Το ρυθμιστικό πλαίσιο για την Κυβερνοασφάλεια

Ως Κυβερνοασφάλεια ή Cybersecurity ορίζεται, γενικώς, η ασφάλεια του Κυβερνοχώρου, με την συλλογή εργαλείων, πολιτικών, ορισμών και πιστοποιήσεων ασφαλείας, δημιουργία κατευθυντήριων γραμμών, προσεγγίσεις και πολιτικές διαχείρισης κινδύνου, σχετικές δράσεις, κατάρτιση οργανισμών και χρηστών, βέλτιστες πρακτικές της αγοράς και, τελικώς, η διασφάλιση των τεχνολογιών και των περιουσιακών στοιχείων των οργανισμών που χρησιμοποιούν ψηφιακές υποδομές.

Το πώς προσδιορίζουμε τον "κυβερνοχώρο" ξεκίνησε εδώ και δεκαετίες, κάπου στα μέσα του προηγούμενοι αιώνα, όταν ο μαθηματικός του ΜΙΤ Norbert Wiener εισήγαγε, στο βιβλίο του "Cybernetics or Control and Communication in the Animal and the Machine" (MIT Press, 1948), τον όρο "κυβερνητική", εμφανώς επηρεασμένος από το αρχαιοελληνικό επίθετο «κυβερνητικός» που σημαίνει αυτός που ορίζει ή κυβερνά κάτι. Μετά από χρόνια, ο όρος αναβίωσε καταρχήν λογοτεχνικά στο μυθιστόρημά του William Gibson "Neuromancer", δημιουργώντας τον όρο «κυβερνοχώρο» για να προσδιορίσει αυτό που περιγράφεται ως "... μια συναινετική ψευδαίσθηση που βιώνουν καθημερινά δισεκατομμύρια χειριστές, σε κάθε έθνος... Μια γραφική παράσταση των δεδομένων που αντλούνται από τις οθόνες κάθε υπολογιστή με αδιανόητη πολυπλοκότητα. Γραμμές φωτός κυμαίνονται στο μη-χώρο του νου, τις συστάδες και τους αστερισμούς των δεδομένων».

Το εθνικό και ευρωπαϊκό πλαίσιο για την Κυβερνοασφάλεια: Ο Σπύρος Τάσσης είναι εισηγητής στο σεμινάριο για την Κυβερνοασφάλεια που διοργανώνεται από τις Εκδόσεις Σάκκουλα - Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ.

Η Ευρωπαϊκή Ένωση έχει από νωρίς κατανοήσει την μεγάλη σημασία της κυβερνοασφάλειας για την προστασία και διατήρηση της θέσης στην παγκόσμια αγορά υπηρεσιών και δεδομένων, γι αυτό αρκετά νωρίς (το 2004) δημιούργησε ένα σημαντικό εργαλείο εποπτείας και παρακολούθησης των σχετικών θεμάτων, τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών, γνωστό ως ENISA, που είναι και ο μόνος ευρωπαϊκός οργανισμός που εδρεύει στην Ελλάδα. Παρόμοια ήταν και η εξέλιξη των ρυθμιστικών παρεμβάσεων με εργαλεία υπερεθνικού δικαίου και κύριο στόχο την ενιαία προσέγγιση των ρυθμίσεων στα κράτη μέλη. Η ευρωπαϊκή στρατηγική για την ασφάλεια στον κυβερνοχώρο το 2013 και το 2020. η Οδηγία 2013/40/ΕΕ για τις επιθέσεις κατά συστημάτων πληροφοριών 2016 καθώς και η Οδηγία (EE) 2016/1148 Network Infrastructure Security για την ασφάλεια των συστημάτων δικτύων και πληροφοριών (γνωστή και ως οδηγία NIS), έθεσαν, σε επίπεδο ΕΕ,  τις αρχές για την διασφάλιση ενός κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε όλους τους κρίσιμους τομείς, όπως η ενέργεια, οι μεταφορές, η χρηματοδότηση και η υγειονομική περίθαλψη.

Η Οδηγία NIS1 (ή όπως πλέον ονομάζεται NIS 1) αποτελεί τον ρυθμιστικό κορμό για την ασφάλεια συστημάτων δικτύου και πληροφοριών στην Ε. Ένωση αφού προβλέπει ως υποχρέωση των κρατών μελών να θεσπίσουν εθνική στρατηγική για την ασφάλεια των συστημάτων δικτύου και πληροφοριών, δημιουργεί συνθήκες συνεργασίας μεταξύ των κρατών μελών καθώς κι ένα δίκτυο ομάδων απόκρισης συμβάντων που αφορούν την ασφάλεια των υπολογιστών («δίκτυο CSIRT Computer Security Incident Response Team») ενώ θεσπίζει απαιτήσεις ασφάλειας και κοινοποίησης για τους φορείς που εμπίπτουν στην εφαρμογή της.

