Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση
Κατατέθηκε στη Βουλή το σχέδιο νόμου του Υπουργείου Ψηφιακής Διακυβέρνησης “Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις”.
Σύμφωνα με την αιτιολογική έκθεση, με το προτεινόμενο σχέδιο νόμου εναρμονίζεται το εθνικό δίκαιο µε την Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και για την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (στο εξής «Οδηγία NIS 2») ενσωµατώνοντας την Οδηγία αυτή στην ελληνική εννομη τάξη.
Η Οδηγία NIS 2, η οποία καταργεί την Οδηγία (ΕΕ) 2016/1148 (στο εξής «Οδηγία NIS 1»), επικαιροποιεί και διευρύνει σημαντικά τις υποχρεώσεις για την ασφάλεια και τη διαχείριση κινδύνων στον κυβερνοχώρο σε ολόκληρη την Ευρωπαϊκή Ένωση.
Εισάγει μια ολοκληρωμένη προσέγγιση κυβερνοασφάλειας με βάση τον κίνδυνο, με στόχο την επίτευξη υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε όλα τα κράτη μέλη, ενισχύοντας τη λειτουργία της εσωτερικής αγοράς μέσω βελτιωμένων πρωτοκόλλων ασφαλείας και δυνατοτήτων αντιμετώπισης περιστατικών.
Δεδομένης της εντατικοποίησης και της αυξημένης πολυπλοκότητας των απειλών και των κυβερνοεπιθέσεων, ο αριθμός, το μέγεθος, η επινοητικότητα, η συχνότητα και ο αντίκτυπος των περιστατικών στον κυβερνοχώρο αυξάνονται και συνιστούν μείζονα απειλή για τη λειτουργία των συστημάτων δικτύου και πληροφοριών.
Το γεγονός αυτό επηρεάζει τη λειτουργία υποδομών ζωτικής σημασίας, η οποία βασίζεται σε πληροφοριακά συστήματα και συχνά διαταράσσει την παροχή κρίσιμων υπηρεσιών για την οικονομική και κοινωνική ζωή.
Παράλληλα, το κόστος του κυβερνοεγκλήματος διαρκώς αυξάνεται, ξεπερνώντας σε παγκόσμιο επίπεδο τα δέκα τρισεκατομμύρια δολάρια για το έτος 2023, γεγονός που επηρεάζει αρνητικά την εμπιστοσύνη των πολιτών στην ψηφιακή μετάβαση συνολικά. Την ίδια στιγμή, σειρά ατομικών δικαιωμάτων βρίσκονται αντιμέτωπα με νέες και σύνθετες απειλές στον κυβερνοχώρο.
Το προτεινόμενο σχέδιο νόμου καλύπτει κενά, τα οποία διαπιστώθηκαν κατά την περίοδο εφαρμογής της Οδηγίας NIS 1, η οποία μεταφέρθηκε στην ελληνική έννομη τάξη με τον ν. 4577/2018 (Α’ 199), τόσο στον καθορισμό μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας και υποχρεώσεων αναφοράς περιστατικών σε όλους τους διευρυμένους τομείς τους οποίους καλύπτει, όπως, μεταξύ άλλων η ενέργεια, οι μεταφορές, η υγεία, η δημόσια διοίκηση, η εφοδιαστική αλυσίδα, η παραγωγή τροφίμων, οι τηλεπικοινωνίες και οι ψηφιακές υποδομές , όσο και στην ομοιόμορφη αντιμετώπιση των σχετικών ζητημάτων στο σύνολο των κρατών μελών της Ευρωπαϊκής Ένωσης.
