Νέα Νομοθετική Υποχρέωση για την Κυβερνοασφάλεια

Η πρόσφατη Υπουργική Απόφαση για την εφαρμογή της Οδηγίας NIS στην Ελλάδα, έρχεται να συμπληρώσει τον Ν.4577/2018 και περιγράφει όλες τις βασικές απαιτήσεις ασφαλείας των συστημάτων δικτύων και πληροφοριών, τις υποχρεώσεις για Οργανισμούς και Επιχειρήσεις και τη διαδικασία κοινοποίησης συμβάντων ασφαλείας στις Αρμόδιες Αρχές.

ΠΟΙΕΣ ΕΤΑΙΡΕΙΕΣ ΑΦΟΡΑ

Ο Ν.4577/2018, καθώς και η πρόσφατη Οδηγία του 2019, θεσπίζουν σημαντικές υποχρεώσεις Κυβερνοασφάλειας για πολλές κατηγορίες επιχειρήσεων που χαρακτηρίζονται ως Φορείς Εκμετάλλευσης Βασικών Υπηρεσιών (ΦΕΒΥ) ή Πάροχοι Ψηφιακών Υπηρεσιών (ΠΨΥ).  Για Φορείς εκμετάλλευσης βασικών υπηρεσιών, οι τομείς αφορούν: την ηλεκτρική ενέργεια (ηλεκτρική ενέργεια, πετρέλαιο, αέριο), τις μεταφορές (αεροπορικές μεταφορές, σιδηροδρομικές μεταφορές, πλωτές μεταφορές, οδικές μεταφορές), τις Τράπεζες, τις Υποδομές Χρηματοπιστωτικών Αγορών, την Υγεία, την Ύδρευση, τις Ψηφιακές Υποδομές.

 

ΠΟΙΕΣ ΕΙΝΑΙ ΟΙ ΥΠΟΧΡΕΩΣΕΙΣ

Οι υπόχρεοι Οργανισμοί και Επιχειρήσεις, έχουν τις παρακάτω βασικές υποχρεώσεις:

  • Υιοθέτηση τεχνικών και οργανωτικών μέτρων για τη διαχείριση των κινδύνων που αφορούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών.
  • Υιοθέτηση κατάλληλων μέτρων για αποτροπή και ελαχιστοποίηση του αντίκτυπου που έχουν τα συμβάντα που επηρεάζουν την ασφάλεια των συστημάτων δικτύων και πληροφοριών.
  • Διαδικασία κοινοποίησης προς την Εθνική Αρχή Κυβερνοασφάλειας και την CSIRT συμβάντων με σοβαρές επιπτώσεις στην επιχειρησιακή συνέχεια των υπηρεσιών. Η διαδικασία κοινοποίησης θα πρέπει να πραγματοποιείται χωρίς αδικαιολόγητη καθυστέρηση και να συμπεριλαμβάνει πληροφορίες που επιτρέπουν στην Εθνική Αρχή Κυβερνοασφάλειας και στην CSIRT να προσδιορίσουν τη σοβαρότητα και τις διασυνοριακές επιπτώσεις του κάθε συμβάντος.
  • Υποχρέωση συνεργασίας με τις αρμόδιες Αρχές.
  • Εναρμόνιση της Πολιτικής Ασφάλειας του Οργανισμού και τα Επιχείρησης με όσα ορίζει η Ενιαία Πολιτική Ασφάλειας και μέριμνα για την τήρηση των «Βασικών Απαιτήσεων Ασφάλειας» όπως αυτές ορίζονται από την Εθνική Αρχή Κυβερνοασφάλειας.
  • Ορισμός συγκεκριμένου εργαζόμενου της επιχείρησης ως Υπεύθυνο Ασφάλειας Πληροφοριών και Δικτύων.

 

ΜΕΡΙΚΕΣ ΕΝΔΕΙΚΤΙΚΕΣ ΑΠΑΙΤΗΣΕΙΣ ΣΥΜΜΟΡΦΩΣΗΣ

  • Πολιτικές, διεργασίες, διαδικασίες προστασίας βασικών υπηρεσιών
  • Σχέδιο Επιχειρησιακής Συνέχειας
  • Φυσική και περιβαλλοντική ασφάλεια
  • Δοκιμές συστημάτων
  • Ασφάλεια δεδομένων, συστημάτων και εφαρμογών
  • Διαχείριση αλλαγών
  • Ευαισθητοποίηση και εκπαίδευση του προσωπικού

 

ΟΙ ΚΥΡΩΣΕΙΣ ΤΗΣ ΠΛΗΜΜΕΛΟΥΣ ΣΥΜΜΟΡΦΩΣΗΣ

Σε περίπτωση μη λήψης κατάλληλων τεχνικών, οργανωτικών και προληπτικών μέτρων για τη διαχείριση κινδύνων σχετικά με την ασφάλεια των δικτύων και των συστημάτων πληροφοριών:

  • πρόστιμο μέχρι του ποσού των πενήντα χιλιάδων (50.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων.
  • πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.

Σε περίπτωση μη παροχής ή αδικαιολόγητης καθυστέρησης παροχής οποιασδήποτε απαιτούμενης πληροφορίας κατά τη διενέργεια ελέγχου:

  • πρόστιμο μέχρι του ποσού των πενήντα χιλιάδων (50.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων
  • πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής

Σε περίπτωση μη κοινοποίησης / καθυστέρησης κοινοποίησης

  • πρόστιμο μέχρι του ποσού των δεκαπέντε χιλιάδων (15.000) ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων.
  • πρόστιμο μέχρι του ποσού των διακοσίων χιλιάδων (200.000) ευρώ σε περίπτωση υποτροπής.

Document

LAW ALERT - ΝΕΑ ΝΟΜΟΘΕΤΙΚΗ ΥΠΟΧΡΕΩΣΗ ΓΙΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑ

Contact