Μπορεί να τη χαρακτηρίζουν (ενίοτε, σκωπτικά) «νομοθέτη της υψηλής τεχνολογίας», όμως κανείς δεν αμφισβητεί πλέον πως η Ευρωπαϊκή Ένωση ανοίγει με τις Πράξεις, τους κανονισμούς και τις πρωτοβουλίες της δρόμους για τον αναγκαίο έλεγχο των αναδυομένων τεχνολογιών, με αιχμή του δόρατος την Τεχνητή Νοημοσύνη και την Κυβερνοασφάλεια. Κι αν στην πρώτη ο δρόμος είναι ακόμα μακρύς καθώς οι εξελίξεις είναι ραγδαίες και πολυεπίπεδες, στη δεύτερη όχι μόνο υπάρχει συγκεκριμένο (και εγκεκριμένο απ’ όλες τις χώρες-μέλη) πλαίσιο, αλλά και ιδιαίτερα σφικτό χρονοδιάγραμμα, με την πρώτη διορία, αυτή για την έναρξη ισχύος του κανονισμού NIS2, να λήγει στις 18 Οκτωβρίου.
«Θα προλάβουμε; Πού βρισκόμαστε;» ρωτήσαμε πριν από λίγες ημέρες, τον Ευάγγελο Ουζούνη, Policy Development Unit Head της Ευρωπαϊκής Υπηρεσίας Κυβερνοασφάλειας (ENISA), που μίλησε αποκλειστικά στο NetFax για την επόμενη ημέρα σ’ αυτόν τον τόσο ευαίσθητο τομέα. «Αρχικά να πούμε πως το deadline του Οκτωβρίου δεν ισχύει για το σύνολο του NIS2 – η εφαρμογή κάποιων άρθρων του προβλέπεται αργότερα. Όμως, είναι αλήθεια πως οι περισσότερες χώρες, μεταξύ των οποίων και η Ελλάδα, θα χρειαστούν πρόσθετο χρόνο».
Ανοχή, όχι παράταση
«Επίσημα, παράταση δεν νομίζω να υπάρξει. Ανεπίσημα, όμως, θα υπάρχει μια ανοχή για διάφορους λόγους -υπάρχουν ακόμα κάποιες μικρο-ασάφειες, αλλά και κάποιες χώρες βρέθηκαν σε διαδικασία εκλογών, οπότε θέλουν τον χρόνο τους, καθώς διευρύνεται αισθητά ο αριθμός των εταιρειών που πλέον θα ελέγχονται. Κι αν στην Ελλάδα μιλάμε για περίπου 2.000 εταιρίες, σκεφτείτε πόσες δεκάδες χιλιάδες είναι στη Γερμανία… Φαντάζομαι, λοιπόν, πως η Επιτροπή θα είναι ανεκτική, αλλά όχι de facto… Από τους 27, μονάχα το Βέλγιο και η Κροατία έχουν επισήμως ανακοινώσει την ολοκλήρωση αυτής της διαδικασίας». Όσο για τον έλεγχο… «Η Αρχή Κυβερνοασφάλειας κάθε χώρας θα πρέπει να φέρει το ανάλογο νομοσχέδιο στο Κοινοβούλιο (ΣΣ. τούτες τις μέρες, ξεκινάει η διαβούλευση για το δικό μας, όπως ανακοίνωσε σε πρόσφατη ημερίδα ο διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας, Μιχάλης Μπλέτσας), όπως επίσης θα έχει τη συνολική αρμοδιότητα και αποκλειστική ευθύνη για την επιβολή του. Προφανώς, σε συνεργασία με άλλες Αρχές και οργανισμούς…».
Διαφορετική περίπτωση
Όμως, το DORA, που αφορά κυρίως στα θέματα κυβερνοασφάλειας στους χρηματοπιστωτικούς οργανισμούς, είναι -όπως επισημαίνει ο κ. Ουζούνης- μια διαφορετική περίπτωση. «Εδώ έχουν εμπλακεί κι άλλες Αρχές – πχ. οι ρυθμιστικές αρχές που ασχολούνται με τον (έτσι κι αλλιώς, καλά ρυθμισμένο) χώρο του Finance, όπως η ΤτΕ. Για την εφαρμογή του υπάρχουν διάφορες ημερομηνίες, όσον αφορά στους δευτερογενείς νόμους (Secondary Laws), οι οποίοι έχουν προταθεί σε διαβούλευση (ξεκινάει αυτές τις ημέρες) και θα βγαίνουν σταδιακά, σε batch. Η διαπραγμάτευση του NIS2 και του DORA είχε γίνει από κοινού, με στόχο την ταυτόχρονη ισχύ τους, καθώς υπάρχουν σημαντικές αλληλοεπιδράσεις που απαιτούν εναρμόνιση των δυο. Θα δούμε, λοιπόν, σε ποια σημεία απαιτεί συντονισμένες προσπάθειες και θα επέμβουμε, αναλόγως. Ο ENISA συμμετέχει και στα δυο instruments – στο NIS2 προφανώς με μεγάλο, σημαντικό ρόλο, αλλά και στο DORA, όπου γνωμοδοτούμε για πολλά θέματα. Επίσης, πρόσφατα υπογράψαμε κι ένα MoU με τις τρεις ευρωπαϊκές ρυθμιστικές αρχές, με τις οποίες έχουμε στενή συνεργασία, προκειμένου να συμβάλουμε στην υλοποίηση του DORA».
Μεταβαλλόμενο οικοσύστημα
Η συζήτηση με το ανώτερο στέλεχος της ENISA δεν περιορίστηκε μονάχα σ’ αυτά τα δυο θέματα, αλλά επεκτάθηκε στο γενικότερο κυβερνο-οικοσύστημα, που μεταβάλλεται διαρκώς. Έτσι συζητήσαμε, για Cybersecurity-by-Design («θεωρώ βέβαιο ότι η νέα Επιτροπή θα επιταχύνει τις εξελίξεις και πιθανότατα θα προσθέσει και το privacy-by-design”, στο Cyber Resilience Act), για Cybersecurity & AI («αξιοποιούμε την Τεχνητή Νοημοσύνη για καλύτερη κυβερνο-προστασία μας παντού, περιλαμβάνοντας τον ευρύτερο χώρο του smart everything – από αυτόνομα οχήματα έως ΙοΤ, με ιδιαίτερη προσοχή στις δράσεις με υψηλό επίπεδο ρίσκου»), αλλά και για το πανταχού παρόν έλλειμμα δεξιοτήτων («Κάτι πρέπει να κάνουμε γι’ αυτό – η Ελλάδα πρέπει να δημιουργήσει μια Cybersecurity Academy. Όλοι οι φορείς, επαγγελματικοί, ακαδημαϊκοί κι όπου μπορούμε κι εμείς, πρέπει να συνεργαστούμε για τη δημιουργία της»).
Την καλύτερη «ατάκα», όμως, ο κ. Ουζούνης την φύλαγε για το τέλος: «Η κυβερνοασφάλεια, ξέρετε, κολλάει στην ψυχοσύνθεση του Έλληνα! Μεγαλώνοντας σε ένα χαοτικό περιβάλλον, μπορεί και προσαρμόζεται εύκολα, μηχανεύεται λύσεις, του πάει σαν κουλτούρα!».