Ν.5160/2024: Ενσωμάτωση της Οδηγίας NIS2 σχετικά με τα μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας στην Ένωση

Με τον Ν.5160/2024 (ΦΕΚ Α’/195/27-11-2024) ενσωματώνεται στην Ελληνική έννομη τάξη η Οδηγία NIS 2, η οποία εισάγει ένα εναρμονισμένο πλαίσιο υποχρεώσεων, μέτρων και κανόνων που αποσκοπούν στην επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση, με σκοπό τη βελτίωση της λειτουργίας της εσωτερικής αγοράς.

Στις 27 Νοεμβρίου 2024, δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 5160/2024 με τίτλο «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για την επίτευξη υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, καθώς και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις» (ΦΕΚ Α’/195/27-11-2024, στο εξής «Νόμος»).

Σύμφωνα με την αιτιολογική έκθεση του Νόμου, οι νέες διατάξεις αποσκοπούν στην εναρμόνιση του εθνικού δικαίου με την Οδηγία (ΕΕ) 2022/2555, προκειμένου να διασφαλιστεί ένα υψηλό κοινό επίπεδο κυβερνοασφάλειας σε όλα τα κράτη μέλη της Ένωσης. Με τον Νόμο ενσωματώνεται στην εθνική έννομη τάξη η Οδηγία NIS 2, η οποία αντικαθιστά την προγενέστερη Οδηγία NIS 1.

Με την Οδηγία NIS 2 διευρύνεται σημαντικά το πεδίο εφαρμογής των υπόχρεων οντοτήτων, καθώς εισάγονται περισσότεροι τομείς δραστηριότητας που υπόκεινται στα μέτρα κυβερνοασφάλειας του Νόμου.

Επίσης, η Οδηγία NIS 2 εισάγει νέες απαιτήσεις για τη διαχείριση κινδύνων και συμβάντων στον τομέα της κυβερνοασφάλειας, ενισχύει τις υποχρεώσεις αναφοράς περιστατικών και εντείνει το καθεστώς εποπτείας και επιβολής κυρώσεων, εισάγοντας υποχρέωση λογοδοσίας της ανώτατης διοίκησης για περιπτώσεις μη συμμόρφωσης, καθώς και αυστηρότερες απαιτήσεις αναφοράς.

1. Σκοπός & Αντικείμενο

Σκοπός του Νόμου αποτελεί η επίτευξη υψηλού επιπέδου κυβερνοασφάλειας με την ενσωμάτωση της Οδηγίας NIS 2 στην ελληνική έννομη τάξη.

Στο πλαίσιο αυτό, το αντικείμενο του Νόμου συνίσταται:

► Στον καθορισμό της αρμόδιας εθνικής αρχής για την εποπτεία αλλά και εφαρμογή του Νόμου, σε επίπεδο τεχνικό, επιχειρησιακό και στρατηγικό.

► Στην υποχρεωτική λήψη μέτρων ενίσχυσης της κυβερνοασφάλειας κρίσιμων και σημαντικών οντοτήτων.

► Στην ενίσχυση της συνεργασίας όλων των εμπλεκομένων.

► Στη θέσπιση ενός αποτελεσματικού, αναλογικού και αποτρεπτικού εποπτικού μηχανισμού για τη διασφάλιση της εφαρμογής των υποχρεώσεων που απορρέουν από το Νόμο.

2. Πεδίο Εφαρμογής

Το πεδίο εφαρμογής του Νόμου καλύπτει τομείς υψηλής κρισιμότητας καθώς και το σύνολο των σημαντικών τομέων για τη θωράκιση της κοινωνικοοικονομικής ζωής στον κυβερνοχώρο.

