Ενσωματώνεται η Οδηγία NIS για την ασφάλεια δικτύου και πληροφοριών (Σχέδιο νόμου)

Κατατέθηκε στη Βουλή των Ελλήνων το σχέδιο νόμου για την ενσωμάτωση στην ελληνική νομοθεσία της σημαντικής Οδηγίας 2016/1148/ΕΕ σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση.

Με τον σημαντικό αυτό νόμο εναρμονίζεται το εθνικό δίκαιο με τις διατάξεις της Οδηγίας 2016/1148/ΕΕ (γνωστή ως «Οδηγία ΝIS») ενσωματώνοντας την Οδηγία αυτή στο εθνικό δίκαιο.

Σημείωση: Η Οδηγία θα έπρεπε να έχει ενσωματωθεί το αργότερο έως τις 9 Μαΐου 2018.

Σκοπός της Οδηγίας NIS είναι η θέσπιση μέτρων για την επίτευξη ενός κοινού ελάχιστου επιπέδου ως προς την ασφάλεια συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ευρωπαϊκή Ένωση.

Τα μέτρα αφορούν Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών και Παρόχους Ψηφιακών Υπηρεσιών, όπως η ενέργεια, οι μεταφορές, οι τράπεζες, ο τομέας της υγείας, η διανομή νερού και η ψηφιακή υποδομή.

Διαβάστε σχετικά: Δημοσιεύθηκε η νέα Οδηγία για την ασφάλεια δικτύων και πληροφοριών στην Ευρωπαϊκή Ένωση

Όπως αναφέρεται στην αιτιολογική έκθεση, η ΕΕ, λαμβάνοντας υπ' όψιν το ζωτικό ρόλο που διαδραματίζουν για την κοινωνία και την οικονομία τα συστήματα δικτύου και πληροφοριών και εκτιμώντας την σοβαρότητα της βλάβης που προκαλείται από σκόπιμες επιζήμιες ενέργειες στην οικονομία της Ένωσης και γενικότερα στην κοινωνία, θεσπίζει κοινό πλαίσιο κανόνων για όλα τα κράτη μέλη, ώστε να επιτευχθεί ένα ελάχιστο κοινό επίπεδο ασφάλειας και ενθαρρύνει τη συνεργασία με τον Οργανισμό της Ευρωπαϊκής 'Ενωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) ώστε να υπάρχει και ενιαία στρατηγική αντιμετώπισης των κινδύνων.

Ο ορισμός της έννοιας των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) και των Παρόχων Ψηφιακών Υπηρεσιών (ΠΨΥ) μετά τη διαπίστωση ότι υπάρχει διαφοροποίηση εντός της Ένωσης στο επίπεδο προστασίας καταναλωτών και επιχειρήσεων, θεσπίζεται με κοινό τρόπο, με τον σαφή προσδιορισμό για ορισμένες κοινές παραμέτρους και αφήνοντας τα κράτη μέλη να ορίσουν τις συγκεκριμένες τιμές τους σε εθνικό επίπεδο, χωρίς να αποκλείεται η θέσπιση και επιπλέον παραμέτρων από τα κράτη μέλη ή επιπλέον κανόνων ασφάλειας.

Οι κανόνες μπορεί να οριστούν τόσο από τους ΦΕΒΥ και τους ΠΨΥ, όσο και από τα κράτη μέλη. 

Η εφαρμογή της Οδηγίας 2016/1148/ΕΕ δεν αναιρεί άλλες αυστηρότερες διατάξεις ή ειδικότερους κανόνες που θεσπίστηκαν ήδη, ή θα θεσπιστούν στο μέλλον, ως τομεακές πράξεις της Ένωσης, όπως η Οδηγία 2002/21/ΕΚ, ούτε θα πρέπει οι διατάξεις της να εφαρμόζονται σε παρόχους υπηρεσιών εμπιστοσύνης κατά την έννοια του κανονισμού (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

Η αυστηρότερη νομοθεσία στο συγκεκριμένο πεδίο είναι εκείνη που ορίζει τα μέτρα που πρέπει να ληφθούν.

