Υπηρεσίες NIS2 & DORA

ΕΤΑΙΡΙΚΉ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΙΣ ΝΕΕΣ ΚΑΝΟΝΙΣΤΙΚΕΣ ΡΥΘΜΙΣΕΙΣ

 

NIS 2 (NETWORK AND INFORMATION SECURITY DIRECTIVE 2)

Η νέα οδηγία NIS2 στοχεύει στην ενίσχυση της κυβερνοασφάλειας στις κρίσιμες υποδομές

Βασικές αλλαγές/απαιτήσεις σε σχέση με την προγενέστερη NIS:

  • Επέκταση του πεδίου εφαρμογής
  • Αυστηρότερες απαιτήσεις υποχρεωτικής αναφοράς περιστατικών Ασφάλειας Πληροφοριών
  • Αύξηση ποινών για μη συμμόρφωση
  • Ευθύνη της Διοίκησης των οργανισμών / εταιριών

Τομείς εφαρμογής:

  • Ενέργεια, Μεταφορές, Υγεία, Ψηφιακές υποδομές, Τραπεζικό Σύστημα, Δημόσια Διοίκηση κ.α

NIS 2 (NETWORK AND INFORMATION SECURITY DIRECTIVE 2)

Απαιτήσεις από τους οργανισμούς/εταιρίες λήψης μέτρων υψηλού επιπέδου για την κυβερνοασφάλεια:

  • Υποχρεωτική Διαχείριση Κινδύνων Κυβερνοασφάλειας
  • Υποχρεωτική Αναφορά Περιστατικών στην Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ)

Υποχρέωση για έγκαιρη εντός 24 ωρών προειδοποίηση που ακολουθείται από μια πληρέστερη ενημέρωση για το περιστατικό εντός 72 ωρών από τη γνώση του

  • Υποχρέωση ορισμού Υπεύθυνου Ασφαλείας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε), CISO

Επιπτώσεις για την εταιρία από τη μη συμμόρφωση:

  • Υψηλά Διοικητικά πρόστιμα έως 10 εκατ. ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης κατά το προηγούμενο οικονομικό έτος, ανάλογα με το ποιο είναι υψηλότερο
  • Προσωρινή αναστολή πιστοποίησης που αφορά μέρος ή το σύνολο των σχετικών υπηρεσιών ICT, προσωρινή απαγόρευση σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων

Η ευθύνη από τους Υπεύθυνους Ασφαλείας των Πληροφοριακών Συστημάτων μεταφέρεται πλέον στη Διοίκηση της εταιρίας

D.O.R.A. (DIGITAL OPERATIONAL RESILIENCE ACT)

Η D.O.R.A διασφαλίζει την επιχειρησιακή ανθεκτικότητα στον χρηματοοικονομικό τομέα

Βασικές απαιτήσεις:

  • Διαχείριση κινδύνων ΤΠΕ
  • Αξιολογήσεις και δοκιμές ανθεκτικότητας
  • Διαχείριση κινδύνων από τρίτους παρόχους

Εφαρμογή αποκλειστικά στο χρηματοπιστωτικό τομέα (τράπεζες, ασφαλιστικές εταιρείες, παρόχους πληρωμών, κ.α)

D.O.R.A. (DIGITAL OPERATIONAL RESILIENCE ACT)

Απαιτήσεις από τους οργανισμούς/εταιρίες λήψης μέτρων υψηλού επιπέδου για την κυβερνοασφάλεια:

  • Πλαίσιο Διαχείρισης Κινδύνων ΤΠΕ
  • Διαχείριση Περιστατικών Κυβερνοασφάλειας
  • Συνεργασία και έλεγχο Τρίτων Παρόχων
  • Ασκήσεις ανθεκτικότητας
  • Επενδύσεις σε ανθεκτικότητα (πχ. Συστήματα backup, disaster recovery, ασφαλείς αρχιτεκτονικές, κ.α)

 

Σημαντικές ημερομηνίες:

NIS2

  • Κατάργηση της NIS1 Οκτώβριος 2024
  • Ψήφιση του Νόμου 5160/2024 με ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση (Νοέμβριος 2024)
  • Ισχύς της NIS2 Νοέμβριος 2024 και προσαρμογή των Οργανισμών / Εταιριών (1έτος μετά) έως τον Νοέμβριο 2025

D.O.R.A

  • Ψήφιση Ιανουάριος 2023 και ισχύς από τον Ιανουάριο 2025

 

Η MOTIVE ΣΥΜΒΟΥΛΕΥΤΙΚΉ

Η έμπειρη ομάδα της Motive Συμβουλευτικής παρέχει εξειδικευμένες υπηρεσίες για την προσαρμογή των Οργανισμών / Εταιριών:

