20
Μάι
2025

Άρθρο του Σταύρου Ζουμπουλίδη, Senior Associate στον τομέα Προστασίας Δεδομένων της δικηγορική μας εταιρείας, στη NOMIKI BIBLIOTHIKI Daily με θέμα “Εθνικό Πλαίσιο Κυβερνοασφάλειας: Ποιες οι νέες υποχρεώσεις για τις οντότητες κρίσιμων υποδομών”

20 Μαΐου, 2025

 

Η Κοινή Υπουργική Απόφαση υπ’ αριθμ. 1689/2025 (ΦΕΚ Β’ 2186/6.5.2025) (εφεξής η “ΚΥΑ”)  εξεδόθη στο πλαίσιο εφαρμογής του Ν. 5160/2024, με τον οποίο ενσωματώθηκε στην ελληνική έννομη τάξη η Οδηγία (ΕΕ) 2022/2555 (γνωστή και ως “NIS 2”). Η ΚΥΑ θεσπίζει το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας, το οποίο λειτουργεί ως υποχρεωτικό λειτουργικό και τεχνικό υπόβαθρο για τις βασικές και σημαντικές οντότητες που υπάγονται στο άρθρο 3 του ισχύοντος νόμου. Η πράξη, κατουσίαν, αποσκοπεί στην εξειδίκευση των διατάξεων των άρθρων 15 και 16 του ν. 5160/2024, προκειμένου να διασφαλιστεί μια ενιαία και ουσιαστική συμμόρφωση στο πεδίο της προστασίας των συστημάτων δικτύου και πληροφοριών, ενόψει και των ιδιαίτερων απαιτήσεων του ελληνικού ψηφιακού οικοσυστήματος.

Νέες Υποχρεώσεις και Εξειδικεύσεις σε Σχέση με τον Ν 5160/2024

Δεν αποσκοπεί αποκλειστικά στην  εφαρμογή ενιαίων κανόνων σε εθνικό επίπεδο, αλλά και στην πρόληψη και ελαχιστοποίηση των επιπτώσεων κυβερνοασφάλειας, αφενός μεν για τις ίδιες τις υπόχρεες οντότητες, αφετέρου δε για τους αποδέκτες παροχής των υπηρεσιών τους.

Μεταξύ άλλων προτείνονται:

