Η κυβερνοασφάλεια δεν είναι πλέον μόνο υπόθεση του τεχνικού τμήματος. Για αρκετές επιχειρήσεις στην Ελλάδα έχει γίνει νομική υποχρέωση, θέμα διοίκησης και θέμα επιχειρησιακής συνέχειας. Η Οδηγία NIS2 και ο ελληνικός ν. 5160/2024 αλλάζουν τον τρόπο με τον οποίο αντιμετωπίζονται οι κυβερνοκίνδυνοι σε κρίσιμους κλάδους: ενέργεια, μεταφορές, υγεία, χρηματοπιστωτικές υπηρεσίες, ψηφιακές υποδομές, τρόφιμα, ταχυμεταφορές, κατασκευές, έρευνα, παραγωγή συγκεκριμένων προϊόντων και άλλες δραστηριότητες που μπορεί να επηρεάσουν την οικονομική και κοινωνική ζωή.
Με απλά λόγια, το κράτος δεν ρωτά πλέον μόνο "έχετε antivirus;". Ρωτά αν η επιχείρηση ξέρει ποια συστήματα έχει, ποιοι προμηθευτές έχουν πρόσβαση, ποιος αποφασίζει σε ένα περιστατικό, πότε ενημερώνεται η αρχή, αν υπάρχουν αντίγραφα ασφαλείας, αν η διοίκηση έχει εγκρίνει πολιτικές και αν όλα αυτά μπορούν να αποδειχθούν.
Η NIS2 δεν είναι απλώς τεχνικό λίστα ελέγχου
Η διοίκηση χρειάζεται τεκμηριωμένη εικόνα για συστήματα, προμηθευτές, backups, ρόλους, περιστατικά και αναφορές. Αυτό σημαίνει αποφάσεις, αρχεία και έλεγχο εφαρμογής, όχι μόνο αγορά νέου software.
Το άρθρο αυτό εξηγεί πρακτικά ποιον αφορά η NIS2 στην Ελλάδα, τι πρέπει να ελέγξει μια επιχείρηση και ποια πρώτα βήματα έχουν νόημα πριν το θέμα γίνει επείγον.
Τι είναι η NIS2 και γιατί μας αφορά τώρα
Η NIS2 είναι η δεύτερη ευρωπαϊκή οδηγία για την ασφάλεια δικτύων και πληροφοριακών συστημάτων. Αντικατέστησε την παλαιότερη NIS1 και διεύρυνε σημαντικά το πεδίο εφαρμογής. Η Ελλάδα την ενσωμάτωσε στο εθνικό δίκαιο με τον ν. 5160/2024, που δημοσιεύθηκε στο ΦΕΚ Α' 195/27.11.2024.
Η βασική ιδέα είναι απλή: όταν μια επιχείρηση ή ένας φορέας παρέχει υπηρεσία που είναι κρίσιμη για την αγορά, την κοινωνία ή τη δημόσια λειτουργία, δεν μπορεί να αντιμετωπίζει την κυβερνοασφάλεια ως προαιρετική δαπάνη. Πρέπει να έχει οργανωμένο σύστημα πρόληψης, διαχείρισης κινδύνων, αντιμετώπισης περιστατικών και αναφοράς σοβαρών συμβάντων.
Η NIS2 δεν αφορά μόνο "μεγάλες τράπεζες" ή "κρατικούς φορείς". Αφορά και ιδιωτικές επιχειρήσεις που δραστηριοποιούνται σε συγκεκριμένους τομείς και πληρούν κριτήρια μεγέθους ή ειδικότερες προϋποθέσεις. Γι' αυτό η πρώτη πρακτική ερώτηση για κάθε επιχείρηση είναι: "Είμαι μέσα στο πεδίο εφαρμογής ή όχι;"
Ποιες επιχειρήσεις μπορεί να επηρεάζονται
Ο ελληνικός νόμος κινείται γύρω από δύο κατηγορίες: "βασικές οντότητες" και "σημαντικές οντότητες". Δεν είναι απλές ετικέτες. Η κατηγορία επηρεάζει τον βαθμό εποπτείας, τις υποχρεώσεις και τον τρόπο με τον οποίο η επιχείρηση πρέπει να οργανώσει τη συμμόρφωσή της.
