Έρχεται η Εθνική Αρχή Κυβερνοασφάλειας

Σε τροχιά μπαίνει προσεχώς η μετεξέλιξη και αναβάθμιση της Γενικής Διεύθυνσης Κυβερνοασφάλειας με στόχο να επιτευχθεί ένα υψηλό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών, τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα. Σε αυτό το πλαίσιο, το υπουργείο Ψηφιακής Διακυβέρνησης, έθεσε χθες και μέχρι και τις μέχρι τις 17/1/2024, σε δημόσια διαβούλευση το σχέδιο νόμου «Εθνική Αρχή Κυβερνοασφάλειας και λοιπές διατάξεις».

Με το προτεινόμενο νομοσχέδιο προβλέπεται η μετεξέλιξη της μέχρι σήμερα Γενικής Διεύθυνσης Κυβερνοασφάλειας σε «Εθνική Αρχή Κυβερνοασφάλειας» μέσω σύστασης νομικού προσώπου δημοσίου δικαίου (ν.π.δ.δ.).

Βασικός σκοπός της νέας «Εθνικής Αρχής Κυβερνοασφάλειας», η οποία θα εποπτεύεται από τον εκάστοτε υπουργό Ψηφιακής Διακυβέρνησης και θα διοικείται από Διοικητική και Υποδιοικητές για λόγους ταχύτητας λήψης αποφάσεων, θα είναι ο συντονισμός και η υλοποίηση της Εθνικής Στρατηγικής για την Κυβερνοασφάλεια. Εκτός βέβαια από Εθνικό Κέντρο Συντονισμού για την Κυβερνοασφάλεια ο νέος φορέας θα λειτουργεί και ως Εθνική Αρχή Πιστοποίησης, ενώ θα μεριμνά και για την αποτελεσματική πρόληψη και διαχείριση των κυβερνοεπιθέσεων στην Ελλάδα.

Οι διευρυμένες αρμοδιότητες

Με την δημιουργία της δε και για την εκπλήρωση του σκοπού της αναλαμβάνει:

• να χαράσσει την ενιαία πολιτική κυβερνοασφάλειας στο πλαίσιο της Στρατηγικής Εθνικής Ασφάλειας που διαμορφώνεται από το Κυβερνητικό Συμβούλιο Εθνικής Ασφάλειας
• να διαμορφώνει, συντάσσει και επικαιροποιεί την Εθνική Στρατηγική Κυβερνοασφάλειας ( άρθρο 6 του ν. 4577/2018), να συντονίζει, επιβλέπει και αξιολογεί την εφαρμογή της, καθώς και να υποβάλλει αναφορές στην Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας και στον Υπουργό Ψηφιακής Διακυβέρνησης,
• να αναπτύσσει και να προτείνει στα κατά περίπτωση αρμόδια όργανα ολοκληρωμένο πλαίσιο κινήτρων για επενδύσεις στον τομέα της κυβερνοασφάλειας, σε συνεργασία με το Υπουργείο Εθνικής Οικονομίας και Οικονομικών, το Υπουργείο Ανάπτυξης
• να προάγει την εκπαίδευση, την ενημέρωση και την ευαισθητοποίηση σε θέματα κυβερνοασφάλειας,
• να καθορίζει τις προτεραιότητες και να ενισχύει την επιστημονική έρευνα και την ανάπτυξη καινοτόμων υπηρεσιών και εξοπλισμού
• να αναπτύσσει συνεργασίες με δημόσιους, ιδιωτικούς, ακαδημαϊκούς και ερευνητικούς φορείς
• να διαμορφώνει και παρακολουθεί το πλαίσιο τεχνικών μέτρων και απαιτήσεων ασφαλείας συστημάτων Τεχνολογιών Πληροφορικής και Επικοινωνιών
• να λαμβάνει τεχνικά μέτρα αποτροπής και αντιμετώπισης του κυβερνοεγκλήματος, σε συνεργασία με άλλες αρμόδιες αρχές και υπηρεσίες, και ιδίως με την Ελληνική Αστυνομία
• να παρακολουθεί το συνολικό επίπεδο ασφάλειας του κυβερνοχώρου στη χώρα και προλαμβάνει, προστατεύει, συντονίζει και συμβάλλει στην αντιμετώπιση απειλών και κυβερνοεπιθέσεων, καθώς και στη διαχείριση περιστατικών ασφαλείας, μεταξύ άλλων, με τη λειτουργία του Ενοποιημένου SOC και του Εθνικού Δικτύου SOC και Ομάδας Απόκρισης συμβάντων στον κυβερνοχώρο (CSIRT)

