Προετοιμασία για το NIS2: Πλοήγηση στη διασταύρωση του νόμου στον κυβερνοχώρο και του DORA

Security

Προετοιμασία για το NIS2: Πλοήγηση στη διασταύρωση του νόμου στον κυβερνοχώρο και του DORA

10 Οκτωβρίου, 2023

Στο συνεχώς εξελισσόμενο τοπίο των κανονισμών για την κυβερνοασφάλεια, οι επιχειρήσεις που καλύπτουν διάφορους τομείς καλούνται να αξιολογήσουν προσεκτικά τις επιπτώσεις της επικείμενης νομοθεσίας της ΕΕ για την ασφάλεια στον κυβερνοχώρο, γνωστή ως NIS2. Καθώς πλησιάζουμε την αντίστροφη μέτρηση ενός έτους για την προθεσμία εφαρμογής του, νομικοί εμπειρογνώμονες στο Pinsent Masons τονίζουν τη σημασία των προληπτικών μέτρων συμμόρφωσης και την κατανόηση του τρόπου με τον οποίο το NIS2 αλληλεπιδρά με το Digital Operational Resilience Act (DORA).

Το NIS2, συντομογραφία της δεύτερης Οδηγίας για την Ασφάλεια Δικτύων και Πληροφοριών, τέθηκε σε ισχύ σε ολόκληρη την Ευρωπαϊκή Ένωση τον Ιανουάριο του τρέχοντος έτους. Ωστόσο, τα κράτη μέλη της ΕΕ έχουν προθεσμία έως τις 17 Οκτωβρίου 2024 για να το ενσωματώσουν πλήρως στα εθνικά νομικά τους πλαίσια. Αυτή η οδηγία ενισχύει τις υφιστάμενες απαιτήσεις κυβερνοασφάλειας για οργανισμούς που υπόκεινταν στην αρχική Οδηγία NIS. Επιπλέον, πολλοί οργανισμοί που δεν εμπίπτουν προηγουμένως στο πεδίο εφαρμογής των αρχικών κανόνων θα βρεθούν τώρα υπό τους νέους κανονισμούς. Αυτοί οι νέοι κανόνες, μεταξύ άλλων, υπογραμμίζουν τη σημασία της διακυβέρνησης σε επίπεδο συμβουλίου για τη διαχείριση των κινδύνων στον κυβερνοχώρο και τη διασφάλιση ισχυρών προτύπων κυβερνοασφάλειας σε όλη την αλυσίδα εφοδιασμού.

Οι Stuart Davey, Luke Scanlon και Dragana Dujak, νομικοί εμπειρογνώμονες στο Pinsent Masons, τονίζουν ότι το επικείμενο ορόσημο ενός έτους για το NIS2 χρησιμεύει ως κρίσιμος καταλύτης για τις επιχειρήσεις να αναλάβουν δράση για την ενίσχυση των προγραμμάτων συμμόρφωσής τους. Μια βασική πρόκληση έγκειται στην κατανόηση του τρόπου με τον οποίο το NIS2 θα εφαρμοστεί συγκεκριμένα σε κάθε οργανισμό.

Οι Davey και Scanlon επισημαίνουν τις πρόσφατες οδηγίες που εξέδωσε η Ευρωπαϊκή Επιτροπή ως πολύτιμη πηγή για τα χρηματοπιστωτικά ιδρύματα και τους τεχνολογικούς εταίρους τους. Αυτή η καθοδήγηση διευκρινίζει την περίπλοκη σχέση μεταξύ NIS2 και DORA, ενός άλλου μελλοντικού νομοθετικού πλαισίου της ΕΕ.

