Τι είναι το NIS 2 Directive;

Η οδηγία NIS 2 (οδηγία (ΕΕ) 2022/2555) επικαιροποιεί και διευρύνει σημαντικά τις υποχρεώσεις για την ασφάλεια στον κυβερνοχώρο και τη διαχείριση κινδύνων σε ολόκληρη την Ευρωπαϊκή Ένωση, καταργώντας την αρχική οδηγία NIS (οδηγία (ΕΕ) 2016/1148). Εισάγει ολοκληρωμένα μέτρα με στόχο την επίτευξη υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε όλα τα κράτη μέλη, ενισχύοντας τη λειτουργία της εσωτερικής αγοράς μέσω βελτιωμένων πρωτοκόλλων ασφαλείας και δυνατοτήτων αντιμετώπισης περιστατικών.

Η οδηγία NIS 2 (οδηγία (ΕΕ) 2022/2555) τέθηκε σε ισχύ στις 16 Ιανουαρίου 2023, 20 ημέρες μετά τη δημοσίευσή της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης στις 27 Δεκεμβρίου 2022. Τα κράτη μέλη οφείλουν να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο έως τις 17 Οκτωβρίου 2024

Ποιους αφορά και ποιοι επηρεάζονται;

Το NIS2 επεκτείνει σημαντικά το πεδίο εφαρμογής του κανονισμού πέρα από τον προκάτοχό του, διευθύνοντας τον κανονισμό για μια σειρά κλάδους που θεωρούνται κρίσιμοι για τη διεθνή αγορά της ΕΕ.

Η Οδηγία NIS 2 κατηγοριοποιεί τις εταιρείες που υποχρεούνται σε συμμόρφωση σε δύο ομάδες, με βάση το αντικείμενο δραστηριότητάς τους και το μέγεθός τους (αριθμό υπαλλήλων και κύκλο εργασιών): σε «Βασικές» οντότητες (υψηλής κρισιμότητας) και «Σημαντικές» οντότητες (απλής κρισιμότητας). (Δείτε αναλυτικά στον πίνακα.) Στις εταιρείες που υποχρεούνται σε συμμόρφωση περιλαμβάνονται και οι πάροχοι MSPs.

Εταιρείες με τουλάχιστον 250 εργαζόμενους (Μεγάλες εταιρείες) και ελάχιστος κύκλο εργασιών 50 εκατ. ευρώ ή ετήσιο ισολογισμό 43 εκατ. Ευρώ.

Αυτή η κατηγορία, περιλαμβάνει κλάδους θεμελιώδεις για την κοινωνική και οικονομική ευημερία. Αυτές περιλαμβάνουν τις μεταφορές, τις χρηματοοικονομικές υπηρεσίες, την υγειονομική περίθαλψη και εταιρείες κοινής ωφέλειας, όπως οι προμηθευτές ενέργειας.

  • Τράπεζες
  • Επιχειρήσεις & Finance
  • Digital Infrastructure
  • Ενέργεια
  • Δημόσια Διοίκηση
  • Διαστημικά έργα
  • Μεταφορές
  • Εταιρείες Ύδρευσης

Εταιρείες με τουλάχιστον 50 εργαζόμενους (Μεσαίες & Μεγάλες εταιρείες) και ελάχιστο κύκλο εργασιών 10 εκατ. ευρώ ή ετήσιο ισολογισμό 10 εκατ. Ευρώ.

  • Εταιρείες Χημικών
  • Digital Providers 
  • Παραγωγή Τροφίμων
  • Βιομηχανίες
  • Ταχυδρομικές Υπηρεσίες 
  • Ευρευνητικές Δραστηριότητες 
  • Διοόκηση απορριμμάτων

Κυρώσεις μη συμμόρφωσης

H οδηγία NIS 2 επιβάλλει βαριές οικονομικές κυρώσεις για τη μη συμμόρφωση, που επιβάλλονται και καθορίζονται από την αρμόδια αρχή του κάθε κράτος μέλος της ΕΕ με βάση τη σοβαρότητα της μη συμμόρφωσης. Πέρα από τις οικονομικές κυρώσεις,που φτάνουν εώς και τα 10εκ. ευρώ περιορίζεται ή και αναστέλλεται κατά περιπτώσεις η λειτουργία της επιχείρησης, ενώ και η φήμη της εταιρείας βλάπτεται ανάλογα.

