Η οδηγία NIS-2 (2022/2555) θεσπίζει αυστηρότερες απαιτήσεις για τη διαχείριση κινδύνων και την αναφορά συμβάντων, ενώ καλύπτει ευρύτερο φάσμα τομέων σε σχέση με την αρχική οδηγία NIS (2016/1148), περιλαμβάνοντας τομείς της Ενέργειας, Υγείας, Μεταφορών, Ψηφιακών Παρόχων και Υποδομών, Ταχυδρομικών Υπηρεσιών, Κατασκευαστικών, κ.ά..

Cyber Noesis
www.cybernoesis.com

Η ώρα εφαρμογής της Οδηγίας 2022/2555 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (για λόγους συντομίας «Οδηγία» ή απλά «NIS 2») πλησιάζει, καθώς μέχρι την 17η Οκτώβριου του 2024, τα Κράτη Μέλη της ΕΕ θα πρέπει να υιοθετήσουν και να δημοσιεύσουν τα απαιτούμενα μέτρα συμμόρφωσης με την Οδηγία NIS 2, ενώ από την 18η Οκτωβρίου του 2024, όλα τα Κράτη Μέλη της ΕΕ θα πρέπει να εφαρμόζουν τα μέτρα αυτά. 

Που στοχεύει η Οδηγία NIS 2;

Η NIS 2 στοχεύει στην προστασία των κρίσιμων υποδομών ενός κράτους μέλους της ΕΕ αλλά και της ΕΕ στο σύνολό της, λόγω και των αλληλεξαρτήσεων των υποδομών αυτών. Σκοπός της είναι να ενθαρρύνει τους Οργανισμούς που διαχειρίζονται τις κρίσιμες υποδομές ενός κράτους, να βελτιώσουν την ανθεκτικότητά τους και την ικανότητα αντιμετώπισης κυβερνοεπιθέσεων. Εδώ να σημειώσουμε ότι το άνωθεν ισχύει, όπως και στο GDPR, όχι μόνο για οργανισμούς που είναι εγκατεστημένοι στην ΕΕ αλλά και για όσους προσφέρουν «κρίσιμες» υπηρεσίες/αγαθά σε ένα κράτος της ΕΕ. 

Τα Μέτρα …

Στο πλαίσιο εναρμόνισης με την Οδηγία, πολλοί εστιάζουν στα μέτρα που περιγράφονται εντός του κειμένου της όπως, Πολιτικές και Διαδικασίες Ανάλυσης Κινδύνου, Ασφάλειας Πληροφοριακών Συστημάτων, Διαχείρισης Συμβάντων, Διαχείριση Επιχειρησιακής, Ασφάλειας της Εφοδιαστικής Αλυσίδας (ίσως το πιο σημαντικό ζήτημα στις μέρες μας) κλπ..

Όμως, αν το αναλογιστούμε καλύτερα, τα μέτρα αυτά δεν διαφέρουν από τις απαιτήσεις των βέλτιστων πρακτικών και κανονιστικών πλαισίων (ISO 27001, Dora κλπ.). Συνεπώς, η εναρμόνιση με την Οδηγία μπορεί να είναι πιο εύκολη για Οργανισμούς που έχουν ήδη υιοθετήσει αυτές τις πρακτικές, ιδιαίτερα δε για ώριμους ή highly regulated Οργανισμούς, όπως τα χρηματοπιστωτικά ιδρύματα, όπου η NIS 2 δεν επιφέρει πολλές νέες απαιτήσεις εκτός από την εποπτεία από μια νέα ανεξάρτητη Αρχή, αναφορά περιστατικών & συνεργασία με CSIRTs και αναφορές επιπέδου συμμόρφωσης, καθώς και ενδεχόμενα πρόστιμα σε περίπτωση σοβαρών παραβιάσεων.

“The Elephant in the room”!

Ωστόσο, το εύρος εφαρμογής της Οδηγίας μας αναγκάζει να εμβαθύνουμε στις κρίσιμες υποδομές που συχνά εκτείνονται πέρα από την παραδοσιακή Enterprise υποδομή ΙCΤ ενός Οργανισμού αποτελούμενη από δικτυακό εξοπλισμό και πληροφοριακά συστήματα εντός του Οργανισμού, υποδομές και υπηρεσίες στο Cloud (IaaS και SaaS) και συσκευές χρηστών. Ας μη ξεχνάμε ότι η Οδηγία αφορά ένα ευρύ φάσμα Οργανισμών, Δημόσιους και Ιδιωτικούς Φορείς που σχετίζονται με τις κρίσιμες υποδομές στους τομείς της Ενέργειας, των Μεταφορών, Χρηματοπιστωτικών Ιδρυμάτων, της Παραγωγής, Μεταποίησης και Διανομής τροφίμων, και της Έρευνας. Κρίσιμες υποδομές ή υποδομές ζωτικής σημασίας ορίζονται εκείνες των οποίων «η διακοπή λειτουργίας ή η καταστροφή θα είχε σημαντικό αντίκτυπο στη χώρα, αλλά και σε άλλα ΚράτηΜέλη της Ε.Ε.». Επομένως, οι κρίσιμες υποδομές στην πλειοψηφία των τομέων αυτών δεν είναι συνυφασμένες μόνο την παραδοσιακή Enterprise υποδομή ICT που προαναφέραμε, αλλά πολύ περισσότερο με τα βιομηχανικά συστήματα αυτοματισμού, τα οποία εντάσσονται στην κατηγορία των συστημάτων OT (Operational Technology) και είναι αυτά που ουσιαστικά υποστηρίζουν την ομαλή λειτουργία των υποδομών ζωτικής σημασίας.