Ειδικότερα, θεσπίζεται ενιαίο κριτήριο με ποσοτικά χαρακτηριστικά για τον προσδιορισμό των οντοτήτων που εμπίπτουν στο πεδίο εφαρμογής του Νόμου, καθώς προβλέπεται ότι καλύπτονται όλες οι οντότητες οι οποίες παρέχουν υπηρεσίες ή ασκούν δραστηριότητα στην Ελλάδα, για τις οποίες πληρούνται σωρευτικά τα κατωτέρω κριτήρια:

► Χαρακτηρίζονται κατ’ ελάχιστον ως μεσαίες επιχειρήσεις σύμφωνα με το άρθρο 2 του παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής και ταυτόχρονα,

► Δραστηριοποιούνται στους τομείς και παρέχουν τα είδη υπηρεσιών ή ασκούν τις δραστηριότητες που αναφέρονται στα Παραρτήματα Ι ή II του Νόμου.

Επίσης, εμπίπτουν στο πεδίο εφαρμογής του Νόμου ορισμένες οντότητες που δραστηριοποιούνται στους τομείς των Παραρτημάτων I ή II αυτού, ανεξάρτητα από το μέγεθός τους, εφόσον πληρούν ειδικά ποιοτικά κριτήρια, τα οποία υποδεικνύουν βασικό ρόλο για την κοινωνία, την οικονομία ή για συγκεκριμένους ευαίσθητους τομείς (π.χ. η οντότητα είναι ο μοναδικός πάροχος τέτοιου είδους υπηρεσιών στη χώρα ή είναι κρίσιμη λόγω της ιδιαίτερης σημασίας της σε εθνικό ή περιφερειακό επίπεδο).

3. Διάκριση σε Βασικές και Σημαντικές Οντότητες και Κατάρτιση Καταλόγου

Οι οντότητες που εμπίπτουν στο πεδίο εφαρμογής του Νόμου διακρίνονται σε δύο (2) κατηγορίες ως εξής:

► Σε βασικές οντότητες, στις οποίες περιλαμβάνονται:

•  Κατά κανόνα, κάθε επιχείρηση ή οργανισμός που υπερβαίνει τα ανώτατα όρια για τις μεσαίες επιχειρήσεις και δραστηριοποιείται στους ακόλουθους τομείς του Παραρτήματος Ι του Νόμου:
  ενέργεια, μεταφορές, τράπεζες, υποδομές χρηματο-πιστωτικών αγορών, υγεία, πόσιμο νερό, λύματα, ψηφιακές υποδομές (μεταξύ των οποίων και οι πάροχοι τηλεπικοινωνιακών υπηρεσιών, πάροχοι υπηρεσιών cloud, data center κ.ά.), διαχείριση υπηρεσιών ΤΠΕ (πάροχοι διαχειριζομένων υπηρεσιών «Managed Service Providers» και πάροχοι διαχειριζομένων υπηρεσιών ασφάλειας «Managed Security Service Providers MSSPs»).
•  Οντότητες δημόσιας διοίκησης.
• Πάροχοι υπηρεσιών DNS, TLD name registries, υπηρεσιών εμπιστοσύνης, ανεξαρτήτως μεγέθους.
• Οργανισμοί των Παραρτημάτων Ι και ΙΙ του Νόμου που ορίζονται ως τέτοιοι βάσει ειδικών κριτηρίων.
• Οργανισμοί που εμπίπτουν στο πεδίο εφαρμογής της Οδηγίας (ΕΕ) 2022/2557.
• Οργανισμοί που αναγνωρίστηκαν, σύμφωνα με το άρθρο 4 του ν. 4577/2018 και το άρθρο 16 της υπ’ αρ. 1027/4.10.2019 απόφασης του Υπουργού Επικρατείας, πριν από τις 16 Ιανουαρίου 2023, ως φορείς εκμετάλλευσης βασικών υπηρεσιών.
  

► Σε σημαντικές οντότητες, στις οποίες περιλαμβάνονται:

• Κάθε επιχείρηση ή οργανισμός που υπερβαίνει τα ανώτατα όρια για τις μεσαίες επιχειρήσεις και δραστηριοποιείται στους ακόλουθους τομείς του Παραρτήματος ΙΙ του Νόμου : ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, διαχείριση απορριμμάτων, κατασκευή, παραγωγή και διανομή χημικών ουσιών, παραγωγή, επεξεργασία και διανομή τροφίμων, κατασκευή εξοπλισμού (όπως ιατρικού, ηλεκτρονικού, μηχανολογικού εξοπλισμού κ.ά.), πάροχοι ψηφιακών υπηρεσιών (περιλαμβανομένων των παρόχων επιγραμμικών αγορών, μέσων κοινωνικής δικτύωσης), ερευνητικοί οργανισμοί.
• Κάθε επιχείρηση ή οργανισμός των Παραρτημάτων Ι και ΙΙ που δεν πληροί το κριτήριο του μεγέθους, πλην όμως αναγνωρίζονται ως τέτοιοι από τα κράτη-μέλη βάσει κριτηρίων.