  • Αξιολόγηση της απόκλισης (Gap Assessment) της συμμόρφωσης της εταιρίας με NIS2/DORA
  • Action Plan για την προσαρμογή της εταιρίας στις νέες κανονιστικές απαιτήσεις
  • Υποστήριξη στην προσαρμογή της εταιρίας , με δημιουργία ή/και αλλαγές στις εταιρικές πολιτικές και διαδικασίες που αφορούν την Κυβερνοασφάλεια (Πολιτικές/Διαδικασίες ISO 27001, κ.α)
  • Εκπαίδευση προσωπικού σε θέματα Κυβερνοασφάλειας (Πολιτικές, Διαδικασίες, ISMS)
  • Υπηρεσίες Υπεύθυνου Ασφαλείας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε), CISO

 

Υπηρεσίες ΥΑΣΠΕ / CISO-as-a-Service

ΣΥΜΜΌΡΦΩΣΗ & ΕΠΙΧΕΙΡΗΣΙΑΚΉ ΚΥΒΕΡΝΟΑΝΘΕΚΤΙΚΌΤΗΤΑ (Ν. 5160/2024 – NIS2)

 

> NIS2: από “IT θέμα” σε “Διοικητική Ευθύνη”

Απαιτήσεις για τις βασικές & σημαντικές οντότητες (Οργανισμούς-Επιχειρήσεις)

  • Ενισχυμένη λογοδοσία της Διοίκησης: πολιτικές, πόροι, παρακολούθηση συμμόρφωσης
  • Υποχρεωτικός ρόλος ΥΑΣΠΕ (CISO) και λειτουργία ομάδας κυβερνοασφάλειας
  • Συνεχής διαχείριση κινδύνων, ετοιμότητα για επιθεωρήσεις και αναφορές περιστατικών
  • Ασφάλεια εφοδιαστικής αλυσίδας (thirdparty risk) και αποδείξεις εφαρμογής controls/μέτρων

 

Ο ρόλος Υπεύθυνος Ασφαλείας Συστημάτων Πληροφορικής και Επικοινωνιών (ΥΑΣΠΕ)

 

ΥΑΣΠΕ: Chief Information Security Manager “CISO” της επιχείρησης

Ρόλος διακυβέρνησης, συντονισμού και συμμόρφωσης

 

Κρίσιμες ευθύνες

  • Εποπτεία μέτρων κυβερνοασφάλειας
  • Συντονισμός συμμόρφωσης με NIS2 & Εθνικό Πλαίσιο
  • Επικοινωνία με Ελληνική Αρχή Κυβερνοασφάλειας (ΕΑΚ)/CSIRT
  • Συμμετοχή σε συνεδριάσεις της Διοίκησης και Reporting για θέματα κυβερνοασφάλειας

 

Ασυμβίβαστα (ενδεικτικά)

  • Δεν δύναται να αναλάβει τον ρόλο IT Manager/IT Director /Υπεύθυνος ΤΠΕ
  • Δεν δύναται να αναλάβει τον ρόλο Υπεύθυνος Προστασίας Δεδομένων (DPO)
  • Απαιτείται ανεξαρτησία & πρόσβαση στη Διοίκηση

 

Απαιτήσεις από τις Αρχές στην πράξη

Τεκμηρίωση + λειτουργική εφαρμογή: πολιτικές, risk assessment, διαδικασίες incident/BCP, εκπαίδευση, logs, αξιολογήσεις προμηθευτών, evidence pack για ελέγχους.

 

Η MOTIVE ΣΥΜΒΟΥΛΕΥΤΙΚΉ

 

ΥΑΣΠΕ Support + CISOaaS

Η έμπειρη ομάδα της Motive Συμβουλευτικής παρέχει εξειδικευμένες υπηρεσίες  μέσω ενός ενιαίου λειτουργικού μοντέλου για συμμόρφωση και κυβερνοασφάλεια ΥΑΣΠΕ Support

  • Κάλυψη νομικών/λειτουργικών υποχρεώσεων
  • Εποπτεία εφαρμογής πολιτικής κυβερνοασφάλειας
  • Συντονισμός risk management και σχέδιο αντιμετώπισης
  • Επικοινωνία με ΕΑΚ/CSIRT και διαχείριση αιτημάτων
  • Ετοιμότητα επιθεώρησης: evidence pack & υποστήριξη ελέγχων
  • Εκπαίδευση Διοίκησης/προσωπικού & κουλτούρα ασφάλειας πληροφοριών
  • Supply chain security: προμήθειες, συμβάσεις, αξιολογήσεις
  • BCP/DR: οργάνωση, δοκιμές, lessons learned
  • Διοικητικές αναφορές: KPIs, προτεραιοποίηση, επενδύσεις