EN CLOSE
FOLLOW THE UPDATES
ΓΔ: 1390.25 -0.88% Τζίρος: 130.99 εκ. € Τελ. ενημέρωση: 17:24:59 DATA
Φωτο: Shutterstock

Πρόστιμα και τέλη στις επιχειρήσεις για καλύτερη άμυνα έναντι των χάκερ

Στέφανος Τσουλάκης
Στέφανος Τσουλάκης ΤΕΧΝΟΛΟΓΙΑ
Από τις αρχές του 2025 αρχίζουν οι έλεγχοι σε επιχειρήσεις και φορείς, με τα πρόστιμα να αναμένονται αρκετά τσουχτερά, ενώ ευθύνες θα αποδίδονται και στα ανώτερα στελέχη των επιχειρήσεων.

Βαριά πρόστιμα αλλά και τέλη περιμένουν τις επιχειρήσεις και τους φορείς που πρέπει να χτίσουν στρατηγική κυβερνοάμυνας, καθώς η Εθνική Αρχή Κυβερνοασφάλειας στοχεύει να αυξήσει τα επίπεδα ασφάλειας στη χώρα με την ενσωμάτωση της κοινοτικής οδηγίας NIS 2, σχεδιάζοντας την πραγματοποίηση ελέγχων από την αρχή της νέας χρονιάς.

«Η κυβερνοασφάλεια είναι ένας τομέας που ήταν παραμελημένος και στην Ελλάδα και στην ΕΕ, γιατί δεν έχει άμεση συνεισφορά στο τελικό αποτέλεσμα. Έχει έμμεση. Από τη στιγμή που θα τη χρειαστείς, τότε καταλαβαίνεις ποιο ήταν το κόστος της αμέλειας», σημείωσε ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας Μ. Μπλέτσας κατά τη διάρκεια ενημέρωσης στους δημοσιογράφους, με στελέχη της ΕΑΚ να επισημαίνουν ότι το επόμενο διάστημα αναμένονται κανονιστικές αποφάσεις που θα εξειδικεύουν βασικά σημεία του νομοσχεδίου όπως τα πρόστιμα και το ύψος αυτών.

Με το νομοσχέδιο που αναμένεται ότι θα ψηφιστεί στα τέλη του έτους, οι επιχειρήσεις επιβάλλεται εντός 24 ωρών να αναφέρουν περιστατικά ασφάλειας, και να προχωρήσουν σε συνεργασία και ανταλλαγή πληροφοριών, στοχεύοντας να δημιουργηθεί ένα οργανωμένο δίκτυο που θα μπορεί να απαντήσει άμεσα στις απειλές που υπάρχουν. «Θα είμαστε πολύ αυστηροί με όσους δεν αναφέρουν τα περιστατικά κυβερνοασφάλειας» ανέφερε ο κ. Μπλέτσας, με στελέχη της ΕΑΚ να επισημαίνουν ότι τα πρώτα πρόστιμα που θα επιβληθούν θα είναι σε όσους δεν προχωρήσουν σε ενημέρωση για περιστατικά, καθώς θα υπάρξει μια πρώτη περίοδος χάριτος για τους φορείς μέχρι να εναρμονιστούν με τις απαιτήσεις της νέας οδηγίας.

Μέχρι σήμερα δεν υπήρχε ενημέρωση για τα περιστατικά κυβερνοεπιθέσεων, με αποτέλεσμα να μην υπάρχει καταγραφή των αδυναμιών του ελληνικού οικοσυστήματος. Οι οποίες είναι γνωστές, αλλά δεν υπάρχει και πλήρης εικόνα, με τη νέα οδηγία να υποχρεώνει όλες τις οντότητες να αναφέρουν στην ΕΑΚ τα περιστατικά και την πρώτη αναφορά να πρέπει να γίνει εντός 24 ωρών που θα το αντιληφθούν.

Παράλληλα, η Εθνική Αρχή Κυβερνοασφάλειας θα αποτελέσει την κεντρική ομάδα για την αντιμετώπιση των περιστατικών στην ασφάλεια υπολογιστών (Computer Security Incident Response Team - CSIRT) και θα καταρτιστούν ειδικοί εμπειρογνώμονες για την αντιμετώπιση περιστατικών. Σε πρώτη φάση η ΕΑΚ θα βασιστεί στις δυο υπάρχουσες ομάδες του ΓΕΕΘΑ, την πρώην διοίκηση κυβερνοασφάλειας του Στρατού και στο Εθνικό Κέντρο Αντιμετώπισης που είναι της ΕΥΠ, καθώς σε εξειδικευμένους ιδιώτες. Σε δεύτερη φάση θα δημιουργηθεί από την ΕΑΚ η δική της δύναμη κρούσης που εκτιμάται ότι θα είναι έτοιμη μέσα στο 2025.

Στο νομοσχέδιο περιλαμβάνεται και ο σχεδιασμός για την επιβολή τελών στις οντότητες, με τον κ. Μπλετσα να τονίζει ότι «δεν θα βάλουμε ένα γενικό τέλος. Θα υπάρξουν ανταποδοτικά τέλη. Θα δούμε τι γίνεται στην Ευρώπη», ενώ η ΕΑΚ θα πραγματοποιήσει και πιστοποιήσεις, με το κόστος του ελέγχου να βαραίνει τους φορείς ανάλογα με την πολυπλοκότητα και το μέγεθός τους.

