Αναζητώντας τα όρια της προσωπικής ευθύνης της ανώτατης διοίκησης

Για την οδηγία NIS2 (Network and Information Security Directive 2), που ήδη έχει τεθεί σε εφαρμογή στην Ευρωπαϊκή Ένωση και αναμένεται σύντομα να ενσωματωθεί – έπειτα από την απαραίτητη διαβούλευση – και στην Ελληνική νομοθεσία έχουν ειπωθεί και γραφτεί πολλά. Αυτό που ίσως έχει δεν έχει λάβει την απαραίτητη προσοχή και θα χρειαστεί να το επισημάνουμε ιδιαίτερα, είναι ότι τα όρια της ευθύνης της ανώτατης διοίκησης και των φυσικών προσώπων που την απαρτίζουν.

Η συμμόρφωση λοιπόν με την οδηγία δεν περιορίζεται μόνο στη λήψη τεχνικών μέτρων για την προστασία από κυβερνοεπιθέσεις, αλλά απαιτεί ενεργό συμμετοχή και ευθύνη της διοίκησης σε πολλαπλά επίπεδα. Σύμφωνα με όσα προβλέπονται από την οδηγία, η ανώτατη διοίκηση έχει την τελική ευθύνη συνολικά, για τη διαχείριση των κινδύνων κυβερνοασφάλειας σε βασικές και σημαντικές οντότητες (διάκριση των επιχειρήσεων και οργανισμών ανάλογα την κρισιμότητας και το μέγεθος τους). Η ενδεχόμενη μη συμμόρφωση της οντότητας – δηλαδή της επιχείρησης –  με τις απαιτήσεις της Οδηγίας NIS2, με ευθύνη της διοίκησης, θα μπορούσε να έχει σοβαρές συνέπειες, οι οποίες δεν εξαντλούνται στα προβλεπόμενα πρόστιμα, αλλά επεκτείνονται και σε κυρώσεις και ποινές και στα φυσικά πρόσωπα της διοίκησης.

Η ανώτατη διοίκηση είναι υπεύθυνη για τη διαμόρφωση και την επίβλεψη μιας ολοκληρωμένης στρατηγικής κυβερνοασφάλειας μέσα στα πλαίσια της οποίας, εγκρίνει την επάρκεια των μέτρων διαχείρισης των κινδύνων κυβερνοασφάλειας και έχει την τελική επίβλεψη της εφαρμογής των μέτρων διαχείρισης κινδύνων. Επιπρόσθετα παρακολουθεί η ίδια εκπαιδεύσεις προκειμένου να αποκτήσει επαρκείς γνώσεις και δεξιότητες για τον εντοπισμό κινδύνων και την αξιολόγηση των πρακτικών διαχείρισης κινδύνων κυβερνοασφάλειας και των επιπτώσεών τους στις υπηρεσίες που παρέχει η, ενώ παράλληλα είναι υποχρεωμένη να παρέχει κατάρτιση στο προσωπικό της σε τακτική βάση και εντέλει να αναλαμβάνει ευθύνη για μη συμμόρφωση.

Οι διοικήσεις των επιχειρήσεών που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας θα πρέπει σίγουρα να επενδύσουν σε τεχνολογικούς και ανθρώπινους πόρους, προκειμένου να συμμορφωθούν με τις αυξημένες απαιτήσεις, ενώ παράλληλα θα πρέπει να αναλογιστούν με σοβαρότητα τα όρια της ευθύνης που τους αναλογούν. Σε αυτό το σημείο η συμβολή της αγοράς του Cyber Security και φυσικά των in-house στελεχών τους είναι κομβική προκειμένου να τους καθοδηγήσουν σωστά.

Βλάσης Αμανατίδης Αρχισυντάκτης IT Security Pro

Βλάσης Αμανατίδης