Κυβερνοασφάλεια: οι νέοι κανόνες της ΕΕ για την καταπολέμηση του ηλεκτρονικού εγκλήματος
ΙΩΑΝΝΗ ΣΑΡΜΑΣ
ΕΥΡΩΠΑΪΚΟ ΔΙΚΑΙΟ
ΙΩΑΝΝΗ ΣΑΡΜΑΣ
ΞΕΝΟΦΩΝ ΚΟΝΤΙΑΔΗΣ
ΧΑΡΑΛΑΜΠΟΣ ΑΝΘΟΠΟΥΛΟΣ
ΕΥΡΩΠΑΪΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΩΜΑΤΑ
Το Κοινοβούλιο ενέκρινε νέους κανόνες που ενισχύουν την κυβερνοασφάλεια της ΕΕ σε βασικούς τομείς.
Η ταχέως αναπτυσσόμενη ψηφιοποίηση της καθημερινής μας ζωής καθιστά απαραίτητη την προστασία της κοινωνίας μας από τις απειλές του κυβερνοχώρου.
Οι κυβερνοεπιθέσεις μπορεί να είναι πολύ δαπανηρές. Σύμφωνα με την Ευρωπαϊκή Επιτροπή, το 2020 το ετήσιο κόστος του κυβερνοεγκλήματος για την παγκόσμια οικονομία είχε φτάσει τα 5,5 τρισεκατομμύρια ευρώ.
Τον Νοέμβριο του 2022, οι ευρωβουλευτές αναθεώρησαν τη σχετική νομοθεσία της ΕΕ, θέτοντας αυστηρότερες απαιτήσεις κυβερνοασφάλειας για τις επιχειρήσεις, τη δημόσια διοίκηση, τις υποδομές ζωτικής σημασίας. Στις 22 Νοεμβρίου, το Ευρωπαϊκό Κοινοβούλιο έδωσε επίσης την τελική του έγκριση σε νομοθεσία που ορίζει αυστηρότερους κανόνες όσον αφορά τις αξιολογήσεις κινδύνου και τις εκθέσεις που οφείλουν να υποβάλλουν οι φορείς που διαχειρίζονται κρίσιμες υποδομές. Οι νέοι κανόνες καλύπτουν έντεκα τομείς, μεταξύ των οποίων οι ψηφιακές υποδομές, το νερό, τα τρόφιμα και η υγεία.
Θέσπιση αυστηρότερων υποχρεώσεων κυβερνοασφάλειας - η οδηγία NIS2
Η οδηγία για την ασφάλεια δικτύου και πληροφοριών (NIS2) στοχεύει στη διασφάλιση ενός υψηλού επιπέδου ασφάλειας στον κυβερνοχώρο σε ολόκληρη την ΕΕ. Ενισχύει επίσης τις απαιτήσεις κυβερνοασφάλειας για μεσαίες και μεγάλες επιχειρήσεις που δραστηριοποιούνται και παρέχουν υπηρεσίες σε βασικούς τομείς.
Η επικαιροποίηση της οδηγίας NIS του 2016 στοχεύει στη βελτίωση της σαφήνειας και της εφαρμογής των κανόνων, καθώς και στην καλύτερη αντιμετώπιση των ταχύρρυθμων εξελίξεων σε αυτόν τον τομέα. Καλύπτει περισσότερους τομείς και δραστηριότητες από ό,τι πριν, εξορθολογίζει τις υποχρεώσεις υποβολής εκθέσεων και ενισχύει την ασφάλεια της εφοδιαστικής αλυσίδας.
Tα κράτη μέλη έχουν στη διάθεσή τους 21 μήνες για να μεταφέρουν τις διατάξεις της οδηγίας στο εθνικό τους δίκαιο κατόπιν της έγκρισης του Κοινοβουλίου και του Συμβουλίου, τον Νοέμβριο.
Ενίσχυση της ασφάλειας των ψηφιακών προϊόντων - Πράξη για την κυβερνοανθεκτικότητα
Όλο και περισσότερα καθημερινά προϊόντα διαθέτουν ψηφιακό στοιχείο (για παράδειγμα, βρεφικές οθόνες, συνδεδεμένα κουδούνια πόρτας ή δρομολογητές Wi-Fi), γεγονός που τα καθιστά ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Για να είναι ασφαλή τα προϊόντα, ΕΕ επεξεργάζεται την Πράξη για την κυβερνοανθεκτικότητα, η οποία θα περιλαμβάνει ένα ενιαίο σύνολο υποχρεωτικών απαιτήσεων κυβερνοασφάλειας σε ολόκληρη την ΕΕ για προϊόντα που είναι συνδεδεμένα σε άλλη συσκευή ή δίκτυο. Το Κοινοβούλιο συμφώνησε τη θέση του τον Σεπτέμβριο του 2023 και είναι έτοιμο να ξεκινήσει διαπραγματεύσεις για την τελική μορφή του νόμου με το Συμβούλιο. Οι ευρωβουλευτές προτείνουν την επέκταση της λίστας συστημάτων και προϊόντων που θα πρέπει να πληρούν αυστηρότερες απαιτήσεις ασφαλείας, για παράδειγμα προγράμματα περιήγησης και διαχειριστές κωδικών πρόσβασης, με έξυπνους βοηθούς στο σπίτι, έξυπνα ρολόγια και έξυπνα παιχνίδια. Οι ευρωβουλευτές θέλουν επίσης οι ενημερώσεις ασφαλείας να εγκαθίστανται αυτόματα και χωριστά από τις λειτουργικές ενημερώσεις.
