NIS2 στην Ελλάδα: Ποιες επιχειρήσεις επηρεάζονται και τι πρέπει να κάνουν
Η NIS2 είναι η ευρωπαϊκή οδηγία για την ενίσχυση της κυβερνοασφάλειας σε κρίσιμους και σημαντικούς τομείς της οικονομίας.
Το ευρωπαϊκό και ελληνικό πλαίσιο
Η Ευρωπαϊκή Επιτροπή αναφέρει ότι η οδηγία δημιουργεί ενιαίο νομικό πλαίσιο για την κυβερνοασφάλεια σε 18 κρίσιμους τομείς σε επίπεδο Ευρωπαϊκής Ένωσης.
Στην Ελλάδα, η NIS2 έχει ενσωματωθεί με τον Ν. 5160/2024. Η Εθνική Αρχή Κυβερνοασφάλειας αναφέρει ότι οι οργανισμοί και επιχειρήσεις που εμπίπτουν στο πεδίο εφαρμογής έχουν υποχρεώσεις λήψης μέτρων κυβερνοασφάλειας με ολιστική προσέγγιση κινδύνου.
Ποιους αφορά
Η NIS2 δεν αφορά μόνο μεγάλους οργανισμούς τεχνολογίας. Μπορεί να επηρεάζει επιχειρήσεις και φορείς που δραστηριοποιούνται σε τομείς όπως ενέργεια, μεταφορές, υγεία, πόσιμο νερό, λύματα, ψηφιακές υποδομές, δημόσια διοίκηση, ταχυμεταφορές, τρόφιμα, μεταποίηση κρίσιμων προϊόντων και πάροχοι ψηφιακών υπηρεσιών.
Πρώτα βήματα για την επιχείρηση
Για μία επιχείρηση, το πρώτο βήμα δεν είναι να αγοράσει αμέσως ένα τεχνικό προϊόν. Το πρώτο βήμα είναι να εξετάσει αν εμπίπτει στο πεδίο εφαρμογής της NIS2. Στη συνέχεια πρέπει να αξιολογήσει το επίπεδο ετοιμότητας, τις πολιτικές, τις διαδικασίες, τα τεχνικά μέτρα, τη διαχείριση περιστατικών, την επιχειρησιακή συνέχεια και την ασφάλεια προμηθευτών.
Η NIS2 αλλάζει και το επίπεδο ευθύνης. Η κυβερνοασφάλεια δεν είναι πλέον μόνο θέμα του IT. Είναι θέμα διοίκησης, κινδύνου, κανονιστικής συμμόρφωσης, επιχειρησιακής συνέχειας και εμπιστοσύνης.
Οι επιχειρήσεις που επηρεάζονται πρέπει να κινηθούν οργανωμένα. Χρειάζεται αρχικός έλεγχος υπαγωγής, αξιολόγηση υφιστάμενων μέτρων, gap analysis και σχεδιασμός ενεργειών. Σε αρκετές περιπτώσεις, η σύνδεση με ISO 27001 ή τεχνικές λύσεις κυβερνοασφάλειας μπορεί να βοηθήσει σημαντικά.