Βασικές απαιτήσεις ασφαλείας συστημάτων δικτύου και πληροφοριών, διαδικασία κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες Αρχές, μεθοδολογία προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών και άλλα
Δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως η απόφαση του Υπουργού Επικρατείας κ. Κυριάκου Πιερρακάκη, για θέματα εφαρμογής και διαδικασιών του ν. 4577/ 2018 (Ενσωμάτωση Οδηγίας 2016/1148/ΕΕ σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών – γνωστή ως Οδηγία NIS).
Διαβάστε σχετικά: Νόμος του Κράτους η Οδηγία για την ασφάλεια δικτύου και πληροφοριών (NIS)
Σκοπός της πολυαναμενόμενης υπουργικής απόφασης είναι η έκδοση των βασικών απαιτήσεων ασφαλείας συστημάτων δικτύου και πληροφοριών, της διαδικασίας παροχής πληροφοριών και κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες Αρχές, η μεθοδολογία προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ.) καθώς και η μεθοδολογία αξιολόγησης και ελέγχου, σύμφωνα με τις προβλέψεις της Οδηγίας 2016/1148/ΕΕ, του Εκτελεστικού Κανονισμού (ΕΕ) 2018/151 και του ν. 4577/2018, ο οποίος κατ’ εφαρμογή της ως άνω Οδηγίας θεσπίζει μέτρα για την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων αυτών.
Σύμφωνα με την απόφαση, στον κατάλογο βασικών υπηρεσιών εντάσσονται οι τομείς της ενέργειας (Ηλεκτρική, Πετρέλαιο, Αέριο), των μεταφορών (αεροπορικών, πλωτών, οδικών και σιδηροδρομικών), των τραπεζών, των χρηματοπιστωτικών αγορών, της υγείας, του νερού και των ψηφιακών υποδομών.
Ορισμένα βασικά σημεία της απόφασης είναι:
Ενιαία Πολιτική Ασφάλειας
Στο πλαίσιο τήρησης ενός ενιαίου ελάχιστου βασικού επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών, η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ορίζει τις απαιτήσεις για την εφαρμογή μιας Ενιαίας Πολιτικής Ασφάλειας.
Κάθε Οργανισμός θεσπίζει, υλοποιεί και διατηρεί επίκαιρη και καταγεγραμμένη Πολιτική Ασφαλείας σχετική με την ασφάλεια των συστημάτων δικτύου και πληροφοριών, τα οποία υποστηρίζουν την παροχή βασικών υπηρεσιών του φορέα.
Η Πολιτική Ασφάλειας του Οργανισμού οφείλει να καλύπτει τουλάχιστον όσα ορίζει η Ενιαία Πολιτική Ασφάλειας.
Μεταξύ άλλων, ορίζεται ότι η Πολιτική Ασφάλειας, οφείλει μεταξύ άλλων να ορίζει τους στόχους ασφάλειας, να περιγράφει τη διακυβέρνηση και να παραπέμπει σε άλλες συμπληρωματικές πολιτικές, σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών του Οργανισμού.
Επιλογή μέτρων ασφάλειας
Οι Οργανισμοί κατά την επιλογή των μέτρων ασφαλείας θα πρέπει να λαμβάνουν μέριμνα ώστε αυτά να είναι:
- Αποτελεσματικά, ώστε να αυξάνουν το επίπεδο ετοιμότητας του Οργανισμού έναντι τωρινών και μελλοντικών απειλών ασφάλειας.
- Αποδοτικά, ώστε να επιλέγονται αυτά τα οποία θα έχουν το μεγαλύτερο αντίκτυπο στην ενίσχυση της ασφάλειας ενός Οργανισμού, σε σχέση με τις απαιτήσεις κτήσης και διατήρησής τους.
- Κατάλληλα, ώστε να είναι συμβατά και να διευκολύνουν τη παροχή των βασικών υπηρεσιών του Οργανισμού.
- Αναλογικά, ώστε να επιλέγονται συναρτήσει του εκάστοτε επιπέδου επικινδυνότητας.
