Πώς επηρεάζει τη λειτουργία των επιχειρήσεων η εφαρμογή της ευρωπαϊκής νομοθεσίας NIS2 και DORA

Αναγνωρίζοντας τις προκλήσεις που καλούνται να αντιμετωπίσουν οι ευρωπαϊκές επιχειρήσεις, η Ευρωπαϊκή Ένωση προχώρησε στην έκδοση του κανονισμού DORA (Digital Operational Resilience Act) και της οδηγίας NIS2 (Network and Information Security 2), με σκοπό τη θωράκιση της λειτουργίας των χρηματοπιστωτικών οντοτήτων και των εταιρειών που προσφέρουν υπηρεσίες σχετιζόμενες με κρίσιμες υποδομές, αντίστοιχα.

Η Ευρωπαϊκή Ένωση αναπτύσσοντας και εφαρμόζοντας τις συγκεκριμένες κανονιστικές ρυθμίσεις, έχει ως στόχους:

• να προσδιορίσει τις ελάχιστες απαιτήσεις που θα πρέπει οι υπόχρεες εταιρείες να υλοποιήσουν στον τομέα της Ασφάλειας Πληροφοριών,
• να θεσμοθετήσει το πλαίσιο μέσω του οποίου θα διασφαλίζει την εφαρμογή τους και
• να αναπτύξει τον οργανωτικό μηχανισμό που απαιτείται για τον διαμοιρασμό πληροφοριών που σχετίζονται με περιστατικά και απειλές Ασφάλειας Πληροφοριών.

Άρα, είναι πλέον επιτακτική η λήψη μέτρων και η υιοθέτηση πλαισίων λειτουργίας από τις επιχειρήσεις, τόσο για λόγους ουσίας (προστασίας από κυβερνοαπειλές), όσο και για νομοθετικούς (DORA & NIS2). 

O κανονισμός DORA τίθεται σε εφαρμογή τον Ιανουάριο 2025 και στοχεύει στη διασφάλιση της ομαλής λειτουργίας των εταιρειών που προσφέρουν χρηματοπιστωτικές υπηρεσίες, μέσω της αντιμετώπισης των cyberthreats που είναι δυνατόν να επηρεάσουν κρίσιμες επιχειρησιακές διαδικασίες.

Παράλληλα, η οδηγία NIS2 (τίθεται σε εφαρμογή τον Οκτώβριο του 2024) έρχεται να αντικαταστήσει την οδηγία NIS1, έχοντας ως στόχο να βελτιώσει το πλαίσιο που θεσμοθετήθηκε από τα κράτη μέλη της Ευρωπαϊκής Ένωσης με βάση την NIS1. Έχει εξαιρετικά διευρυμένο πεδίο εφαρμογής (αφορά πολλαπλάσιο αριθμό εταιρειών) σε σχέση με την προκάτοχό της, ενώ προδιαγράφει πρόσθετες ενέργειες και μέτρα για το καθεστώς εποπτείας της οδηγίας.

Στη δομή και των δύο κανονιστικών κειμένων διακρίνονται οι εξής κύριοι πυλώνες: 

• Απαιτήσεις Ασφάλειας Πληροφοριών
• Πλαίσιο ενημέρωσης/διαμοιρασμού πληροφοριών 
• Πλαίσιο εποπτείας.

DORA και NIS2 απαιτούν την εφαρμογή ολοκληρωμένων συστημάτων διαχείρισης μέσω των οποίων είναι δυνατός ο έγκαιρος εντοπισμός και η αποτελεσματική αντιμετώπιση κινδύνων Ασφάλειας Πληροφοριών. 

Χαρακτηριστικό του κανονισμού DORA είναι ότι εξειδικεύει τα μέτρα που θα πρέπει να υλοποιήσουν οι υπόχρεες εταιρείες. Περιγράφονται διεξοδικά τα τεχνικά μέτρα που σχετίζονται με τον σχεδιασμό δικτυακών υποδομών, τη διενέργεια εξειδικευμένων τεχνικών ελέγχων, την ικανότητα των υποδομών να λειτουργήσουν υπό συνθήκες φόρτου, την παρακολούθηση της λειτουργίας τους, αλλά και τα οργανωτικά μέτρα,  όπως είναι ο προσδιορισμός της εξάρτησης κρίσιμων λειτουργιών από Τεχνολογίες Πληροφορικής και Επικοινωνιών, καθώς και από παρόχους υπηρεσιών στον συγκεκριμένο τομέα. 

Με βάση την NIS2, είναι δυνατόν να προκύψουν πρόσθετες απαιτήσεις, ή διευκρινήσεις εφαρμογής μέσω των εφαρμοστικών νόμων που θα ψηφιστούν από τα κράτη μέλη, όπως άλλωστε έγινε στην Ελλάδα στην περίπτωση του NIS1 με τον νόμο 4577/2018 και της απόφασης 1027/2019. 

Οι υπόχρεες εταιρείες, ανεξάρτητα με τον βαθμό ωριμότητας των Πλαισίων Ασφάλειας Πληροφοριών που εφαρμόζουν, θα πρέπει να προβούν σε διενέργεια μελετών, μέσω των οποίων θα εντοπίσουν πιθανές αποκλίσεις σε σχέση με τις νέες κανονιστικές απαιτήσεις και θα προβούν στις απαραίτητες διορθωτικές ενέργειες. Η Ασφάλεια Πληροφοριών απαιτεί συνεχή αυτοαξιολόγηση και βελτίωση, ενώ οι νέες κανονιστικές ρυθμίσεις θα πρέπει να θεωρηθούν ως εργαλεία που συμβάλουν προς αυτή την κατεύθυνση.

Η προσαρμογή των επιχειρήσεων στο νέο κανονιστικό πλαίσιο αποτελεί ένα δύσκολο στοίχημα, το οποίο οι εταιρείες οφείλουν να κερδίσουν, είτε μόνες τους, είτε με τη βοήθεια εξειδικευμένων συμβούλων.