Κατά κανόνα, εξετάζονται δύο πράγματα: ο κλάδος δραστηριότητας και το μέγεθος της επιχείρησης. Οι μεσαίες και μεγάλες επιχειρήσεις σε κρίσιμους τομείς είναι οι πρώτες που πρέπει να κάνουν έλεγχο υπαγωγής. Υπάρχουν όμως και περιπτώσεις όπου η υπαγωγή μπορεί να ισχύει ανεξάρτητα από το μέγεθος, όπως σε ορισμένους παρόχους ψηφιακών ή ηλεκτρονικών υπηρεσιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα και υπηρεσίες DNS.
Ενδεικτικός πίνακας ελέγχου
| Ερώτηση | Γιατί έχει σημασία | Πρακτική κίνηση |
|---|---|---|
| Σε ποιον κλάδο δραστηριοποιείται η επιχείρηση; | Η NIS2 εφαρμόζεται σε συγκεκριμένους τομείς υψηλής ή άλλης κρισιμότητας. | Συγκρίνετε ΚΑΔ, πραγματική δραστηριότητα και συμβάσεις με τα Παραρτήματα του ν. 5160/2024. |
| Είναι μεσαία ή μεγάλη επιχείρηση; | Το μέγεθος είναι βασικό κριτήριο υπαγωγής για πολλές κατηγορίες. | Ελέγξτε εργαζόμενους, κύκλο εργασιών και ισολογισμό με τα κριτήρια ΜΜΕ. |
| Παρέχει κρίσιμη υπηρεσία σε άλλες επιχειρήσεις; | Η επίπτωση διακοπής μπορεί να αυξάνει τη σημασία της οντότητας. | Χαρτογραφήστε πελάτες, SLA, δημόσιες υπηρεσίες και κρίσιμες εξαρτήσεις. |
| Έχει ψηφιακές υποδομές, cloud, managed services ή security services; | Οι ψηφιακοί πάροχοι είναι ειδικά σημαντικοί στη NIS2. | Ελέγξτε αν εμπίπτετε σε παρόχους DNS, cloud, data center, MSP, MSSP ή διαδικτυακές αγορές. |
| Υπάρχει υποχρέωση εγγραφής στην πλατφόρμα αυτοδήλωσης; | Η εγγραφή είναι νομική υποχρέωση για τις οντότητες που υπάγονται. | Κάντε τεκμηριωμένη αξιολόγηση και, όπου απαιτείται, εγγραφή στο nis2register.cyber.gov.gr. |
Παραδείγματα επιχειρήσεων που πρέπει να κοιτάξουν σοβαρά τη NIS2
Μια εταιρεία ταχυμεταφορών με εκτεταμένο δίκτυο διανομής δεν κινδυνεύει μόνο από απώλεια email. Αν πέσει το σύστημα δρομολόγησης, παρακολούθησης δεμάτων ή τιμολόγησης, η διακοπή μπορεί να επηρεάσει πελάτες, συνεργάτες και την αγορά. Μια εταιρεία τροφίμων με βιομηχανική παραγωγή δεν έχει μόνο εμπορικό ρίσκο. Αν ένα περιστατικό επηρεάσει παραγωγική γραμμή, ιχνηλασιμότητα ή ψυκτική αλυσίδα, το πρόβλημα μπορεί να γίνει επιχειρησιακό και κανονιστικό.
Το ίδιο ισχύει για παρόχους τεχνολογίας. Μια εταιρεία που προσφέρει managed IT σε πολλούς πελάτες μπορεί να γίνει ο "κεντρικός διάδρομος" μιας επίθεσης. Αν παραβιαστεί το εργαλείο απομακρυσμένης διαχείρισης, δεν επηρεάζεται μόνο η ίδια, αλλά και οι πελάτες της. Εκεί η NIS2 επιμένει στην ασφάλεια της αλυσίδας εφοδιασμού και στις σχέσεις με άμεσους προμηθευτές ή παρόχους υπηρεσιών.
Στην πράξη, πολλές ελληνικές επιχειρήσεις δεν θα βρουν την απάντηση μόνο από τον τίτλο τους. Θα χρειαστεί να δουν τι πραγματικά κάνουν. Άλλο "εταιρεία πληροφορικής" που πουλά εξοπλισμό λιανικής και άλλο εταιρεία που λειτουργεί υπηρεσίες cloud, data center, κυβερνοασφάλειας ή διαχείρισης υποδομών για κρίσιμους πελάτες.