- Συγκεκριμένα, ώστε να διασφαλίζεται ότι τα μέτρα θα εφαρμόζονται στην πράξη και θα ενισχύουν ενεργά το επίπεδο ασφάλειας.
- Αξιόπιστα, ώστε να παρέχουν δείκτες και αποδείξεις για την αποτελεσματική και αποδοτική εφαρμογή τους.
- Περιεκτικά, ώστε η εφαρμογή τους να καλύπτει όσες περισσότερες βασικές απαιτήσεις ασφάλειας είναι δυνατό.
Προκειμένου να επιλεγούν και να εφαρμοστούν μέτρα που ικανοποιούν τις βασικές απαιτήσεις ασφάλειας, ενθαρρύνεται η χρήση διεθνώς αποδεκτών προτύπων, προδιαγραφών και οδηγών που σχετίζονται με την ασφάλεια των συστημάτων δικτύων και πληροφοριών.
Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων
Κάθε Οργανισμός οφείλει να ορίσει συγκεκριμένο εργαζόμενο του ως Υπεύθυνο Ασφάλειας Πληροφοριών και Δικτύων του. Ο Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων:
- Αποτελεί το σημείο επαφής με την Εθνική Αρχή Κυβερνοασφάλειας και το αρμόδιο CSIRT.
- Συνεργάζεται με την Εθνική Αρχή Κυβερνοασφάλειας και με το αρμόδιο CSIRT.
- Συντονίζει και επιβλέπει τον Οργανισμό ως προς τις υποχρεώσεις που απορρέουν από τον ν. 4577/2018 (Α΄ 199), από την παρούσα υπουργική απόφαση και από άλλες διατάξεις της Ευρωπαϊκής Ένωσης ή της Εθνικής Αρχής Κυβερνοασφάλειας σχετικά με την Ασφάλεια Συστημάτων Δικτύων και Πληροφοριών.
- Εποπτεύει την υλοποίηση της Ενιαίας Πολιτικής Ασφάλειας και την ικανοποίηση των βασικών απαιτήσεων ασφάλειας, την εκπαίδευση και ευαισθητοποίηση των υπαλλήλων του Οργανισμού σε θέματα ασφάλειας πληροφοριών και δικτύων καθώς, και τη σύνταξη της αναφοράς αυτοαξιολόγησης του Οργανισμού που αποστέλλεται στην Εθνική Αρχή Κυβερνοσφάλειας.
- Παρίσταται στους ελέγχους που πραγματοποιεί η Ομάδα Επιθεώρησης Ελέγχου, όπως αυτή ορίζεται από την Εθνική Αρχή Κυβερνοσφάλειας, και της παρέχει όλα τα κατάλληλα μέσα για να διευκολύνει το έργο της.
Ο ρόλος του στην οργανωτική δομή του Οργανισμού προτείνεται να είναι ανεξάρτητος και να μην έγκειται σε σύγκρουση συμφερόντων με άλλους εργασιακούς ρόλους που τυχόν κατέχει.
Κάθε Οργανισμός οφείλει αμελλητί να κοινοποιεί στην Εθνική Αρχή Κυβερνοασφάλειας τα στοιχεία επικοινωνίας του εκάστοτε Υπευθύνου που έχει οριστεί και το αργότερο εντός 2 μηνών από την έκδοση της παρούσας υπουργικής απόφασης.
Κριτήρια προσδιορισμού ενός συμβάντος ως σοβαρής διατάραξης για τους φορείς εκμετάλλευσης βασικών υπηρεσιών
1. Σοβαρή διατάραξη, θεωρείται οποιοδήποτε συμβάν με επίπτωση στην ασφάλεια συστημάτων δικτύου και πληροφοριών, σε συνδυασμό με τους παράγοντες της περίπτωσης 2 του άρθρου 5 του ν. 4577/2018 (Α΄ 199) και ειδικότερα όταν πληροί τουλάχιστον μία από τις ακόλουθες συνθήκες:
α) Κάθε συμβάν κατά το οποίο η συνέχεια της υπηρεσίας που παρέχεται από τον φορέα επηρεάζεται για πάνω από 100.000 χρηστοώρες. Ως συνέχεια της υπηρεσίας ορίζεται η δυνατότητα παροχής της υπηρεσίας σε αποδεκτά επίπεδα εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας και αυθεντικότητας.
