Πέρα από το γνωστό διεθνές πρότυπο ISO/IEC 27001:2022 που ασχολείται με την ασφάλεια δεδομένων και την κυβερνοασφάλεια, υπάρχουν και οι απαιτήσεις της ΕΕ που αποτυπώνεται στην Οδηγία NIS2.
Τι είναι η οδηγία NIS2;
Η οδηγία (ΕΕ) 2022/2555, είναι η οδηγία για την ασφάλεια δικτύων και πληροφοριών, (γνωστή και σαν οδηγία NIS2 – Νetwork and Information Security Directive), που τέθηκε σε εφαρμογή στις 18 Οκτωβρίου 2024 και έχει σαν στόχο να ενισχύσει την ανθεκτικότητα της ΕΕ στο κυβερνοχώρο, μέσω της δημιουργίας ενός υψηλού κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση. Ο νόμος 5160/2024, που πρόσφατα ψηφίστηκε, ενσωματώνει στην Ελληνική νομοθεσία την οδηγία NIS2.
Που εφαρμόζεται η οδηγία NIS2;
Η οδηγία NIS2 εφαρμόζεται σ’ ένα ευρύτερο και εκτενέστερο σύνολο οντοτήτων, σε σχέση με αυτούς της οδηγίας NIS, όπως:
- Τομείς υψηλής κρισιμότητας (υγεία, ενέργεια, μεταφορές, πόσιμο νερό, ψηφιακές υποδομές, λύματα, διάστημα, δημόσια διοίκηση, διαχειριζόμενες υπηρεσίες ICT, τράπεζες, υποδομές χρηματοπιστωτικών αγορών)
- Άλλοι κρίσιμοι τομείς (ψηφιακοί πάροχοι, έρευνα, παραγωγή – μεταποίηση και διανομή τροφίμων, ταχυδρομικές υπηρεσίες και ταχυμεταφορές, διαχείριση αποβλήτων, παρασκευή, παραγωγή και διανομή χημικών προϊόντων, κατασκευαστικός τομέας)
Οι οργανισμοί που εμπίπτουν στο πεδίο εφαρμογής του NIS2 καθορίζονται με κριτήρια κατηγοριοποίησης των οντοτήτων βάση μεγέθους και τομέα δραστηριοποίησης της οντότητας (π.χ. αριθμό εργαζομένων, ετήσιες πωλήσεις, ετήσιο απολογισμό).
Κυρώσεις για μη συμμόρφωση του NIS2 και του Ν. 5160/2024
Η μη συμμόρφωση με τις διατάξεις του Ν. 5160/2024 συνεπάγεται αυστηρές διοικητικές και οικονομικές κυρώσεις (π.χ. υψηλά χρηματικά πρόστιμα, ανάκληση ή περιορισμό αδειών λειτουργίας), ανάλογα με τη σοβαρότητα και την επαναληψιμότητα των παραβάσεων από τους οργανισμούς.
Ο Θανάσης Μητσάκος, Head of Information Systems Inspection Division στην TÜV AUSTRIA Hellas δήλωσε στο cibum:
“H Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού́ Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, γνωστή́ ως οδηγία NIS2 (Network and Information Security Directive) είναι η αναθεωρημένη έκδοση της αρχικής οδηγίας NIS, η οποία θεσπίστηκε το 2016 με στόχο την ενίσχυση της κυβερνοασφάλειας στην Ευρωπαϊκή́ Ένωση. Η οδηγία NIS2 αφορά́ στην προστασία κρίσιμων δικτυών και συστημάτων πληροφορικής έναντι κυβερνοαπειλών και διασφαλίζει τη συνεκτική́ προσέγγιση στην κυβερνοασφάλεια σε ολόκληρη την ΕΕ
Θανάσης Μητσάκος, Head of Information Systems Inspection Division της TÜV AUSTRIA Hellas
Η οδηγία NIS2 ενσωματώθηκε στην Ελληνική νομοθεσία, στις 27.11.2024, με το Νόμο 5160/2024.
Η οδηγία NIS2 επεκτείνει το πεδίο εφαρμογής της και περιλαμβάνει πλέον και τις εταιρείες τροφίμων (παραγωγή, μεταποίηση και διανομή), ιδίως όσες θεωρούνται “βασικές” ή “σημαντικές” οντότητες βάσει του μεγέθους, του κύκλου εργασιών και του ισολογισμού τους. Οι εταιρείες αυτές θα πρέπει να συμμορφωθούν με την οδηγία NIS2, τον Ελληνικό εφαρμοστικό Νόμο 5160/2024 και να εφαρμόσουν κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως αυτά αποτυπώνονται στη πρόσφατη KYA 1689/2025.
Σε περίπτωση μη συμμόρφωσης, προβλέπονται αυστηρές κυρώσεις, που θα επιβληθούν από την Εθνική Αρχή Κυβερνοασφάλειας και οι οποίες περιλαμβάνουν χρηματικά πρόστιμα που μπορεί να φτάσουν σε σημαντικά ποσά, ανάλογα με τη σοβαρότητα της παράβασης και τον αντίκτυπο της στην εταιρεία και τους πελάτες της.”