Οι συμβουλές του ΣΕΒ 2 για την εφαρμογή της ευρωπαϊκής οδηγίας NIS2 που θα προστατέψει συστήματα και δεδομένα στην εποχή των ψηφιακών απειλών
- Από τον Βασίλη Παπακωνσταντόπουλο
Σε πολύ μεγάλη απειλή για τις επιχειρήσεις έχουν εξελιχθεί οι κυβερνοεπιθέσεις. Είναι χαρακτηριστικό ότι το προηγούμενο έτος οι μισές επιχειρήσεις διεθνώς υπέστησαν τουλάχιστον μία κυβερνοεπίθεση.
Στο πλαίσιο αυτό, η ευρωπαϊκή οδηγία NIS2 προσδιορίζει ένα σύνολο ελάχιστων διαδικασιών διαχείρισης κινδύνων, που περιλαμβάνουν το πεδίο πρόληψης περιστατικών ασφαλείας, διαχείρισής τους και ανάκαμψης από αυτά, καθώς και την υποχρέωση γνωστοποίησης στην Εθνική Αρχή Κυβερνοασφάλειας σε περιπτώσεις σημαντικών περιστατικών. Εκτιμάται ότι η πιθανότητα περιστατικού παραβίασης στις επιχειρήσεις που έχουν συμμορφωθεί με την οδηγία είναι τέσσερις φορές μικρότερη.
Οπως επισήμανε κατά τη διάρκεια πρόσφατης ειδικής εκδήλωσης η διευθύντρια του τομέα Τεχνολογίας και Ψηφιακού Μετασχηματισμού του ΣΕΒ Μάγκυ Αθανασιάδη, τα περιστατικά κυβερνοεπιθέσεων αυξάνονται ραγδαία, με το κόστος κάθε παραβίασης να φτάνει σε ορισμένες χώρες της Ευρώπης ακόμη και τα 4.900.000 ευρώ. Σε αυτό το περιβάλλον αβεβαιότητας, η NIS2 δεν είναι απλώς ακόμα ένα ευρωπαϊκό ρυθμιστικό πλαίσιο που προσθέτει βάρος στις επιχειρήσεις, αλλά αποτελεί έναν πραγματικό σύμμαχο που δείχνει τον δρόμο προς την ανθεκτικότητα.
Η συμμόρφωση με την Οδηγία NIS2 αποτελεί θεμελιώδη προϋπόθεση ασφάλειας και ανθεκτικότητας σε μια εποχή όπου η Τεχνητή Νοημοσύνη μεταμορφώνει ριζικά τόσο τα επιχειρηματικά μοντέλα όσο και το τοπίο των κυβερνοαπειλών. Για να στηρίξει τις ελληνικές επιχειρήσεις σε αυτή τη μετάβαση, ο ΣΕΒ κατάρτισε έναν πρακτικό οδηγό συμμόρφωσης που συγκεντρώνει τα κρίσιμα βήματα για τη θωράκιση των επιχειρήσεων και την αποτελεσματική εφαρμογή του πλαισίου. Σύμφωνα με τον ΣΕΒ, οι επιχειρήσεις που επενδύουν στην ασφάλεια και συμμορφώνονται με την NIS2 μειώνουν σημαντικά την έκθεσή τους σε κινδύνους, διασφαλίζουν τη συνέχεια των λειτουργιών τους σε περίπτωση κυβερνοεπίθεσης, προστατεύουν εργαζόμενους, διαδικασίες, ΙΤ και ΟΤ εξοπλισμό, βελτιώνουν την εικόνα και τη φήμη τους προς πελάτες και συνεργάτες, και μειώνουν τον κίνδυνο επιβολής διοικητικών κυρώσεων.
