τους σκοπούς του παρόντος νόμου και σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679, μόνον εφόσον η εν λόγω επεξεργασία βασίζεται στο άρθρο 6 του εν λόγω Κανονισμού».
Δεδομένου ότι στο άρθρο 6 του Γενικού Κανονισμού Προστασίας Δεδομένων ΕΕ/2016/679 αναφέρονται όλες οι νομικές βάσεις της επεξεργασίας (από τη συγκατάθεση έως τη συμμόρφωση με έννομη υποχρέωση και το έννομο συμφέρον του υπεύθυνου επεξεργασίας), προτείνεται, για λόγους σαφήνειας αλλά και ασφάλειας δικαίου, ο ακριβέστερος προσδιορισμός της νομικής βάσης, λαμβάνοντας υπόψη την αιτιολογική σκέψη 121 της Οδηγίας, σύμφωνα με την οποία «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές, ενιαία σημεία επαφής και CSIRT θα μπορούσε να συνιστά νομική υποχρέωση ή να θεωρείται αναγκαία για την εκτέλεση καθήκοντος δημοσίου συμφέροντος ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο γ) ή ε) και το άρθρο 6 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, ή για την επιδίωξη έννομου συμφέροντος των βασικών και σημαντικών οντοτήτων, όπως αναφέρεται στο άρθρο 6 παράγραφος 1 στοιχείο στ) του εν λόγω κανονισμού.»
Η απουσία του τομέα της εκπαίδευσης από τις υποχρεωτικές διατάξεις του νόμου ΝΙS2 για την κυβερνοασφάλεια αποτελεί σημαντική παράλειψη, ιδιαίτερα σε μια εποχή που η εκπαίδευση βασίζεται ολοένα και περισσότερο στις τεχνολογίες πληροφορικής και επικοινωνιών. Το εκπαιδευτικό σύστημα διαχειρίζεται τεράστιες ποσότητες ευαίσθητων δεδομένων και εξυπηρετεί ένα ευρύ φάσμα χρηστών, από μαθητές και εκπαιδευτικούς έως και διοικητικούς υπαλλήλους, καθιστώντας τον κλάδο ευάλωτο σε απειλές κυβερνοασφάλειας.
Η ένταξη του τομέα της εκπαίδευσης στις υποχρεωτικές διατάξεις του ΝΙS2 θα ενισχύσει τη θωράκιση των εκπαιδευτικών ιδρυμάτων έναντι κυβερνοεπιθέσεων, θα διασφαλίσει την προστασία των προσωπικών δεδομένων των μαθητών και των εκπαιδευτικών και θα συμβάλει στην απρόσκοπτη λειτουργία των ψηφιακών υπηρεσιών εκπαίδευσης. Επίσης, δεδομένου ότι οι εκπαιδευτικοί οργανισμοί διαδραματίζουν καίριο ρόλο στην κοινωνία και την οικονομία, η προστασία τους πρέπει να αντιμετωπίζεται ως κρίσιμη για την ανθεκτικότητα των κρατικών και κοινωνικών δομών μας.
Παρακαλώ όπως επανεξετάσετε την ένταξη του τομέα της εκπαίδευσης στον νόμο ΝΙS2, καθιστώντας την συμμόρφωση υποχρεωτική, ώστε να ενισχυθεί η συνολική ασφάλεια και ανθεκτικότητα της χώρας μας.
Σχετικά με την παράγραφο στ, στην οποία αναφέρεται η τοπική αυτοδιοίκηση.
Ο νέος νόμος NIS2 έρχεται με σκοπό την ενίσχυση της κυβερνοασφάλειας στους δημόσιους οργανισμούς και τις κρίσιμες υποδομές. Ωστόσο, η επιβολή αυτών των προδιαγραφών στις τοπικές αυτοδιοικήσεις δημιουργεί ένα νέο, απαιτητικό πλαίσιο για πολλές μικρές και μεσαίες επιχειρήσεις (ΜΜΕ) που βασίζονται στη συνεργασία με τους δήμους και τις περιφέρειες.
Πρόκειται κυρίως για επιχειρήσεις που παρέχουν αγαθά και υπηρεσίες στους δήμους, αλλά συχνά δεν διαθέτουν τους πόρους και την τεχνογνωσία για να ανταποκριθούν στις αυστηρές προδιαγραφές κυβερνοασφάλειας της NIS2. Η άμεση συμμόρφωση σε ένα τέτοιο πλαίσιο μπορεί να αποτελέσει δυσβάσταχτο οικονομικό φορτίο για τις ΜΜΕ, οδηγώντας σε αύξηση των λειτουργικών τους δαπανών. Χωρίς την οικονομική δυνατότητα να επενδύσουν στην αναβάθμιση των πληροφοριακών τους συστημάτων και στη συμμόρφωση με τις τεχνολογικές απαιτήσεις ασφαλείας, πολλές από αυτές κινδυνεύουν να βρεθούν εκτός συνεργασιών με το δημόσιο.