Σε μία εποχή αυξημένης αξιοποίησης των Τεχνολογιών Πληροφορικής και Επικοινωνιών για τον ιδιωτικό τομέα και συνεχιζόμενου ψηφιακού μετασχηματισμού για τον δημόσιο τομέα, η βελτίωση των ικανοτήτων και η ενίσχυση της ανθεκτικότητας του ψηφιακού κράτους και της κρίσιμης ψηφιακής υποδομής που υποστηρίζει την παροχή υπηρεσιών ιδιωτικών επιχειρήσεων, σε σημαντικούς τομείς για την κοινωνική και οικονομική ζωή της χώρας, αποτελούν επιτακτική ανάγκη για την αδιάλειπτη παροχή των αγαθών και υπηρεσιών αυτών, την προστασία των ατομικών δικαιωμάτων στον κυβερνοχώρο και την καλλιέργεια κλίματος εμπιστοσύνης.
Με το προτεινόμενο σχέδιο νόμου θεσπίζεται ένα συνεκτικό πλαίσιο για τη διακυβέρνηση της κυβερνοασφάλειας, ως διακριτής, οριζόντιου χαρακτήρα δημόσιας πολιτικής, καθώς και μηχανισμοί αποτελεσματικής συνεργασίας μεταξύ των αρμόδιων αρχών και των οργανισμών που παρέχουν κρίσιμες υπηρεσίες για την οικονομική και κοινωνική ζωή.
Με ένα πλέγμα διατάξεων που υπερβαίνουν την ελάχιστη απαιτούμενη ενσωμάτωση των διατάξεων της Οδηγίας NIS 2 δημιουργείται ένα σταθερό πεδίο διασφάλισης υψηλού επιπέδου κυβερνασφάλειας.
Ειδικότερα:
Κεφάλαιο Α’: Προσδιορίζεται ο σκοπός και οριοθετείται το αντικείμενο του σχεδίου νόμου.
Κεφάλαιο Β’: Καθορίζεται το πεδίο εφαρμογής του σχεδίου νόμου, με τον ορισμό των βασικών και σημαντικών οντοτήτων και προβλέπονται οι αναγκαίοι ορισμοί για τους σκοπούς του νόμου.
Κεφάλαιο Γ’: Θεσπίζονται συντονισμένα κανονιστικά πλαίσια κυβερνοασφάλειας με την εφαρμογή ενός ολοκληρωμένου πλαισίου στρατηγικής, τον ορισμό Εθνικής Αρχής Κυβερνοσφάλειας (EAK) ως αρμόδιας Αρχής και ενιαίου σημείου επαφής, τον ορισμό των oμάδων απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (CSIRTs), τη θέσπιση εθνικού πλαισίου διαχείρισης κυβερνοκρίσεων και τη δημιουργία πλαισίου συνεργασίας μεταξύ της ΕΑΚ και άλλων αρμόδιων αρχών.
Κεφάλαιο Δ’: Θεσπίζεται υποχρέωση λήψης μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας από τις βασικές και σημαντικές οντότητες, καθώς και υποχρεώσεις αναφοράς περιστατικών.
Κεφάλαιο Ε’: Ρυθμίζονται ζητήματα που αφορούν τη δικαιοδοσία και την εδαφικότητα και θεσπίζεται υποχρέωση τήρησης μητρώων οντοτήτων και βάσης δεδομένων καταχώρισης ονομάτων τομέα.
Κεφάλαιο ΣΤ’: Ρυθμίζονται ζητήματα που αφορούν την ανταλλαγή πληροφοριών στον τομέα της κυβερνοασφάλειας.
Κεφάλαιο Ζ’: Καθορίζονται τα μέτρα εποπτείας και επιβολής για τις βασικές και σημαντικές οντότητες, ορίζεται η ΕΑΚ ως αρμόδια αρχή εποπτείας και ελέγχου, προβλέπονται οι γενικοί όροι για την επιβολή διοικητικών προστίμων, και καθορίζονται τα διοικητικά πρόστιμα και οι κυρώσεις σε περίπτωση παραβίασης.
Κεφάλαιο Η’: Περιλαμβάνονται οι εξουσιοδοτικές, μεταβατικές, τελικές και καταργούμενες διατάξεις των κεφαλαίων Α’ έως Ζ’.
Δείτε αναλυτικά το σχέδιο νόμου.
Δείτε την Ανάλυση Συνεπειών Ρύθμισης