  1. Πρόστιμο που ξεκινά από 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου κύκλου εργασιών της εταιρείας κατά το προηγούμενο έτος.
  2. Δημόσια αποκάλυψη παραβιάσεων.
  3. Αναστολή ή περιορισμός λειτουργιών.
  4. Απόδοση ευθύνης στη διοίκηση μέχρι το επίπεδο του CEO.
  1. Πρόστιμο που ξεκινά από 7 εκατομμύρια ευρώ ή 1,4% του παγκόσμιου κύκλου εργασιών της εταιρείας κατά το προηγούμενο έτος.
  2. Δημόσια αποκάλυψη παραβιάσεων.
  3. Περιορισμός λειτουργίας.

Οδηγία NIS 2 και άλλα πρότυπα ασφάλειας.

Το πρότυπο ISO 27001 είναι μια παγκοσμίως αναγνωρισμένη πιστοποίηση που καθορίζει τις απαιτήσεις για τη δημιουργία, την εφαρμογή, τη συντήρηση και τη συνεχή βελτίωση ενός συστήματος διαχείρισης ασφάλειας πληροφοριών (ISMS) που ακολουθεί μια επιχείρηση ή οργανισμός. Αν και δεν αποτελεί εγγύηση συμμόρφωσης με την οδηγία NIS 2, η πιστοποίηση κατά το πρότυπο ISO 27001 αποτελεί απόδειξη μιας ισχυρής πολιτικής ασφάλειας πληροφοριών και μπορεί να βοηθήσει τους οργανισμούς να ανταποκριθούν σε πολλές από τις απαιτήσεις της NIS 2. Οι οργανισμοί που υπόκεινται στην οδηγία NIS 2 μπορούν να αξιοποιήσουν το ISO 27001 ως οδικό χάρτη για την επίτευξη συμμόρφωσης.

Η οδηγία περιγράφει δέκα ελάχιστα μέτρα cybersecurity που πρέπει να υιοθετήσουν οι οργανισμοί προκειμένου να συμμορφωθούν με τις απαιτήσεις της NIS 2:

  1. Διεξαγωγή αξιολογήσεων κινδύνου και θέσπιση πολιτικών ασφάλειας για συστήματα πληροφοριών.
  2. Ανάπτυξη πολιτικών και διαδικασιών για τη βελτίωση της αποτελεσματικότητας των μέτρων ασφαλείας.
  3. Εφαρμογή πολιτικών και διαδικασιών για τη χρήση κρυπτογράφησης όπου χρειάζεται.
  4. Καθορισμός ενός σχεδίου για το χειρισμό συμβάντων ασφαλείας.
  5. Διασφάλιση ασφάλειας στην προμήθεια, ανάπτυξη και λειτουργία συστημάτων, συμπεριλαμβανομένης της αναφοράς vulnerability.
  6. Παροχή εκπαίδευσης στον κυβερνοχώρο και διατήρηση βασικών πρακτικών υγιεινής υπολογιστών.
  7. Εφαρμογή διαδικασιών ασφαλείας για υπαλλήλους που έχουν πρόσβαση σε ευαίσθητα δεδομένα, συμπεριλαμβανομένων πολιτικών πρόσβασης δεδομένων και διαχείρισης περιουσιακών στοιχείων.
  8. Διαχειριστείτε τις επιχειρηματικές δραστηριότητες κατά τη διάρκεια και μετά από ένα συμβάν ασφαλείας, διασφαλίζοντας ενημερωμένα αντίγραφα ασφαλείας και πρόσβαση σε
  9. συστήματα πληροφορικής.
  10. Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων, λύσεις συνεχούς ελέγχου ταυτότητας και κρυπτογράφηση φωνής, βίντεο και κειμένου.
  11. Ασφαλίστε τις αλυσίδες εφοδιασμού, αξιολογώντας τα τρωτά σημεία και τα συνολικά επίπεδα ασφάλειας για όλους τους προμηθευτές.