Αυτό μπορεί να προκαλέσει αλυσιδωτές αντιδράσεις. Ο περιορισμός της συνεργασίας των ΜΜΕ με τις τοπικές αρχές σημαίνει περιορισμό ρευστότητας, κάτι που μπορεί να οδηγήσει σε μαζικές πτωχεύσεις. Οι συνέπειες μιας τέτοιας κατάστασης δεν αφορούν μόνο τις ίδιες τις επιχειρήσεις, αλλά και την ευρύτερη οικονομία, καθώς η μείωση των εισοδημάτων από τη φορολογία και η αύξηση της ανεργίας αποτελούν βασικές επιπτώσεις που θα βαρύνουν συνολικά τη σταθερότητα της ελληνικής αγοράς εργασίας.
Ακόμη και αν κάποιες ΜΜΕ κατορθώσουν να ανταποκριθούν στις απαιτήσεις και να συνεχίσουν τη συνεργασία τους με την τοπική αυτοδιοίκηση, το κόστος συμμόρφωσης με τη NIS2 παραμένει υψηλό. Η δαπάνη για την εφαρμογή των απαιτούμενων μέτρων κυβερνοασφάλειας, όπως συστήματα ανίχνευσης κυβερνοαπειλών, λογισμικά προστασίας και εκπαιδευτικό πρόγραμμα προσωπικού, μπορεί να υπερβαίνει το συνολικό ετήσιο προϋπολογισμό μιας μικρής επιχείρησης. Αυτό ενισχύει τον κίνδυνο για τη βιωσιμότητα αυτών των επιχειρήσεων και περιορίζει τη δυνατότητά τους να παραμείνουν ανταγωνιστικές.
Η διαμόρφωση ενός πιο σταδιακού πλαισίου για την εφαρμογή της NIS2 θα μπορούσε να επιτρέψει την προσαρμογή των ΜΜΕ, δίνοντάς τους τον απαραίτητο χρόνο και υποστήριξη για την αναβάθμιση των πληροφοριακών τους συστημάτων. Με τον τρόπο αυτό, οι επιχειρήσεις θα μπορέσουν να συνεχίσουν να συμβάλλουν στην τοπική ανάπτυξη, ενισχύοντας την οικονομία και εξασφαλίζοντας σταθερότητα στην αγορά εργασίας, αποφεύγοντας παράλληλα τον κίνδυνο διακοπής της συνεργασίας με την τοπική αυτοδιοίκηση.
Γενικά, συνιστάται έντονα η απομάκρυνση της τοπικής αυτοδιοίκησης από το πλαίσιο των NIS2.
Θα πρέπει να καταστεί σαφές αν οι διοικήσεις των Ενόπλων Δυνάμεων (Υπουργείο Εθνικής Άμυνας) και των Σωμάτων Ασφαλείας, ήτοι της Ελληνικής Αστυνομίας (Υπουργείο Προστασίας του Πολίτη), του Λιμενικού Σώματος-Ελληνικής Ακτοφυλακής (Υπουργείο Ναυτιλίας και Νησιωτικής Πολιτικής) και του Πυροσβεστικού Σώματος (Υπουργείο Κλιματικής Κρίσης και Πολιτικής Προστασίας) εξαιρούνται αυτοτελώς ως «οντότητες δημόσιας διοίκησης που ασκούν τις δραστηριότητές τους στους τομείς της εθνικής ασφάλειας, της δημόσιας τάξης, της άμυνας ή της επιβολής του νόμου, συμπεριλαμβανομένων της πρόληψης, της διακρίβωσης, της διαπίστωσης και της δίωξης ποινικών αδικημάτων» ή εξαιρούνται και τα οικεία Υπουργεία αυτά καθ’ αυτά. Σημειώνεται ότι οι ΕΔ και τα ΣΑ αποτελούν μέρη των οικείων Υπουργείων, οπότε ΕΔ-ΣΑ και οικεία Υπουργεία ταυτίζονται ως ενιαίος φορέας Κεντρικής Κυβέρνησης (περ. γ΄ της παρ. 1 του άρθρου 14 του ν. 4270/2014).