Κυβερνοασφάλεια: H Οδηγία NIS και τι πρέπει να προσέξουν οι επιχειρήσεις

Οι βασικές ενέργειες στις οποίες θα πρέπει να προχωρήσουν οι εταιρείες με βάση το νέο κρίσιμο νομοθέτημα της Ε.Ε. 

Του Αλέξανδρου Κολιοθωμά*

Alex_PhotoΕνώ άπαντες προετοιμάζονται να υποδεχθούν τη θέση σε εφαρμογή του Γενικού Κανονισμού για την Προστασία Προσωπικών Δεδομένων (GDPR) στις 25 Μαΐου 2018, λίγες ημέρες πριν, ήτοι στις 9 Μαΐου 2018, τα κράτη μέλη θα πρέπει να έχουν μεταφέρει στις εθνικές νομοθεσίες τους ένα άλλο κρίσιμο νομοθέτημα της ΕΕ: την οδηγία (ΕΕ) 2016/1148 σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (γνωστή ως Οδηγία NIS από τα αρχικά «Network and Information Systems»), και να θέσουν σε εφαρμογή τα μέτρα που αυτή προβλέπει στις 10 Μαΐου 2018.

Η Οδηγία NIS προτάθηκε το 2013 ως μέσο υλοποίησης της στρατηγικής της Ευρωπαϊκής Επιτροπής για την ασφάλεια στον κυβερνοχώρο και στοχεύει στην επίτευξη υψηλού κοινού επιπέδου ασφάλειας δικτύων και πληροφοριών σε όλη την Ευρωπαϊκή Ένωση με:

• τη βελτίωση των εθνικών ικανοτήτων στον τομέα της ασφάλειας στον κυβερνοχώρο,

• την ανάπτυξη συνεργασίας σε επίπεδο ΕΕ, και

• την προώθηση νοοτροπίας διαχείρισης κινδύνου και κοινοποίησης συμβάντων μεταξύ των κύριων οικονομικών φορέων, ιδίως δε των φορέων εκμετάλλευσης βασικών υπηρεσιών για τη διατήρηση των οικονομικών και κοινωνικών δραστηριοτήτων, και των παρόχων ψηφιακών υπηρεσιών.

Η Οδηγία NIS εφαρμόζεται σε δύο τύπους οργανισμών: (α) «φορείς εκμετάλλευσης βασικών υπηρεσιών» (Οperators of Εssential Services – OES) στους τομείς της ενέργειας, των μεταφορών, των τραπεζών, της χρηματοπιστωτικής αγοράς, της υγείας, του πόσιμου ύδατος και της ψηφιακής υποδομής , και (β) «παρόχους ψηφιακών υπηρεσιών» (Digital Service Providers – DSPs), συμπεριλαμβανομένων επιχειρήσεων όπως επιγραμμικής αγοράς (online marketplaces), επιγραμμικών μηχανών αναζήτησης (online search engines) και παρόχων νεφοϋπολογιστικής (cloud computing).

Υποχρεώσεις διαχείρισης κινδύνου για OES και DSPs

Τόσο οι φορείς εκμετάλλευσης βασικών υπηρεσιών (OES), όσο και οι πάροχοι ψηφιακών υπηρεσιών (DSPs), θα πρέπει να υιοθετήσουν «μια νοοτροπία διαχείρισης κινδύνου, που να περιλαμβάνει εκτίμηση του κινδύνου και εφαρμογή μέτρων ασφάλειας προσαρμοσμένων στους εκάστοτε κινδύνους» προκειμένου να μην αντιμετωπίσουν «δυσανάλογη οικονομική και διοικητική επιβάρυνση».

Τα μέτρα για τη διαχείριση του κινδύνου περιλαμβάνουν μέτρα για τον εντοπισμό των τυχόν κινδύνων συμβάντων, καθώς και μέτρα για την πρόληψη, την ανίχνευση και την αντιμετώπιση συμβάντων και για τον μετριασμό του αντίκτυπού τους. Η ασφάλεια των συστημάτων δικτύου και πληροφοριών περιλαμβάνει την ασφάλεια των δεδομένων που αποθηκεύονται, μεταδίδονται και υφίστανται επεξεργασία.

Τόσο οι φορείς εκμετάλλευσης βασικών υπηρεσιών (OES) όσο και οι πάροχοι ψηφιακών υπηρεσιών (DSPs) θα πρέπει (α) να λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων, τα οποία διασφαλίζουν επίπεδο ασφάλειας των συστημάτων δικτύου και πληροφοριών ανάλογο προς τον εκάστοτε κίνδυνο, (β) να λαμβάνουν κατάλληλα μέτρα για την αποτροπή και την ελαχιστοποίηση του αντίκτυπου συμβάντων, και (γ) να κοινοποιούν χωρίς αδικαιολόγητη καθυστέρηση στην αρμόδια αρχή ή στην CSIRT συμβάντα με σοβαρό αντίκτυπο αφενός στη συνέχεια των βασικών υπηρεσιών που παρέχουν (OES) και αφετέρου στην παροχή της υπηρεσίας που προσφέρουν (DSPs).