Ενώ οι ευρείες απαιτήσεις και τα δέκα ελάχιστα μέτρα δίνουν στις εταιρείες ένα καλό προσανατολισμό για το πού να εφαρμόσουν τις πολιτικές τους για να προετοιμαστούν για το NIS2, όπως συμβαίνει με κάθε κανονισμό, το πρόβλημα βρίσκεται στις λεπτομέρειες. Η πλήρης αναθεώρηση της οδηγίας ή η συνεργασία με έναν εταίρο που καταλαβαίνει τα βασικά στοιχεία είναι απαραίτητη.

Για υπηρεσίες πιστοποίησης σύμφωνα με το πρότυπο ISO 27001

επικοινωνήστε μαζί μας

Οι οργανισμοί πρέπει να προετοιμαστούν προληπτικά καθώς η Οδηγία NIS2 διαμορφώνεται σε ολόκληρη την Ευρωπαϊκή Ένωση.

Δείτε παρακάτω κάποια από τα βασικά βήματα που πρέπει να γίνουν.

Όπως συμβαίνει με τα περισσότερα έργα σε επίπεδο επιχείρησης, πρέπει να ξεκινήσετε με ένα λεπτομερές σχέδιο και να αναλογιστείτε τι έχετε στη διάθεσή σας αυτήν τη στιγμή και πού πρέπει να φτάσετε.

Πεδίο εφαρμογής και ταξινόμηση — Ξεκινήστε προσδιορίζοντας εάν το NIS2 ισχύει για τον οργανισμό σας και, εάν ναι, εάν ταξινομείτε ως “σημαντική” ή “ουσιώδης” οντότητα. Αυτό θα υπαγορεύσει την έκταση του τις απαιτήσεις που πρέπει να καλύψετε.

Επανεξέταση και έλεγχος — Εξετάστε διεξοδικά τις απαιτήσεις NIS2 και τα δέκα ελάχιστα μέτρα. Ελέγξτε την τρέχουσα κατάσταση, τις διαδικασίες και την τεχνολογία που έχει ενσωματώσει η εταιρεία ή οργανισμός σας στον τομέα του cybersecurity σε σχέση με αυτά τα πρότυπα για να εντοπίσετε τομείς που χρειάζονται βελτίωση.

Τα τμήματα ΙΤ και Compliance μπορούν να ικανοποιήσουν τις απαιτήσεις NIS2 από μόνες τους. Απαιτεί ομαδική προσπάθεια σε όλη τη διάρκεια. Από τα αρχικά στάδια σχεδιασμού έως τη συνεχή αναθεώρηση και συντήρηση, βεβαιωθείτε ότι κάθε ενδιαφερόμενο μέρος έχει μια αρμοδιότητα και ευθύνη.

Συνεργασία — Η Εφαρμογή των απαιτούμενων μέτρων και διαδικασιών ασφαλείας απαιτεί συνεργασία και συμμετοχή από όλα τα επίπεδα του οργανισμού. Οι ομάδες IT,security και operations θα πρέπει να συνεργαστούν για την αποτελεσματική εφαρμογή μέτρων ασφάλειας, δημιουργίας αντιγράφων ασφαλείας και κρυπτογράφησης.

Εκπαίδευση — Πέρα από την ηγεσία, η τήρηση του NIS2 περιλαμβάνει και την εκπαίδευση των μελών του οργανισμού πάνω τις πρακτικές ασφαλείας σύμφωνα με το ελάχιστο μέτρο 6. Είναι σημαντικό αυτή η εκπαίδευση να μην είναι μια εφάπαξ ενέργεια, αλλά μια συνεχής διαδικασία που βοηθά στη διατήρηση της επίγνωσης των ευθυνών μακροπρόθεσμα, εξελίσσεται με την πάροδο του χρόνου, και ενσωματώνει αποτελεσματικά νέους υπαλλήλους.

Η ικανοποίηση των απαιτήσεων του «Duty of Care» του NIS2 απαιτεί ενδελεχή έλεγχο του κινδύνου ασφάλειας σε ολόκληρο τον οργανισμό. Αυτό περιλαμβάνει αποθήκευση δεδομένων, πρόσβαση σε δεδομένα, ασφάλεια και σάρωση ευπάθειας.