Διεύρυνση του πεδίου εφαρμογής των κανόνων
Ο νέος νόμος διευρύνει το πεδίο των "βασικών" τομέων και δραστηριοτήτων που θα καλύπτονται από τις νέες διατάξεις, όπως της ενέργειας, των μεταφορών, των τραπεζών, της υγείας, των ψηφιακών υποδομών, της δημόσιας διοίκησης και του διαστήματος.
Η οδηγία ισχύει για τις οντότητες δημόσιας διοίκησης σε κεντρικό και περιφερειακό επίπεδο, αλλά όχι για τα κοινοβούλια και τις κεντρικές τράπεζες. Δεν θα εφαρμόζεται επίσης στις οντότητες που ασκούν δραστηριότητες σε τομείς όπως η άμυνα ή η εθνική ασφάλεια, η δημόσια ασφάλεια, η επιβολή του νόμου και η δικαιοσύνη. Εξαιρούνται από το πεδίο εφαρμογής και τα κοινοβούλια και οι κεντρικές τράπεζες.
Αυστηρότερες απαιτήσεις για τα κράτη μέλη
Οι κανόνες απαιτούν από τις χώρες της ΕΕ να τηρούν αυστηρότερα μέτρα εφαρμογής και εποπτείας και να εναρμονίσουν τις κυρώσεις τους. Στοχεύει επίσης στη βελτίωση της συνεργασίας μεταξύ κρατών μελών και της διαχείρισης περιστατικών μεγάλης κλίμακαςυπό την αιγίδα του Οργανισμού της ΕΕ για την Κυβερνοασφάλεια (ENISA).
"Σημαντικοί τομείς", όπως οι ταχυδρομικές υπηρεσίες, τα τρόφιμα, η παραγωγή ιατροτεχνολογικών προϊόντων, τα ηλεκτρονικά είδη και οι πάροχοι ψηφιακών υπηρεσιών θα υπόκεινται σε αυστηρότερες απαιτήσεις κυβερνοασφάλειας για τη διαχείριση κινδύνων.
Προστασία του χρηματοοικονομικού τομέα - DORA
Η ολοένα και μεγαλύτερη εξάρτηση του χρηματοοικονομικού τομέα από λογισμικά και ψηφιακά εργαλεία καθιστά απαραίτητη την προστασία του. Η ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα (DORA) θα ενισχύσει την ανθεκτικότητα του χρηματοοικονομικού τομέα της ΕΕ απέναντι σε σοβαρές λειτουργικές διαταραχές και κυβερνοεπιθέσεις. Το Κοινοβούλιο ενέκρινε την τελική νομοθεσία στις 10 Νοεμβρίου 2022, κατόπιν επίτευξης συμφωνίας με το Συμβούλιο. Το Συμβούλιο ενέκρινε επίσημα τον κανονισμό στις 28 Νοεμβρίου 2022.
Ο νόμος θεσπίζει και εναρμονίζει τις απαιτήσεις περί ψηφιακής επιχειρησιακής ανθεκτικότητας του χρηματοοικονομικού τομέα, υποχρεώνοντας τις εταιρείες να διασφαλίσουν ότι μπορούν να ανταπεξέλθουν και να αντέξουν, να ανταποκριθούν και να ανακάμψουν από κάθε είδους διαταραχές και απειλές που σχετίζονται με την τεχνολογία πληροφοριών και επικοινωνιών (ΤΠΕ).
Οι νέοι κανόνες ισχύουν για όλες τις εταιρείες που παρέχουν χρηματοοικονομικές υπηρεσίες - όπως τράπεζες, φορείς παροχής υπηρεσιών πληρωμής, εταιρείες επενδύσεων, πάροχοι υπηρεσιών κρυπτογράφησης καθώς και τρίτους φορείς παροχής υπηρεσιών ΤΠΕ.
Οι εθνικές αρχές θα αναλάβουν την επίβλεψη και εφαρμογή της νομοθεσίας.