Όμως, ως προς τους παρόχους ψηφιακών υπηρεσιών (DSPs), και σε αντίθεση με τους φορείς εκμετάλλευσης βασικών υπηρεσιών (ΟΕΣ), η Οδηγία NIS αναφέρει ότι οι αρμόδιες αρχές δεν θα πρέπει να φέρουν «γενική υποχρέωση εποπτείας των παρόχων ψηφιακών υπηρεσιών» και ότι θα πρέπει να αναλαμβάνουν δράση «μόνο όταν λαμβάνουν στοιχεία … ότι ένας πάροχος ψηφιακών υπηρεσιών δεν συμμορφώνεται με τις απαιτήσεις της παρούσας οδηγίας, ιδίως αφού έχει λάβει χώρα ένα συμβάν».

Η υπ’ αριθμ. 49 αιτιολογική σκέψη της Οδηγίας NIS αναφέρει ότι «ο βαθμός κινδύνου για τους φορείς εκμετάλλευσης βασικών υπηρεσιών, είναι υψηλότερος από ό,τι για τους παρόχους ψηφιακών υπηρεσιών. Ως εκ τούτου, οι απαιτήσεις ασφάλειας για τους παρόχους ψηφιακών υπηρεσιών θα πρέπει να είναι λιγότερο αυστηρές. Οι πάροχοι ψηφιακών υπηρεσιών θα πρέπει να έχουν τη δυνατότητα να λαμβάνουν τα μέτρα που θεωρούν κατάλληλα για τη διαχείριση των κινδύνων που απειλούν την ασφάλεια των δικτύων και των συστημάτων πληροφοριών τους».

Η Ευρωπαϊκή Επιτροπή έχει εκπονήσει ένα σχέδιο εκτελεστικού νόμου για τον καθορισμό των ελάχιστων μέτρων ασφαλείας και της αναφοράς περιστατικών , ενώ ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών («ENISA») έχει δημοσιεύσει τεχνικές κατευθυντήριες γραμμές για την εφαρμογή ελάχιστων μέτρων ασφάλειας για τους παρόχους ψηφιακών υπηρεσιών (DSPs) .

Οι κατευθυντήριες αυτές γραμμές περιγράφουν έναν σύστημα στόχων ασφαλείας που ισχύουν γενικά για τους παρόχους ψηφιακών υπηρεσιών (DSPs), οι οποίοι κυμαίνονται από την εκπόνηση πολιτικής για την ασφάλεια των πληροφοριών μέχρι την παρακολούθηση πελατών και δικαιωμάτων πρόσβασης. Περιγράφουν επίσης διαφορετικά επίπεδα πολυπλοκότητας για κάθε στόχο. Τούτο αντικατοπτρίζεται σε ένα σύνολο συγκεκριμένων μέτρων ασφαλείας αυξανόμενης πολυπλοκότητας που μπορούν να βοηθήσουν μία επιχείρηση να επιδιώξει και επιτύχει υψηλού επιπέδου συμμόρφωση με την Οδηγία NIS.

Εξάλλου, σύμφωνα με το άρθρο 19 (Τυποποίηση) της Οδηγίας NIS τα κράτη μέλη «ενθαρρύνουν τη χρήση ευρωπαϊκών ή διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια των συστημάτων δικτύου και πληροφοριών». Υφίστανται δύο σχετικά διεθνή πρότυπα που αποτυπώνουν μία προσέγγιση βέλτιστης πρακτικής: (α) ISO / IEC 27001: 2013, Διεθνές Πρότυπο για τα Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS), και (β) ISO 22301: 2012, Διεθνές Πρότυπο για Σύστημα Διαχείρισης Επιχειρηματικής Συνέχειας (BCMS).

Εν κατακλείδι, φορείς εκμετάλλευσης βασικών υπηρεσιών (OES) και πάροχοι ψηφιακών υπηρεσιών (DSPs) απαιτείται να επανεξετάσουν προσεκτικά το υφιστάμενο δίκτυο ασφάλειας καθώς και να υλοποιήσουν κατάλληλα μέτρα κοινοποίησης περιστατικών προκειμένου να εκπληρώσουν τις νομικές απαιτήσεις της Οδηγίας NIS.