Διαχείριση δεδομένων και υγιεινή — Εξασφαλίστε καλές πρακτικές διαχείρισης δεδομένων, όπως επισήμανση δεδομένων, κατάλληλη τοποθεσία αποθήκευσης, ασφαλή αποθήκευση και δημιουργία αντιγράφων ασφαλείας. Η επέκταση του καθήκοντος φροντίδας στα αντίγραφα ασφαλείας είναι επίσης σημαντική. Αυτό περιλαμβάνει την ύπαρξη αντιγράφων ασφαλείας (τα οποία δεν μπορούν να δεχθούν επιθέσεις όπως ransomware) και διατήρηση πολλαπλών αντιγράφων δεδομένων σε περίπτωση σφαλμάτων.

Μέτρα ασφαλείας — Να αξιολογείτε συνεχώς και να διασφαλίζετε ότι εφαρμόζονται τα κατάλληλα μέτρα ασφαλείας, ειδικά για το προσωπικό που έχει πρόσβαση σε ευαίσθητα ή σημαντικά δεδομένα. Ενσωματώστε πλαίσια μηδενικής εμπιστοσύνης και κρυπτογράφηση και διασφαλίστε όλα τα συστήματα είναι ασφαλή και σαρώνονται τακτικά για τρωτά σημεία. Εφαρμόστε ισχυρά μέτρα ασφαλείας για τους προμηθευτές της αλυσίδας εφοδιασμού και επιβάλλετε έλεγχο ταυτότητας πολλαπλών παραγόντων MFA όπου χρειάζεται.

Το NIS2 επιβάλλει την κατοχή ενός ολοκληρωμένου σχεδίου για συμβάντα ασφαλείας που περιλαμβάνει τη διατήρηση των λειτουργιών και τη συνέχεια κατά τη διάρκεια και μετά από ένα συμβάν. Ως εκ τούτου, οι επιχειρήσεις πρέπει να έχουν μια αποκλειστική ομάδα αντιμετώπισης περιστατικών, συμπεριλαμβανομένων των ενδιαφερομένων σε διαφορετικές επιχειρηματικές μονάδες για τον καθορισμό ενός Disaster Recovery Plan.

Ανίχνευση απειλών — Ο έγκαιρος εντοπισμός περιστατικών, όπως επιθέσεις ransomware που ενδέχεται να παραβιάσουν τα συστήματα εκ των προτέρων, είναι κρίσιμος. Επενδύστε σε λύσεις με δυνατότητες ανίχνευσης απειλών, παρακολούθηση, ειδοποιήσεις και ανίχνευση κακόβουλου λογισμικού για να εντοπίσετε περιστατικά όσο το δυνατόν νωρίτερα.

Στρατηγική δημιουργίας αντιγράφων ασφαλείας — Βεβαιωθείτε ότι υπάρχουν ενημερωμένα αντίγραφα ασφαλείας, εστιάζοντας σε αυτά που αφορούν critical δεδομένα.

Απόκριση και ανάκτηση — Αναπτύξτε διαδικασίες για την αναφορά περιστατικών και την επικοινωνία κατά τη διάρκεια ενός συμβάντος. Για ανάκαμψη, έχετε εφαρμόσει διαδικασίες ανάκτησης από καταστροφή για να εξασφαλίσετε το business continuity. Τα αξιόπιστα αντίγραφα ασφαλείας είναι ζωτικής σημασίας, αλλά μια ισχυρή διαδικασία diaster recovery που περιλαμβάνει σχεδιασμό για ανάκτηση και ένα ξεχωριστό, ασφαλές περιβάλλον είναι ζωτικής σημασίας για την ελαχιστοποίηση του χρόνου διακοπής λειτουργίας και αποφυγής του συναφούς κόστους.

Στρατηγικός Σχεδιασμός για Περιβάλλοντα Ανάκτησης — Είναι σημαντικό οι οργανισμοί να λαμβάνουν υπόψη τα περιβάλλοντα ανάκαμψης. Συχνά, δεν μπορείτε να ανακάμψετε στο ίδιο περιβάλλον όπου συνέβη το περιστατικό. Επομένως ο προγραμματισμός για ένα ξεχωριστό, ασφαλές cloud περιβάλλον ανάκτησης εκ των προτέρων είναι απαραίτητος.