NIS2 και Επιχειρήσεις

Το Νέο Κανονιστικό Πλαίσιο για τη Διαχείριση Κυβερνοκινδύνων


Advertorial

Του ΒΑΣΙΛΗ ΜΑΝΟΥΣΟΠΟΥΛΟΥ
Senior Manager, Head of Security, Technology της Grant Thornton

 

Η ραγδαία ενσωμάτωση της τεχνολογίας σε κάθε πτυχή της επιχειρηματικής δραστηριότητας καθιστά τον ψηφιακό μετασχηματισμό αναγκαίο, αυξάνοντας παράλληλα την έκθεση των οργανισμών σε εξωτερικές απειλές. Το κυβερνοέγκλημα αναδεικνύεται ως μια από τις πλέον σοβαρές και εξελισσόμενες προκλήσεις, μετατρέποντας την κυβερνοασφάλεια από τεχνική παράμετρο σε πυλώνα στρατηγικής βιωσιμότητας. Το ηλεκτρονικό ταχυδρομείο, το διαδίκτυο και τα μέσα κοινωνικής δικτύωσης εξακολουθούν να αποτελούν τις βασικές πύλες εισόδου για κακόβουλες ενέργειες, με τους επιτιθέμενους να εξελίσσουν διαρκώς τις τεχνικές τους. Παράλληλα, οι τεχνολογικές εξελίξεις αναδεικνύονται σε καίριους συμμάχους στην ενίσχυση της ψηφιακής ανθεκτικότητας. Λύσεις όπως η τεχνολογία blockchain, οι προηγμένες υποδομές cloud infrastructures, η ενσωμάτωση αρχών ασφάλειας στο οικοσύστημα του Internet of Things (IoT), καθώς και η αξιοποίηση της τεχνητής νοημοσύνης (Artificial Intelligence), συνιστούν θεμελιώδη εργαλεία διαμόρφωσης πολυεπίπεδων και δυναμικών μηχανισμών άμυνας και πρόληψης. Ενόψει της αυξανόμενης πολυπλοκότητας και διασύνδεσης των ψηφιακών οικοσυστημάτων, η ενίσχυση της κυβερνοασφάλειας αναδεικνύεται ως στρατηγική προτεραιότητα με διατομεακή σημασία.

Η ευρωπαϊκή οδηγία NIS2 έχει ήδη ενσωματωθεί στην ελληνική νομοθεσία, δίνοντας έμφαση στη διαχείριση κινδύνων, την υποχρεωτική αναφορά περιστατικών και την ενίσχυση της ευθύνης της ανώτατης διοίκησης

 

Ολιστικές υπηρεσίες κυβερνοασφάλειας

Σε αυτό το πλαίσιο, η ανάγκη για ολιστικές υπηρεσίες κυβερνοασφάλειας αναδεικνύεται σε κρίσιμο άξονα της επιχειρησιακής στρατηγικής. Η Grant Thornton παρέχει ένα ολοκληρωμένο φάσμα υπηρεσιών στον τομέα του cybersecurity που περιλαμβάνει: τη Διαχείριση Κινδύνων (Risk Management), τη Σύνταξη Πολιτικών Ασφάλειας (Policies Drafting), Ελέγχους Πληροφοριακών Συστημάτων (Information Technology Audits), Ελέγχους Κανονιστικής Συμμόρφωσης (Regulatory Compliance audits), την Προετοιμασία Πιστοποίησης κατά ISO 27001 /ISO 22301, Αξιολογήσεις Προστασίας Δεδομένων και Ιδιωτικότητας (Data Protection & Privacy assessments), Δοκιμές Διείσδυσης σε Πληροφοριακές Υποδομές για την Ανίχνευση Ευπαθειών (Penetration Testing & Vulnerability Assessments), τη Διαχείριση Ταυτοτήτων και Πρόσβασης (Identity & Access Management), Εκπαιδευτικά Προγράμματα Ευαισθητοποίησης σε Θέματα Ασφάλειας (Security Awareness trainings), Καμπάνιες Εξομοίωσης Επιθέσεων Ηλεκτρονικού Ψαρέματος (Phishing Campaigns), κ.ά.

