Δημοσιεύθηκε στο ΦΕΚ (Β’ 2186) η κοινή υπουργική απόφαση 1689/2025, με την οποία θεσπίζεται το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας για τις βασικές και σημαντικές οντότητες, σύμφωνα με τις επιταγές της Οδηγίας NIS 2 (ΕΕ 2022/2555) και του ν. 5160/2024. Πρόκειται για ένα καθολικό πλαίσιο που καθορίζει τις τεχνικές, επιχειρησιακές και οργανωτικές απαιτήσεις για την ενίσχυση της κυβερνοασφάλειας σε κρίσιμους φορείς του δημόσιου και ιδιωτικού τομέα.
Το πλαίσιο αποσκοπεί στη διαχείριση των κινδύνων ασφάλειας δικτύων και πληροφοριών που χρησιμοποιούνται για κρίσιμες υπηρεσίες. Βασικές και σημαντικές οντότητες καλούνται να λάβουν μέτρα για την πρόληψη και ελαχιστοποίηση των επιπτώσεων από κυβερνοεπιθέσεις.
Αφορά φορείς κρίσιμων υποδομών, όπως ενέργεια, ύδρευση, μεταφορές, υγειονομικές υπηρεσίες, χρηματοπιστωτικά ιδρύματα, αλλά και δημόσιες αρχές, δήμους, οργανισμούς τεχνολογίας, παρόχους cloud, DNS, social media κ.ά., που χαρακτηρίζονται από τον νόμο ως «βασικές» ή «σημαντικές».
Βασικοί Άξονες του Πλαισίου
- Προσέγγιση βάσει κινδύνου
Η εφαρμογή των μέτρων γίνεται με αναλογικότητα, ανάλογα με:
• το μέγεθος και την πολυπλοκότητα της οντότητας,
• τη φύση και την κρισιμότητα των δεδομένων,
• την πιθανότητα και σοβαρότητα των περιστατικών. - Ευθύνη διοίκησης
Το ανώτατο διοικητικό όργανο κάθε οντότητας:
• εγκρίνει και επιβλέπει την εφαρμογή των μέτρων,
• διασφαλίζει επαρκείς πόρους και εκπαίδευση προσωπικού,
• λογοδοτεί για την πλημμελή εφαρμογή. - Διαχείριση κινδύνων και συμμόρφωσης
Κάθε οντότητα:
• εκπονεί πλάνο διαχείρισης κινδύνων, πολιτικές ασφάλειας και θεματικές πολιτικές (π.χ. ελέγχου πρόσβασης, αντιγράφων ασφαλείας, κρυπτογράφησης),
• εφαρμόζει διαδικασίες εσωτερικού και εξωτερικού ελέγχου, με δυνατότητα ποινών για μη συμμόρφωση. - Ρόλοι και ευθύνες
• Ορίζεται Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (ΥΑΣΠΕ),
• Καθορίζονται συγκεκριμένες αρμοδιότητες ανά ρόλο και επίπεδο. - Εκπαίδευση και ευαισθητοποίηση
Προβλέπονται τακτικά προγράμματα εκπαίδευσης:
• για όλο το προσωπικό σε βασικές πρακτικές κυβερνοασφάλειας,
• για εξειδικευμένα στελέχη σε τεχνικά ζητήματα και διαχείριση περιστατικών. - Ασφαλής χρήση τεχνολογιών
• Απαιτείται ασφαλής παραμετροποίηση υλικού, λογισμικού, δικτύων,
• Εφαρμόζονται πολιτικές για προστασία από κακόβουλο λογισμικό και ασφαλή ανάπτυξη εφαρμογών. - Διαχείριση συμβάντων και κρίσεων
• Κάθε οντότητα διαθέτει πολιτική απόκρισης σε περιστατικά, με ορισμένο υπεύθυνο και καταγραφή γεγονότων,
• Εκπονεί σχέδιο επιχειρησιακής συνέχειας και αντιμετώπισης κρίσεων. - Απαιτήσεις για προμηθευτές
• Ορίζονται αυστηρές απαιτήσεις για προμηθευτές Τ.Π.Ε., με υποχρεωτική ταξινόμηση ανάλογα με την κρισιμότητα,
• Προβλέπεται δυνατότητα ελέγχων σε τρίτους και υποχρεώσεις τερματισμού συμβάσεων.
Συμπέρασμα
Το νέο Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας αποτελεί τομή για την προστασία κρίσιμων υποδομών στην Ελλάδα. Βάζει τέλος στην αποσπασματική προσέγγιση της ασφάλειας πληροφοριακών συστημάτων και εισάγει ένα ενιαίο, αναλογικό και τεκμηριωμένο σύστημα πρόληψης, απόκρισης και λογοδοσίας. Η επιτυχής εφαρμογή του εξαρτάται από την δέσμευση της διοίκησης, την τεχνική επάρκεια και την κουλτούρα ασφάλειας σε κάθε οργανισμό.
Δείτε και προηγούμενο άρθρο
11 Απριλίου η προθεσμία εγγραφής των Δήμων στην Πλατφόρμα Εγγραφής Βασικών και Σημαντικών Οντοτήτων
