Μια από τις μεγαλύτερες προκλήσεις της ψηφιακής πλέον εποχής μας, είναι αναμφισβήτητα η ασφάλεια στον κυβερνοχώρο, με τις επιπτώσεις της απερισκεψίας και της άγνοιας να είναι ολοένα βαρύτερες, έως και καταστροφικές για ιδιώτες, επιχειρήσεις και οργανισμούς. Βεβαίως, λαμβάνονται μέτρα τόσο σε εθνικό, όσο και σε ευρωπαϊκό (για να μείνουμε στην ήπειρό μας) επίπεδο, αλλά τα πάντα εξαρτώνται κυρίως από τη δική μας προσοχή και προφυλάξεις, σε προσωπικό επίπεδο. Για να θέσει και το τυπικό πλαίσιο, στα θέματα της κυβερνοασφάλειας, η ΕΕ ανανέωσε πρόσφατα (στα μέσα Δεκεμβρίου) και επικαιροποίησε, λαμβάνοντας υπόψιν τις τελευταίες εξελίξεις σ’ αυτόν τον αδιάκοπο πόλεμο, τη σχετική οδηγία που καλύπτει σφαιρικά όλα αυτά τα θέματα.

Η NIS 2 (Network & Information Security Directive), που θα ενσωματωθεί στα αντίστοιχα εθνικά πλαίσια και θα εφαρμοστεί υποχρεωτικά μέσα στους επόμενους 20 μήνες, έχει ως στόχο «την περαιτέρω βελτίωση της ανθεκτικότητας και των ικανοτήτων αντιμετώπισης περιστατικών, τόσο του δημόσιου και του ιδιωτικού τομέα, όσο και της ΕΕ στο σύνολό της», αντικαθιστώντας τη NIS του ’18, που εξεμέτρησε τον βίο και τις αντοχές της, λόγω των ραγδαίων εξελίξεων, ειδικά μετά την τριετή πανδημία. «Είναι βέβαιο ότι η ασφάλεια στον κυβερνοχώρο θα εξακολουθήσει να αποτελεί βασική πρόκληση και τα επόμενα χρόνια. Τα διακύβευμα για τις οικονομίες και τους πολίτες μας είναι τεράστιο. Σήμερα κάναμε ένα ακόμη βήμα για να βελτιώσουμε την ικανότητά μας να αντιμετωπίσουμε αυτή την απειλή», τόνισε ανακοινώνοντας την ψήφιση της οδηγίας, στα τέλη Νοεμβρίου ο Αντιπρόεδρος της Κυβέρνησης της Τσεχίας, αρμόδιος για την Ψηφιοποίηση και την Περιφερειακή Ανάπτυξη, Ivan Bartoš, που είχε τότε την προεδρεία του Συμβουλίου Υπουργών της ΕΕ.

Συνεργασία στη διαχείριση κινδύνων
Η NIS 2 θέτει τα θεμέλια για τον καθορισμό μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας και υποχρεώσεων αναφοράς περιστατικών σε όλους τους (κρίσιμους, κυρίως) τομείς τους οποίους καλύπτει, όπως η ενέργεια, οι μεταφορές, η υγεία και οι ψηφιακές υποδομές. Η αναθεωρημένη οδηγία αποσκοπεί στην εναρμόνιση των απαιτήσεων κυβερνοασφάλειας και της εφαρμογής μέτρων στα διάφορα κράτη-μέλη, θέτοντας τους ελάχιστους κανόνες για ένα κανονιστικό πλαίσιο και θεσπίζοντας τους αναγκαίους μηχανισμούς με στόχο την αποτελεσματική συνεργασία μεταξύ των αρμόδιων αρχών των κρατών-μελών. Επίσης, επικαιροποιεί τον κατάλογο των (πρακτικά αλληλένδετων, σε διεθνές επίπεδο) τομέων και δραστηριοτήτων που υπόκεινται σε υποχρεώσεις στον τομέα της κυβερνοασφάλειας, ενώ προβλέπει διορθωτικά μέτρα, αλλά και κυρώσεις όπου δει, προκειμένου να διασφαλιστεί η τήρηση των υποχρεώσεων. Με τη νέα οδηγία θεσπίζεται πλέον επίσημα το ευρωπαϊκό δίκτυο οργανώσεων διασύνδεσης για τις κρίσεις στον κυβερνοχώρο (EU-CyCLONe), το οποίο θα στηρίζει τη συντονισμένη διαχείριση περιστατικών και κρίσεων κυβερνοασφάλειας μεγάλης κλίμακας.

Παράλληλα, διευρύνεται αισθητά το πεδίο εφαρμογής των νέων κανόνων καθώς, σε αντίθεση με το παρελθόν, όπου κάθε κράτος-μέλος όριζε εκείνο τα κριτήρια για τους «φορείς εκμετάλλευσης βασικών υπηρεσιών», με τη NIS 2 εισάγεται το όριο του μεγέθους ως γενικός κανόνας για τον προσδιορισμό των ρυθμιζόμενων οντοτήτων. Αυτό σημαίνει ότι όλες οι μεσαίες και μεγάλες οντότητες που δραστηριοποιούνται σε τομείς ή παρέχουν υπηρεσίες οι οποίες καλύπτονται από την οδηγία, θα εμπίπτουν στο πεδίο εφαρμογής της, εξαιρουμένων μόνο όσων έχουν ως αντικείμενο την εθνική άμυνα, τη δημόσια ασφάλεια και επιβολή του νόμου και τη δικαιοσύνη, ενώ εκτός μένουν επίσης τα Κοινοβούλια και οι Κεντρικές Τράπεζες.

Κινήσεις και στις ΗΠΑ
Ανάλογες κινήσεις και μάλιστα την ίδια εποχή (Νοέμβρη του ’22) είχαμε και στις ΗΠΑ, με την ενεργοποίηση εκ μέρους της CISA (Cybersecurity & Infrastructure Security Agency) της Binding Operational Directive 23 01 (BOD 23 01), οδηγίας η οποία απαιτεί απ’ όλες τις ομοσπονδιακές αρχές και υπηρεσίες να ελέγχουν σχολαστικά τόσο τις ψηφιακές συσκευές με το συνοδευτικό λογισμικό που χρησιμοποιούν στην καθημερινότητά τους, όσο και τις δικτυακές υποδομές τους, για τυχόν τρωτά σημεία που θα μπορούσαν να αξιοποιήσουν ως «κερκόπορτες» οι κυβερνο-εγκληματίες. Αν και, επισήμως, η Οδηγία της έχει ως αποδέκτη τις ομοσπονδιακές υπηρεσίες, η CISA κάλεσε επίσης τους οργανισμούς και τις επιχειρήσεις του ιδιωτικού τομέα κάνουν το ίδιο, ελέγχοντας ξανά και ξανά τον ψηφιακό εξοπλισμό τους, καθώς ο κίνδυνος είναι κοινός και πανταχού παρών.