Του Σταύρου Κουμεντάκη*

Κεντρικό χαρακτηριστικό της σύγχρονης, διεθνούς, επιχειρηματικότητας συνιστά η ανάπτυξή της μέσα σε ένα ολοένα και περισσότερο πολύπλοκο (ακόμα και για τους επαΐοντες) ψηφιακό περιβάλλον. Τα οφέλη είναι προφανή˙ αντίστοιχα και η ευπάθειά του: η συχνότητα αλλά και η σοβαρότητα κυβερνοεπιθέσεων & κυβερνοαπειλών δημιουργεί σοβαρούς προβληματισμούς-όχι μόνον στις μεγάλες και μεσαίες επιχειρήσεις. Η ραγδαία -καταιγιστική- τεχνολογική εξέλιξη, η αυξανόμενη εξάρτηση από συστήματα πληροφορικής και δικτύων και η διασυνοριακή φύση των απειλών κατέστησαν αναγκαία την θέσπιση ενός ισχυρού και συνεκτικού πλαισίου προστασίας. Οι υποχρεώσεις όσων υπάγονται έχουν ήδη εκκινήσει, με πρώτη την εγγραφή, έως την 30.9.2025, στο Μητρώο Φορέων-Υπόχρεων της Εθνικής Αρχής Κυβερνοασφάλειας. Έπονται, όμως, οι σοβαρότερες, για τις οποίες επόμενη αρθρογραφία μας.

Εισαγωγικά

Η ασφάλεια στον κυβερνοχώρο περιλαμβάνει την προστασία των συστημάτων δικτύου και πληροφοριών (NIS), των χρηστών τους και άλλων επηρεαζόμενων προσώπων, επιχειρήσεων και οντοτήτων από περιστατικά κυβερνοεπιθέσεων και αντίστοιχων απειλών. Ολοένα πληθαίνουν περιστατικά, που θέτουν σε κίνδυνο τη διαθεσιμότητα, αυθεντικότητα, ακεραιότητα ή εμπιστευτικότητα δεδομένων και περιστατικών προκαλώντας σοβαρές λειτουργικές διαταράξεις ή οικονομική ζημία). Η ανάγκη αντιμετώπισης της αυξημένης έκθεσης της Ευρωπαϊκής Ένωσης σε κυβερνοαπειλές οδήγησε στην υιοθέτηση της Οδηγίας NIS2, που εστιάζει στην προστασία κρίσιμων υποδομών έναντι των διαρκώς αυξανόμενων απειλών στον κυβερνοχώρο. 

Καθεστώς Συμμόρφωσης

Με την Οδηγία NIS2 εισάγονται για τους οργανισμούς (επιγραμματικά -και αναλυτικότερα σε επόμενη αρθρογραφία μας): (α) κοινά ελάχιστα πρότυπα ασφαλείας, (β) ενισχυμένα μέτρα διαχείρισης κινδύνων και έγκαιρης αναφοράς περιστατικών, (γ) υποχρεώσεις υποβολής αναφορών και (δ) ενίσχυση της λογοδοσίας της ανώτατης διοίκησης.

Βασικές και Σημαντικές Οντότητες

Οι κρίσιμες υποδομές, επιχειρήσεις, φορείς και οργανισμοί που εμπίπτουν στο ρυθμιστικό πεδίο της Οδηγίας NIS2 αναφέρονται, ενιαία, ως "οντότητες". Με την Οδηγία NIS2 και τον εφαρμοστικό της νόμο, αναγνωρίζονται δύο κατηγορίες οντοτήτων ως υπαγόμενες στο πεδίο εφαρμογής.

Πρόκειται για τις "Βασικές" και τις "Σημαντικές" Οντότητες. 

Η συγκεκριμένη διάκριση λαμβάνει υπόψη το βαθμό κρισιμότητάς τους (όσον αφορά τον τομέα και το είδος των υπηρεσιών που παρέχουν) -βεβαίως και το μέγεθός τους. Οι Βασικές Οντότητες (που χαρακτηρίζονται από μεγαλύτερο βαθμό κρισιμότητας) υπάγονται σε αυστηρότερο καθεστώς εποπτείας και επιβολής κυρώσεων σε σχέση με τις Σημαντικές-όπως θα αναλυθεί σε επόμενη αρθρογραφία μας.

