SOS στις επιχειρήσεις για το cyber risk

Σειρά αυξημένων υποχρεώσεων με βάση τη νέα Κοινοτική Οδηγία NIS2 καλούνται να αναλάβουν μεσαίες και μεγάλες ελληνικές επιχειρήσεις πολλών κλάδων, καθώς και Οργανισμοί, προκειμένου να είναι σε θέση να αμύνονται καλύτερα απέναντι στον κίνδυνο των κυβερνοεπιθέσεων.

Η ουσία είναι πως η άμυνα έναντι των κυβερνοεπιθέσεων δεν θα αποτελεί απλώς μια δουλειά του τμήματος μηχανογράφησης, αλλά μια ευρύτερη στρατηγική της επιχείρησης που θα υιοθετείται σε κεντρικό επίπεδο, θα ακολουθείται από το σύνολο των εργαζομένων και των συνεργατών κάθε εταιρείας και θα ελέγχεται από τα μέλη του Διοικητικού Συμβουλίου. Σε περίπτωση, μάλιστα, που μια επιχείρηση δεν θα συμμορφώνεται με μια τέτοια διαδικασία, θα προβλέπεται η επιβολή ποινών από την Εθνική Αρχή Κυβερνοασφάλειας.

Σύμφωνα με πρόσφατη δήλωση του υπουργού Ψηφιακής Διακυβέρνησης Δημήτρη Παπαστεργίου, «η ανάπτυξη και εφαρμογή μιας επικαιροποιημένης Εθνικής Στρατηγικής Κυβερνοασφάλειας αποτελεί κυβερνητική προτεραιότητα. Ως Υπουργείο Ψηφιακής Διακυβέρνησης θεσμοθετήσαμε τη νέα Αρχή και ο νέος διοικητής Μιχάλης Μπλέτσας έχει ήδη αναλάβει να επισπεύσει τη στελέχωσή της. Μέχρι τον Οκτώβριο, όταν θα τεθεί σε εφαρμογή η ευρωπαϊκή Οδηγία NIS2, η Αρχή θα είναι έτοιμη να διαχειριστεί τις αυξημένες αρμοδιότητες εποπτείας που προβλέπει η Οδηγία, με την αύξηση των εποπτευόμενων φορέων από εβδομήντα σε δύο χιλιάδες».

Στους «βασικούς τομείς» που απευθύνεται η Οδηγία NIS2 περιλαμβάνονται, μεταξύ άλλων, η ενέργεια, οι μεταφορές, οι τράπεζες, η υγεία, οι ψηφιακές υποδομές και η δημόσια διοίκηση, ενώ στους «σημαντικούς τομείς» εμπίπτουν, μεταξύ άλλων, οι ταχυδρομικές υπηρεσίες, η διαχείριση αποβλήτων, τα χημικά προϊόντα, τα τρόφιμα, η παραγωγή ιατροτεχνολογικών προϊόντων, τα ηλεκτρονικά είδη, τα μηχανήματα, τα μηχανοκίνητα οχήματα και οι πάροχοι ψηφιακών υπηρεσιών.

Τα επόμενα βήματα

Σε ποια φάση όμως βρισκόμαστε τώρα; Το πρώτο αναμενόμενο στάδιο είναι η Ελλάδα να ψηφίσει τον νόμο με τον οποίο θα υιοθετεί τις αρχές της Κοινοτικής Οδηγίας NIS2. Στη συνέχεια, οι επιχειρήσεις και οι Οργανισμοί που εμπίπτουν στην Οδηγία θα πρέπει να προσαρμοστούν στις απαιτήσεις του νέου θεσμικού πλαισίου και, από τη στιγμή που δεν το πράξουν, θα τους επιβάλλονται ποινές από την ήδη ιδρυθείσα Εθνική Αρχή Κυβερνοασφάλειας. Ωστόσο, πρόθεση της Αρχής δεν είναι -τουλάχιστον σε πρώτη φάση- η επιβολή ποινών, αλλά αντίθετα η συνεργασία με τις επιχειρήσεις και τους Οργανισμούς προκειμένου από κοινού να δημιουργηθεί ένα ασφαλέστερο περιβάλλον απέναντι σ' έναν κίνδυνο που αυξάνεται με αλματώδεις ρυθμούς. Πέραν αυτού, το μέσο κόστος που προκαλούν οι κυβερνοεπιθέσεις είναι πολύ μεγάλο, ενώ επιπρόσθετα μπορούν να πλήξουν τόσο την αξιοπιστία, όσο και τη φήμη μιας επιχείρησης.

