Η Οδηγία 2022/2555 (NIS2) αφορά την επίτευξη υψηλού επιπέδου Κυβερνοασφάλειας.

Πρόκειται για μία απαραίτητη εξέλιξη δεδομένης της αυξημένης πολυπλοκότητας των κυβερνοαπειλών, των σοβαρών ζητημάτων που θέτουν στη λειτουργία υποδομών ζωτικής σηµασίας και της διατάραξης παροχής κρίσιµων υπηρεσιών.

Το κόστος του κυβερνοεγκλήµατος αυξάνεται διαρκώς ξεπερνώντας σε παγκόσµιο επίπεδο τα 10 τρις για το 2023, ενώ επίσης ατοµικά δικαιώματα βρίσκονται αντιμέτωπα µε νέες και σύνθετες απειλές στον κυβερνοχώρο.

Το ΝΙS2 στοχεύει στη δημιουργία ενός ασφαλούς και ανταγωνιστικού ψηφιακού περιβάλλοντος, το οποίο αναβαθμίζει τη συνολική ανθεκτικότητα της χώρας έναντι κυβερνοαπειλών. Επίσης επιδιώκεται η ενίσχυση της εμπιστοσύνης των πολιτών και των επιχειρήσεων στις ψηφιακές υπηρεσίες, ενώ ιδιαίτερη έμφαση δίνεται στην ανταλλαγή πληροφοριών και στην επικοινωνία µεταξύ Οργανισμών και Εθνικών Αρχών, καθώς και στη διευρωπαϊκή συνεργασία.

H Οδηγία NIS2 αφορά:

  • Όλες τις επιχειρήσεις που δραστηριοποιούνται ενδεικτικά στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανοµής τροφίµων, παραγωγής χηµικών προϊόντων, φαρµακευτικών προϊόντων, διαχείρισης λυµάτων και αποβλήτων, εταιριών ταχυµεταφορών.
  • Ανεξάρτητα από το μέγεθός τους σε παρόχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου, και παρόχους υπηρεσιών συστήματος ονομάτων τομέα.
  • Την Κεντρική Κυβέρνηση, τις Περιφέρειες και τους Δήμους.

Η Οδηγία NIS2 καθορίζει:

Μια σειρά από απαιτήσεις ασφάλειας που πρέπει να τηρούνται. Αυτές περιλαμβάνουν την εφαρμογή τεχνικών & οργανωτικών μέτρων για την πρόληψη, ανίχνευση, ανταπόκριση και ανάκαμψη από περιστατικά κυβερνοπειρατείας. Συγκεκριμένα, τα μέτρα τα οποία απαιτούνται για τη συμμόρφωση με την NIS2 περιγράφονται στο Άρθρο 21 και οι νέες υποχρεώσεις κοινοποίησης των περιστατικών στο Άρθρο 23 και συνοψίζονται στα ακόλουθα:

