Σύμφωνα με την ετήσια έκθεση Global Risk Report 2023 του Παγκόσμιου Οικονομικού Φόρουμ, οι κυβερνοεπιθέσεις συνιστούν πλέον έναν από τους πέντε σημαντικότερους κινδύνους σε παγκόσμιο επίπεδο για τον σύγχρονο κόσμο. Πράγματι, οι παγκόσμιες γεωπολιτικές και τεχνολογικές εξελίξεις έχουν αυξήσει τις επιθέσεις με χρήση λυτρισμικού («ransomware») ή χρήση εργαλείων που στοχεύουν στην πρόκληση πλήγματος σε εταιρίες πληροφορικής, χρηματοπιστωτικών υπηρεσιών, συστημάτων μεταφορών και υποδομές επικοινωνιών. Ενδεικτική της κλίμακας των απειλών είναι η αναγωγή του «cybercrime as a service», παράλληλα με το «phishing as a service», τα οποία παρέχονται ως ολοκληρωμένες υπηρεσίες κυβερνοεγκλήματος έναντι αμοιβής στο σκοτεινό διαδίκτυο και όχι μόνο.
Από τη σκοπιά του δικαίου, ο ψηφιακός μετασχηματισμός της οικονομίας και της κοινωνίας και η παρεπόμενη αναβάθμιση της σημασίας των κυβερνοαπειλών για τους δημόσιους και ιδιωτικούς φορείς έχουν καταστήσει την ασφάλεια των πληροφοριών βασικό έννομο αγαθό της ψηφιακής εποχής. Στο κοινωνικο-οικονομικό αυτό πλαίσιο, αναδύεται ένας νεοπαγής τομέας δικαίου, το δίκαιο κυβερνοασφάλειας, με διακριτές νομικές έννοιες, αρχές και συστηματικότητα.
Οι Εξελίξεις σε Ενωσιακό και Εθνικό Επίπεδο
Η κυβερνοασφάλεια του δημόσιου και ιδιωτικού τομέα στην ενιαία Ευρωπαϊκή αγορά αποτελεί προτεραιότητα για την Ευρωπαϊκή Ένωση στο πλαίσιο του στρατηγικού της στόχου να καταστεί παγκόσμιος ηγέτης στην ψηφιακή εποχή.
Στο πλαίσιο αυτό, τα θεσμικά όργανα της ΕΕ έχουν υιοθετήσει διάφορες πρωτοβουλίες σε επίπεδο πολιτικών και νομοθετικών πράξεων. Οι κύριες εξελίξεις στο επίπεδο της Ενωσιακής νομοθεσίας για την κυβερνοασφάλεια είναι οι εξής:
- Οδηγία NIS 2 (προθεσμία ενσωμάτωσης – Οκτώβριος 2024): Η νέα Οδηγία για την ασφάλεια των δικτύων και των συστημάτων πληροφοριών αποτελεί νομοθεσία / τομή για το επίπεδο κυβερνοασφάλειας σε όλη την ΕΕ, αφού επεκτείνει το πεδίο εφαρμογής των υποχρεώσεων κυβερνοασφάλειας σε μεγάλο κομμάτι της οικονομίας (περίπου 2.000 ιδιωτικούς φορείς στην Ελλάδα), αναβαθμίζει τις απαιτήσεις διαχείρισης κινδύνων και αναφοράς συμβάντων κυβερνοασφάλειας και ενισχύει τις αρμοδιότητες των εθνικών εποπτικών αρχών.
- Οδηγία CERD (προθεσμία ενσωμάτωσης – Ιανουάριος 2026): Με την νέα Οδηγία για την ανθεκτικότητα των κρίσιμων οντοτήτων τίθεται σε ισχύ ένα εναρμονισμένο πλαίσιο κανόνων για την ενίσχυση της ανθεκτικότητας των κρίσιμων οντοτήτων στην ευρωπαϊκή εσωτερική αγορά. Σύμφωνα με τις διατάξεις της, οι κρίσιμες οντότητες οφείλουν να διεξάγουν αξιολογήσεις αναφορικά με τους κινδύνους που θα μπορούσαν να διαταράξουν την παροχή των βασικών υπηρεσιών, να λάβουν τα κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για την διασφάλιση της ανθεκτικότητάς τους, να ενημερώσουν τους αρμόδιους φορείς άμεσα για περιστατικά που θα μπορούσαν να επηρεάσουν τις βασικές τους υπηρεσίες κ.α.
