HomeΝέαΧωρίς κατηγορίαΝ.5160/2024: Ενσωμάτωση της Οδηγίας NIS2

Ν.5160/2024: Ενσωμάτωση της Οδηγίας NIS2

  • 3 Δεκεμβρίου 2024
  • Posted by: admin
  • Category: Χωρίς κατηγορία
Δεν υπάρχουν Σχόλια

Ο Νόμος 5160/2024, ο οποίος δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως (ΦΕΚ Α’ 195/27-11-2024), ενσωματώνει την Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου. Η Οδηγία αυτή, γνωστή ως NIS2 (Network and Information Systems Directive 2), θέτει το νέο πλαίσιο για την κυβερνοασφάλεια στην Ευρωπαϊκή Ένωση, αντικαθιστώντας την προηγούμενη Οδηγία NIS (2016/1148).

Βασικοί Στόχοι του Νόμου

  • Ενίσχυση της Κυβερνοασφάλειας: Ο νόμος αποσκοπεί στην επίτευξη υψηλού και κοινού επιπέδου κυβερνοασφάλειας σε όλα τα κράτη-μέλη της ΕΕ.
  • Διασφάλιση της Λειτουργικότητας Κρίσιμων Υποδομών: Ειδικά για τομείς όπως η ενέργεια, οι μεταφορές, οι τράπεζες, η υγεία, το νερό και οι ψηφιακές υποδομές.
  • Διαχείριση Κινδύνων και Αντιμετώπιση Συμβάντων: Εισάγει αυστηρότερα μέτρα για τη διαχείριση κινδύνων και την αναφορά περιστατικών κυβερνοασφάλειας.
  • Διασυνοριακή Συνεργασία: Ενισχύει τη συνεργασία μεταξύ των κρατών-μελών για την ανταλλαγή πληροφοριών και την αντιμετώπιση κυβερνοεπιθέσεων.

Νέες Απαιτήσεις και Υποχρεώσεις Οργανισμών:

Ο νόμος επιβάλλει συγκεκριμένες υποχρεώσεις σε οργανισμούς που δραστηριοποιούνται σε κρίσιμους και σημαντικούς τομείς να υιοθετήσουν τα παρακάτω μέτρα:

  • Υιοθέτηση Πλαισίου Διαχείρισης Κινδύνων: Ο οργανισμός πρέπει να αναπτύξει διαδικασίες για την πρόληψη, τον εντοπισμό και την απόκριση σε κυβερνοαπειλές.
  • Υποχρεωτική Αναφορά Συμβάντων: Τα περιστατικά κυβερνοασφάλειας πρέπει να αναφέρονται εντός αυστηρών χρονοδιαγραμμάτων (μέγιστο 24 ώρες από τον εντοπισμό).
  • Αξιολογήσεις Συμμόρφωσης: Οι επιχειρήσεις υποχρεούνται να υποβάλλονται σε τακτικούς ελέγχους για την επάρκεια των μέτρων κυβερνοασφάλειας που εφαρμόζουν.
  • Διορισμός Υπευθύνου Κυβερνοασφάλειας (Chief Information Security Officer – CISO): Καθίσταται υποχρεωτική η ύπαρξη υπευθύνου για τη διαχείριση θεμάτων κυβερνοασφάλειας.

Ποιοι Υπάγονται στον Νόμο;

Ο νόμος διαχωρίζει τους οργανισμούς σε δύο κατηγορίες:

  • Ουσιαστικής Σημασίας Φορείς (Essential Entities): Οργανισμοί σε τομείς κρίσιμων υποδομών, όπως ενέργεια, υγεία, μεταφορές και χρηματοπιστωτικές υπηρεσίες.
  • Σημαντικοί Φορείς (Important Entities): Οργανισμοί που παρότι δεν θεωρούνται ότι λειτουργούν κρίσιμες υποδομές, επηρεάζουν την ομαλή λειτουργία της κοινωνίας και της οικονομίας.

Κυρώσεις:

Ο νόμος προβλέπει αυστηρές κυρώσεις για τη μη συμμόρφωση, οι οποίες περιλαμβάνουν:

  • Διοικητικά Πρόστιμα που φτάνουν έως το 2% του ετήσιου κύκλου εργασιών του οργανισμού.
  • Προσωρινή ή Μόνιμη Διακοπή Λειτουργίας για σοβαρές παραβάσεις.
  • Ευθύνη Διοίκησης: Τα μέλη της διοίκησης μπορούν να θεωρηθούν υπεύθυνα για παραλείψεις ή αδυναμία λήψης μέτρων.

Επιπτώσεις για τις Επιχειρήσεις:

Η εφαρμογή του Νόμου 5160/2024 θα έχει σημαντικές επιπτώσεις, ιδίως για επιχειρήσεις που δεν είχαν προηγουμένως υιοθετήσει πολιτικές κυβερνοασφάλειας.

Οι επιχειρήσεις καλούνται άμεσα να:

  • Αναβαθμίσουν τις υποδομές τους.
  • Εκπαιδεύσουν το προσωπικό τους.
  • Υιοθετήσουν στρατηγικές διαχείρισης απειλών.

Συμπεράσμα:

Ο Νόμος 5160/2024 σηματοδοτεί μία νέα εποχή για την κυβερνοασφάλεια στην Ελλάδα, ευθυγραμμίζοντας τη χώρα με τα σύγχρονα ευρωπαϊκά πρότυπα. Οι οργανισμοί, δημόσιοι και ιδιωτικοί, καλούνται να δράσουν άμεσα για να διασφαλίσουν τη συμμόρφωση, προστατεύοντας τόσο τις επιχειρηματικές δραστηριότητες όσο και τους πολίτες.