Κυβερνοασφάλεια: Τι πρέπει να γνωρίζετε για την ΚΥΑ 1689/2025

Σε μια εποχή όπου οι κυβερνοεπιθέσεις αυξάνονται με ανησυχητικό ρυθμό, η ελληνική πολιτεία έρχεται να θωρακίσει τους κρίσιμους τομείς της οικονομίας και του δημόσιου τομέα με ένα ολοκληρωμένο πλαίσιο απαιτήσεων κυβερνοασφάλειας. Η πρόσφατη Κοινή Υπουργική Απόφαση (ΚΥΑ) 1689/2025 (εφεξής η «ΚΥΑ»), που δημοσιεύθηκε στο ΦΕΚ Β' 2186 στις 6 Μαΐου 2025, φέρνει σημαντικές αλλαγές στον τρόπο που οι επιχειρήσεις και οι δημόσιοι φορείς θα πρέπει να αντιμετωπίζουν την ασφάλεια των ψηφιακών τους υποδομών.

Ο σκοπός και το πεδίο εφαρμογής του νέου πλαισίου

Το νέο εθνικό πλαίσιο απαιτήσεων κυβερνοασφάλειας περιλαμβάνει τεχνικά, επιχειρησιακά και οργανωτικά μέτρα διαχείρισης των κινδύνων κυβερνοασφάλειας, όπως προβλέπεται στην παρ. 2 του άρθρου 15 του ν.5160/2024, όπως ισχύει.

Απευθύνεται στις «βασικές» και «σημαντικές» οντότητες, όπως αυτές ορίζονται στο άρθρο 4 του ν. 5160/2024, όπως ισχύει και αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριών από κυβερνοαπειλές.

Η διάκριση μεταξύ «βασικών» και «σημαντικών» οντοτήτων έχει ιδιαίτερη σημασία, καθώς οι πρώτες υπόκεινται σε αυστηρότερες απαιτήσεις. Ωστόσο, όλες οι οντότητες που εμπίπτουν στο πεδίο εφαρμογής της ΚΥΑ καλούνται να προσαρμοστούν σε ένα νέο περιβάλλον με αυξημένες απαιτήσεις συμμόρφωσης.

Η νέα προσέγγιση στη διαχείριση κινδύνων

Στο επίκεντρο του νέου πλαισίου βρίσκεται η υποχρέωση για ένα ολοκληρωμένο πρόγραμμα διαχείρισης κινδύνων κυβερνοασφάλειας.

Κάθε οντότητα θα πρέπει να διαμορφώσει και να υλοποιήσει, με ευθύνη του ανώτατου οργάνου διοίκησης, ένα τέτοιο πρόγραμμα που θα περιλαμβάνει πολιτικές, διαδικασίες, ρόλους και αρμοδιότητες καθώς και τεχνικά, οργανωτικά και επιχειρησιακά μέτρα ασφαλείας.

Αυτή η προσέγγιση σηματοδοτεί μια σημαντική αλλαγή στον τρόπο αντιμετώπισης της κυβερνοασφάλειας: από ένα περιστασιακό ζήτημα τεχνικής φύσης, μετατρέπεται πλέον σε στρατηγική προτεραιότητα που απαιτεί την ενεργό συμμετοχή της ανώτατης διοίκησης.

Η ευθύνη της διοίκησης αναβαθμίζεται

Η ΚΥΑ 1689/2025 φέρνει στο προσκήνιο τον ρόλο και την ευθύνη της ανώτατης διοίκησης.

Το ανώτατο όργανο διοίκησης κάθε οντότητας είναι υπεύθυνο για την έγκριση του προγράμματος διαχείρισης των κινδύνων κυβερνοασφάλειας και για τη συνολική υλοποίηση, επίβλεψη, περιοδική αξιολόγηση και συνεχή βελτίωσή του.

