top of page

Ευρωπαϊκή Οδηγία NIS2 για την Κυβερνοασφάλεια και πώς επηρεάζονται οι Ελληνικές επιχειρήσεις.

Από την τεχνική προστασία μέχρι τη διοικητική ευθύνη: Τι αλλάζει με το νέο ευρωπαϊκό και ελληνικό πλαίσιο κυβερνοασφάλειας. Ή αλλιώς εκεί όπου ένα κυβερνοπεριστατικό πλέον δεν θεωρείται μόνον τεχνική αστοχία αλλά και διοικητική ανεπάρκεια.


Επειδή τα τελευταία χρόνια, οι κυβερνοεπιθέσεις έχουν αυξηθεί δραματικά. Επιχειρήσεις, οργανισμοί, νοσοκομεία, ενεργειακές υποδομές, δημόσιες υπηρεσίες και παραγωγικές μονάδες βρίσκονται πλέον καθημερινά αντιμέτωπες με κινδύνους όπως ransomware attacks, διαρροές δεδομένων, phishing, επιθέσεις σε δίκτυα και διακοπές λειτουργίας κρίσιμων συστημάτων. Και επειδή η κυβερνοασφάλεια δεν αντιμετωπίζεται αποκλειστικά ως τεχνικό ζήτημα πληροφορικής αλλά ως κρίσιμος παράγοντας επιχειρησιακής συνέχειας, διαχείρισης κινδύνου και εταιρικής διακυβέρνησης, η Ευρωπαϊκή Ένωση προχώρησε στη δημιουργία της νέας Οδηγίας NIS2 (Network and Information Security Directive 2), η οποία αυστηροποιεί σημαντικά τις απαιτήσεις κυβερνοασφάλειας, ειδικά για κρίσιμους και σημαντικούς οργανισμούς.


Τι είναι η NIS2 και γιατί εκδόθηκε;

Ευρωπαϊκή Οδηγία NIS2 για την Κυβερνοασφάλεια και πώς επηρεάζονται οι Ελληνικές επιχειρήσεις.

Η NIS2 αποτελεί τη νέα Ευρωπαϊκή Οδηγία 2022/2555 της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια και ήρθε ως εξέλιξη της προηγούμενης οδηγίας NIS1 με βάση τη λογική ότι η κυβερνοασφάλεια δεν αντιμετωπίζεται μόνο ως τεχνικό ή επιχειρησιακό ζήτημα, αλλά ακόμα και ως ζήτημα γεωπολιτικής σταθερότητας και υβριδικού πολέμου και ένα σοβαρό κυβερνοπεριστατικό μπορεί να επηρεάσει κρίσιμες υποδομές, υπηρεσίες και βασικούς πυλώνες λειτουργίας μιας χώρας ή μιας οικονομίας, όπως:

  • Κρίσιμες υποδομές,

  • Αλυσίδες εφοδιασμού,

  • Υπηρεσίες κοινής ωφέλειας,

  • Δεδομένα πολιτών και επιχειρήσεων,

  • Επιχειρησιακή συνέχεια και λειτουργία.


Η νέα οδηγία επιδιώκει να δημιουργήσει ένα ενιαίο και αυστηρότερο ευρωπαϊκό πλαίσιο κυβερνοασφάλειας, όπου οι επιχειρήσεις δεν θα λειτουργούν αποσπασματικά αλλά με συγκεκριμένες υποχρεώσεις πρόληψης, προστασίας, αναφοράς περιστατικών και διαχείρισης κινδύνου.


Πότε ξεκίνησε η εφαρμογή/ ενσωμάτωση της NIS2 στην Ελληνική Νομοθεσία:

Στην Ελλάδα, η Οδηγία NIS2 ενσωματώθηκε μέσω του Νόμου 5160/2024 περί Κυβερνοασφάλειας (ΦΕΚ Α’ 195 / 27-11-2024). Ο συγκεκριμένος νόμος αποτελεί το νέο εθνικό πλαίσιο κυβερνοασφάλειας και καθορίζει:

  • Τις υποχρεώσεις επιχειρήσεων και οργανισμών,

  • Τα οργανωτικά και τεχνικά μέτρα προστασίας,

  • Τις διαδικασίες αναφοράς περιστατικών,

  • καθώς και το συνολικό πλαίσιο συμμόρφωσης σε συνέχεια της Ευρωπαϊκής Οδηγίας NIS2.

Ο νόμος τέθηκε σε ισχύ από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως, με ειδικές εξαιρέσεις για συγκεκριμένες κατηγορίες φορέων του δημόσιου τομέα (όπου στις 14/10/2025 με την Υ.Α. 2267 δόθηκε παράταση συμμόρφωσης με έναρξη από 27/11/2026), όπου προβλέπεται μεταγενέστερη έναρξη εφαρμογής. Αυτό σημαίνει ότι πλέον το νέο πλαίσιο κυβερνοασφάλειας δεν αποτελεί μελλοντική υποχρέωση, αλλά ήδη ενεργό θεσμικό και επιχειρησιακό πλαίσιο συμμόρφωσης για τις επιχειρήσεις και οργανισμούς που εμπίπτουν στο πεδίο εφαρμογής του νόμου.


Η κυβερνοασφάλεια δεν αφορά πλέον μόνο servers και firewalls. Αφορά τη συνολική ανθεκτικότητα μιας επιχείρησης.