Τι σημαίνει "βασική" και τι "σημαντική" οντότητα
Οι βασικές οντότητες συνδέονται με υψηλότερο βαθμό κρισιμότητας. Στην πράξη αυτό σημαίνει αυξημένη προσοχή, μεγαλύτερη πιθανότητα προληπτικής εποπτείας και υψηλότερες απαιτήσεις τεκμηρίωσης. Οι σημαντικές οντότητες δεν είναι "χαλαρή" κατηγορία. Έχουν και αυτές ουσιαστικές υποχρεώσεις, απλώς ο τρόπος εποπτείας και η ένταση των ελέγχων μπορεί να διαφέρει.
Η διαφορά έχει σημασία και στα πρόστιμα. Για παραβάσεις σχετικές με τα μέτρα διαχείρισης κινδύνων ή τις υποχρεώσεις αναφοράς περιστατικών, ο ν. 5160/2024 προβλέπει ανώτατα όρια που μπορούν να φτάσουν, για βασικές οντότητες, τα 10.000.000 ευρώ ή το 2% του παγκόσμιου ετήσιου κύκλου εργασιών, και για σημαντικές οντότητες τα 7.000.000 ευρώ ή το 1,4% του παγκόσμιου ετήσιου κύκλου εργασιών, ανάλογα με το ποιο είναι υψηλότερο.
Αυτά τα ποσά δεν σημαίνουν ότι κάθε παράβαση οδηγεί αυτόματα στο ανώτατο πρόστιμο. Σημαίνουν όμως ότι η συμμόρφωση δεν μπορεί να μείνει σε ένα φάκελο με γενικές πολιτικές. Η διοίκηση πρέπει να μπορεί να δείξει ότι έχει καταλάβει τον κίνδυνο, έχει εγκρίνει μέτρα, έχει διαθέσει πόρους και παρακολουθεί την εφαρμογή.
Η πλατφόρμα αυτοδήλωσης και η πρώτη διοικητική υποχρέωση
Η Εθνική Αρχή Κυβερνοασφάλειας έχει θέσει σε λειτουργία πλατφόρμα εγγραφής οντοτήτων για τον ν. 5160/2024. Η εγγραφή δεν αφορά φυσικά πρόσωπα, αλλά νομικά πρόσωπα και φορείς που εμπίπτουν στο πεδίο εφαρμογής. Η πλατφόρμα ζητά στοιχεία όπως βασικά στοιχεία της οντότητας, νόμιμο εκπρόσωπο, είδος υπηρεσιών, IP ranges και domain names.
Αυτό είναι σημαντικό γιατί δείχνει τη λογική του νόμου. Η αρχή δεν θέλει μόνο να ξέρει "ποιος υπάρχει". Θέλει να έχει εικόνα για τις ψηφιακές επιφάνειες που υποστηρίζουν κρίσιμες υπηρεσίες. Μια επιχείρηση που δεν έχει καταγράψει τα domains, τα συστήματα, τις δημόσιες IP, τους παρόχους και τα σημεία πρόσβασης, θα δυσκολευτεί και στην εγγραφή και στην ουσιαστική συμμόρφωση.
Η σωστή προσέγγιση δεν είναι "ας γραφτούμε γρήγορα και βλέπουμε". Είναι να γίνει εσωτερικός έλεγχος: υπαγωγή, κατηγορία, υπηρεσίες, συστήματα, υπεύθυνοι, προμηθευτές, στοιχεία που θα υποβληθούν και διαδικασία ενημέρωσης όταν αλλάξουν.
Τι πρέπει να κάνει πρακτικά μια επιχείρηση
Η NIS2 δεν απαιτεί από όλες τις επιχειρήσεις τα ίδια εργαλεία. Απαιτεί όμως κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα. Αυτό σημαίνει ότι μια επιχείρηση με 250 εργαζόμενους, cloud ERP, παραγωγικά συστήματα και δεκάδες προμηθευτές δεν μπορεί να έχει την ίδια ωριμότητα με ένα μικρό γραφείο. Η αναλογικότητα δεν είναι δικαιολογία για αδράνεια. Είναι τρόπος να σχεδιαστούν μέτρα που ταιριάζουν στον πραγματικό κίνδυνο.