Πρακτικά, αυτό σημαίνει ότι τα διοικητικά συμβούλια και οι διευθύνοντες σύμβουλοι των εταιρειών, καθώς και οι επικεφαλής των δημόσιων φορέων, αναλαμβάνουν πλέον ρητή ευθύνη για την κυβερνοασφάλεια των οργανισμών τους. Δεν πρόκειται απλώς για μια τυπική υποχρέωση, αλλά για μια ουσιαστική δέσμευση που περιλαμβάνει:

• Τη διασφάλιση επαρκών πόρων για την υλοποίηση του προγράμματος
• Την ενημέρωση του προσωπικού για τις υποχρεώσεις του
• Την παρακολούθηση εκπαιδευτικών προγραμμάτων κυβερνοασφάλειας
• Τη λογοδοσία για τυχόν πλημμελή εφαρμογή του προγράμματος

Το νέο στρατηγικό πλαίσιο διαχείρισης κινδύνων

Σύμφωνα με την ΚΥΑ, κάθε οντότητα πρέπει να αναπτύξει και να τηρεί κατάλληλο πλαίσιο για τη διαχείριση των κινδύνων κυβερνοασφάλειας, το οποίο ευθυγραμμίζεται με τη συνολική στρατηγική διαχείρισης των επιχειρηματικών κινδύνων της.

Αυτό αποτελεί μια σημαντική εξέλιξη, καθώς εντάσσει την κυβερνοασφάλεια στο ευρύτερο πλαίσιο διαχείρισης κινδύνων του οργανισμού.

Επιπλέον, κάθε οντότητα πρέπει να διενεργεί περιοδική εκτίμηση κινδύνων, εφαρμόζοντας διαδικασίες αναγνώρισης, ανάλυση και αξιολόγησης των κινδύνων που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών της.

Η διαδικασία αυτή πρέπει να βασίζεται σε διεθνή πρότυπα και βέλτιστες πρακτικές.

Οι πολιτικές ασφάλειας στο επίκεντρο

Οι πολιτικές ασφάλειας αποτελούν θεμελιώδες στοιχείο του νέου πλαισίου.

Κάθε οντότητα θα πρέπει να διαμορφώσει μια γενική πολιτική ασφάλειας πληροφοριών, η οποία θα εγκριθεί από το ανώτατο όργανο της διοίκησης. Η πολιτική αυτή θα καθορίζει την προσέγγιση της οντότητας για τη διαχείριση της ασφάλειας των συστημάτων της.

Πέρα από τη γενική πολιτική, απαιτείται η εκπόνηση γραπτών θεματικών πολιτικών ασφαλείας που καλύπτουν ειδικές πτυχές κυβερνοασφάλειας, αναφορικά με το ανθρώπινο δυναμικό, τις διαδικασίες και τις τεχνολογίες που αξιοποιούνται.

Η ΚΥΑ ορίζει τουλάχιστον έντεκα θεματικές πολιτικές που πρέπει να αναπτυχθούν, από τον έλεγχο πρόσβασης και τη διαχείριση αγαθών μέχρι την κρυπτογράφηση δεδομένων και την ασφάλεια της εφοδιαστικής αλυσίδας.

Νέοι ρόλοι και αρμοδιότητες

Η ΚΥΑ επιβεβαιώνει την υποχρέωση ορισμού Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) σε κάθε οντότητα.

Ο Υ.Α.Σ.Π.Ε. αναφέρεται απευθείας στο ανώτατο όργανο διοίκησης της οντότητας για θέματα που σχετίζονται με την κυβερνοασφάλεια. Ο Υ.Α.Σ.Π.Ε. Σημειώνεται ότι τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ./DPO), σύμφωνα με την παρ. 5 του άρθρου 15 του ν.5160/2024.

Αυτό αναβαθμίζει σημαντικά τον ρόλο του υπεύθυνου ασφάλειας, δίνοντάς του άμεση πρόσβαση στην ανώτατη διοίκηση.

Η αναβάθμιση αυτή αντανακλά τη σημασία που αποδίδει πλέον το κανονιστικό πλαίσιο στον ρόλο του υπεύθυνου ασφάλειας, αναγνωρίζοντας ότι η κυβερνοασφάλεια είναι θέμα στρατηγικής σημασίας και όχι απλώς τεχνικό ζήτημα.