Σύμφωνα με τη πρόεδρο της Εκτελεστικής Επιτροπής και αντιπρόεδρο Δ.Σ. του ΣΕΒ Ράνια Αικατερινάρη, με τον οδηγό συμμόρφωσης και την Οδηγία NIS2 παρέχονται γνώση, εργαλεία και ουσιαστική υποστήριξη στις επιχειρήσεις κάθε μεγέθους, ώστε να μετατρέψουν τη συμμόρφωση σε στρατηγική δύναμη. Οπως τόνισε, η πραγματική ισχύς τους κρύβεται στην πρόληψη, στη διαχείριση κινδύνων, στη συνεχή εκπαίδευση και την επένδυση στην προστασία όλων των κρίσιμων συστημάτων και της εφοδιαστικής τους αλυσίδας.
Στην ίδια εκδήλωση η Αντιγόνη Γιαννακάκη, υποδιοικήτρια Επιτελικού Σχεδιασμού στην Εθνική Αρχή Κυβερνοασφάλειας, υπογράμμισε ότι με σωστό προγραμματισμό, έγκαιρη προετοιμασία και συνεργασία με την Αρχή οι επιχειρήσεις μπορούν να μετατρέψουν τη συμμόρφωση με την NIS2 σε ανταγωνιστικό πλεονέκτημα, χτίζοντας εμπιστοσύνη στους πελάτες και τους εταίρους τους, ενισχύοντας την επιχειρησιακή συνέχεια και προστατεύοντας κρίσιμες υποδομές και δεδομένα.
Ο οδηγός του ΣΕΒ, λοιπόν, συνοψίζει τα 11 κρίσιμα βήματα που είναι απαραίτητο να ακολουθήσουν οι επιχειρήσεις, ώστε να επιτύχουν συμμόρφωση με την NIS2 και ταυτόχρονα να ενισχύσουν την ανθεκτικότητά τους απέναντι στις σύγχρονες κυβερνοαπειλές.
1. Στρατηγική & Διακυβέρνηση: Ενσωμάτωση της κυβερνοασφάλειας στη στρατηγική της επιχείρησης, με ένα ολοκληρωμένο πρόγραμμα διαχείρισης κινδύνων που εγκρίνεται και εποπτεύεται από τη διοίκηση. Ο υπεύθυνος Ασφάλειας Πληροφοριακών Συστημάτων έχει κεντρικό ρόλο στην παρακολούθηση και την εφαρμογή του προγράμματος.
2. Διαχείριση Εξοπλισμού: Καταγραφή και ταξινόμηση όλων των περιουσιακών στοιχείων ΙΤ και ΟΤ, και ορισμός υπευθύνων διαχείρισης και συντήρησης. Διαμόρφωση κατάλληλων μέτρων προστασίας, με τη συμβολή των υπευθύνων. Ετσι η επιχείρηση γνωρίζει ανά πάσα στιγμή ποια στοιχεία είναι κρίσιμα, ποιος τα διαχειρίζεται και πώς πρέπει να προστατεύονται.
3. Διαχείριση Ευπαθειών: Συνεχής παρακολούθηση και αξιολόγηση των ευπαθειών εξοπλισμού και συστημάτων. Αμεση δρομολόγηση ενεργειών αντιμετώπισης ευπαθειών και γνωστοποίηση στην Εθνική Αρχή Κυβερνοασφάλειας, όταν απαιτείται.
4. Εκτίμηση Επικινδυνότητας: Ανάλυση πιθανών σεναρίων και ποσοτικοποίηση κινδύνων προκειμένου να μην εξελιχθούν οι κίνδυνοι σε περιστατικά. Διαμόρφωση πλάνου αντιμετώπισης, προσδιορίζοντας τεχνικά, οργανωτικά και επιχειρησιακά μέτρα που θα υιοθετηθούν.
5. Ελεγχος Προσβάσεων: Υιοθέτηση πολιτικής ελεγχόμενης πρόσβασης με περιορισμό προνομίων βάσει ρόλων και πρακτικές όπως η πολυπαραγοντική αυθεντικοποίηση, ώστε να μειώνονται οι πιθανότητες παραβίασης. Ετσι καταγράφεται ποιος έχει πρόσβαση, πού και γιατί.