Πρώτα βήματα συμμόρφωσης
| Βήμα | Τι κάνουμε | Τι πρέπει να μείνει ως απόδειξη |
|---|---|---|
| 1. Έλεγχος υπαγωγής | Ελέγχουμε κλάδο, μέγεθος, υπηρεσίες και ειδικές κατηγορίες. | Σύντομο memo υπαγωγής με νομική και τεχνική τεκμηρίωση. |
| 2. Χαρτογράφηση συστημάτων | Καταγράφουμε κρίσιμα συστήματα, domains, IP, εφαρμογές, cloud, backups. | Asset register, network diagram, λίστα παρόχων και υπευθύνων. |
| 3. Risk assessment | Εκτιμούμε πιθανότητα, επίπτωση και προτεραιότητες κινδύνων. | Πίνακας κινδύνων, ημερομηνία, συμμετέχοντες, απόφαση διοίκησης. |
| 4. Risk treatment plan | Επιλέγουμε μέτρα: MFA, backups, logging, patching, endpoint security, incident response. | Πλάνο ενεργειών με υπεύθυνο, προθεσμία και status. |
| 5. Διαδικασία incident response | Ορίζουμε ποιος κάνει τι σε περιστατικό. | Playbook, λίστα επαφών, template αναφοράς, ασκήσεις. |
| 6. Εκπαίδευση | Εκπαιδεύουμε διοίκηση και προσωπικό τουλάχιστον ετήσια. | Παρουσιολόγια, υλικό εκπαίδευσης, μικρά τεστ κατανόησης. |
| 7. Έλεγχος προμηθευτών | Βάζουμε απαιτήσεις ασφάλειας σε IT, cloud, ERP, MSP, MSSP, payroll, logistics. | Συμβατικές ρήτρες, security questionnaires, SLA, DPA όπου χρειάζεται. |
Τα μέτρα δεν είναι μόνο τεχνικά
Πολλές επιχειρήσεις ακούν "κυβερνοασφάλεια" και σκέφτονται firewall. Η NIS2 είναι πιο πλατιά. Περιλαμβάνει πολιτικές ανάλυσης κινδύνου, διαχείριση περιστατικών, επιχειρησιακή συνέχεια, αντίγραφα ασφαλείας και αποκατάσταση, ασφάλεια αλυσίδας εφοδιασμού, ασφαλή ανάπτυξη και συντήρηση συστημάτων, αξιολόγηση αποτελεσματικότητας μέτρων, κυβερνοϋγιεινή, εκπαίδευση, κρυπτογράφηση, έλεγχο πρόσβασης, διαχείριση παγίων και πολυπαραγοντική επαλήθευση.
Το κρίσιμο σημείο είναι η σύνδεση τεχνικών μέτρων με διοικητική ευθύνη. Αν η επιχείρηση έχει MFA αλλά δεν ξέρει σε ποιους λογαριασμούς δεν εφαρμόζεται, υπάρχει κενό. Αν έχει backups αλλά δεν έχει δοκιμάσει restore, υπάρχει κενό. Αν έχει προμηθευτή IT αλλά δεν έχει σύμβαση που να λέει πότε ειδοποιεί για περιστατικό, υπάρχει κενό. Αν έχει πολιτική ασφάλειας αλλά οι εργαζόμενοι δεν την ξέρουν, υπάρχει κενό.
Η ΚΥΑ 1689/2025 για το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας κάνει ακόμη πιο πρακτική αυτή τη λογική. Μιλά για τεχνικά, επιχειρησιακά και οργανωτικά μέτρα, για ολιστική προσέγγιση κινδύνου, για αναλογικότητα και για αποδεικτικά στοιχεία: πολιτικές, διαδικασίες, πρακτικά διοικητικού συμβουλίου, συμβάσεις, βεβαιώσεις εκπαίδευσης, διαγράμματα δικτύου, πλάνα επιχειρησιακής συνέχειας, αναφορές ελέγχων και άλλα στοιχεία που δείχνουν ότι η συμμόρφωση εφαρμόζεται.