Ελεγκτικός ρόλος

Επιπλέον έχει και ελεγκτικό ρόλο αφού θα είναι αρμόδια αφενός για την διαμόρφωση του πλαισίου πιστοποίησης κυβερνοασφάλειας για τα προϊόντα, τις διαδικασίες, τις υπηρεσίες αλλά και τους αξιόπιστους παρόχους υπηρεσιών κυβερνοασφάλειας και αφετέρου για την διενέργεια επιθεωρήσεων και για την επιβολή κυρώσεων στο πλαίσιο του ελέγχου συμμόρφωσης προς το νομικό πλαίσιο για την κυβερνοασφάλεια.

Όπως διευκρινίζεεται άλλωστε στο σχέδιο νόμου, ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας θα είναι αυτός που θα επιβάλλει κυρώσεις σε φυσικό ή νομικό πρόσωπο, σε περίπτωση μη (έγκαιρης) κοινοποίησης συμβάντος κυβερνοεπίθεσης ή μη λήψης των κατάλληλων προληπτικών μέτρων προστασίας, τα οποία επισύρουν πρόστιμα από 15.000 έως και 200.000 ευρώ.

Παράλληλα θα καταρτίζει και το Εθνικό Σχέδιο Έκτακτης Ανάγκης, συμβάλλει στην εκπόνηση του Εθνικού Σχεδίου Αποτίμησης Κινδύνων Συστημάτων Τεχνολογίας Πληροφορικής και Επικοινωνιών και θα παρέχει κατευθυντήριες γραμμές και δεσμευτικές οδηγίες για την αντιμετώπιση κυβερνοαπειλών σε δημόσιους και ιδιωτικούς φορείς.

Αξίζει να σημειωθεί ότι βάσει της ευρωπαϊκής Οδηγίας 2022/2555 (Οδηγία NIS2), η οποία θα τεθεί σε εφαρμογή τον Οκτώβριο του 2024, ο αριθμός των εποπτευόμενων φορέων της Αρχής θα αυξηθεί κατακόρυφα, φτάνοντας τις 2.000 από 70 που είναι σήμερα. Πέρα από τις «παραδοσιακά» κρίσιμες υποδομές, όπως η ενέργεια, οι ψηφιακές υποδομές και ο τραπεζικός τομέας, θα συμπεριλαμβάνονται και τομείς, όπως η δημόσια διοίκηση, οι ταχυμεταφορές, η παρασκευή, παραγωγή και διανομή χημικών προϊόντων, αλλά και η παραγωγή και μεταποίηση τροφίμων.

10 τρισ. ευρώ το κόστος των κυβερνοεπιθέσεων παγκοσμίως το 2023

Η μετεξέλιξη της σημερινής Γενικής Διεύθυνσης Κυβερνοασφάλειας έρχεται σε μια περίοδο που η ασφάλεια στον κυβερνοχώρο είναι πιο κρίσιμη από ποτέ. Αρκεί να αναφέρουμε ότι σύμφωνα με τις πλέον πρόσφατες εκτιμήσεις, το παγκόσμιο κόστος του κυβερνοεγκλήματος αναμένεται να προσεγγίσει, αν όχι να ξεπεράσει, τα δέκα τρισεκατομμύρια ευρώ το 2023, διατηρώντας έναν ρυθμό διπλασιασμού ανά διετία.

Στην περίπτωση της χώρας μας οι κυβερνοεπιθέσεις βρίσκονται σε αντιστοιχία με το σύνολο των χωρών του δυτικού κόσμου, καταγράφοντας μια διαρκώς αυξητική τάση. Τα σοβαρά περιστατικά δε πολλαπλασιάζονται, ακόμη και σε περιπτώσεις που, εν τέλει, δεν διαταρράσουν πληροφοριακά συστήματα και κρίσιμες υπηρεσίες.