Τον κίνδυνο της επιβολής αυστηρών και αρκετά μεγάλων προστίμων ή ακόμη και το ενδεχόμενο να χάσουν το δικαίωμα παροχής υπηρεσιών στην Ευρώπη των 27 αντιμετωπίζουν πλέον οι εταιρείες, με φόντο τους νέους αυστηρούς κανόνες για την ασφάλεια στον Κυβερνοχώρο, που θα τεθούν σε ισχύ τον Οκτώβριο.
Συγκεκριμένα, η Οδηγία NIS 2 της ΕΕ για την ασφάλεια στον κυβερνοχώρο θα καταστεί εφαρμοστέα στις 17 Οκτωβρίου από τα κράτη – μέλη. Αυτό σημαίνει ότι οι επιχειρήσεις θα πρέπει να διασφαλίσουν ότι οι δραστηριότητές τους είναι σύμφωνες με τις υποχρεώσεις που ορίζει ο νέος νόμος.
Ειδικότερα, η NIS 2 επιβάλλει αυστηρότερες απαιτήσεις στις εταιρείες γύρω από την εσωτερική στρατηγική ανθεκτικότητας στον κυβερνοχώρο και τις εσωτερικές πρακτικές τους.
Τι είναι η NIS 2;
Η NIS 2, που σημαίνει οδηγία 2 για την ασφάλεια δικτύων και πληροφοριών, είναι μια οδηγία της ΕΕ που αποσκοπεί στην αύξηση της ασφάλειας των συστημάτων και των δικτύων πληροφορικής σε όλο το μπλοκ. Εισήχθη το 2020, ο νόμος χρησιμεύει ως επικαιροποίηση μιας προηγούμενης οδηγίας που ονομαζόταν απλώς NIS.
Η NIS 2 διευρύνει το πεδίο εφαρμογής της προκατόχου της για να αντιμετωπίσει πιο πρόσφατες προκλήσεις και απειλές στον κυβερνοχώρο που έχουν εμφανιστεί καθώς οι εγκληματίες έχουν βρει νέους τρόπους να παραβιάζουν εταιρείες και να θέτουν σε κίνδυνο τα ευαίσθητα δεδομένα τους.
Η οδηγία εφαρμόζεται σε οργανισμούς που δραστηριοποιούνται εντός της ΕΕ και παρέχουν βασικές υπηρεσίες στους καταναλωτές, όπως τράπεζες, προμηθευτές ενέργειας, ιδρύματα υγειονομικής περίθαλψης, πάροχοι διαδικτύου, εταιρείες μεταφορών και επεξεργαστές αποβλήτων.
Οι κύριοι τομείς που θα αφορά είναι η διαχείριση κινδύνων, η εταιρική λογοδοσία, οι υποχρεώσεις υποβολής εκθέσεων και ο σχεδιασμός της επιχειρησιακής συνέχειας σε περίπτωση παραβίασης στον Κυβερνοχώρο.
Στο πλαίσιο της NIS 2, οι επιχειρήσεις θα πρέπει επίσης να ελέγχουν τις ψηφιακές αλυσίδες εφοδιασμού τους για απειλές και τρωτά σημεία στον κυβερνοχώρο. Οι εταιρείες σήμερα χρησιμοποιούν καθημερινά πολλά διαφορετικά προϊόντα και εργαλεία, δίνοντας στους εγκληματίες περισσότερες πιθανές οδούς επίθεσης.
Οι επιχειρήσεις θα έχουν επίσης καθήκον να φροντίζουν, ώστε να αναφέρουν και να μοιράζονται πληροφορίες σχετικά με τα τρωτά σημεία στον κυβερνοχώρο και τις παραβιάσεις με άλλες εταιρείες, στο πλαίσιο της NIS 2 - ακόμη και αν αυτό σημαίνει ότι πρέπει να παραδεχτούν ότι έχουν πέσει θύματα παραβίασης στον Κυβερνοχώρο.
Τι γίνεται αν μια εταιρεία δεν συμμορφωθεί;
Οι εταιρείες που δεν συμμορφώνονται με τον νέο νόμο ενδέχεται να αντιμετωπίσουν τεράστια δυνητικά πρόστιμα, μαζί με άλλες τιμωρητικές ενέργειες.
Για οντότητες που θεωρούνται βασικές, όπως οι εταιρείες μεταφορών, χρηματοδότησης και ύδρευσης, η μη συμμόρφωση με την NIS 2 μπορεί να οδηγήσει σε πρόστιμο έως και 10 εκατομμύρια ευρώ (11,1 εκατομμύρια δολάρια) ή 2% των παγκόσμιων ετήσιων εσόδων - όποιο από τα δύο είναι τελικά το υψηλότερο ποσό.
Εν τω μεταξύ, οι εταιρείες που θεωρούνται ουσιώδεις - όπως οι εταιρείες τροφίμων, οι εταιρείες χημικών προϊόντων και οι υπηρεσίες διαχείρισης αποβλήτων - αντιμετωπίζουν πρόστιμα ύψους έως και 7 εκατομμυρίων ευρώ ή 1,4% των παγκόσμιων ετήσιων εσόδων τους για μη συμμόρφωση.
Οι επιχειρήσεις μπορούν επίσης να αντιμετωπίσουν πιθανή αναστολή της παροχής υπηρεσιών, εάν δεν συμμορφωθούν με την NIS 2, καθώς και στενότερη εποπτεία για να διαπιστωθεί, εάν έχουν συμμορφωθεί ή όχι.
Εάν μια επιχείρηση πέσει θύμα παραβίασης στον Κυβερνοχώρο, θα έχει 24 ώρες για να υποβάλει στις Αρχές κοινοποίηση έγκαιρης προειδοποίησης. Αυτό είναι αυστηρότερο από το χρονικό περιθώριο των 72 ωρών που έχουν οι επιχειρήσεις για να ειδοποιήσουν τις αρχές σχετικά με μια παραβίαση δεδομένων σύμφωνα με τον GDPR (Γενικός Κανονισμός για την Προστασία Δεδομένων), έναν ξεχωριστό νόμο για την προστασία των δεδομένων στην ΕΕ.