Στην Ελλάδα η Οδηγία NIS ενσωματώθηκε με το Νόμο 4577/20182 και την Υ.Α. 1027/20193 του Υπουργού Επικρατείας, με την οποία ορίστηκαν τα κριτήρια των βασικών απαιτήσεων ασφαλείας συστημάτων δικτύου και πληροφοριών, της διαδικασίας παροχής πληροφοριών και κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες Αρχές, η μεθοδολογία προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ.) καθώς και η μεθοδολογία αξιολόγησης και ελέγχου, σύμφωνα με τις προβλέψεις της Οδηγίας και του ν. 4577/2018  για την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων αυτών.

Η σημασία που δίνεται στην Ε.Ε. στην προστασία των υποδομών και του ευρωπαϊκού Κυβερνοχώρου (αν μπορεί να υπάρξει ένας τέτοιος περιορισμός) φαίνεται και από το ότι ήδη έχει εκδοθεί μία βελτιωμένη οδηγία NIS, η, ονομαζόμενη, ΝΙΣ 2, η οποία βασίζεται στην οδηγία NIS 1 αλλά επεκτείνει το πεδίο εφαρμογής της ώστε να καλύπτει περισσότερους τομείς και οργανισμούς (η οδηγία ΝIS 1 κάλυπτε 11 τομείς, ενώ η οδηγία NIS 2 καλύπτει 13 τομείς), να περιλάβει τους πάροχους ψηφιακών υπηρεσιών (ΠΨΥ) που προσφέρουν διαδικτυακές αγορές, μηχανές αναζήτησης και υπηρεσίες υπολογιστικού και, γενικώς, να ενισχύσει την διαχείριση κινδύνων στον κυβερνοχώρο με την ενίσχυση των απαιτήσεων για τη διαχείριση των κινδύνων κυβερνοασφάλειας.  

Η Οδηγία NIS 2, που θα ισχύει από τον Οκτώβριο του 2024, αναμένεται να ενισχύσει το επίπεδο κατανόησης των σχετικών ζητημάτων καθώς και να ενισχύσει την λογοδοσία των φορέων που εμπλέκονται στην ασφαλή διαχείριση των κρίσιμων υποδομών. Επιπλέον, παράλληλες ρυθμιστικές παρεμβάσεις, όπως ο Κανονισμός 2019/881 (Cybersecurity Act) και ο Κανονισμός 2023/2841 για τη θέσπιση εσωτερικού πλαισίου διαχείρισης, διακυβέρνησης και ελέγχου κινδύνων κυβερνοασφάλειας για κάθε οντότητα της Ένωσης αλλά και η, υπό διαμόρφωση, EU Cyber Solidarity Act (πράξη για την αλληλεγγύη στον κυβερνοχώρο της ΕΕ) προτάθηκε από την Ευρωπαϊκή Επιτροπή στις 18 Απριλίου 2023, αποσκοπούν στην περαιτέρω βελτίωση της ετοιμότητας, της ανίχνευσης και της αντίδρασης σε περιστατικά κυβερνοασφάλειας σε ολόκληρη την ΕΕ.  Μάλιστα, στην EU Cyber Solidarity Act προβλέπεται και η δημιουργία μίας Ευρωπαϊκής Ασπίδας Κυβερνοασφάλειας (European Cybersecurity Shield) για την ασφάλεια στον Κυβερνοχώρο, η οποία θα αποτελείται από κέντρα επιχειρήσεων ασφάλειας διασυνδεδεμένα σε ολόκληρη την ΕΕ.

​Το εθνικό και ευρωπαϊκό πλαίσιο για την Κυβερνοασφάλεια: Ο Σπύρος Τάσσης είναι εισηγητής στο σεμινάριο για την Κυβερνοασφάλεια που διοργανώνεται από τις Εκδόσεις Σάκκουλα - Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ.

• 1. Οδηγία (EE) 2016/1148 του ΕΚ και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση.
• 2. ΦΕΚ Α’ 199/3-12-2018
• 3. ΦΕΚ Β’ 3739/8-10-2019 «Θέματα εφαρμογής και διαδικασιών του ν. 4577/ 2018 (Α΄ 199)»