Εξετάζοντας δύο από τους πιο σημαντικούς τομείς, αυτούς της Ενέργειας και των Μεταφορών, ας αναλογιστούμε ποια είναι τα κρίσιμα συστήματα που δύναται να επηρεάσουν την κοινωνία και την οικονομία και ως εκ τούτου χρήζουν ιδιαίτερης προστασίας…

Στον τομέα των μεταφορών, ειδικά των σιδηροδρομικών μεταφορών, μεγάλος αριθμός συστημάτων OT χρησιμοποιείται για την ασφαλή λειτουργία των αμαξοστοιχιών (Συστήματα Ελέγχου Αμαξοστοιχιών), τον έλεγχο κυκλοφορίας (Συστήματα Σηματοδότησης), την ανταλλαγή δεδομένων (Δίκτυα Επικοινωνιών), την αποτροπή συγκρούσεων (Συστήματα Ασφαλείας), την παροχή ηλεκτροδότησης και πρόσφυσης των συρμών (Συστήματα Διανομής Ισχύος), την πληροφόρηση του Επιβατικού Κοινού (Συστήματα πληροφόρησης των επιβατών), και πολλά άλλα. Από την άλλη πλευρά, στον τομέα της ηλεκτρικής ενέργειας,  τα πιο σημαντικά συστήματα που επιτυγχάνουν την αδιάλειπτη διανομή ηλεκτρικής ενέργειας συμπεριλαμβάνουν τα Supervisory Control and Data Acquisition (SCADA), Programmable Logic Controllers (PLCs), Remote Terminal Units (RTUs), Intelligent Electronic Devices (IEDs) όπως transformers και circuit breakers, Energy Management Systems (EMS), Distribution Management Systems (DMS), Advanced Metering Infrastructure (AMI) κλπ.

Είναι προφανές ότι μια παραβίαση της ασφάλειας των παραπάνω συστημάτων θα μπορούσε να επιφέρει σοβαρές συνέπειες στη λειτουργία των υποδομών αλλά και κατ’ επέκταση στην ασφάλεια των πολιτών. Συνεπώς, η λήψη κατάλληλων μέτρων προστασίας των υποδομών ΟΤ είναι επιτακτική.

Ο δρόμος προς την εναρμόνιση…

H εναρμόνιση με την Οδηγία NIS 2 ξεκινάει με την αναγνώριση των απαιτήσεων που αφορούν κάθε Οργανισμό και την αξιολόγηση της υφιστάμενης κατάστασης και συμμόρφωσης (Ανάλυση Αποκλίσεων). Ακολουθεί η κατάρτιση του πλάνου ενεργειών και η υλοποίηση των κατάλληλων μέτρων. Σημαντική για την επίτευξη της συμμόρφωσης είναι και η εκπαίδευση του προσωπικού σχετικά με τα εφαρμοζόμενα μέτρα, συμπεριλαμβανομένων των μελών της Διοίκησης, καθώς και η τακτική αξιολόγηση και παρακολούθηση της αποτελεσματικότητας των εν λόγω μέτρων.

Κλείνοντας θα θέλαμε να επισημάνουμε ότι η αναγνώριση των κρίσιμων υποδομών και των συστημάτων OT που υποστηρίζουν τις επιχειρησιακές δραστηριότητες κάθε Οργανισμού που εμπίπτει στο πεδίο εφαρμογής της Οδηγίας, καθώς και η υλοποίηση των κατάλληλων τεχνικών και οργανωτικών μέτρων ασφάλειας για την προστασία τους, αποτελεί έναν από τους κρισιμότερους παράγοντες της προσπάθειας συμμόρφωσης με τις απαιτήσεις της Οδηγίας. Η Cyber Noesis διαθέτει εκτεταμένη εμπειρία και εξειδίκευση στην παροχή υπηρεσιών ασφάλειας για Οργανισμούς που δραστηριοποιούνται στον τομέα των Κρίσιμων Υποδομών και Δικτύων, έχοντας υλοποιήσει με επιτυχία σχετικά έργα για κρίσιμες υποδομές στην Ελλάδα και στο Εξωτερικό.