Πέρα από την NIS2

Στην εποχή της επιτάχυνσης του ψηφιακού μετασχηματισμού, η κυβερνοασφάλεια δεν είναι πλέον ένα πολυτελές συμπλήρωμα για την εθνική ασφάλεια και την οικονομική ανθεκτικότητα. Είναι ο πυρήνας τους. Για την Ελλάδα, μια χώρα που επενδύει στρατηγικά σε τομείς όπως οι Τεχνολογίες Πληροφορικής και Επικοινωνιών (ICT), ο τουρισμός, η ναυτιλία και η ενέργεια, η κυβερνοασφάλεια αποτελεί απαραίτητο θεμέλιο για τη διατήρηση της εθνικής κυριαρχίας, την οικονομική ανάπτυξη και τη δημόσια εμπιστοσύνη.

Η ψήφιση και η έναρξη εφαρμογής του Νόμου 5160/2024, με τον οποίο ενσωματώθηκε η Οδηγία (EU) 2022/2555 – γνωστή ως NIS2 Directive – αποτελεί ένα σημαντικό βήμα για την αναβάθμιση του εθνικού πλαισίου κυβερνοασφάλειας. Όμως, η υπέρμετρη συγκέντρωση της δημόσιας και ιδιωτικής συζήτησης μόνο γύρω από την NIS2 κρύβει έναν κίνδυνο: τη λανθασμένη εντύπωση ότι η συμμόρφωση με την NIS2 αρκεί από μόνη της για να καλύψει τις ανάγκες ασφάλειας του ψηφιακού ελληνικού οικοσυστήματος. Και αυτή η αντίληψη είναι όχι μόνο ανακριβής, αλλά και επικίνδυνη.

Η ευρωπαϊκή στρατηγική για την κυβερνοασφάλεια τα τελευταία χρόνια έχει αποκτήσει πολυεπίπεδο χαρακτήρα. Πέραν της NIS2, η Ευρωπαϊκή Ένωση έχει θεσπίσει το Cyber Resilience Act (CRA) για την ασφάλεια των προϊόντων με ψηφιακά στοιχεία, τον Cybersecurity Act για την πιστοποίηση προϊόντων και υπηρεσιών, τον DORA (Digital Operational Resilience Act) για την επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και τον CER Directive (Directive on the Resilience of Critical Entities) για τη φυσική προστασία κρίσιμων υποδομών. Κάθε ένα από αυτά τα νομοθετήματα καλύπτει διαφορετικές όψεις της κυβερνοασφάλειας και ανταποκρίνεται σε διαφορετικές απειλές και απαιτήσεις.

Η Ελλάδα, με το γεωπολιτικό της αποτύπωμα στην Ανατολική Μεσόγειο, τη συμμετοχή της στον ευρωπαϊκό και νατοϊκό κυβερνοχώρο, καθώς και τη φιλοδοξία να εξελιχθεί σε κόμβο τεχνολογίας και καινοτομίας, δεν μπορεί να αντέξει μια προσέγγιση της κυβερνοασφάλειας που βασίζεται μόνο στη συμμόρφωση με την NIS2.

Η NIS2 επικεντρώνεται στη διαχείριση κινδύνου και στην υποχρέωση λογοδοσίας για οντότητες που δραστηριοποιούνται σε κρίσιμους και σημαντικούς τομείς. Επιβάλλει αυστηρές απαιτήσεις όσον αφορά τη διακυβέρνηση της ασφάλειας, τη διαχείριση περιστατικών, την ασφάλεια της αλυσίδας εφοδιασμού και τη διαφάνεια μέσω υποχρεωτικών αναφορών συμβάντων. Όμως δεν καλύπτει ολοκληρωμένα θέματα όπως:

• Η ασφάλεια των ίδιων των τεχνολογικών προϊόντων (όπου το CRA είναι κομβικό).
• Η επιχειρησιακή συνέχεια και ανθεκτικότητα κρίσιμων οικονομικών δομών, ειδικά τραπεζών και ασφαλιστικών εταιρειών (όπου το DORA δίνει το πλαίσιο).
• Η προστασία της φυσικής υποδομής όπως τα αεροδρόμια, τα λιμάνια και τα υδροηλεκτρικά φράγματα (πεδίο του CER).
• Η ανάγκη για εθνικές στρατηγικές κυβερνοάμυνας απέναντι σε υβριδικές απειλές, οι οποίες αυξάνονται σύμφωνα με το πρόσφατο EU Hybrid Toolbox.

Η ελληνική προσέγγιση οφείλει να είναι ολιστική και να αναγνωρίζει ότι η κυβερνοασφάλεια δεν είναι μόνο θέμα συμμόρφωσης· είναι θέμα εθνικής στρατηγικής.

Η Παρούσα Κατάσταση στην Ελλάδα

Η Ελλάδα έχει σημειώσει πρόοδο την τελευταία πενταετία. Η ίδρυση του Ν.Π.Δ.Δ. Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ), η συμμετοχή στο δίκτυο EU Cyber Crisis Liaison Organisation Network (CyCLONe), η εκπόνηση του νέου Εθνικού Στρατηγικού Πλαισίου για την Κυβερνοασφάλεια (2024-2027) και η ενεργή συμβολή στα έργα του European Cybersecurity Competence Centre (ECCC) αποδεικνύουν ότι υπάρχει πολιτική βούληση.