- Κανονισμός DORA (θέση σε εφαρμογή – Ιανουάριος 2025): Ο Κανονισμός (ΕΕ) 2022/2554 με τίτλο «Πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα στον χρηματοπιστωτικό τομέα» συνιστά την πιο αναβαθμισμένη τομεακή («sector-specific») νομοθεσία κυβερνοασφάλειας με πεδίο εφαρμογής τον χρηματοπιστωτικό τομέα. Με τον νέο Κανονισμό εισάγονται απαιτήσεις για τα χρηματοπιστωτικά ιδρύματα σχετικά με την εφαρμογή ενός προηγμένου πλαισίου κυβερνοασφάλειας, την αναφορά συμβάντων ΤΠΕ, τη δοκιμή ψηφιακής επιχειρησιακής ανθεκτικότητας και τη διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ.
- Ευρωπαϊκό Σχήμα Πιστοποίησης Κυβερνοασφάλειας για τις Υπηρεσίες Cloud (EUCS) : Με την Πράξη για την Κυβερνοασφάλεια, που τέθηκε σε ισχύ τον Ιούλιο του 2019, επανασυστήθηκε ο ENISA με διευρυμένες αρμοδιότητες και τέθηκε το πλαίσιο για την έγκριση σχημάτων πιστοποίησης κυβερνοασφάλειας σε Ενωσιακό επίπεδο. Σύμφωνα με το άρθρο 48.2 της Πράξης, ο ENISA έχει προτείνει το σχήμα πιστοποίησης EUCS, που αναμένεται να ενισχύσει σημαντικά το επίπεδο ασφάλειας των υπηρεσιών cloud που παρέχονται στην ενιαία αγορά της ΕΕ και βρίσκεται στη φάση της έγκρισής του από την Ευρωπαϊκή Επιτροπή.
- Πρόταση Πράξης για την Κυβερνοανθεκτικότητα: Με τον νέο αυτόν Κανονισμό θα επιβληθούν οριζόντιες απαιτήσεις κυβερνοασφάλειας για τα προϊόντα υλικού και λογισμικού με ψηφιακά στοιχεία, με σκοπό την ενίσχυση της ασφάλειας των εν λόγω προϊόντων στην εσωτερική αγορά. Σύμφωνα με την Πράξη, κατά τη διάθεση ενός προϊόντος με ψηφιακά στοιχεία στην αγορά, οι κατασκευαστές οφείλουν να διασφαλίζουν ότι το εν λόγω προϊόν έχει σχεδιαστεί, αναπτυχθεί, παραχθεί και λειτουργεί καθ’ όλο τον κύκλο ζωής του με γνώμονα τις βασικές απαιτήσεις για την κυβερνοασφάλεια, καθώς και να πραγματοποιούν αξιολόγηση συμμόρφωσης («conformity assessment») του προϊόντος πριν τη θέση σε κυκλοφορία.
Με την υιοθέτηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2020 – 2025 η Ελλάδα απέκτησε έναν οδικό χάρτη σε επίπεδο χάραξης πολιτικής για την αναβάθμιση των δυνατοτήτων της χώρας στον τομέα της κυβερνοασφάλειας.
«Είναι προφανές ότι η προστασία σε νομοθετικό επίπεδο δεν αρκεί για τη θωράκιση του δημόσιου και του ιδιωτικού τομέα έναντι των κυβερνοαπειλών. Στην κατεύθυνση αυτή η χώρα μας πρέπει να αναλάβει επειγόντως πρωτοβουλίες»
Επιπλέον, με τον Ν 4961/2022 ενισχύθηκε το θεσμικό πλαίσιο της κυβερνοασφάλειας στη χώρα με (α) την ανάδειξη της Εθνικής Αρχής Κυβερνοασφάλειας ως Εθνικής Αρχής Πιστοποίησης Κυβερνοασφάλειας και εθνικού κέντρου συντονισμού στο πλαίσιο του Ευρωπαϊκού Κέντρου Αρμοδιότητας για Βιομηχανικά, Τεχνολογικά και Ερευνητικά Θέματα Κυβερνοασφάλειας, (β) την σύσταση Παρατηρητηρίου Ανάλυσης Υβριδικών Απειλών, και (γ) την θέσπιση Υπευθύνων Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών σε κάθε φορέα κεντρικής κυβέρνησης.