Ο νέος νόμος αποσκοπεί στο να αποτελέσει ένα ελάχιστο μέσο εναρμόνισης της Ελλάδας με τα υπόλοιπα κράτη - μέλη της Ε.Ε., όσον αφορά στην εφαρμογή της Οδηγίας ΝIS, στον τομέα της ασφάλειας συστημάτων δικτύων και πληροφοριών.

Παρέχει δε, τη δυνατότητα να λαμβάνονται όλα τα αναγκαία μέτρα για τη διαφύλαξη της δημόσιας τάξης και ασφάλειας, καθώς και για τη διερεύνηση, ανίχνευση και δίωξη ποινικών αδικημάτων. Οι υφιστάμενοι ή μέλλοντες να ισχύσουν ρυθμιστικοί κανόνες για τομείς της οικονομίας, μέσω εθνικών/τομεακών νομικών πράξεων, εφαρμόζονται αντί του παρόντος νόμου, εάν και εφόσον οι υποχρεώσεις που προβλέπουν είναι τουλάχιστον ισοδύναμες με τις απορρέουσες από τον παρόντα νόμο. 

Για σκοπούς παρακολούθησης και εφαρμογής του παρόντος νόμου ορίζεται η Εθνική Αρμόδια Αρχή (εφεξής «Εθνική Αρχή Κυβερνοασφάλειας»), η οποία θα λειτουργεί και ως Ενιαίο Κέντρο Επαφής (ΕΚΕ), για τη διευκόλυνση της διασυνοριακής συνεργασίας, εφοδιασμένη με τους κατάλληλους τεχνικούς, οικονομικούς και ανθρώπινους πόρους για την επίτευξη των σκοπών της.

Η Εθνική Αρχή Κυβερνοασφάλειας θα έχει συντονιστικό ρόλο επί όλων των σχετικών θεμάτων.

Διαβάστε επίσης: Εγκρίθηκε η Εθνική Στρατηγική Κυβερνοασφάλειας - Τι προβλέπει

Παράλληλα, ορίζεται και η Αρμόδια Ομάδα Απόκρισης σε Συμβάντα («Compυter Security lncident Response Team — CSΙRT» ή και «Computer Εmergency Response Team - CERT»), η οποία και θα λαμβάνει άμεσα την κοινοποίησή τους, θα φροντίζει για την αντιμετώπισή τους και θα ενημερώνει σχετικά και όποτε απαιτείται το ΕΚΕ.

Σε κάθε περίπτωση η ευθύνη συμμόρφωσης βαρύνει τους ΦΕΒΥ και τους ΠΨΥ που θα προσδιοριστούν βάσει του παρόντος νόμου.

Συνοπτικά και εν κατακλείδι ο  νόμος επιλαμβάνεται των θεμάτων ασφάλειας συστημάτων δικτύου και πληροφοριών μόνο μια τους τομείς που ρητά αναφέρονται σε αυτόν, λαμβάνοντας μέριμνα για

α) την αποφυγή συγκρούσεων της εθνικής νομοθεσίας με τομεακές πράξεις της Ένωσης (εφαρμόζεται η αυστηρότερη ρύθμιση),

β) την πρόβλεψη εξαιρέσεων λόγω ειδικών συνθηκών (εθνική ασφάλεια κλπ.),

γ) την τήρηση της αρχής της ίσης μεταχείρισης μεταξύ προσώπων και μεταξύ επιχειρήσεων,

δ) τον σεβασμό των ατομικών δικαιωμάτων και της επιχειρηματικής ελευθερίας,

ε) τη συνεπή συνεργασία με τα όργανα της Ένωσης, αλλά και

στ) την εξειδίκευση και προσαρμογή των κανόνων του νόμου προς τις διατάξεις τη Οδηγίας.

Δείτε αναλυτικά το νομοσχέδιο για την ενσωμάτωση της NIS