Αναφορά περιστατικών: τα 24ωρα και τα 72ωρα
Ένα από τα πιο πρακτικά και δύσκολα σημεία είναι η αναφορά σημαντικών περιστατικών. Ο νόμος προβλέπει ότι οι βασικές και σημαντικές οντότητες κοινοποιούν σημαντικά περιστατικά στην αρμόδια CSIRT της Εθνικής Αρχής Κυβερνοασφάλειας. Σημαντικό θεωρείται, μεταξύ άλλων, περιστατικό που έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη ή οικονομική ζημία, ή να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα με σημαντική υλική ή μη υλική ζημία.
Η χρονική πίεση είναι μεγάλη. Προειδοποίηση πρέπει να υποβάλλεται χωρίς αδικαιολόγητη καθυστέρηση και, σε κάθε περίπτωση, εντός 24 ωρών από τη στιγμή που η οντότητα αντιλήφθηκε το σημαντικό περιστατικό. Πιο πλήρης κοινοποίηση περιστατικού πρέπει να ακολουθήσει εντός 72 ωρών. Τελική έκθεση υποβάλλεται, κατά κανόνα, το αργότερο μέσα σε έναν μήνα μετά την κοινοποίηση.
Αυτό σημαίνει ότι το incident response δεν μπορεί να γραφτεί μετά το συμβάν. Πρέπει να υπάρχει πριν. Ποιος αποφασίζει ότι ένα περιστατικό είναι "σημαντικό"; Ποιος μιλά με την τεχνική ομάδα; Ποιος ενημερώνει νομικό σύμβουλο, DPO, διοίκηση, πελάτες ή αρχή; Ποιος κρατά στοιχεία χωρίς να αλλοιώσει αποδείξεις; Αν αυτά δεν είναι αποφασισμένα από πριν, οι πρώτες 24 ώρες χάνονται.
NIS2, GDPR και προσωπικά δεδομένα
Η NIS2 δεν καταργεί τον GDPR. Συχνά θα λειτουργούν μαζί. Ένα ransomware σε ERP μπορεί να είναι ταυτόχρονα περιστατικό κυβερνοασφάλειας και παραβίαση προσωπικών δεδομένων. Μια διαρροή πελατών μπορεί να χρειάζεται αξιολόγηση τόσο με βάση τον GDPR όσο και με βάση τον ν. 5160/2024, αν η επιχείρηση είναι βασική ή σημαντική οντότητα.
Η πρακτική συνέπεια είναι ότι η επιχείρηση πρέπει να συντονίζει τρεις ρόλους: τεχνική ομάδα ή εξωτερικό IT, νομικό σύμβουλο και υπεύθυνο προστασίας δεδομένων όπου υπάρχει. Δεν αρκεί το IT να "κλείσει την τρύπα". Πρέπει να αξιολογηθεί αν υπάρχει υποχρέωση κοινοποίησης, τι στοιχεία υπάρχουν, ποιοι επηρεάστηκαν, τι πρέπει να ειπωθεί και σε ποιο χρόνο.
Συμβάσεις με προμηθευτές: το σημείο που ξεχνιέται
Η αλυσίδα εφοδιασμού είναι από τα πιο σημαντικά σημεία της NIS2. Πρακτικά, πολλές επιθέσεις περνούν από προμηθευτές: remote access tools, cloud consoles, λογισμικό ERP, υπηρεσίες email, φιλοξενία, domain management, outsourced support, υπηρεσίες backup. Αν ο προμηθευτής έχει αδύναμο έλεγχο πρόσβασης, κακή διαχείριση ενημερώσεων ή καθυστερεί να ειδοποιήσει, η κύρια επιχείρηση εκτίθεται.
Οι συμβάσεις με IT παρόχους πρέπει να γίνουν πιο συγκεκριμένες. Να ορίζουν επίπεδα ασφάλειας, υποχρέωση ενημέρωσης για περιστατικά, χρόνους απόκρισης, αρμοδιότητες σε forensic έλεγχο, πρόσβαση σε logs, πολιτική backup, γεωγραφία αποθήκευσης δεδομένων, υποχρεώσεις υπεργολάβων και διαδικασία αποχώρησης. Αυτό δεν είναι "νομική λεπτομέρεια". Είναι η διαφορά ανάμεσα σε μια επιχείρηση που ξέρει ποιος κάνει τι και σε μια επιχείρηση που ψάχνει συμβάσεις την ώρα της κρίσης.