Το DORA, το οποίο οριστικοποιήθηκε από τους νομοθέτες της ΕΕ τον Νοέμβριο, πρόκειται να τεθεί σε ισχύ στις 17 Ιανουαρίου 2025. Εφαρμόζεται σε ένα ευρύ φάσμα οντοτήτων, συμπεριλαμβανομένων τραπεζών, ασφαλιστικών εταιρειών, διαχειριστών επενδυτικών κεφαλαίων, ιδρυμάτων ηλεκτρονικού χρήματος, παρόχων υπηρεσιών κρυπτονομισμάτων, πλατφόρμες crowdfunding και εταιρείες επενδύσεων. Ορισμένες διατάξεις του DORA επηρεάζουν επίσης άμεσα ορισμένους κρίσιμους third-party παρόχους υπηρεσιών ICT, ενώ όλοι οι πάροχοι υπηρεσιών ICT που συνάπτουν συμβάσεις με χρηματοοικονομικές οντότητες που καλύπτονται από το DORA πρέπει να τηρούν τις υποχρεώσεις συμμόρφωσης που ορίζονται στις συμβατικές τους συμφωνίες.

Το DORA στοχεύει κυρίως να ενισχύσει την ανθεκτικότητα των επιχειρήσεων σε κινδύνους που σχετίζονται με την τεχνολογία, συμπεριλαμβανομένων των διαταραχών στις λειτουργίες και της απώλειας δεδομένων που προέρχονται από απειλές στον κυβερνοχώρο.

Ο Stuart Davey εξηγεί, “Υπάρχει σημαντική επικάλυψη μεταξύ NIS2 και DORA, την οποία η Ευρωπαϊκή Επιτροπή εξέτασε στην καθοδήγησή της. Έχει καταστήσει σαφές ότι ορισμένες ειδικές διατάξεις του DORA έχουν προτεραιότητα, συμπεριλαμβανομένων εκείνων που σχετίζονται με τη διαχείριση κινδύνου ICT, τη διαχείριση συμβάντων, την ψηφιακή λειτουργικότητα δοκιμών ανθεκτικότητας, ρυθμίσεις ανταλλαγής πληροφοριών και κίνδυνος των third-party ICT. Επομένως, ισοδύναμες απαιτήσεις NIS2 δεν θα πρέπει να εφαρμόζονται σε αυτές τις επιχειρήσεις.”

Ο Luke Scanlon προσθέτει, “Η ευρεία εφαρμογή του DORA σε χρηματοοικονομικές υπηρεσίες σημαίνει ότι σχεδόν όλοι οι εξουσιοδοτημένοι πάροχοι χρηματοοικονομικών υπηρεσιών εντός του ΕΟΧ εμπίπτουν στο πεδίο εφαρμογής του. Δεδομένης της στενής σχέσης μεταξύ μέτρων που προωθούν την επιχειρησιακή ανθεκτικότητα και την ασφάλεια στον κυβερνοχώρο, το DORA θεσπίζει απαιτήσεις σχετικά με τη διακυβέρνηση, τους ελέγχους και την ασφάλεια στον κυβερνοχώρο, όπως επίσης και τις συμβατικές προστασίες».

Επιπλέον, η Dragana Dujak σημειώνει ότι το αντίκτυπο του NIS2 εκτείνεται πέρα από τις χρηματοοικονομικές υπηρεσίες, επηρεάζοντας ένα ευρύ φάσμα επιχειρήσεων, συμπεριλαμβανομένων των προμηθευτών. Σύμφωνα με το NIS2, οι “ουσιώδεις οντότητες” αντιμετωπίζουν τις πιο αυστηρές απαιτήσεις και την ολοκληρωμένη ρυθμιστική εποπτεία. Αυτό περιλαμβάνει τη δυνατότητα επιτόπιων επιθεωρήσεων και ανεξάρτητων ελέγχων ασφάλειας.

Ο ορισμός της «ουσιώδους οντότητας» στο NIS2 είναι ευρύτερος από εκείνον των «φορέων εκμετάλλευσης βασικών υπηρεσιών» σύμφωνα με την αρχική οδηγία NIS, και περιλαμβάνει οργανισμούς όπως φαρμακευτικές εταιρείες και φορείς εκμετάλλευσης που εμπλέκονται στην παραγωγή, αποθήκευση και μεταφορά υδρογόνου.