Επισημαίνεται ότι οι διατάξεις του Νόμου σχετικά με τις υποχρεώσεις διαχείρισης κινδύνων κυβερνοασφάλειας, αναφοράς περιστατικών και εποπτείας δεν εφαρμόζονται για τις χρηματοπιστωτικές οντότητες που καλύπτονται από τον Κανονισμό (ΕΕ) 2022/2554 (Κανονισμός DORA) ο οποίος θεσπίζει αυστηρότερες απαιτήσεις ειδικά για τις χρηματοοικονομικές υπηρεσίες και συναφώς, αποτελεί lex specialis σε σχέση με την Οδηγία NIS2.

Σύμφωνα με τον Νόμο, η Εθνική Αρχή Κυβερνοασφά-λειας καταρτίζει κατάλογο βασικών και σημαντικών οντοτήτων καθώς και οντοτήτων που παρέχουν υπηρεσίες καταχώρισης ονομάτων, ο οποίος περιλαμβάνει τα βασικά στοιχεία κάθε οντότητας. 

4.Μέτρα Διαχείρισης Κινδύνων

Οι βασικές και σημαντικές οντότητες πρέπει να λαμβάνουν αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων ασφάλειας των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούνται για τις δραστηριότητες και τις υπηρεσίες τους, καθώς και για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων περιστατικών στους αποδέκτες των υπηρεσιών και λοιπούς οργανισμούς.

Τα μέτρα αυτά περιλαμβάνουν τουλάχιστον:

• πολιτικές και διαδικασίες για ανάλυση κινδύνου και ασφάλεια πληροφοριακών συστημάτων,
• διαχείριση περιστατικών,
• επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση μετά από καταστροφή,
• ασφάλεια αλυσίδας εφοδιασμού,
• ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων,
• πολιτικές αξιολόγησης αποτελεσματικότητας μέτρων κυβερνοασφάλειας,
• βασικές πρακτικές κυβερνοϋγιεινής και κατάρτιση,
• πολιτικές χρήσης κρυπτογραφίας σε συνεργασία με την εθνική αρχή CRYPTO,
• ασφάλεια ανθρώπινων πόρων και πολιτικές ελέγχου πρόσβασης,
• χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας και ασφαλών συστημάτων επικοινωνίας.

Περαιτέρω, οι βασικές και σημαντικές οντότητες, υποχρεούνται να:

• Oρίζουν ένα αρμόδιο στέλεχος ως Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (ΥΑΣΠΕ), που θα ενεργεί ως σημείο επαφής με την Εθνική Αρχή Κυβερνοασφάλειας και να επιμελείται της συμμόρφωσης με τις απαιτήσεις του Νόμου.
• Τηρούν ενιαία πολιτική κυβερνοασφάλειας η οποία θα υποβάλλεται προς έγκριση στην Εθνική Αρχή Κυβερνοασφάλειας, τουλάχιστον ετησίως.
• Τηρούν συνολική καταγραφή των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών βάσει της κρισιμότητάς τους.
  
  
  5. Υποχρεώσεις Αναφοράς Περιστατικών

Σύμφωνα με το Νόμο, οι βασικές ή σημαντικές οντότητες υποχρεούνται σε υποβολή αναφοράς στη CSIRT (ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών) της Εθνικής Αρχής Κυβερνοαφάλειας, για κάθε σημαντικό περιστατικό το οποίο έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους. Ένα περιστατικό θεωρείται σημαντικό εάν έχει προκαλέσει σοβαρή διατάραξη των υπηρεσιών ή οικονομική ζημία στην οντότητα ή σε αλλά φυσικά ή νομικά πρόσωπα.