Πρακτικό παράδειγμα
Ας πάρουμε μια ελληνική μεσαία επιχείρηση logistics που χρησιμοποιεί cloud ERP, εφαρμογή παραγγελιών, σύστημα tracking, εταιρικό email, handheld συσκευές σε αποθήκες και εξωτερικό πάροχο IT. Η διοίκηση θεωρεί ότι "τα έχει ο πάροχος". Στην πραγματικότητα, η επιχείρηση πρέπει να ξέρει αν υπάγεται στη NIS2, ποια συστήματα είναι κρίσιμα, ποια δεδομένα κρατά, ποια διακοπή θα σταματήσει τις παραδόσεις και ποιος έχει δικαιώματα διαχειριστή.
Το πρώτο σοβαρό βήμα δεν είναι να αγοράσει ακόμη ένα εργαλείο. Είναι να φτιάξει χάρτη: συστήματα, ρόλοι, προμηθευτές, κίνδυνοι, backups, πρόσβαση, συμβάσεις, σχέδιο περιστατικού. Μετά μπορεί να βάλει προτεραιότητες: MFA σε όλους τους κρίσιμους λογαριασμούς, περιορισμός admin δικαιωμάτων, έλεγχος backup restore, logging, endpoint protection, patch management, εκπαίδευση προσωπικού, ρήτρες με προμηθευτές και άσκηση αντιμετώπισης περιστατικού.
Αν γίνει περιστατικό, η επιχείρηση θα μπορεί να απαντήσει: πότε το αντιλήφθηκε, τι επηρεάστηκε, αν είναι σημαντικό, ποιος ενημερώθηκε, τι μέτρα ελήφθησαν, τι στοιχεία κρατήθηκαν και αν υπάρχει υποχρέωση αναφοράς. Αυτή είναι η πρακτική αξία της συμμόρφωσης.
Τι να κάνει μια επιχείρηση από αύριο το πρωί
Δεν χρειάζεται να ξεκινήσει με τέλειο πρόγραμμα. Χρειάζεται να ξεκινήσει με σωστή σειρά.
Πρώτον, να κάνει έλεγχο υπαγωγής με βάση τον κλάδο, το μέγεθος και τις πραγματικές υπηρεσίες. Δεύτερον, να ορίσει υπεύθυνο έργου με συμμετοχή διοίκησης, όχι μόνο IT. Τρίτον, να καταγράψει κρίσιμα συστήματα, προμηθευτές, domains και IP ranges. Τέταρτον, να ετοιμάσει risk assessment και πλάνο ενεργειών. Πέμπτον, να ελέγξει αν υπάρχει υποχρέωση εγγραφής στην πλατφόρμα αυτοδήλωσης. Έκτον, να φτιάξει incident response playbook με διαδικασία 24/72 ωρών. Έβδομον, να αναθεωρήσει συμβάσεις με βασικούς παρόχους.
Το πιο χρήσιμο κριτήριο είναι απλό: αν αύριο χαθεί η πρόσβαση σε email, ERP ή παραγωγικό σύστημα, ξέρουμε ποιος αποφασίζει, ποιος ενημερώνει, ποιος αποκαθιστά και τι πρέπει να αναφερθεί; Αν η απάντηση είναι όχι, η επιχείρηση έχει δουλειά.
Συχνές ερωτήσεις
Η NIS2 αφορά μικρές επιχειρήσεις;
Κατά κανόνα στοχεύει κυρίως μεσαίες και μεγάλες επιχειρήσεις σε συγκεκριμένους κρίσιμους τομείς. Υπάρχουν όμως ειδικές περιπτώσεις όπου η υπαγωγή μπορεί να ισχύει ανεξάρτητα από μέγεθος, ιδίως σε συγκεκριμένες ψηφιακές υπηρεσίες. Μια μικρή επιχείρηση που είναι προμηθευτής βασικής ή σημαντικής οντότητας μπορεί επίσης να δεχθεί αυστηρότερες συμβατικές απαιτήσεις, ακόμη κι αν δεν υπάγεται άμεσα.