Ποιες επιχειρήσεις και κλάδοι εμπίπτουν στη νέα οδηγία

Η NIS 2 υιοθετήθηκε το 2022, καθώς οι κυβερνοεπιθέσεις έχουν πολλαπλασιαστεί τα τελευταία χρόνια προκαλώντας σημαντικές οικονομικές ζημιές σε φορείς και επιχειρήσεις. Αφορά την προστασία κρίσιμων δικτύων και συστημάτων πληροφορικής έναντι κυβερνοαπειλών και διασφαλίζει τη συνεκτική προσέγγιση στην κυβερνοασφάλεια στην ΕΕ, διευρύνοντας το πεδίο εφαρμογής, φέρνοντας αυστηρότερες απαιτήσεις ασφαλείας με τη λήψη μέτρων διαχείρισης, ενώ και η ευθύνη βαραίνει και την διοίκηση των επιχειρήσεων και οργανισμών με αυστηρές κυρώσεις.

Ειδικότερα, ανεβάζει την ευθύνη στα υψηλότερα κλιμάκια μέσα στην εταιρεία, που μέχρι σήμερα συνήθως ήταν του υπεύθυνου δικτύων. «Η κυβερνοασφάλεια δεν αντιμετωπίζεται παίρνοντας κάποιον υπεύθυνο ασφαλείας part time, είναι ευθύνη της διοίκησης στα υψηλότερα επίπεδα» σημείωσε χαρακτηριστικά ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας.

Ανοίγει πολύ το πεδίο εφαρμογής σε όλες τις μεσαίες και μεγάλες οντότητες δημόσιου και ιδιωτικού τομέα των οποίων η διακοπή της λειτουργίας λόγω κυβερνοεπιθέσης, κάτι που γίνεται όλο και πιο συχνά σήμερα δημιουργεί πρόβλημα στην κοινωνία, με στελέχη της Εθνικής Αρχής Κυβερνοασφάλειας να επισημαίνουν ότι στόχος της νέας οδηγίας είναι να ενισχύσει την εμπιστοσύνη των πολιτών στις ψηφιακές υπηρεσίες και να ενισχύσει την συνεργασία μεταξύ των κρατών απέναντι στις κυβερνοαπειλές.

Με τη νέα οδηγία εκτιμάται πως θα αυξηθούν σε περισσότερες από 2.000 οι φορείς και οι επιχειρήσεις που είναι υπόχρεοι στις νέες απαιτήσεις κυβερνοασφάλειας. Όπως αναφέρεται στο νομοσχέδιο, όλες οι μεσαίες επιχειρήσεις που απασχολούν από 50 έως 250 εργαζομένους και έχουν τζίρους έως και 250 εκατ. ευρώ, αλλά και οι μεγάλες επιχειρήσεις που δραστηριοποιούνται στους τομείς  της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανοµής τροφίµων, παραγωγής χηµικών προϊόντων, φαρµακευτικών προϊόντων, διαχείρισης λυµάτων και αποβλήτων, εταιριών ταχυµεταφορών. 

Υπόχρεοι, ανεξάρτητα από το μέγεθός τους, είναι οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών, ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου, και παρόχους υπηρεσιών συστήματος ονομάτων τομέα, καθώς επίσης και η κεντρική κυβέρνηση, οι Περιφέρειες και οι Δήμοι.

Στη νέα οδηγία εμπίπτουν και μικρομεσαίες επιχειρήσεις που έχουν κύκλο εργασιών από 10 έκατ. έως 50 εκατ. ευρώ, οι οποίες δραστηριοποιούνται σε τομείς υψηλής κρισιμότητας. «Είναι απαραίτητο για κάποια οντότητα να μάθει αν ανήκει σε κάποια κατηγορία και να εκπαιδευτεί και να αναπτύξει τα συστήματα κυβερνοασφάλειας» τόνισε ο κ. Μπλέτσας.

Τα μέτρα που πρέπει να λαμβάνουν οι φορείς

  1. Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια  των πληροφοριακών συστημάτων
  2. Διαχείριση περιστατικών
  3. Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας  και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση  των περιστατικών στον κυβερνοχώρο
  4. Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά  τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και  των άμεσων προμηθευτών ή παρόχων υπηρεσιών της
  5. Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου  και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών
  6. Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας  των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας

Υπάρχει υποχρέωση αναφοράς όταν ένα περιστατικό θεωρείται σημαντικό.

Ένα περιστατικό θεωρείται σημαντικό αν:

  • Έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη  των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα
  • Έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα  προκαλώντας σημαντική υλική ή μη ζημία
Google news logo Ακολουθήστε το Business Daily στο Google news

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

cyber attack-cyber security
ΤΕΧΝΟΛΟΓΙΑ

Νέα αρχή για αντιμετώπιση των χάκερ και μέτρα προστασίας από την ΕΥΠ

Οι κυβερνοεπιθέσεις καταγράφουν αυξητικές τάσεις. Μόνο σε μία εβδομάδα είχαμε 13,3 εκατομμύρια DDoS επιθέσεις (σ.σ.: άρνησης εξυπηρέτησης) και τουλάχιστον μισό εκατομμύριο σοβαρότερες επιθέσεις σε κυβερνητικές ιστοσελίδες.
internet-doryforos
ΤΕΧΝΟΛΟΓΙΑ

Από τους μικροδορυφόρους, στο σχέδιο για το ελληνικό Space Hub

Στη δημιουργία μιας διαστημικής πολιτείας που θα στεγάσει τις εταιρείες που έχουν αναλάβει το έργο των ελληνικών μικροδορυφόρων και όσες δραστηριοποιούνται στη διαστημική τεχνολογία στοχεύει η κυβέρνηση.