6. Ασφαλείς Ρυθμίσεις & Αλλαγές: Εφαρμογή ισχυρών πολιτικών και προτύπων ασφαλείας για κωδικούς logging, firewalls, κ.λπ. Συνεχής αξιολόγηση και διορθωτικές ενέργειες όπου απαιτείται. Αυστηροί κανόνες και οργανωμένη διαδικασία για ενημερώσεις και διορθώσεις, ώστε ύστερα από οποιαδήποτε αλλαγή να διασφαλίζεται ότι το συνολικό τεχνικό περιβάλλον παραμένει σταθερό, ελεγχόμενο και κυβερνοασφαλές.
7. Ασφάλεια στον Κύκλο Ζωής Εφαρμογών: Ενσωμάτωση αρχών, όπως «Ασφάλεια από το Σχεδιασμό» και «Ασφάλεια εξ ορισμού» σε κάθε στάδιο ανάπτυξης, εγκατάστασης και χρήσης λογισμικού.
8. Ασφάλεια Εφοδιαστικής Αλυσίδας: Αξιολόγηση κινδύνων από συνεργάτες και προμηθευτές, ώστε να διασφαλίζεται ότι τηρούν ανάλογα μέτρα και δεν αποτελούν «αδύναμο κρίκο». Χρήση συμβατικών ρητρών για την εφαρμογή μέτρων κυβερνοασφάλειας που ανταποκρίνονται στο επίπεδο αποδοχής κινδύνου που έχει θέσει η επιχείρηση.
9. Σχέδιο Αντιμετώπισης Περιστατικών: Σαφές πλάνο αντιμετώπισης κυβερνοεπιθέσεων, που να προσδιορίζει ποιοι εμπλέκονται, πώς περιορίζεται η ζημιά, πώς αποκαθίσταται η ομαλή λειτουργία και πώς ενημερώνονται οι Αρχές. Ετσι ελαχιστοποιούνται οι επιπτώσεις του περιστατικού στις λειτουργίες, στα οικονομικά μεγέθη και στη φήμη του οργανισμού.
10. Επιχειρησιακή Συνέχεια & Διαχείριση Κρίσεων: Προετοιμασία για τη συνέχιση της λειτουργίας ακόμη και σε συνθήκες σοβαρής διαταραχής ή κυβερνοεπίθεσης. Τα Πλάνα Επιχειρησιακής Συνέχειας και Διαχείρισης Κρίσεων προσδιορίζουν όλες τις απαραίτητες ενέργειες ανάκαμψης και επαναφοράς, εξασφαλίζοντας γρήγορη επάνοδο σε κανονική λειτουργία.
11. Εκπαίδευση και Ευαισθητοποίηση Προσωπικού: Επένδυση στη συνεχή εκπαίδευση των εργαζομένων, δίνοντας έμφαση σε θέματα όπως η αναγνώριση και αποφυγή απειλών (π.χ. phishing), η σωστή διαχείριση και τακτική αλλαγή κωδικών πρόσβασης, και η ασφαλής χρήση συστημάτων και εφαρμογών. Η ανθρώπινη γνώση παραμένει η πρώτη γραμμή άμυνας απέναντι στις κυβερνοαπειλές.
Τριπλασιάστηκαν τα «χτυπήματα» κατά του Ελληνικού Δημοσίου
Ενδεικτικά της διάστασης που έχουν πάρει οι κυβερνοεπιθέσεις είναι και τα στοιχεία που παρουσίασε ο Μιχάλης Μπλέτσας (φωτό), διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, στο πλαίσιο του Cyber Security Forum 2025. Οπως είπε: «Εχουμε μεγάλο πρόβλημα με τον δημόσιο τομέα. Το πρώτο τετράμηνο του 2025 είχαμε τρεις φορές περισσότερα καταμετρημένα περιστατικά κυβερνοεπιθέσεων, περιστατικά που ήταν σοβαρά».
Ο κ. Μπλέτσας τόνισε την ανάγκη η κυβερνοασφάλεια να γίνει κομμάτι της κουλτούρας σε όλους τους φορείς και σημείωσε ότι το πρόβλημα εν μέρει προκύπτει από το πόσο εύκολο έχει γίνει να δραστηριοποιηθεί κανείς στον κυβερνοχώρο χωρίς βαθιές τεχνικές γνώσεις.
