Νέα Νομοθετική Υποχρέωση για την Κυβερνοασφάλεια

Η πρόσφατη Υπουργική Απόφαση για την εφαρμογή της Οδηγίας NIS στην Ελλάδα, έρχεται να συμπληρώσει τον Ν.4577/2018 και περιγράφει όλες τις βασικές απαιτήσεις ασφαλείας των συστημάτων δικτύων και πληροφοριών, τις υποχρεώσεις για Οργανισμούς και Επιχειρήσεις και τη διαδικασία κοινοποίησης συμβάντων ασφαλείας στις Αρμόδιες Αρχές.

ΠΟΙΕΣ ΕΤΑΙΡΕΙΕΣ ΑΦΟΡΑ

Ο Ν.4577/2018, καθώς και η πρόσφατη Οδηγία του 2019, θεσπίζουν σημαντικές υποχρεώσεις Κυβερνοασφάλειας για πολλές κατηγορίες επιχειρήσεων που χαρακτηρίζονται ως Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) ή Πάροχοι Ψηφιακών Υπηρεσιών (ΠΨΥ).  Για Φορείς εκμετάλλευσης βασικών υπηρεσιών, οι τομείς αφορούν: την ηλεκτρική ενέργεια (ηλεκτρική ενέργεια, πετρέλαιο, αέριο), τις μεταφορές (αεροπορικές μεταφορές, σιδηροδρομικές μεταφορές, πλωτές μεταφορές, οδικές μεταφορές), τις Τράπεζες, τις Υποδομές Χρηματοπιστωτικών Αγορών, την Υγεία, την Ύδρευση, τις Ψηφιακές Υποδομές.

 

ΠΟΙΕΣ ΕΙΝΑΙ ΟΙ ΥΠΟΧΡΕΩΣΕΙΣ

Οι υπόχρεοι Οργανισμοί και Επιχειρήσεις, έχουν τις παρακάτω βασικές υποχρεώσεις:

  • Υιοθέτηση τεχνικών και οργανωτικών μέτρων για τη διαχείριση των κινδύνων που αφορούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών.
  • Υιοθέτηση κατάλληλων μέτρων για αποτροπή και ελαχιστοποίηση του αντίκτυπου που έχουν τα συμβάντα που επηρεάζουν την ασφάλεια των συστημάτων δικτύων και πληροφοριών.
  • Διαδικασία κοινοποίησης προς την Εθνική Αρχή Κυβερνοασφάλειας και την CSIRT συμβάντων με σοβαρές επιπτώσεις στην επιχειρησιακή συνέχεια των υπηρεσιών. Η διαδικασία κοινοποίησης θα πρέπει να πραγματοποιείται χωρίς αδικαιολόγητη καθυστέρηση και να συμπεριλαμβάνει πληροφορίες που επιτρέπουν στην Εθνική Αρχή Κυβερνοασφάλειας και στην CSIRT να προσδιορίσουν τη σοβαρότητα και τις διασυνοριακές επιπτώσεις του κάθε συμβάντος.
  • Υποχρέωση συνεργασίας με τις αρμόδιες Αρχές.
  • Εναρμόνιση της Πολιτικής Ασφάλειας του Οργανισμού και τα Επιχείρησης με όσα ορίζει η Ενιαία Πολιτική Ασφάλειας και μέριμνα για την τήρηση των «Βασικών Απαιτήσεων Ασφάλειας» όπως αυτές ορίζονται από την Εθνική Αρχή Κυβερνοασφάλειας.
  • Ορισμός συγκεκριμένου εργαζόμενου της επιχείρησης ως Υπεύθυνο Ασφάλειας Πληροφοριών και Δικτύων.

 

ΜΕΡΙΚΕΣ ΕΝΔΕΙΚΤΙΚΕΣ ΑΠΑΙΤΗΣΕΙΣ ΣΥΜΜΟΡΦΩΣΗΣ

  • Πολιτικές, διεργασίες, διαδικασίες προστασίας βασικών υπηρεσιών
  • Σχέδιο Επιχειρησιακής Συνέχειας
  • Φυσική και περιβαλλοντική ασφάλεια
  • Δοκιμές συστημάτων
  • Ασφάλεια δεδομένων, συστημάτων και εφαρμογών
  • Διαχείριση αλλαγών
  • Ευαισθητοποίηση και εκπαίδευση του προσωπικού

 

ΟΙ ΚΥΡΩΣΕΙΣ ΤΗΣ ΠΛΗΜΜΕΛΟΥΣ ΣΥΜΜΟΡΦΩΣΗΣ

Σε περίπτωση μη λήψης κατάλληλων τεχνικών, οργανωτικών και προληπτικών μέτρων για τη διαχείριση κινδύνων σχετικά με την ασφάλεια των δικτύων και των συστημάτων πληροφοριών:

  • πρόστιμο μέχρι του ποσού των πενήντα χιλιάδων (50.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων.
  • πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.

Σε περίπτωση μη παροχής ή αδικαιολόγητης καθυστέρησης παροχής οποιασδήποτε απαιτούμενης πληροφορίας κατά τη διενέργεια ελέγχου:

  • πρόστιμο μέχρι του ποσού των πενήντα χιλιάδων (50.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων
  • πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής

Σε περίπτωση μη κοινοποίησης / καθυστέρησης κοινοποίησης

  • πρόστιμο μέχρι του ποσού των δεκαπέντε χιλιάδων (15.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων.
  • πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.

Want to know more?

Related Content

GDPR_DPO_Generic_1600x500

Data Privacy & GDPR

More than ever, citizens around the world are concerned about what organisations do with their personal data. As many high-profile breaches have demonstrated, there are significant risks for both businesses and individuals when things go wrong.

Cyber_Security_1600x500

Cyber Security

In today’s increasingly sophisticated and complex technological environment, new security challenges are constantly arising, making it harder for businesses to protect valuable intellectual property and business information in digital form against theft, damage and misuse.

Download pdf 5.50 MB