β) Κάθε συμβάν που επηρεάζει πληθυσμό τουλάχιστον 50.000 χρηστών.
γ) Απειλή σε ανθρώπινη ζωή. Σε περίπτωση απώλειας ανθρώπινης ζωής το συμβάν κρίνεται αυτομάτως κοινοποιήσιμο.
δ) Το συμβάν έχει προκαλέσει υλικές ζημιές στον ίδιο τον φορέα ή σε άλλους φορείς που υπερβαίνουν το 1.000.000 ευρώ.
Ενημέρωση του Κοινού
1. Κατόπιν διαβούλευσης με τον Οργανισμό, και όταν αυτό κρίνεται απαραίτητο για την καλύτερη διαχείριση του συμβάντος, η ΕΑΚ μεριμνά για την ενημέρωση του κοινού που απολαμβάνει την υπηρεσία που επηρεάστηκε από το συμβάν σχετικά με την ύπαρξή του, την αντιμετώπισή του και την πιθανή διατάραξη της ομαλής λειτουργίας την οποία υπέστησαν.
2. Η ενημέρωση του κοινού δεν ενδείκνυται όταν: α) αφορά ευαίσθητες ή διαβαθμισμένες πληροφορίες β) επηρεάζει δυσανάλογα τα έννομα συμφέροντα του Οργανισμού.
Σε περίπτωση που η ΕΑΚ κρίνει ότι δεν συντρέχουν οι λόγοι (α) και (β) μπορεί να ενημερώσει το κοινό κρίνοντας κατά περίπτωση και αναλογικά.
Κυρώσεις
1. Λαμβάνοντας υπόψη τις διατάξεις του άρθρου 15 του ν. 4577/2018 (Α΄ 199), ο Υπουργός Ψηφιακής Διακυβέρνησης, μετά από εισήγηση της Εθνικής Αρχής Κυβερνοασφάλειας, επιβάλλει σε φυσικά ή νομικά πρόσωπα, διαζευκτικά ή σωρευτικά, τη λήψη συγκεκριμένων διορθωτικών μέτρων εντός τακτού χρονικού διαστήματος, καθώς και διοικητικές κυρώσεις για τις διαπιστούμενες παραβάσεις στις οποίες αυτά υποπίπτουν είτε μία ή περισσότερες από τις εξής κυρώσεις:
α) Σύσταση προς τον Οργανισμό ή τον νόμιμο εκπρόσωπό τους, σε περίπτωση που, κατόπιν διενέργειας ελέγχου ή συνδρομή συμβάντος ασφαλείας, αναγνωριστεί ότι δεν τηρούνται τα απαιτούμενα από το νόμο μέτρα ασφαλείας.
β) Επίπληξη προς τον Οργανισμό ή τον νόμιμο εκπρόσωπό τους, σε περίπτωση που κατόπιν διενέργειας ελέγχου ή συνδρομή συμβάντος ασφαλείας, αναγνωριστεί ότι παρά την πρότερη σύσταση της αρχής δεν συμμορφώθηκαν με τις υποδείξεις της ΕΑΚ. γ) Στην περίπτωση μη συμμόρφωσης του Οργανισμού με την διαδικασία σύστασης η επίπληξης, επιβάλλεται διοικητικό πρόστιμο στον Οργανισμό σύμφωνα με τις διατάξεις του άρθρου 15 του ν. 4577/2018 (Α΄ 199).
2. Κατά την επιμέτρηση της κύρωσης λαμβάνονται υπόψη τα κριτήρια της αποτελεσματικότητας, της αναλογικότητας και του αποτρεπτικού χαρακτήρα της κύρωσης.
Δείτε αναλυτικά την υπουργική απόφαση 1027/2019