Συνεχής παρακολούθηση και συμμόρφωση

Ένα σημαντικό στοιχείο του νέου πλαισίου είναι η απαίτηση για συνεχή παρακολούθηση και αξιολόγηση της συμμόρφωσης.

Η οντότητα πρέπει να υλοποιεί διαδικασίες παρακολούθης και αξιολόγησης της συμμόρφωσής της με τις κανονιστικές της υποχρεώσεις που σχετίζονται με την κυβερνοασφάλεια.

Τα αποτελέσματα αυτής της παρακολούθησης πρέπει να υποβάλλονται περιοδικά στο ανώτατο όργανο διοίκησης.

Σε περίπτωση μη συμμόρφωσης, το ανώτατο όργανο διοίκησης είναι υποχρεωμένο να εκκινήσει διαδικασίες διορθωτικών ενεργειών. Αυτό δημιουργεί ένα πλαίσιο συνεχούς βελτίωσης και προσαρμογής στις μεταβαλλόμενες συνθήκες του περιβάλλοντος κυβερνοαπειλών.

Διαχείριση πληροφοριακών αγαθών

Για την αποτελεσματική προστασία των συστημάτων πληροφορικής, η ΚΥΑ απαιτεί τη συστηματική διαχείριση των πληροφοριακών αγαθών.

Κάθε οντότητα πρέπει να τηρεί ακριβή και ενημερωμένο κατάλογο με τα αγαθά πληροφορικής που φιλοξενούνται στις εγκαταστάσεις της και σε περιβάλλοντα νεφοϋπολογιστικής.

Παράλληλα, απαιτείται η ταξινόμηση των δεδομένων και αγαθών σε διακριτά επίπεδα, με βάση τις απαιτήσεις εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητάς τους. Αυτή η προσέγγιση επιτρέπει την εφαρμογή κατάλληλων μέτρων ασφάλειας ανάλογα με την κρισιμότητα κάθε αγαθού.

Οι προκλήσεις εφαρμογής και οι επόμενες κινήσεις

Η εφαρμογή της ΚΥΑ 1689/2025 θέτει σημαντικές προκλήσεις για τις επιχειρήσεις και τους δημόσιους φορείς. Απαιτεί επανασχεδιασμό διαδικασιών, εκπαίδευση προσωπικού, επενδύσεις σε τεχνολογίες ασφάλειας και, πάνω απ' όλα, αλλαγή νοοτροπίας.

Για τις οντότητες που εμπίπτουν στο πεδίο εφαρμογής της ΚΥΑ, προτείνεται η άμεση ανάπτυξη σχεδίου συμμόρφωσης που θα περιλαμβάνει:

1. Αξιολόγηση της υφιστάμενης κατάστασης και εντοπισμό κενών
2. Προτεραιοποίηση ενεργειών με βάση το επίπεδο κινδύνου
3. Σχεδιασμό και υλοποίηση των απαιτούμενων μέτρων
4. Εκπαίδευση προσωπικού και στελεχών διοίκησης
5. Περιοδική αξιολόγηση και βελτίωση

Η ΚΥΑ 1689/2025 αποτελεί ένα σημαντικό βήμα για την ενίσχυση της κυβερνοασφάλειας στην Ελλάδα. Παρά τις προκλήσεις που θέτει, προσφέρει ένα ολοκληρωμένο πλαίσιο που μπορεί να οδηγήσει σε ουσιαστική βελτίωση του επιπέδου ασφάλειας των συστημάτων πληροφορικής και, κατ' επέκταση, στην προστασία κρίσιμων υποδομών και ευαίσθητων δεδομένων.

Το στοίχημα πλέον είναι η αποτελεσματική εφαρμογή αυτού του πλαισίου, η οποία απαιτεί τη συνεργασία όλων των εμπλεκόμενων μερών: επιχειρήσεων, δημόσιων φορέων, επαγγελματιών κυβερνοασφάλειας και ρυθμιστικών αρχών.