Για να αντιμετωπιστεί η ολοένα και εντονότερη έκθεση της Ευρώπης σε κυβερνοαπειλές, η οδηγία NIS 2 έρχεται πλέον να καλύψει – πέρα από τις κρίσιμες υποδομές και τους μεγάλους οργανισμούς – και πολλές μεσαίες και μεγάλες επιχειρηματικές οντότητες από διάφορες κάθετες αγορές, όπως αυτές των παρόχων δημόσιων υπηρεσιών ηλεκτρονικών επικοινωνιών, των ψηφιακών υπηρεσιών, της κατασκευής προϊόντων κρίσιμης σημασίας, των ταχυδρομικών υπηρεσιών και των υπηρεσιών ταχυμεταφορών, καθώς και της δημόσιας διοίκησης, τόσο σε κεντρικό όσο και σε περιφερειακό επίπεδο.
Η οδηγία NIS 2 ενισχύει τις απαιτήσεις κυβερνοασφάλειας που επιβάλλονται στις εταιρείες σε ένα διευρυμένο πεδίο, λαμβάνοντας υπόψη την ασφάλεια των αλυσίδων εφοδιασμού και τις σχέσεις με τους προμηθευτές, ενώ εισάγει την υποχρέωση λογοδοσίας των ανώτατων διοικητικών στελεχών σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις κυβερνοασφάλειας.
Σε αντίθεση με την οδηγία GDPR, η οποία προστατεύει τα προσωπικά δεδομένα των πολιτών, η NIS2 στοχεύει στην προστασία των οικονομικών δεδομένων – δεδομένων που επηρεάζουν τις οικονομίες των επιχειρήσεων και των χωρών μελών.
Σύμφωνα με τη νέα νομοθεσία, τα κράτη μέλη πρέπει να εφαρμόσουν, μεταξύ άλλων, μια εθνική στρατηγική για την ασφάλεια στον κυβερνοχώρο και μια εθνική νομοθεσία που περιλαμβάνει απαιτήσεις διαχείρισης κινδύνων και υποβολής εκθέσεων για τις εταιρείες που καλύπτονται από την οδηγία NIS2, καθώς και ένα ενιαίο εθνικό σημείο επαφής για τη διαχείριση της NIS2.
Θα πρέπει λοιπόν πολλές εταιρίες να προβούν σε διαδικασίες ελέγχου υποδομών και διαδικασιών προκειμένου να αξιολογήσουν αν καλύπτονται από τη νέα οδηγία ακολουθώντας κάποια βήματα.
Σίγουρα αυτό που πρέπει πάνω από όλα να αλλάξει, είναι η στρατηγική προσέγγιση προκειμένου να βεβαιωθεί κάθε επιχείρηση ότι η ασφάλεια στον κυβερνοχώρο αποτελεί κορυφαία προτεραιότητα για τη διοίκηση του οργανισμού και ότι η διοίκηση γνωρίζει τις ευθύνες της σχετικά με αυτό. Είναι επιτακτική ανάγκη να προσδιοριστούν και να ιεραρχηθούν τα περιουσιακά στοιχεία με επίκεντρο τις πληροφορίες και τα συστήματα καθώς επίσης και να εφαρμοστεί συμμόρφωση με πρότυπα ασφάλειας πληροφορικών. Η αυτοματοποίηση των διαδικασιών, είναι ένα σημαντικό μέρος των αλλαγών που πρέπει να γίνουν με περισσότερη ανάπτυξη στο cloud όπως επίσης και η ενοποίηση λειτουργιών ασφάλειας.
Οι εταιρείες που δεν συμμορφώνονται με την οδηγία NIS2 ενδέχεται να υπόκεινται σε πρόστιμα έως και 10 εκατομμύρια ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της εταιρείας.
Είναι σημαντικό να επισημανθεί ότι, όπως και με την οδηγία GDPR, δεν θα υπάρχει ετικέτα NIS2 ή λίστα ελέγχου που θα ακολουθούν οι εταιρείες. Εναπόκειται στον ίδιο τον οργανισμό να εφαρμόσει μέτρα ώστε η προστασία των δεδομένων του να συμμορφώνεται. Οι προμηθευτές ασφάλειας στον κυβερνοχώρο, όπως η Check Point, μπορούν να βοηθήσουν με τις οδηγίες, αλλά εναπόκειται στην ίδια την εταιρεία να θέσει σε εφαρμογή τις απαραίτητες αναφορές.
Σε κάθε περίπτωση γεννούνται νέες προκλήσεις και ένα μεγάλο πεδίο δράσης τόσο για τα in-house τμήματα IT των επιχειρήσεων και των οργανισμών πολλών κάθετων αγορών όσο και για τους παρόχους λύσεων και υπηρεσιών προκειμένου να βοηθήσουν τους οργανισμούς στη συμμόρφωση με τη νέα οδηγία.
Βλάσης Αμανατίδης