Ειδικότερα, ακολουθείται προσέγγιση πολλαπλών σταδίων ως προς την αναφορά περιστατικών, καθώς εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που το περιστατικό έγινε αντιληπτό, πρέπει να υποβληθεί στην Εθνική Αρχική Κυβερνοασφάλειας αρχική προειδοποίηση. Στη συνέχεια ακολουθεί πληρέστερη ενημέρωση εντός εβδομήντα δύο (72) ωρών, ακολουθούμενη από ενδιάμεση πληροφόρηση εάν ζητηθεί από την Εθνική Αρχή Κυβερνοασφάλειας, ενώ τέλος, το αργότερο εντός ενός (1) μήνα από την κοινοποίηση του περιστατικού, υποβάλλεται τελική έκθεση με συγκεκριμένες πληροφορίες που προβλέπονται στο Νόμο.

6. Εποπτεία & Κυρώσεις

Ο Νόμος ορίζει την Εθνική Αρχή Κυβερνοασφάλειας ως αρμόδια αρχή, η οποία παρακολουθεί την εφαρμογή του Νόμου και αποτελεί το ενιαίο σημείο επαφής για τη διευκόλυνση της διασυνοριακής συνεργασίας.

Για τις βασικές οντότητες ο Νόμος προβλέπει ότι η Εθνική Αρχή Κυβερνοασφάλειας έχει αρμοδιότητα να διενεργεί τακτικούς, έκτακτους και στοχευμένους ελέγχους ασφαλείας, επιτόπιες επιθεωρήσεις και εποπτεία εκτός των εγκαταστάσεων καθώς και να υποβάλει αιτήματα παροχής πληροφοριών, να αιτείται πρόσβαση σε στοιχεία, να εκδίδει δεσμευτικές οδηγίες κ.α. Επιπλέον, προβλέπονται ειδικές διοικητικές μη χρηματικές κυρώσεις, όπως αναστολή πιστοποίησης ή εξουσιοδότησης υπηρεσιών.

Κατά των φυσικών προσώπων που ασκούν διευθυντικά καθήκοντα σε επίπεδο διευθύνοντος συμβούλου ή νόμιμου εκπροσώπου, μπορεί να επιβληθεί προσωρινή απαγόρευση άσκησης διευθυντικών καθηκόντων.

Ως προς τα μέτρα εποπτείας για τις σημαντικές οντότητες αυτά συνίστανται σε κατασταλτική εποπτεία εντός και εκτός των εγκαταστάσεων, στοχευμένοι έλεγχοι ασφαλείας, επιτόπιες επιθεωρήσεις, δειγματοληπτικοί έλεγχοι, σαρώσεις ασφαλείας, καθώς και υποβολή αιτημάτων παροχής πληροφοριών, πρόσβαση σε στοιχεία, έκδοση δεσμευτικών οδηγιών κ.α.

Επίσης στο Νόμο προβλέπονται διοικητικά πρόστιμα που για τις βασικές οντότητες κυμαίνονται κατ’ ανώτατο όριο στα 10.000.000 ευρώ ή στο 2% του παγκόσμιου ετήσιου κύκλου εργασιών και για τις σημαντικές, στα 7.000.000 ευρώ ή στο 1,4% του παγκόσμιου ετήσιου κύκλου εργασιών.

7. Προθεσμίες Συμμόρφωσης και Δήλωση Στοιχείων Μητρώου

Ο Νόμος προβλέπει ότι η Διοίκηση των υπόχρεων οντοτήτων ευθύνεται για τη λήψη των οργανωτικών και τεχνικών μέτρων κυβερνοασφάλειας, τη διασφάλιση της εκπαίδευσης και την καλλιέργεια κουλτούρας κυβερνοασφάλειας εντός της οντότητας. Στο πλαίσιο αυτό, τα όργανα διοίκησης θα πρέπει εντός τριών (3) μηνών από την έναρξη ισχύος του Νόμου, να εγκρίνουν τα σχετικά μέτρα, διασφαλίζοντας επίσης την αποτελεσματική εφαρμογή τους.