Επιπλέον, η έννοια της «ουσιαστικής οντότητας» επεκτείνεται επίσης σε ορισμένες επιχειρήσεις που υπόκεινταν στο παρελθόν σε ελαφρύτερα ρυθμιστικά πλαίσια, όπως οι πάροχοι υπολογιστών νέφους, οι πάροχοι υπηρεσιών κέντρων δεδομένων, οι πάροχοι διαχειριζόμενων υπηρεσιών και οι πάροχοι δικτύων παράδοσης περιεχομένου.

Για οργανισμούς που ταξινομούνται ως “σημαντικές οντότητες” σύμφωνα με το NIS2, υπάρχουν λιγότερο επαχθείς υποχρεώσεις τήρησης αρχείων όσον αφορά τα μέτρα κυβερνοασφάλειας. Αυτή η κατηγορία περιλαμβάνει όχι μόνο οντότητες που υπόκεινταν στο παρελθόν στην αρχική οδηγία NIS αλλά και διάφορους άλλους οργανισμούς, συμπεριλαμβανομένων κατασκευαστών υπολογιστών και οχημάτων, επιχειρήσεων παραγωγής και επεξεργασίας τροφίμων, χημικών εταιρειών και παρόχων διαχείρισης απορριμμάτων.

Ενώ το NIS2 παρέχει ορισμένες εξαιρέσεις, το πεδίο εφαρμογής του γενικά ισχύει για οργανισμούς που ταιριάζουν με τους ορισμούς των βασικών ή σημαντικών οντοτήτων με τουλάχιστον 50 υπαλλήλους ή/και ετήσιο κύκλο εργασιών τουλάχιστον 10 εκατ. ευρώ.

Ο Dujak τονίζει, “Οι φορείς εκμετάλλευσης υποδομών κρίσιμης σημασίας δεν πρέπει μόνο να λαμβάνουν υπόψη την ασφάλεια της εφοδιαστικής αλυσίδας όσον αφορά τα μέτρα κινδύνου, αλλά και να διασφαλίζουν την ασφάλεια των δικτύων ηλεκτρονικών επικοινωνιών των κρίσιμων προϊόντων τους, εάν οι προμηθευτές τους εμπίπτουν στο πεδίο εφαρμογής του NIS2.”

Είναι σημαντικό ότι το NIS2 δεν στέκεται μόνο του στη συνολική στρατηγική κυβερνοασφάλειας της ΕΕ. Είναι ένα κομμάτι ενός μεγαλύτερου παζλ που περιλαμβάνει άλλους κανονισμούς για την ασφάλεια στον κυβερνοχώρο, όπως ο προτεινόμενος νόμος για την ανθεκτικότητα στον κυβερνοχώρο, ο εκχωρημένος νόμος στην Οδηγία για τον ραδιοεξοπλισμό, ο κανονισμός για τα μηχανήματα και ο κανονισμός γενικής ασφάλειας προϊόντων.

Οι προμηθευτές ενθαρρύνονται να αξιολογούν τη συνάφεια αυτών των κανονισμών με τις επιχειρήσεις τους, καθώς ενδέχεται να επηρεάσουν τις απαιτήσεις κυβερνοασφάλειας στο πλαίσιο των συμβολαίων τους. Η κατανόηση αυτών των κανονισμών είναι απαραίτητη για την αποτελεσματική διαπραγμάτευση σε αυτά τα σημεία.

Εν κατακλείδι, καθώς το NIS2 πλησιάζει, οι επιχειρήσεις πρέπει να λάβουν προληπτικά μέτρα για να ευθυγραμμιστούν με τις απαιτήσεις του, ειδικά όταν δραστηριοποιούνται σε τομείς πέρα από τις χρηματοοικονομικές υπηρεσίες. Επιπλέον, θα πρέπει να παρακολουθούν στενά το εξελισσόμενο τοπίο των κανονισμών της ΕΕ για την κυβερνοασφάλεια για να διασφαλίσουν τη συμμόρφωση τους και να μετριάσουν αποτελεσματικά τους κινδύνους στον κυβερνοχώρο.