  • Η υιοθέτηση και εφαρμογή ενιαίου Συστήματος Διαχείρισης Κυβερνοασφάλειας (‘ΣΔΑΠ’), θεμελιωμένο σε πολιτικές ασφάλειας, αναγνώριση και αξιολόγηση κινδύνων, σαφή καθορισμό ρόλων,αρμοδιοτήτων, αλλά και διαδικασιών βάσει διεθνών προτύπων.
  • Ο ορισμός Υπευθύνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (ΥΑΣΠΕ), με διοικητική λογοδοσία, ανεξαρτησία από εκτελεστικές λειτουργίες, και καθήκον άμεσης επικοινωνίας με την Εθνική Αρχή Κυβερνοασφάλειας, και τις επιφορτιζόμενες με σχετικές εξουσίες και καθήκοντα ομάδες.
  • Με βάση την Αρχή Λογοδοσίας: η Διοίκηση φέρει τη νομική ευθύνη για την πλημμελή εφαρμογή ή/και την παράλειψη λήψης κατάλληλων μέτρων. Η ευθύνη της Διοίκησης περιλαμβάνει, πλην της υιοθέτησης κ’ έμπρακτης εφαρμογής ενός ολοκληρωμένου προγράμματος διαχείρισης κινδύνων, την επίβλεψη κ’ εποπτεία εφαρμογής αυτού, τη διαρκή επαναξιολόγηση του σε περιοδική βάση, αλλά και την διάθεση αναγκαίων πόρων βάσει της αρχής της αναλογικότητας, συνυπολογιζόμενου του μεγέθους και της δυναμικής της υπόχρεης οντότητας.
  • Πολιτικές ασφάλειας, που εγκρίνονται από τη Διοίκηση, αξιολογούνται διαρκώς και αναθεωρούνται περιοδικά. Ενδεικτικά: η πολιτική ελέγχου πρόσβασης, η πολιτική διαχείρισης αγαθών, η πολιτική διαχ. περιστατικών,η  πολιτική εφοδιαστικής αλυσίδας, η πολιτική κρυπτογράφησης, φυσικής ασφάλειας (ιδ. κατωτέρω την υποσημείωσή μας αναφορικά με τις πολιτικές που πρέπει να διαθέτει κατ’ ελάχιστον μια υπόχερη οντότητα).
  • Χρήση τεχνολογικών μέτρων, ανάλογα με το προφίλ κινδύνου, μεταξύ των οποίων:
    • Σύστημα Διαχείρισης Συμβάντων και Ασφαλείας Πληροφοριών (‘SIEM’),
    • Συστήματα Ανίχνευσης/Αποτροπής Εισβολών (IDS/IPS),
    • Μηχανισμοί Πολυπαραγοντικής Αυθεντικοποίησης (‘MFA’),
    • Πρόληψη Απώλειας Δεδομένων (‘DLP’),
    • Εργαλεία Ανίχνευσης Ευπαθειών (‘Vulnerability Scanners’).
  • Διαχείριση τρίτων παρόχων (π.χ. προμηθευτές), με διαρκή αξιόλογηση του επιπέδου κυβερνοασφαλείας τους, ενσωμάτωση ρητρών / εγγυήσεων συμβατικής συμμόρφωσης, δικαιώματα ελέγχου – στις εγκαταστάσεις ή/και απομακρυσμένα και δικλείδες απεμπλοκής σε περίπτωση ανώμαλης εξέλιξης της συνεργασίας της εταιρείας μαζί τους.
  • Πρακτικές Κυβερνουγιεινής και επαρκούς κατάρτισης κ’ ευαισθητοποίσης της Διοίκησης και του προσωπικού για την καλλιέργεια μιας κουλτούρας Κυβερνοασφάλειας.

Πρακτικά Ζητήματα Εφαρμογής

Οι υπόχρεες οντότητες καλούνται να προβούν, τόσο σε ουσιαστικές εσωτερικές αναδιοργανώσεις, όσο και σε επενδύσεις. Οι παρακάτω παράγοντες ενισχύουν την ανάγκη για ένα δομημένο και διεπιστημονικά σχεδιασμένο πλάνο συμμόρφωσης με βάση ένα ρεαλιστικό χρονοδιάγραμμα και εξειδικευμένη νομική υποστήριξη. Σημειώνονται ενδεικτικά:

  • Η πιθανή έλλειψη ετοιμότητας σε οργανωτικό επίπεδο, ιδιαίτερα όσον αφορά τον καθορισμό ρόλων, την εσωτερική ανεξαρτησία του ΥΑΣΠΕ και τη δημιουργία κυβερνοπροϋπολογισμού.
  • Η πιθανή απουσία ωριμότητας στις διαδικασίες εκτίμησης κινδύνου, ιδίως για μικρομεσαίες οντότητες με περιορισμένο τεχνολογικό υπόβαθρο και εμπειρία.
  • Η δυσκολία ενοποίησης των τεχνικών εργαλείων, με αποτέλεσμα αποσπασματική εφαρμογή των μέτρων και περιορισμένη ορατότητα στα δεδομένα.
  • Η απειρία σχετικά με την ανάγκη συνεχούς εκπαίδευσης Διοίκησης και προσωπικού, η οποία δεν περιγράφεται επαρκώς αλλά θεωρείται κρίσιμος παράγοντας επιτυχούς συμμόρφωσης.