Οι οργανισμοί που εμπίπτουν στο πεδίο εφαρμογής της Οδηγίας NIS καλούνται να υλοποιήσουν μέτρα σύγχρονης τεχνολογίας τα οποία θα εξασφαλίσουν ένα επίπεδο ασφαλείας συστημάτων ανάλογο προς τον εκάστοτε κίνδυνο. Για την εφαρμογή δε αυτού του επιπέδου ασφαλείας, οι επιχειρήσεις θα πρέπει να εκπονήσουν ένα ολοκληρωμένο πρόγραμμα ασφαλείας. Κάποιες από τις βασικές ενέργειες στις οποίες θα πρέπει να προχωρήσουν συμπεριλαμβάνουν τα κάτωθι:

• Αξιολόγηση της δυνατότητας εφαρμογής της Οδηγίας NIS στην επιχείρηση και ανάπτυξη σχεδίου ετοιμότητας.

• Πραγματοποίηση εκτίμησης αντικτύπου σχετικά με την ασφάλεια συστημάτων.

• Έλεγχος όλων των εσωτερικών διαδικασιών ασφαλείας.

• Υιοθέτηση εσωτερικής στρατηγικής ασφάλειας και ανταπόκρισης.

• Εκπόνηση και εφαρμογή προγράμματος άμεσης ανταπόκρισης σε περιστατικά ασφαλείας.

• Χρήση ευρωπαϊκών ή διεθνώς αποδεκτών προτύπων και προδιαγραφών σχετικών με την ασφάλεια των συστημάτων δικτύου και πληροφοριών.

H σχέση μεταξύ της οδηγίας NIS και του Γενικού Κανονισμού για την Προστασία Προσωπικών Δεδομένων (GDPR)

Υπεύθυνοι και εκτελούντες την επεξεργασία προσωπικών δεδομένων μπορεί να υπόκεινται ταυτόχρονα τόσο στην Oδηγία NIS όσο και στον Γενικό Κανονισμό για την Προστασία Δεδομένων 2016/679 γνωστό ως «GDPR» (General Data Protection Regulation), ο οποίος περιέχει έναν αριθμό νέων μέτρων προστασίας των υποκειμένων των δεδομένων, καθώς και σημαντικά πρόστιμα και κυρώσεις σε περίπτωση μη συμμόρφωσης. Ως εκ τούτου, ένα περιστατικό ασφάλειας δεδομένων θα μπορούσε να προκαλέσει υποχρεώσεις κοινοποίησης βάσει και των δύο νομοθετικών κειμένων.
Εντούτοις, μεταξύ της Οδηγίας NIS και του Γενικού Κανονισμού (GDPR) υφίσταται μία σημαντική διάκριση σχετικά με τον τύπο των δεδομένων που προστατεύονται από τα ως άνω νομοθετικά κείμενα. Ενώ η Οδηγία NIS καλύπτει οποιεσδήποτε παραβιάσεις δεδομένων, τα δεδομένα που προστατεύονται στο πλαίσιο του Γενικού Κανονισμού (GDPR) περιορίζονται σε «προσωπικά δεδομένα».

Επιπλέον, η οδηγία NIS περιλαμβάνει όχι μόνο παραβιάσεις δεδομένων αλλά και τυχόν «συμβάντα» που θα μπορούσαν να επηρεάσουν την ασφάλεια των δικτύων και να επηρεάσουν την παροχή υπηρεσιών.

Συνδυαστικά, η Oδηγία NIS και ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) θα αλλάξουν άρδην το πλαίσιο εντός του οποίου κινούνται οι επιχειρήσεις.

Όλοι οι οργανισμοί στην Ελλάδα που επεξεργάζονται προσωπικά δεδομένα – συμπεριλαμβανομένων των φορέων εκμετάλλευσης βασικών υπηρεσιών (OES) όσο και των παρόχων ψηφιακών υπηρεσιών (DSPs) – πρέπει να συμμορφωθούν με τις απαιτήσεις του Γενικού Κανονισμού (GDPR) έως τις 25 Μαΐου 2018, ή αντιμετωπίζουν πρόστιμα €20.000.000 ή έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Η Οδηγία NIS τίθεται σε εφαρμογή παράλληλα με τον Γενικό Κανονισμό (GDPR). Παρόλο που μπορεί να είναι δύσκολο να υλοποιηθούν δύο μεγάλα έργα συμμόρφωσης εντός πράγματι πιεστικών χρονικών πλαισίων, η επικάλυψη των απαιτήσεων της Οδηγίας NIS και του Γενικού Κανονισμού (GDPR) μπορεί να συνεπάγεται την εξοικονόμηση οικονομικών και άλλων πόρων καθώς και χρόνου για τις επιχειρήσεις, εφόσον οι τελευταίες προχωρήσουν σε συνδυαστική υλοποίησή τους.

* Ο Αλέξανδρος Κολιοθωμάς είναι δικηγόρος (AVK Legal), ειδικός στο δίκαιο πληροφορικής, μέσων μαζικής ενημέρωσης και τηλεπικοινωνιών.