Περαιτέρω, με τον Ν 5002/2022 συστάθηκε Επιτροπή Συντονισμού για θέματα κυβερνοασφάλειας στο Υπουργείο Ψηφιακής Διακυβέρνησης με αποστολή τον συντονισμό για την αντιμετώπιση των κυβερνοαπειλών καθώς και Ενοποιημένο Κέντρο Αναφοράς Κυβερνοασφάλειας για την έγκαιρη ανίχνευση και αντιμετώπιση κυβερνοαπειλών σε όλη την Επικράτεια.
Τέλος, σημαντική εξέλιξη σε εθνικό επίπεδο σε σχέση με την κυβερνοασφάλεια είναι και η αναμενόμενη κατάθεση από το Υπουργείο Ψηφιακής Διακυβέρνησης σχεδίου νόμου στη Βουλή για τη σύσταση της Εθνικής Αρχής Κυβερνοασφάλειας ως ανεξάρτητης διοικητικής αρχής.
Θωράκιση σε Εθνικό Επίπεδο
Λόγω της θεμελίωσης στο Σύνταγμα σε επίπεδο ατομικών δικαιωμάτων, της εγκαθίδρυσης ενός αυτόνομου εθνικού δικαίου του απορρήτου των επικοινωνιών και της ενίσχυσης της προστασίας με την εδώ και πολλά έτη λειτουργία δύο Ανεξάρτητων Συνταγματικών Αρχών και εσχάτως μίας ακόμη εθνικής εποπτικής Αρχής η Ελλάδα διαθέτει κατ’ αρχάς τις νομοθετικές και θεσμικές υποδομές για την αντιμετώπιση της σύγχρονης πρόκλησης της κυβερνοασφάλειας.
Είναι όμως παραπάνω από προφανές ότι η προστασία σε νομοθετικό επίπεδο δεν αρκεί για τη θωράκιση του δημόσιου και του ιδιωτικού τομέα έναντι των κυβερνοαπειλών. Στην κατεύθυνση αυτή η χώρα μας πρέπει να αναλάβει επειγόντως, μεταξύ άλλων, τις εξής πρωτοβουλίες:
- Πέραν της θεσμικής, που αναμένεται, την ουσιαστική ενίσχυση της Εθνικής Αρχής Κυβερνοασφάλειας με αναβαθμισμένες εξουσίες και επαρκείς πόρους.
- Την συντεταγμένη ολοκλήρωση της εφαρμογής της Εθνικής Στρατηγικής Κυβερνοασφάλειας 2020 – 2025 και την έκδοση και υλοποίηση νέας με βάση τις σύγχρονες εξελίξεις.
- Την έγκαιρη και προσήκουσα ενσωμάτωση της Ενωσιακής νομοθεσίας κυβερνοασφάλειας.
- Την αποτελεσματική και συνεκτική συνεργασία μεταξύ του πλήθους των αρμόδιων αρχών για την θωράκιση του δημοσίου τομέα έναντι των κυβερνοαπειλών.
- Την ταχεία έγκριση και διάθεση στη αγορά σχημάτων πιστοποίησης σε σχέση με την κυβερνοασφάλεια.
- Την ενίσχυση των θεσμών, των πόρων και της εγρήγορσης του ιδιωτικού τομέα έναντι των κυβερνοαπειλών.
Το άρθρο συνυπογράφουν:
* Αντώνιος Μπρούμας, Δικηγόρος, PhD, Digital Law Lead, Πλατής – Αναστασιάδης & Συνεργάτες Δ.Ε.
* Αλεξάνδρα Αθανασίου, Δικηγόρος, ΜΔΕ, Digital Law Practice Group, Πλατής – Αναστασιάδης & Συνεργάτες Δ.Ε.