Με βάση τη νέα Κοινοτική Οδηγία, οι επιχειρήσεις θα πρέπει να έχουν εκπονήσει ολοκληρωμένο σχέδιο για την προστασία τους έναντι κυβερνοεπιθέσεων, να ελέγχουν την υλοποίηση του σχεδίου αυτού (υπεύθυνα γι' αυτό θα είναι και τα μέλη του διοικητικού συμβουλίου), να το ανατροφοδοτούν και να το βελτιώνουν. Στόχος δεν είναι μόνο η αποφυγή πληγμάτων, αλλά επίσης η δυνατότητα ταχείας επιστροφής στην κανονικότητα σε περίπτωση κάποιου πλήγματος.

Σύμφωνα με τη Δήμητρα Ξηντάρα, Cyber Security and Privacy Senior Manager στην PwC Ελλάδας, η Οδηγία NIS είχε θέσει τις πρώτες κατευθύνσεις, ωστόσο οι διαφορετικές απαιτήσεις που υπήρξαν μεταξύ των κρατών μελών και οι αποκλίσεις των φορέων που υπάγονταν σ' αυτή προκάλεσαν ανισορροπία στην Ευρωπαϊκή Ένωση, λόγω των ηπιότερων απαιτήσεων κάποιων εξ αυτών. Ως εκ τούτου, τα κράτη μέλη καλούνται μέχρι τις 17 Οκτωβρίου 2024 να εναρμονιστούν με τη νέα Οδηγία NIS2, η οποία αυστηροποιεί τα μέτρα προστασίας, αυξάνει το πεδίο εφαρμογής, θέτει υψηλά πρόστιμα και ορίζει ευθύνες στη διοίκηση των Οργανισμών. Βάσει της νέας αυτής οδηγίας, τα διευθυντικά στελέχη οφείλουν να διαθέτουν επαρκείς γνώσεις στα θέματα κυβερνοασφάλειας προκειμένου να εγκρίνουν τα μέτρα και να επιβλέπουν τη εφαρμογή τους, ενώ παράλληλα τυχόν αμέλειά τους δύναται να οδηγήσει ακόμα και σε προσωρινή απαγόρευση της άσκησης των διευθυντικών τους καθηκόντων.

Από την πλευρά της, η πρόεδρος του NED Club Λήδα Κοντογιάννη θεωρεί πως θα μπορούσαμε να συνοψίσουμε σε πέντε τα βασικά σημεία που αφορούν τα μέλη διοικητικού συμβουλίου.

Πρώτον, η κυβερνοασφάλεια είναι στρατηγικός λειτουργικός κίνδυνος και όχι μόνο κίνδυνος των πληροφοριακών συστημάτων.

Δεύτερον, η κυβερνοασφάλεια επιφέρει νομικές υποχρεώσεις και υποχρεώσεις δημοσιοποίησης προς τις αρχές. Σήμερα η δημοσιοποίηση προς το ευρύτερο κοινό αποτελεί ένα αρκετά δύσκολο σημείο ως προς την αντιμετώπισή του, καθώς θα πρέπει να βρεθεί η χρυσή τομή μεταξύ μη δημοσιοποίησης ευαίσθητων πληροφοριών και ικανοποίησης των οίκων αξιολόγησης ESG raters. Στις διάφορες αξιολογήσεις ESG που συμμετέχουν οι εταιρείες, έχουν προστεθεί θέματα και ζητούνται στοιχεία που αφορούν την κυβερνοασφάλεια και την ασφάλεια των πληροφοριών.

Τρίτον, τα διοικητικά συμβούλια θα πρέπει να έχουν επαρκή πρόσβαση σε ειδικούς και να συζητούν τακτικά -αφιερώνοντας επαρκή χρόνο στις συνεδριάσεις τους- τα συγκεκριμένα θέματα.

Τέταρτον, αποτελεί ευθύνη του ΔΣ να έχει θεσπίσει και να εφαρμόζει η διοίκηση ένα πλαίσιο διαχείρισης κινδύνων σε επίπεδο επιχείρησης, με επαρκή προϋπολογισμό και στελέχωση.

Τέλος, σε ό,τι αφορά τις μετρήσεις και τις εκθέσεις για την κυβερνοασφάλεια, οι συζητήσεις μεταξύ διοίκησης και ΔΣ σχετικά με τους κυβερνοκινδύνους πρέπει να περιλαμβάνουν την αναγνώριση και τον προσδιορισμό της οικονομικής επίπτωσης του κυβερνοκινδύνου και ποιους κινδύνους να αποδεχτούν, να μειώσουν ή να μεταφέρουν, όπως πχ μέσω ασφαλίστρων.