Search
Close this search box.

Ν. 5160/2024: Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 σχετικά με την κυβερνοασφάλεια (Οδηγία NIS 2)

4 Δεκεμβρίου, 2024

Με τον ν. 5160/2024[1] ενσωματώθηκε η Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 (εφεξής «Οδηγία NIS 2»), σχετικά με την θέσπιση μέτρων για την εξασφάλιση ενός υψηλού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση. Με την Οδηγία NIS 2, καταργείται η προϋφιστάμενη Οδηγία (ΕΕ) 2016/1148, επικαιροποιώντας και διευρύνοντας σημαντικά τις υποχρεώσεις για την ασφάλεια και τη διαχείριση κινδύνων στον κυβερνοχώρο σε ολόκληρη την Ευρωπαϊκή Ένωση. Σύμφωνα με την αιτιολογική έκθεση του νόμου, εισάγεται μια ολοκληρωμένη προσέγγιση κυβερνοασφάλειας με βάση τον κίνδυνο, με στόχο την επίτευξη υψηλού κοινού επιπέδου ασφάλειας στον κυβερνοχώρο σε όλα τα κράτη μέλη, ενισχύοντας τη λειτουργία της εσωτερικής αγοράς μέσω βελτιωμένων πρωτοκόλλων ασφαλείας και δυνατοτήτων αντιμετώπισης περιστατικών. Συνοπτικά προβλέπονται τα εξής:

Α. Πεδίο εφαρμογής: Αφορά όλες τις μεσαίες επιχειρήσεις (απασχολούν από 50 – 250 εργαζομένους και έχουν κύκλο εργασιών έως 250εκ €) ή επιχειρήσεις που είναι εγκατεστημένες ή παρέχουν τις υπηρεσίες τους ή ασκούν τις δραστηριότητές τους εντός της ελληνικής επικράτειας και δραστηριοποιούνται σε τομείς όπως η ενέργεια, οι μεταφορές, η υγεία, οι ψηφιακές υποδομές, οι ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, η παρασκευή/παραγωγή/διανομή χημικών προϊόντων, ο κατασκευαστικός τομέας. Επιπλέον, ανεξαρτήτως μεγέθους, αφορά παρόχους δημοσίων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών.

Β. Ορισμός της Εθνικής Αρχής Κυβερνοασφάλειας (εφεξής «Αρχή») ως αρμόδιας αρχής με ευθύνες και εποπτικά καθήκοντα. Μεταξύ των αρμοδιοτήτων της Αρχής, προβλέπεται η απόκριση σε συμβάντα που αφορούν στην ασφάλεια των υπολογιστών (Computer Security Incident Response Team – CSIRT).

Γ. Λήψη μέτρων διαχείρισης κινδύνων: Τα όργανα διοίκησης των ως άνω οντοτήτων, εγκρίνουν εντός 3 μηνών, τα μέτρα διαχείρισης των κινδύνων. Ως τέτοια (μέτρα) ενδεικτικά αναφέρονται: πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων, ασφάλεια της αλυσίδας εφοδιασμού, πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας, βασικές πρακτικές κυβερνοϋγιεινής και κατάρτιση στην κυβερνοασφάλεια, πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και, κατά περίπτωση, κρυπτογράφησης, σε συνεργασία με την εθνική αρχή CRYPTO, όπου απαιτείται, ασφάλεια ανθρώπινων πόρων, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων.

Δ. Υποχρέωση αναφοράς περιστατικών – διαδικασία διαχείρισης: Οι οντότητες υποχρεούνται να κοινοποιούν αμελλητί στην Αρχή, κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών τους. Ως σημαντικό θεωρείται κάθε περιστατικό που α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία οντότητα, β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική ή μη υλική ζημία. Συγκεκριμένα υποχρεούνται εντός 24 ωρών για έγκαιρη προειδοποίηση και  εντός 72 ωρών για πληρέστερη ενημέρωση. Κατόπιν ακολουθεί μία ενδιάμεση έκθεση για την επικαιροποίηση της αντιμετώπισης και της έκτασης του περιστατικού.

Ε. Κυρώσεις σε περίπτωση παραβίασης των διατάξεων: Οι κυρώσεις σε βάρος φυσικών ή νομικών προσώπων επιβάλλονται με ειδικώς αιτιολογημένη απόφαση του Διοικητή της Αρχής, κατόπιν ακρόασης. Ειδικά στην περίπτωση παραβίασης των διατάξεων που αφορούν στα μέτρα διαχείρισης των κινδύνων ή την υποχρέωση αναφοράς σημαντικών περιστατικών, προβλέπονται πρόστιμα κατ’ ανώτατο όριο 10.000.000€ ή κατ’ ανώτατο όριο 2% του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.

 

Μαρία Αικατερίνη Δ. Παπαδοπούλου
Δικηγόρος
Δ.Μ.Σ Ιστορίας και Θεωρίας Δικαίου, Νομική Σχολή Αθηνών, ΕΚΠΑ
Δ.Μ.Σ Αστικού δικαίου, Νομική Σχολή Αθηνών, ΕΚΠΑ
Δ.Μ.Σ Εμπορικού Δικαίου, Νομική Σχολή Δημοκριτείου Πανεπιστημίου Θράκης

[1] Ν. 5160/2024 (ΦΕΚ Α’195/27.11.2024) με τον τίτλο «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις».

Για να αποθηκεύσετε το άρθρο σε μορφή Pdf:

Σιούφας & Συνεργάτες | Γιώργος Σιούφας | Μάριος Σιούφας

Για περισσότερες πληροφορίες

Επικοινωνήστε με τη γραμματεία της Διεύθυνσης Νομικών Υπηρεσιών στο τηλ.: 213 017 5600, ή στείλτε mail στο info@sioufaslaw.gr και θα επικοινωνήσουμε άμεσα μαζί σας.

Μοιραστείτε το:

Θέλετε να συζητήσουμε περισσότερο για το άρθρο μας;
Συμπληρώστε τα στοιχεία επικοινωνίας σας
και εξειδικευμένος συνεργάτης μας
θα επικοινωνήσει μαζί σας σήμερα
μεταξύ 15:00 - 17:00.