Τα πλάνα της κυβέρνησης για την κυβερνοπροστασία των κρίσιμων υποδομών της χώρας

Το πλάνο επικεντρώνεται στη δημιουργία της Εθνικής Αρχής Κυβερνοασφάλειας, η οποία θα αποτελέσει τη μετεξέλιξη και αναβάθμιση της υφιστάμενης Γενικής Διεύθυνσης Κυβερνοασφάλειας. Η νέα αρχή πρόκειται για να δημιουργηθεί με το σχέδιο νόμου «Εθνική Αρχή Κυβερνοασφάλειας και λοιπές διατάξεις», το οποίο τέθηκε πρόσφατα σε δημόσια διαβούλευση, η οποία θα διαρκέσει μέχρι τις 17 Ιανουαρίου.

Η κίνηση αυτή θεωρείται αρκετά σημαντική δεδομένου ότι θα βοηθήσει ώστε να επιτευχθεί τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα. Οι κυβερνοεπιθέσεις σε παγκόσμιο επίπεδο παρουσιάζουν σημαντική αύξηση και, σύμφωνα με τις υπάρχουσες εκτιμήσεις, το παγκόσμιο κόστος του κυβερνοεγκλήματος αναμένεται να προσεγγίσει, αν όχι να ξεπεράσει, τα 10 τρισ. ευρώ το 2023, διατηρώντας έναν ρυθμό διπλασιασμού ανά διετία. Όσον αφορά στην Ελλάδα, οι κυβερνοπιθέσεις βρίσκονται σε αντιστοιχία με το σύνολο των χωρών του δυτικού κόσμου, καταγράφοντας μια διαρκώς αυξητική τάση. Επιπλέον παρατηρούνται πλέον σοβαρά περιστατικά και κυβερνοεπιθέσεις σε κρίσιμες υποδομές της χώρας.

Η Εθνική Αρχή Κυβερνοασφάλειας

Η δημιουργία της Εθνικής Αρχής Κυβερνοασφάλειας κρίνεται άμεση και για έναν ακόμη λόγο: από τον Οκτώβριο του 2024 τίθεται σε εφαρμογή η ευρωπαϊκή οδηγία 2022/2555 (Οδηγία NIS2) βάσει της οποίας ο αριθμός των φορέων που θα έχει υπό την εποπτεία της η αρχή θα αυξηθεί κατακόρυφα φθάνοντας στις τις 2.000 από 70 που είναι σήμερα!

Αυτή τη στιγμή, στις κρίσιμες υποδομές της χώρας περιλαμβάνονται τομείς όπως είναι τα δίκτυα ενέργειας, οι ψηφιακές υποδομές και τα τραπεζικά συστήματα. Βάσει της νέας οδηγίας, όμως, στη σχετική λίστα θα περιλαμβάνονται και οι υποδομές οργανισμών από τομείς όπως είναι η δημόσια διοίκηση, οι ταχυμεταφορές, η παρασκευή, παραγωγή και διανομή χημικών προϊόντων, αλλά και η παραγωγή και μεταποίηση τροφίμων.

Η Εθνική Αρχή Κυβερνοασφάλειας θα είναι ένα νομικό πρόσωπο δημοσίου δικαίου (ΝΠΔΔ) και θα εποπτεύεται από εκάστοτε υπουργό Ψηφιακής Διακυβέρνσης και θα υπάρχει διοικητής και υποδιοικητές. Βασικός σκοπός της θα είναι ο συντονισμός και η υλοποίηση της Εθνικής Στρατηγικής για την Κυβερνοασφάλεια. Εκτός βέβαια από Εθνικό Κέντρο Συντονισμού για την Κυβερνοασφάλεια ο νέος φορέας θα λειτουργεί και ως Εθνική Αρχή Πιστοποίησης, ενώ θα μεριμνά και για την αποτελεσματική πρόληψη και διαχείριση των κυβερνοεπιθέσεων στην Ελλάδα. Σημειώνεται πως η σύσταση διακριτού νομικού προσώπου ακολουθεί τα πρότυπα του συνόλου σχεδόν των κρατών – μελών της Ευρωπαϊκής Ένωσης, αλλά και τις επίσημες συστάσεις του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας (ENISA).

Σύμφωνα με το πλάνο, η Εθνική Αρχή Κυβερνοασφάλειας θα διαρθρώνεται σε δύο Γενικές Διευθύνσεις, μία επιτελικού σχεδιασμού και μία επιχειρησιακή, ενώ ο αριθμός των οργανικών θέσεων θα είναι 155 από περίπου 50 που είναι αυτή τη στιγμή σε επίπεδο γενικής διεύθυνσης. Γι’ αυτό και θα επιδιωχθεί να υπάρξει ειδική μέριμνα για τη βέλτιστη διαχείριση του ανθρώπινου δυναμικού αλλά και την ενίσχυση της αρχής με προσωπικό υψηλής εξειδίκευσης.