  • Ανάλυση & Διαχείριση Κινδύνων:
    • Προσδιορισμός, αξιολόγηση και κατηγοριοποίηση των περιοχών επικινδυνότητας του οργανισμού,
    • Επιλογή των κατάλληλων τεχνικών & οργανωτικών μέτρων προστασίας ώστε να επιτυγχάνεται διαθεσιμότητα, εμπιστευτικότητα και ακεραιότητα των δεδομένων
    • Συνεχής ανασκόπηση ορθής εφαρμογής των μέτρων προστασίας (τουλάχιστον μία φορά το χρόνο).
  • Διαχείριση Περιστατικών Ασφαλείας:
    • Εντοπισμός, ανάλυση και έγκαιρη ανάκαμψη από περιστατικά ασφάλειας,
    • Έγκαιρη καταγραφή και γνωστοποίηση των περιστατικών ασφαλείας στις αρμόδιες αρχές και τις επηρεαζόμενες οντότητες.
  • Μέτρα Επιχειρησιακής Συνέχειας:
    • Υλοποίηση της πολιτικής και των απαραίτητων διαδικασιών αντιγράφων ασφαλείας, βάσει των αποτελεσμάτων της ανάλυσης κινδύνου,
    • Υλοποίηση των απαραίτητων Σχεδίων Ανάκαμψης από Καταστροφές (Disaster Recovery Plan), Επιχειρησιακής Συνέχειας (Business Continuity Plan) και Διαχείρισης Kρίσεων ( Crisis Management Plan).
  • Απαιτήσεις Ασφάλειας Προμηθευτών:
    • Εντοπισμός και αναλυτική καταγραφή των κρίσιμων προμηθευτών (στοιχεία επικοινωνίας, χρόνοι απόκρισης & ανάκαμψης, κλπ.),
    • Αξιολόγηση των προμηθευτών επιλέγοντας τον αποτελεσματικότερο από άποψη ασφάλειας και επιχειρησιακής συνέχειας.
  • Απόκτηση, ανάπτυξη και συντήρηση συστήματος:
    • Ενσωμάτωση διαδικασιών ελέγχου ασφάλειας σε όλα τα στάδια του κύκλου ανάπτυξης λογισμικού,
    • Ενσωμάτωση διαδικασιών ελέγχου ασφάλειας σε όλα τα στάδια απόκτησης και συντήρησης συστημάτων,
    • Ενσωμάτωση διαδικασιών εντοπισμού, άμεσου χειρισμού και γνωστοποίησης των τεχνικών ευπαθειών (technical vulnerabilities) στα εμπλεκόμενα μέρη.
  • Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον κυβερνοχώρο
    • Υλοποίηση, ανασκόπηση και επικαιροποίηση των απαραίτητων διαδικασιών και πολιτικών ασφάλειας.
  • “Κυβερνο-υγιεινή” υπολογιστών (cyber hygiene practices)
    • Υιοθέτηση βέλτιστων πρακτικών για την επαρκή παραμετροποίηση ασφάλειας των συστημάτων(π.χ. CIS, NIST SP 800-53 κλπ.) συμπεριλαμβάνοντας ενδεικτικά τις ακόλουθες ενότητες: Hardening, Endpoint Security, Password Policy, Patch Management, Secure Remote Access, Shadow IT Management, Cloud Services Configuration Review.
  • Συνεχής Εκπαίδευση & Επαγρύπνηση χρηστών:
    • Διεξαγωγή εκπαιδευτικών προγραμμάτων σε θέματα ασφάλειας για όλους τους υπαλλήλους του οργανισμού
    • Διεξαγωγή σεναρίων επιθέσεων (π.χ phishing, ransomware, κλπ.) με στόχο την αξιολόγηση των υφιστάμενων διαδικασιών απόκριση του οργανισμού σε κρίσιμες καταστάσεις.
  • Πολιτικές για την κατάλληλη χρήση κρυπτογραφίας:
    • Υιοθέτηση τεχνικών κρυπτογράφησης (encryption at rest, in motion, in use) με στόχο την προστασία των ευαίσθητων δεδομένων και επικοινωνίας βάσει των αποτελεσμάτων της ανάλυσης κινδύνου.
  • Ασφάλεια ανθρώπινου δυναμικού, πολιτικές ελέγχου πρόσβασης και διαχείριση πληροφοριακών αγαθών
    • Εφαρμογή πολιτικών ελέγχου πρόσβασης & διαχείριση πληροφοριακών αγαθών, προκειμένου να διασφαλίζεται ότι η πρόσβαση σε κρίσιμα συστήματα και δεδομένα.
  • Χρήση πολλαπλών μέσων ασφαλούς επικοινωνίας και επικοινωνία έκτακτης ανάγκης.
  • Αναφορά περιστατικών Κυβερνοασφάλειας:
    • Εντός 24 ωρών για σημαντικό περιστατικό που προκλήθηκε από έκνομες ή κακόβουλες ενέργειες ή δύναται να έχει διασυνοριακό αντίκτυπο,
    • Εντός 72 ωρών σε κάθε άλλη περίπτωση.

Ταυτόχρονα, μέσω της οδηγίας NIS 2 αναδεικνύεται σημαντικά η ευθύνη της Διοίκησης των οργανισμών.  Η Διοίκηση έχει την τελική ευθύνη για τη διαχείριση κινδύνων. Η μη συμμόρφωση της διοίκησης με τις απαιτήσεις της NIS2 θα μπορούσε να έχει σοβαρές συνέπειες, όπως προσωρινές απαγορεύσεις και διοικητικά πρόστιμα. Οι βασικές αρμοδιότητες της Διοίκησης είναι:

  • Έγκριση της επάρκειας των μέτρων διαχείρισης κινδύνων,
  • Επίβλεψη της ορθής εφαρμογής των μέτρων διαχείρισης κινδύνου
  • Συνεχής εκπαίδευση όλου του προσωπικού με στόχο την εξοικείωση, απόκτηση γνώσεων και δεξιοτήτων για τον εντοπισμό κινδύνων και την αξιολόγηση των πρακτικών διαχείρισης κινδύνων στον κυβερνοχώρο,
  • Ευθύνη (accountability) για τυχόν μη συμμόρφωση με τις απαιτήσεις της οδηγίας.

Επιτακτική είναι πλέον η ανάγκη δημιουργίας ενός γενικού πλαισίου αναγνώρισης, αξιολόγησης, εφαρμογής και παρακολούθησης ορθής εφαρμογής των απαιτήσεων ασφάλειας (Cybersecurity Compliance Framework).

Όλες οι παραπάνω κατευθυντήριες γραμμές και απαιτήσεις μπορούν να καλυφθούν από γνωστά διεθνή πρότυπα όπως το ISO/IEC 27001αλλά ο πλέον αποτελεσματικός τρόπος συμμόρφωσης με αυτές τις πολύπλοκες απαιτήσεις είναι η υιοθέτηση ενός Πλαισίου Αυτοσυμμόρφωσης Κυβερνοασφάλειας προκειμένου να αξιολογείται μέσω κατάλληλου λογισμικού και να βελτιώνεται συνεχώς το επίπεδο ασφάλειας των Πληροφοριακών Συστημάτων. Αυτό επιτυγχάνεται με κανόνες που προκύπτουν από την εφαρμογή διεθνών προτύπων και τις βέλτιστες πρακτικές που έχουν εφαρμοστεί ήδη.

Στην SLOA έχουμε αναπτύξει λογισμικό Cyber Security Risk Assessment και παρέχεται στους πελάτες προκειμένου να παρακολουθείτε στο διηνεκές η εξέλιξη του κινδύνου από αλλαγές στις μονάδες οργάνωσης.

Indicative Client List

Our Partners