Μηχανισμό για την αντιμετώπιση των κυβερνοεπιθέσεων θα πρέπει να δημιουργήσουν σταδιακά 2.000 επιχειρήσεις και φορείς του δημόσιου και του ιδιωτικού τομέα, σύμφωνα με όσα προβλέπει το προς ψήφιση νομοθετικό πλαίσιο του υπουργείου Ψηφιακής Διακυβέρνησης που θα ενσωματώνει την ευρωπαϊκή οδηγία NIS2. Σήμερα δεν ξεπερνούν τους 70 οι φορείς που εποπτεύονται από τις αρμόδιες αρχές, όπως η Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων, Διεύθυνση Κυβερνοάμυνας του υπουργείου Εθνικής Αμυνας κ.τ.λ.). Το νέο πλαίσιο εκτιμάται ότι θα αποτελέσει νόμο του κράτους από το νέο έτος και θα εξειδικευθεί αρκετά αργότερα μέσω δευτερογενούς νομοθεσίας που θα ορίζει λεπτομερώς τις υποχρεώσεις των 2.000 εποπτευόμενων οντοτήτων. Οπως αναφέρουν οι πληροφορίες, εφεξής η Εθνική Αρχή Κυβερνοασφάλειας, με διοικητή τον Μιχάλη Μπλέτσα, θα αποτελεί την αρμόδια αρχή για την αποτελεσματική πρόληψη και διαχείριση κυβερνοεπιθέσεων.
«Η NIS2 διευρύνει το πεδίο εφαρμογής σε όλες τις μεσαίες και μεγάλες οντότητες των οποίων η διακοπή λειτουργίας, εξαιτίας κάποιου περιστατικού κυβερνοασφάλειας, δημιουργεί πρόβλημα στην κοινωνία. Για παράδειγμα θα περιλαμβάνονται φορείς γενικής κυβέρνησης, οι οποίοι μέχρι σήμερα δεν εντάσσονταν στο πεδίο εφαρμογής. Θα θέλαμε σε εύλογο χρονικό διάστημα ενός – δύο ετών να έχει ισχυροποιηθεί το επίπεδο ασφαλείας και οι οντότητες να έχουν κανονισμό και “λυσάρι” του πώς αντιμετωπίζουν ένα περιστατικό κυβερνοασφάλειας. […] Μέχρι σήμερα δεν έχει γίνει ζημιά στην Ελλάδα (σ.σ. λόγω κυβερνοχτυπήματος) διότι είναι μικρός στόχος», εξηγεί ο κ. Μπλέτσας.
Το νέο νομοθετικό πλαίσιο ισχύει για επιχειρήσεις και φορείς με δραστηριότητα σε κρίσιμους τομείς, όπως μεταξύ άλλων οι κατασκευές, η ενέργεια, οι τηλεπικοινωνίες, η διαχείριση αποβλήτων και υδάτινων πόρων, τα τρόφιμα, οι ταχυδρομικές υπηρεσίες και η υγεία. Διαχωρίζει τις οντότητες σε κρίσιμες (π.χ. με δραστηριότητα στην εθνική ασφάλεια, την επιβολή του νόμου κ.τ.λ.) και ουσιαστικές (π.χ. τηλεπικοινωνιακοί πάροχοι). Βάσει της συγκεκριμένης κατηγοριοποίησης διαμορφώνεται το ύψος των προστίμων που θα επιβάλλονται σε επιχειρήσεις και φορείς του Δημοσίου που είναι «διάτρητες» ως προς την υιοθέτηση μηχανισμών κατά των κυβερνοχτυπημάτων. Συγκεκριμένα, οι βασικές επιχειρήσεις θα είναι αντιμέτωπες με πρόστιμο είτε έως 10 εκατ. ευρώ είτε αντίστοιχο του 2% του παγκόσμιου ετήσιου κύκλου εργασιών. Για τις σημαντικές οντότητες, εφόσον εντοπίζονται κενά ασφαλείας, το ύψος του προστίμου διαμορφώνεται σε έως 7 εκατ. ευρώ ή ίσο με το 1,4% του παγκόσμιου τζίρου. Οι κυρώσεις περιλαμβάνουν και την προσωρινή απαγόρευση άσκησης καθηκόντων στα διευθυντικά στελέχη.
Πρόστιμα, όπως αναφέρουν οι πληροφορίες, δεν θα καταλογιστούν αμέσως μετά τη θέση σε ισχύ του νέου νομοθετικού πλαισίου. Κι αυτό για να δοθεί χρόνος έως ότου οι επιχειρήσεις προσαρμοστούν στα νέα δεδομένα, αλλά και επειδή υπολογίζεται ότι θα μεσολαβήσει ένα μεγάλο χρονικό διάστημα μέχρι η δευτερογενής νομοθεσία (υπουργική απόφαση κ.τ.λ.) να εκδοθεί. Ωστόσο, κατά τις ίδιες πηγές, ταχύτερη θα είναι η επιβολή προστίμων για μη τήρηση της υποχρέωσης αναφοράς περιστατικών κυβερνοασφάλειας. «Η NIS2 και ο εφαρμοστικός νόμος υποχρεώνουν όλες τις επιτηρούμενες οντότητες να αναφέρουν στην Εθνική Αρχή Κυβερνοασφάλειας όλα τα περιστατικά κυβερνοεπίθεσης εντός 24 ωρών από τη στιγμή που θα το αντιληφθούν», σημειώνουν πηγές. Το σκεπτικό πίσω από την υποχρέωση για αναφορά των περιστατικών είναι ότι στην Ελλάδα δεν υπάρχει σαφής εικόνα σχετικά με το επίπεδο κυβερνοασφάλειας. Η δευτερογενής νομοθεσία αναμένεται να προσδιορίζει και την επιβολή τελών στους εποπτευόμενους φορείς και επιχειρήσεις.