Επιπλέον, εντός της αρχής θα λειτουργούν Κέντρο Επιχειρήσεων Κυβερνοασφάλειας (Security Operations Centre - SOC), Ομάδα Απόκρισης Συμβάντων στον Κυβερνοχώρο (CSIRT), καθώς και Εργαστήριο Αναλύσεων, Δοκιμών και Ερευνών (Forensics & Testing Lab).

Αρμοδιότητες

Σε επίπεδο αρμοδιοτήτων, η Εθνική Αρχή Κυβερνοασφάλειας αναλαμβάνει να χαράσσει την ενιαία πολιτική κυβερνοασφάλειας στο πλαίσιο της Στρατηγικής Εθνικής Ασφάλειας που διαμορφώνεται από το Κυβερνητικό Συμβούλιο Εθνικής Ασφάλειας. Επίσης, έχει ως σκοπό να διαμορφώνει, συντάσσει και επικαιροποιεί την Εθνική Στρατηγική Κυβερνοασφάλειας, να συντονίζει, επιβλέπει και αξιολογεί την εφαρμογή της, καθώς και να υποβάλλει αναφορές στην Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας και στον υπουργό Ψηφιακής Διακυβέρνησης.

Ακόμη, η αρχή καλείται να αναπτύσσει και να προτείνει στα κατά περίπτωση αρμόδια όργανα ολοκληρωμένο πλαίσιο κινήτρων για επενδύσεις στον τομέα της κυβερνοασφάλειας, σε συνεργασία με το υπουργείο Εθνικής Οικονομίας και Οικονομικών και το υπουργείο Ανάπτυξης. Όπως επίσης, και να προάγει την εκπαίδευση, την ενημέρωση και την ευαισθητοποίηση σε θέματα κυβερνοασφάλειας, αλλά και να καθορίζει τις προτεραιότητες και να ενισχύει την επιστημονική έρευνα και την ανάπτυξη καινοτόμων υπηρεσιών και εξοπλισμού.

Επιπλέον, θα έχει ως ρόλο να αναπτύσσει συνεργασίες με δημόσιους, ιδιωτικούς, ακαδημαϊκούς και ερευνητικούς φορείς, όπως και ναδιαμορφώνει και παρακολουθεί το πλαίσιο τεχνικών μέτρων και απαιτήσεων ασφαλείας συστημάτων τεχνολογιών πληροφορικής και επικοινωνιών.

Ακόμη, θα μπορεί να λαμβάνει τεχνικά μέτρα αποτροπής και αντιμετώπισης του κυβερνοεγκλήματος, σε συνεργασία με άλλες αρμόδιες αρχές και υπηρεσίες, και ιδίως με την Ελληνική Αστυνομία, όπως και να παρακολουθεί το συνολικό επίπεδο ασφάλειας του κυβερνοχώρου στη χώρα και προλαμβάνει, προστατεύει, συντονίζει και συμβάλλει στην αντιμετώπιση απειλών και κυβερνοεπιθέσεων, καθώς και στη διαχείριση περιστατικών ασφαλείας, μεταξύ άλλων, με τη λειτουργία του ενοποιημένου SOC και του Εθνικού Δικτύου SOC και Ομάδας Απόκρισης συμβάντων στον κυβερνοχώρο (CSIRT).

Επιπλέον έχει και ελεγκτικό ρόλο αφού θα είναι αρμόδια αφενός για την διαμόρφωση του πλαισίου πιστοποίησης κυβερνοασφάλειας για τα προϊόντα, τις διαδικασίες, τις υπηρεσίες αλλά και τους αξιόπιστους παρόχους υπηρεσιών κυβερνοασφάλειας και αφετέρου για την διενέργεια επιθεωρήσεων και για την επιβολή κυρώσεων στο πλαίσιο του ελέγχου συμμόρφωσης προς το νομικό πλαίσιο για την κυβερνοασφάλεια.

Όπως διευκρινίζεεται άλλωστε στο σχέδιο νόμου, ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας θα είναι αυτός που θα επιβάλλει κυρώσεις σε φυσικό ή νομικό πρόσωπο, σε περίπτωση μη (έγκαιρης) κοινοποίησης συμβάντος κυβερνοεπίθεσης ή μη λήψης των κατάλληλων προληπτικών μέτρων προστασίας, τα οποία επισύρουν πρόστιμα από 15.000 έως και 200.000 ευρώ.

Παράλληλα θα καταρτίζει και το Εθνικό Σχέδιο Έκτακτης Ανάγκης, θα συμβάλλει στην εκπόνηση του Εθνικού Σχεδίου Αποτίμησης Κινδύνων Συστημάτων Τεχνολογίας Πληροφορικής και Επικοινωνιών και θα παρέχει κατευθυντήριες γραμμές και δεσμευτικές οδηγίες για την αντιμετώπιση κυβερνοαπειλών σε δημόσιους και ιδιωτικούς φορείς.