Παρά ταύτα, τα περιστατικά κυβερνοεπιθέσεων κατά ελληνικών φορέων αυξάνονται. Μόνο το 2024, καταγράφηκαν:

• Σημαντικά περιστατικά ransomware σε κρίσιμους δήμους και περιφέρειες.
• Επιθέσεις Distributed Denial of Service (DDoS) εναντίον ιστοσελίδων κυβερνητικών οργανισμών και ΜΜΕ.
• Παραβιάσεις αλυσίδας εφοδιασμού, με χαρακτηριστικότερο παράδειγμα την επίθεση σε προμηθευτή ICT λύσεων που επηρέασε ευαίσθητα δεδομένα του δημόσιου τομέα.

Η έκθεση της ENISA Threat Landscape 2024 επισημαίνει ότι τα Supply Chain Attacks, οι Ransomware Campaigns και οι State-Sponsored Operations βρίσκονται σε ιστορικά υψηλά επίπεδα, και η Ανατολική Μεσόγειος – λόγω των γεωπολιτικών εντάσεων – είναι περιοχή ιδιαίτερης επικινδυνότητας.

Εθισμός στην “NIS2” !!!

Πολλοί οργανισμοί, αλλά και συμβουλευτικές εταιρείες στην Ελλάδα, έχουν επιλέξει να επικεντρώσουν το αφήγημά τους σχεδόν αποκλειστικά γύρω από την NIS2, προβάλλοντας τη συμμόρφωση ως τελικό στόχο. Αυτή η προσέγγιση είναι περιοριστική και κοντόφθαλμη για τρεις βασικούς λόγους:

Πρώτον, η συμμόρφωση δεν ισοδυναμεί με ασφάλεια. Η NIS2 καθορίζει ελάχιστες απαιτήσεις. Ένας οργανισμός που απλώς συμμορφώνεται τυπικά με αυτές δεν σημαίνει ότι μπορεί να αντιμετωπίσει μια εξελιγμένη, στοχευμένη κυβερνοεπίθεση.

Δεύτερον, τα πεδία εφαρμογής των άλλων κανονισμών (CRA, DORA, CER) είναι τέτοια που, αν αγνοηθούν, δημιουργούν “τυφλά σημεία” στην άμυνα του οργανισμού.

Τρίτον, η δυναμική φύση των απειλών απαιτεί συνεχή προσαρμογή. Δεν αρκεί η προετοιμασία ενός εγχειριδίου συμμόρφωσης που ανανεώνεται κάθε 2-3 χρόνια. Απαιτείται ενεργή κυβερνοαμυντική στρατηγική, ασκήσεις ετοιμότητας (cyber exercises), penetration testing, red teaming, και κυρίως εσωτερική κουλτούρα κυβερνοασφάλειας.

Αν συνεχιστεί η εμμονή στην NIS2 ως τον μοναδικό “κανόνα παιχνιδιού”, η Ελλάδα κινδυνεύει να παρουσιάσει μια πλασματική εικόνα ετοιμότητας, ενώ στην πραγματικότητα θα παραμένουν κενά στις αλυσίδες εφοδιασμού, στα προϊόντα IoT, στις τραπεζικές υποδομές και στις φυσικές κρίσιμες οντότητες.

Τι Πρέπει να Γίνει

Η ελληνική στρατηγική πρέπει να ενσωματώνει:

• Πλήρη εφαρμογή όλων των ευρωπαϊκών πράξεων (NIS2, CRA, DORA, CER) σε συνδυασμό.
• Διαλειτουργικότητα μεταξύ των εποπτικών αρχών (ΕΑΚΑ, ΤτΕ, ΕΕΤΤ, ΡΑΕ κ.α.).
• Δημιουργία Εθνικού Μηχανισμού Κυβερνοάμυνας για την αντιμετώπιση υβριδικών απειλών.
• Εκπαίδευση στελεχών σε τεχνικό και διοικητικό επίπεδο, με έμφαση στο cyber threat intelligence, στο incident response και στο resilience engineering.
• Ενεργή συμμετοχή σε ευρωπαϊκές πρωτοβουλίες όπως το EU Cyber Solidarity Act και το Cybersecurity Skills Academy.

Η επένδυση στην κυβερνοασφάλεια δεν πρέπει να ιδωθεί ως κόστος συμμόρφωσης, αλλά ως επένδυση σε εθνική ασφάλεια και οικονομική σταθερότητα. Το κόστος μιας σοβαρής κυβερνοεπίθεσης σε κρίσιμες ελληνικές υποδομές θα ήταν πολύ μεγαλύτερο από το κόστος πρόληψης και προετοιμασίας.

Η Ελλάδα βρίσκεται μπροστά σε μια ιστορική επιλογή. Μπορεί να αντιμετωπίσει την κυβερνοασφάλεια με την επιφανειακή λογική της συμμόρφωσης ή να επενδύσει σοβαρά σε ένα ολοκληρωμένο, πολυεπίπεδο, προορατικό μοντέλο προστασίας και ανθεκτικότητας. Το μέλλον της εθνικής μας ασφάλειας, της οικονομικής μας ευημερίας και της κοινωνικής μας συνοχής εξαρτάται από αυτή την απόφαση.
Η κυβερνοασφάλεια είναι πλέον υπόθεση εθνικής επιβίωσης. Και η εποχή της μονοθεματικής συμμόρφωσης έχει παρέλθει.