Ειδικότερα: 

(α) "Βασικές Οντότητες" θεωρούνται οι οντότητες οι οποίες χαρακτηρίζονται, ως Μεγάλες Επιχειρήσεις και, επιπρόσθετα, δραστηριοποιούνται σε συγκεκριμένους τομείς˙ ενδ.: ενέργεια, μεταφορές, τράπεζες, υποδομές χρηματοπιστωτικών αγορών, υγεία, πόσιμο νερό, λύματα, ψηφιακές υποδομές, οντότητες δημόσιας διοίκησης. Επίσης, και ανεξάρτητα από το μέγεθός τους (ενδ.): οι πάροχοι υπηρεσιών συστήματος ονομάτων τομέα˙ οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών που χαρακτηρίζονται ως μεσαίες επιχειρήσεις· οντότητες δημόσιας διοίκησης.

(β) "Σημαντικές Οντότητες" θεωρούνται οι οντότητες που δραστηριοποιούνται σε συγκεκριμένους τομείς και υποτομείς˙ ενδ.: ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, διαχείριση αποβλήτων, παρασκευή, παραγωγή και διανομή χημικών προϊόντων, παραγωγή μεταποίηση και διανομή τροφίμων, κατασκευαστικός τομέας, ψηφιακοί πάροχοι, έρευνα καθώς και όσες δραστηριοποιούνται στους τομείς των Βασικών Οντοτήτων χωρίς να είναι Μεγάλες Επιχειρήσεις.

Πεδίο Εφαρμογής

Με βάση το κριτήριο (και) του μεγέθους της οντότητας

Αναφορικά με την διακρίβωση υπαγωγής μίας οντότητας στο υποκειμενικό πεδίο εφαρμογής της Οδηγίας NIS2 και του εφαρμοστικού της νόμου απαιτείται σωρευτικά: (α) η εγκατάσταση ή παροχή υπηρεσιών ή άσκηση της δραστηριότητάς της εντός της ελληνικής επικράτειας, (β) στους τομείς και υποτομείς που αναφέρονται στα Παραρτήματα Ι και ΙΙ της εν λόγω Οδηγίας και (γ) ο χαρακτηρισμός της, κατ’ ελάχιστο, ως Μεσαίας Επιχείρησης.

Ανεξάρτητα από το μέγεθος της οντότητας

Ανεξαρτήτως, όμως, μεγέθους, στο πεδίο εφαρμογής εντάσσονται (βεβαίως με κάποιες εξαιρέσεις):

(α) Οντότητες που παρέχουν υπηρεσίες: i) δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, ii) εμπιστοσύνης, iii) μητρώου ονομάτων τομέα ανωτάτου επιπέδου και πάροχοι υπηρεσιών συστήματος ονομάτων τομέα,

(β) Οργανισμοί που είναι ο μοναδικός πάροχος στη χώρα υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων,

(γ) Οργανισμοί, των οποίων η διατάραξη της υπηρεσίας που παρέχουν θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία,

(δ) Οργανισμοί, των οποίων η διατάραξη της υπηρεσίας που παρέχουν θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, περιλαμβανομένων των τομέων στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,

(ε) Οργανισμοί, που είναι κρίσιμοι λόγω της ιδιαίτερης σημασίας τους σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη χώρα και

(στ) Φορείς της κεντρικής κυβέρνησης και, σε περιφερειακό επίπεδο, ως δευτεροβάθμιος ή πρωτοβάθμιος Οργανισμός Τοπικής Αυτοδιοίκησης.

Το νέο ρυθμιστικό πλαίσιο που εισάγει η Οδηγία NIS2 και ο εφαρμοστικός της νόμος ενδυναμώνουν τη θέση της κυβερνοασφάλειας ως βασικού πυλώνα εύρυθμης λειτουργίας κρίσιμων υποδομών. Οι απαιτήσεις συμμόρφωσης που προβλέπουν δεν περιορίζονται σε τυπικές διαδικασίες˙ αντανακλούν την ανάγκη για ουσιαστική διαχείριση κινδύνων και θεσμική ετοιμότητα έναντι κυβερνοπεριστατικών. Περίσσεια, πάντως, θα τονισθεί η αναγκαιότητα της αξιολόγησης της υπαγωγής (ή μη) μιας οντότητας στις ρυθμίσεις του συγκεκριμένου νομοθετικού πλαισίου. Πάντως, τα ειδικότερα ζητήματα εφαρμογής και οι υποχρεώσεις των υπαγόμενων οντοτήτων θα αναλυθούν διεξοδικότερα σε επόμενη αρθρογραφία μας.-

*Managing Partner Koumentakis and Associates Law Firm