Η προσέγγισή μας βασίζεται σε διεθνώς αναγνωρισμένα πρότυπα, όπως τα COBIT, COSO, NIST και ISO, με στόχο τη δημιουργία ανθεκτικών οργανωτικών δομών και την αρμονική διασύνδεση τεχνολογικών, ανθρώπινων και θεσμικών παραμέτρων. Είναι σημαντικό να τονιστεί πως σε αυτό το συνεχώς μεταβαλλόμενο περιβάλλον, η Ευρωπαϊκή Οδηγία NIS2 (EU Directive 2022/2555) θεσπίζει ένα κοινό θεσμικό πλαίσιο για την κυβερνοασφάλεια σε όλα τα κράτη-μέλη. Ως εξέλιξη της NIS1, η Οδηγία NIS2 διευρύνει το πεδίο εφαρμογής της, καθιστώντας τη συμμόρφωση όχι μόνο νομική υποχρέωση αλλά και στρατηγική επιλογή. Η οδηγία έχει ήδη ενσωματωθεί στην ελληνική νομοθεσία με τον Ν. 5160/2024, δίνοντας έμφαση στη διαχείριση κινδύνων, την υποχρεωτική αναφορά περιστατικών και την ενίσχυση της ευθύνης της ανώτατης διοίκησης. Περισσότερες από 100.000 επιχειρήσεις στην Ευρώπη, μεταξύ των οποίων κρίσιμες υποδομές, πάροχοι ψηφιακών υπηρεσιών, ενεργειακές εταιρείες, τομείς μεταφορών, υγείας, τροφίμων, χημικών και ερευνητικά ιδρύματα, εμπίπτουν πλέον στο πεδίο εφαρμογής της. Οι οργανισμοί οφείλουν να εφαρμόζουν λειτουργικά Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS), να αξιολογούν και να παρακολουθούν τους κινδύνους, να διαχειρίζονται την εφοδιαστική αλυσίδα, να εκ παιδεύουν το προσωπικό και να προετοιμάζονται για περιστατικά. Η μη συμμόρφωση επισύρει αυστηρές κυρώσεις, με πρόστιμα που φτάνουν τα €10 εκατ. ή 2% του παγκόσμιου κύκλου εργασιών, ενώ η ευθύνη εκτείνεται σε προσωπικό επίπεδο, συμπεριλαμβανομένης της δυνατότητας προσωρινής παύσης διοικητικών στελεχών. Παράλληλα, ορίζεται αυστηρό χρονοδιάγραμμα αναφοράς περιστατικών στην Εθνική Αρχή Κυβερνοασφάλειας, με προκαταρκτική ειδοποίηση εντός 24 ωρών, πλήρη αναφορά έως 72 ώρες και τελική έκθεση σε έναν μήνα. Η αδυναμία συμμόρφωσης ενδέχεται να θεωρηθεί ποινικά κολάσιμη αμέλεια.

 

Η σημαντικότερη διαπίστωση που απορρέει από την εφαρμογή της NIS2 συνίσταται στην αναβάθμιση της κυβερνοασφάλειας από δευτερεύον τεχνικό ζήτημα σε θεμελιώδη παράγοντα στρατηγικής ανθεκτικότητας και έκφραση εταιρικής υπευθυνότητας. Η προστασία των πληροφοριακών υποδομών αποτελεί πλέον συνθήκη επιβίωσης για τον επιχειρηματικό κόσμο. Σε έναν κόσμο όπου οι απειλές είναι παγκόσμιες και οι επιχειρήσεις περισσότερο διασυνδεδεμένες από ποτέ, η ευθυγράμμιση με την NIS2 υπερβαίνει τη νομοθετική συμμόρφωση. Αποτελεί ευκαιρία για ενίσχυση της ψηφιακής ωριμότητας, καλλιέργεια κουλτούρας ασφάλειας και, τελικά, διασφάλιση της επιχειρησιακής συνέχειας. Η πρόκληση είναι αναμφίβολα μεγάλη. Η αξία της προετοιμασίας, όμως, είναι ακόμη μεγαλύτερη.

 

Επιστροφή στο ΤΕΥΧΟΣ 58ο – IOYNΙΟΣ 2025