Ευρωπαϊκή οδηγία 2022/2555 (NIS 2) : κυβερνοασφάλεια και πρακτικό πλαίσιο ελέγχου συμμόρφωσης με την NIS2 και τον εφαρμοστικό Νόμο 5160/2024

Abstract

Το κυβερνοέγκλημα, οι κυβερνοεπιθέσεις και οι οργανωμένες κακόβουλες δραστηριότητες στον κυβερνοχώρο αποτελούν πλέον συστημικούς κινδύνους, με σοβαρές οικονομικές, κοινωνικές και θεσμικές επιπτώσεις. Επιθέσεις όπως το ηλεκτρονικό ψάρεμα (phishing), το κακόβουλο λογισμικό (malware), το λυτρισμικό (ransomware) και οι επιθέσεις άρνησης παροχής υπηρεσιών (DDoS) δεν πλήττουν μόνο την τεχνική υποδομή των οργανισμών, αλλά επηρεάζουν άμεσα την εμπιστοσύνη των χρηστών, την προστασία των προσωπικών δεδομένων και, σε ορισμένες περιπτώσεις, την εθνική ασφάλεια. Στο περιβάλλον αυτό, η κυβερνοασφάλεια δεν αποτελεί πλέον αποκλειστικά τεχνικό ζήτημα, αλλά εντάσσεται στον πυρήνα της οργανωτικής διακυβέρνησης, της κανονιστικής συμμόρφωσης και της νομικής ευθύνης των επιχειρήσεων και των οργανισμών. Σε ευρωπαϊκό επίπεδο, η ανάγκη για ένα ενιαίο, συνεκτικό και αποτελεσματικό κανονιστικό πλαίσιο οδήγησε στην υιοθέτηση της Οδηγίας (ΕΕ) 2022/2555, γνωστής ως Οδηγίας NIS2, η οποία αντικατέστησε και ενίσχυσε το προϋφιστάμενο πλαίσιο της Οδηγίας NIS1. Η NIS2 εισάγει αυστηρότερες και σαφέστερες υποχρεώσεις για ένα ευρύτερο φάσμα επιχειρήσεων και οργανισμών, χαρακτηρίζοντάς τους ως βασικές και σημαντικές οντότητες, και καθιερώνει ένα σύστημα διαχείρισης κινδύνων κυβερνοασφάλειας βασισμένο στην αρχή της αναλογικότητας και της λογοδοσίας. Κεντρικός άξονας της Οδηγίας αποτελεί η υποχρέωση υιοθέτησης κατάλληλων τεχνικών, οργανωτικών και επιχειρησιακών μέτρων, καθώς και η έγκαιρη αναφορά και διαχείριση περιστατικών κυβερνοασφάλειας. Η Ελλάδα ενσωμάτωσε την Οδηγία NIS2 στο εθνικό δίκαιο με τον Νόμο 5160/2024, ο οποίος συνιστά το νέο θεσμικό πλαίσιο για την κυβερνοασφάλεια στη χώρα. Ο νόμος αυτός εκσυγχρονίζει τις διατάξεις του προηγούμενου Ν. 4577/2018 και θεμελιώνει ένα ολοκληρωμένο σύστημα διακυβέρνησης της κυβερνοασφάλειας, καθορίζοντας αρμόδιες αρχές, μηχανισμούς εποπτείας και ελέγχου, καθώς και κυρώσεις για τη μη συμμόρφωση των υπόχρεων οντοτήτων. Παράλληλα, μέσω κανονιστικών πράξεων και ειδικότερα της Υπουργικής Απόφασης 1689/2025, εξειδικεύονται οι απαιτήσεις συμμόρφωσης και προσδιορίζονται συγκεκριμένες πολιτικές, διαδικασίες και μέτρα ασφάλειας που οφείλουν να εφαρμόζουν οι βασικές και σημαντικές οντότητες. Σκοπός της παρούσας διπλωματικής εργασίας είναι η συστηματική ανάλυση του κανονιστικού και οργανωτικού πλαισίου κυβερνοασφάλειας που εισάγει η Οδηγία NIS2 και ο εφαρμοστικός Νόμος 5160/2024, καθώς και η παρουσίαση ενός πρακτικού πλαισίου ελέγχου συμμόρφωσης για επιχειρήσεις και οργανισμούς. Η εργασία επιδιώκει να γεφυρώσει τη θεωρητική προσέγγιση της κυβερνοασφάλειας με την πρακτική εφαρμογή των κανονιστικών απαιτήσεων, αναδεικνύοντας τον ρόλο των οργανωτικών προτύπων, των τεχνικών μέτρων και των θεσμικών μηχανισμών επιβολής. Η μεθοδολογία που ακολουθείται βασίζεται στη συνδυαστική ανάλυση τεχνικών, οργανωτικών και νομικών πηγών, συμπεριλαμβανομένων ευρωπαϊκών οδηγιών, εθνικών νομοθετημάτων, διεθνών προτύπων ασφάλειας πληροφοριών και κανονιστικών πράξεων. Ιδιαίτερη έμφαση δίνεται στη διαχείριση κινδύνων κυβερνοασφάλειας, στον ρόλο των αρμόδιων αρχών, στις υποχρεώσεις αναφοράς περιστατικών και στη σημασία της επιχειρησιακής συνέχειας και της διαχείρισης κρίσεων. Η δομή της εργασίας αντανακλά τη σταδιακή ανάπτυξη του αντικειμένου. Αρχικά, παρουσιάζονται βασικές έννοιες που σχετίζονται με την κυβερνοασφάλεια, το κυβερνοέγκλημα και τις τεχνολογικές εξελίξεις. Στη συνέχεια, αναλύονται οι μορφές και οι τύποι κυβερνοεπιθέσεων και οι επιπτώσεις τους στις επιχειρήσεις και στους οργανισμούς. Ακολουθεί η εξέταση των οργανωτικών προτύπων ασφάλειας πληροφοριών και του κανονιστικού πλαισίου κυβερνοασφάλειας, τόσο σε ευρωπαϊκό όσο και σε εθνικό επίπεδο. Ιδιαίτερη ενότητα αφιερώνεται στις αρμόδιες αρχές επιβολής της νομοθεσίας, καθώς και στον ρόλο του Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.). Τέλος, αναλύονται διεξοδικά τα τεχνικά και οργανωτικά μέτρα ασφάλειας, οι υποχρεώσεις αναφοράς περιστατικών και οι μηχανισμοί επιχειρησιακής συνέχειας, στο πλαίσιο της συμμόρφωσης με τη NIS2.