Υποχρέωση Ελέγχου και Προθεσμίες

  • Ετήσια αυτοαξιολόγηση, με πρότυπο της Εθνικής Αρχής Κυβερνοασφάλειας.
  • Διενέργεια ελέγχων από ανεξάρτητους φορείς, τουλάχιστον μία (1) φορά ετησίως.
  • Έλεγχος ανθεκτικότητας έναντι εξωτερικών ή εσωτερικών επιθέσεων Penetration Testing (εσωτερικό και εξωτερικό).
  • Παρακολούθηση δεικτών συμμόρφωσης (KPIs) και καταγραφή σε ενιαία βάση.

Η τελική ημερομηνία υποβολής πληροφοριών στην ΕΑΚ έχει προσδιοριστεί στην 30η Μαΐου 2025, σύμφωνα με την τροποποιηθείσα προθεσμία του Ν. 5160/2024.

Κυρώσεις για μη Συμμόρφωση

Η παράβαση των υποχρεώσεων που απορρέουν από την ΚΥΑ επισύρει τις κυρώσεις του Ν. 5160/2024:

  • Χρηματικά πρόστιμα έως €10.000.000 ή 2% του παγκόσμιου κύκλου εργασιών (βασικές οντότητες) ή έως €7.000.000 / 1,4% (σημαντικές).
  • Εντολές συμμόρφωσης, προσωρινά μέτρα, διακοπή λειτουργίας υποδομής και δημοσιοποίηση παραβάσεων.
  • Ενδεχόμενη αλληλοεπικάλυψη με υποχρεώσεις με τον Γενικό Κανονισμό Προστασίας Δεδομένων (‘ΓΚΠΔ’), ιδίως σε περιπτώσεις παραβίασης δεδομένων.

Προτεινόμενες Κατευθύνσεις Συμμόρφωσης

Οι οντότητες προτείνεται να αναπτύξουν σχέδιο συμμόρφωσης βάσει των ακόλουθων αξόνων:

  • Έλεγχος αποκλίσεων με σαφή και ορισμένη αποτύπωση υφιστάμενων μέτρων έναντι των απαιτήσεων της ΚΥΑ και .
  • Εκπόνηση στρατηγικού σχεδίου, με διακριτά στάδια: καθορισμός υπευθύνων, συγγραφή πολιτικών, τεχνική υλοποίηση και εκπαιδεύσεις Διοίκησης, προσωπικού κλπ.
  • Καταγραφή και διαχείριση του υλικού και υλισμικού Τεχνολογιών Πληροφορικής και Επικοινωνιών (‘ΤΠΕ’) που φιλοξενούνται, είτε στις εγκαταστάσεις, είστε σε συστήματα υπολογιστικού νέφους.
  • Συστηματική τεκμηρίωση διαδικασιών ελέγχου και αξιολόγησης, με αξιοποίηση διεθνών προτύπων και βέλτιστων πρακτικών (λ.χ. ISO 27001).

Συμπεράσματα

Η ΚΥΑ 1689/2025 λειτουργεί ως «καταλύτης» για την ουσιαστική ενσωμάτωση πρακτικών κυβερνοασφάλειας στην εταιρική στρατηγική και διακυβέρνηση. Η υπό ανάλυση συμμόρφωση δεν περιορίζεται μόνο στη λήψη μέτρων και διαδικασιών ασφαλείας, αλλά συνιστά κανονιστικό και διοικητικό καθήκονάρρηκτα συνδεδεμένο με τη φήμη, την επιχειρησιακή συνέχεια και την εμπιστοσύνη της αγοράς.

Η υιοθέτηση του σχετικού πλαισίου από τις υπόχρεες οντότητες, σε συνδυασμό με τον διαρκή έλεγχο, εκπαίδευση και επικαιροποίηση των μέτρων, διαμορφώνει το αναγκαίο υπόβαθρο για μια αποτελεσματική και τεκμηριωμένη διαχείριση ψηφιακών κινδύνων.