Αν έχουμε ISO 27001, είμαστε καλυμμένοι;
Το ISO 27001 βοηθά πολύ, αλλά δεν είναι αυτόματη απαλλαγή. Χρειάζεται αντιστοίχιση των ελέγχων με τις απαιτήσεις του ν. 5160/2024 και της ΚΥΑ 1689/2025, ειδικά για reporting, διοικητική ευθύνη, εφοδιαστική αλυσίδα και τεκμηρίωση.
Πρέπει να ενημερώνουμε πάντα την αρχή για κάθε τεχνικό πρόβλημα;
Όχι. Η υποχρέωση αφορά σημαντικά περιστατικά, δηλαδή περιστατικά με σοβαρή λειτουργική, οικονομική ή άλλη επίπτωση όπως ορίζει ο νόμος. Γι' αυτό χρειάζεται εσωτερικό κριτήριο αξιολόγησης και όχι πανικός σε κάθε alert.
Ποιος πρέπει να αναλάβει μέσα στην εταιρεία;
Η τεχνική ομάδα είναι απαραίτητη, αλλά η ευθύνη δεν είναι μόνο τεχνική. Χρειάζεται συμμετοχή διοίκησης, νομικού συμβούλου, οικονομικής διεύθυνσης, DPO όπου υπάρχει, υπεύθυνων λειτουργίας και προμηθειών. Η NIS2 είναι πρόγραμμα διαχείρισης κινδύνου, όχι μεμονωμένο IT project.
Τι κινδυνεύει να πληρώσει μια επιχείρηση;
Ο νόμος προβλέπει υψηλά ανώτατα όρια προστίμων, ειδικά για παραβάσεις μέτρων διαχείρισης κινδύνων και αναφοράς περιστατικών. Πέρα από πρόστιμα, υπάρχει και πραγματικό κόστος: διακοπή λειτουργίας, απώλεια πελατών, αποζημιώσεις, έλεγχοι, δημοσιοποίηση παραβάσεων και κόστος αποκατάστασης.
Συμπέρασμα
Η NIS2 στην Ελλάδα δεν είναι ακόμη ένα χαρτί συμμόρφωσης. Είναι αλλαγή νοοτροπίας. Η επιχείρηση πρέπει να ξέρει τα συστήματά της, να αξιολογεί κινδύνους, να εκπαιδεύει ανθρώπους, να ελέγχει προμηθευτές, να έχει σχέδιο περιστατικού και να μπορεί να αποδείξει ότι όλα αυτά εφαρμόζονται.
Για τις επιχειρήσεις που επηρεάζονται, το χειρότερο σενάριο είναι να περιμένουν το πρώτο σοβαρό περιστατικό για να οργανωθούν. Το καλύτερο είναι να ξεκινήσουν με έναν καθαρό έλεγχο υπαγωγής και ένα πρακτικό πλάνο συμμόρφωσης. Όχι για να γεμίσουν φακέλους, αλλά για να μπορούν να συνεχίσουν να λειτουργούν όταν κάτι πάει στραβά.
Πηγές και χρήσιμες αναφορές
- Εθνική Αρχή Κυβερνοασφάλειας, Οδηγία NIS2: Εθνική Αρχή Κυβερνοασφάλειας - Οδηγία NIS2
- Πλατφόρμα εγγραφής οντοτήτων ν. 5160/2024: Πλατφόρμα εγγραφής οντοτήτων NIS2
- FAQ πλατφόρμας NIS2: https://nis2register.cyber.gov.gr/app/content/faq/FAQs_NIS2.pdf
- Νόμος 5160/2024, ΦΕΚ Α' 195/27.11.2024: Ν. 5160/2024 - μεταφορά NIS2 στην Ελλάδα
- ΚΥΑ 1689/2025, Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας: https://cyber.gov.gr/wp-content/uploads/2025/05/20250202186.pdf
- Ευρωπαϊκή Επιτροπή, NIS2 Directive: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- EUR-Lex, Directive (EU) 2022/2555: Οδηγία (ΕΕ) 2022/2555 - NIS2
Σχόλια
Μοιραστείτε την άποψή σας για το άρθρο.
Δεν υπάρχουν σχόλια ακόμη. Γίνετε ο πρώτος που θα σχολιάσει.
Υποβολή σχολίου