Η υιοθέτηση και πιστοποίηση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών κατά ISO 27001:2022 αποτελεί ισχυρή απόδειξη ότι ένας οργανισμός έχει θέσει σε λειτουργία μηχανισμούς για την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων του.
Από την άλλη πλευρά, ο Νόμος 5160/2024, που ενσωματώνει την Οδηγία NIS 2 (Network and Information Systems Directive 2), σχετικά με τα μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας, εισάγει ένα αυστηρότερο πλαίσιο υποχρεώσεων για τις επιχειρήσεις και τους οργανισμούς κρίσιμων και σημαντικών τομέων.
Η μεγάλη πρόκληση για τις επιχειρήσεις είναι να κατανοήσουν σε ποιο βαθμό η πιστοποίηση ISO 27001:2022 καλύπτει τις νέες νομικές απαιτήσεις και σε ποια σημεία απαιτούνται πρόσθετες ενέργειες. Παρακάτω συνοψίζεται η αντιστοίχιση των βασικών απαιτήσεων.
- Διαχείριση κινδύνων και μέτρων ασφάλειας
Το ISO 27001:2022 προβλέπει ολοκληρωμένο πλαίσιο ISMS με risk assessment και έλεγχο μέτρων. Ωστόσο, ο νόμος 5160/2024 εισάγει πρόσθετες υποχρεώσεις, όπως την ειδική έμφαση στις κρίσιμες υποδομές και στην αλυσίδα προμηθευτών.
- Εμπλοκή διοίκησης
Η διοίκηση στο πλαίσιο του ISO εγκρίνει πολιτικές και ανασκοπεί το ISMS. Παράλληλα όμως, ο νέος νόμος καθιστά τη διοίκηση νομικά υπεύθυνη για την τήρηση των απαιτήσεων προκειμένου να υπάρχει συμμόρφωση αλλά και επιβολή κυρώσεων σε περίπτωση αδράνειας.
- Πολιτικές, διαδικασίες και εκπαίδευση προσωπικού
Το ISO 27001:2022 απαιτεί σχετικές πολιτικές και εκπαίδευση προσωπικού αποτελώντας υποχρεωτικό μέρος του προτύπου. Ωστόσο, ο νόμος επιβάλλει τεκμηριωμένη εκπαίδευση σε τακτική βάση, με έμφαση στις εθνικές απαιτήσεις ασφάλειας.
- Αναφορά περιστατικών
Το πρότυπο ISO 27001:2022 περιλαμβάνει τη διαδικασία Incident Management. Στον νόμο όμως προστίθενται συγκεκριμένα χρονοδιαγράμματα: ενημέρωση εντός 24 ωρών για αρχική ειδοποίηση και πλήρης αναφορά εντός 72 ωρών.
- Έλεγχοι και αξιολόγηση προμηθευτών
Το ISO 27001:2022 προβλέπει στον Annex Α την αξιολόγηση προμηθευτών. Ο νέος νόμος πηγαίνει ένα βήμα παραπέρα, απαιτώντας συχνές τεκμηριωμένες αξιολογήσεις τρίτων (third-party ICT suppliers).
- Επενδύσεις και αναβαθμίσεις συστημάτων
Το ISO απαιτεί να πραγματοποιούνται συνεχείς εσωτερικοί έλεγχοι και πιστοποίηση από αναγνωρισμένο Φορέα. Ο νόμος όμως θέτει πρόσθετες, εξωτερικές αξιολογήσεις από αρμόδιες αρχές, ενισχύοντας έτσι τον βαθμό εποπτείας.
Επομένως, η πιστοποίηση κατά το πρότυπο ISO 27001:2022 καλύπτει μεγάλο μέρος των οργανωτικών και τεχνικών απαιτήσεων του Νόμου 5160/2024, λειτουργώντας ως «βάση» για τη συμμόρφωση. Παρ’ όλα αυτά, η νομοθεσία εισάγει συγκεκριμένες πρόσθετες υποχρεώσεις, κυρίως σε θέματα αναφοράς περιστατικών, ευθύνης διοίκησης και ελέγχου τρίτων μερών, που δεν καλύπτονται πλήρως από το πρότυπο.
Για τον λόγο αυτό, κάθε επιχείρηση που ήδη διαθέτει ISO 27001:2022 χρειάζεται να εκτελέσει μία στοχευμένη GAP Analysis ώστε να, εντοπίσει τα σημεία που παραμένουν ακάλυπτα και να προσαρμόσει αναλόγως τις πολιτικές και τις διαδικασίες της. Έτσι, η πιστοποίηση δεν λειτουργεί μόνο ως σήμα ποιότητας και αξιοπιστίας, αλλά και ως θεμέλιο για την πλήρη συμμόρφωση με τις πιο σύγχρονες νομικές και κανονιστικές απαιτήσεις στον χώρο της κυβερνοασφάλειας.
Η ISOEXPERTS δραστηριοποιείται στον χώρο της παροχής συμβουλευτικών υπηρεσιών σε επιχειρήσεις και οργανισμούς, με μεγάλη εμπειρία στην εκπόνηση μελετών, διαθέτοντας πιστοποίηση σύμφωνα με τα πρότυπα πρότυπα ISO 9001:2015, ISO 14001:2015, ISO 45001:2018, ISO 27001:2022, ISO 37001:2017, ISO 27701:2019 και ISO 22301:2019, επιθυμώντας να εξασφαλίσει την ποιότητα των υπηρεσιών της και την αξιοπιστία σε θέματα διαχείρισης πληροφοριών.
Για την ISOEXPERTS Consulting Office
+30 2103007064