Ποιους αφορά η NIS2;

Η NIS2 αφορά οργανισμούς και επιχειρήσεις που χαρακτηρίζονται ως:

  1. Essential Entities (Βασικές Οντότητες).

  2. Important Entities (Σημαντικές Οντότητες).


Το πεδίο εφαρμογής περιλαμβάνει κυρίως μεσαίες και μεγάλες επιχειρήσεις (διαβάστε εδώ σχετικό άρθρο με το πώς ορίζει η Ε.Ε. μία επιχείρηση ως μη μικρομεσαία) που δραστηριοποιούνται σε κρίσιμους ή σημαντικούς τομείς της οικονομίας και των υποδομών. Ενδεικτικά, μέσα από τα Παραρτήματα I και II της σχετικής νομοθεσίας, περιλαμβάνονται τομείς όπως:

  • Ενέργεια και Ύδρευση,

  • Μεταφορές,

  • Υγεία,

  • Τραπεζικός και χρηματοοικονομικός τομέας,

  • Ψηφιακές υπηρεσίες,

  • Παραγωγή και διανομή τροφίμων,

  • Βιομηχανική παραγωγή,

  • Δημόσιες υπηρεσίες,

  • Τηλεπικοινωνίες και δίκτυα επικοινωνίας.


Ακόμα και μικρότερες επιχειρήσεις πρέπει να συμμορφώνονται αναλογικά με την NIS2 - γιατί αποτελούν κρίσιμο κρίκο στην προστιθέμενη αξία μεγαλύτερων επιχειρήσεων που πρέπει να τηρούν την NIS2.

Τι απαιτεί πρακτικά από τις επιχειρήσεις;

Ένα από τα σημαντικότερα στοιχεία της NIS2 είναι ότι δεν περιορίζεται σε γενικές κατευθύνσεις. Η νομοθεσία προβλέπει συγκεκριμένα οργανωτικά, τεχνικά και επιχειρησιακά μέτρα που πρέπει να τηρούνται, μεταξύ άλλων:

  • Διαχείριση κινδύνου (Risk Management),

  • Πολιτικές κυβερνοασφάλειας,

  • Διαχείριση περιστατικών ασφαλείας,

  • Business Continuity και Disaster Recovery,

  • Διαδικασίες backup και επαναφοράς,

  • Διαχείριση πρόσβασης και δικαιωμάτων χρηστών,

  • Πολυπαραγοντική ταυτοποίηση (MFA),

  • Κρυπτογράφηση,

  • Ασφάλεια προμηθευτών και συνεργατών,

  • Εκπαίδευση προσωπικού,

  • Διαχείριση ευπαθειών και ενημερώσεων,

  • Παρακολούθηση και αναφορά περιστατικών.


Σύνδεση NIS2 και ISO 27001:2022:

Σε αρκετά σημεία, η φιλοσοφία της οδηγίας βρίσκεται πολύ κοντά στη λογική προτύπων όπως το ISO 27001, καθώς δίνεται ιδιαίτερη έμφαση:

  • Στις διαδικασίες,

  • Στην τεκμηρίωση,

  • Στη διαχείριση ρίσκου,

  • Στη συνεχή βελτίωση,

  • Και στην οργανωτική ωριμότητα.


Η μεγάλη παρεξήγηση: Η NIS2 δεν είναι μόνον έργο I.T.:

Πολλοί αντιμετωπίζουν ακόμα την κυβερνοασφάλεια σαν ένα “τεχνικό project”. Σαν κάτι που αφορά: antivirus, firewalls, servers, κ.ά.. Όμως η NIS2 αλλάζει ακριβώς αυτή τη φιλοσοφία. Η κυβερνοασφάλεια πλέον αντιμετωπίζεται ως κρίσιμο ζήτημα εταιρικής διακυβέρνησης, όπου πρέπει να υπάρχουν:

  • Διαδικασίες,

  • Εκπαίδευση,

  • Τεκμηρίωση,

  • Σχέδιο,

  • Οργανωμένη λειτουργία.


Πρόστιμα, επιπτώσεις και επιχειρησιακός κίνδυνος:

Η νέα νομοθεσία προβλέπει σημαντικές διοικητικές κυρώσεις και πρόστιμα σε περιπτώσεις μη συμμόρφωσης. Σύμφωνα με το πλαίσιο της NIS2, για τις “Essential Entities” τα πρόστιμα μπορούν να αγγίξουν ακόμα και τα 10.000.000€ ή το 2% του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης (όποιο ποσό είναι μεγαλύτερο), ενώ για τις “Important Entities” μπορούν να φτάσουν έως και τα 7.000.000€ ή το 1,4% του παγκόσμιου ετήσιου κύκλου εργασιών.

Ωστόσο, το μεγαλύτερο πρόβλημα συχνά δεν είναι το πρόστιμο. Είναι: η διακοπή λειτουργίας, η απώλεια δεδομένων, η επιχειρησιακή ζημιά, η απώλεια εμπιστοσύνης και η φήμη της επιχείρησης. Ένα σοβαρό κυβερνοπεριστατικό μπορεί να “παγώσει” ολόκληρη την καθημερινή λειτουργία μιας επιχείρησης. Και πολλές φορές, ο πραγματικός κίνδυνος δεν βρίσκεται μόνο στην επίθεση, αλλά στην έλλειψη προετοιμασίας.


Διαφορές μεταξύ NIS2 και NIS1 (CELEX_32016L1148 (ΟΔΗΓΙΑ (ΕΕ) 2016_1148)):

Η NIS2 αποτελεί σημαντικά αυστηρότερο και πιο ολοκληρωμένο πλαίσιο κυβερνοασφάλειας σε σχέση με την προηγούμενη οδηγία NIS1. Επεκτείνει το πεδίο εφαρμογής σε περισσότερους κλάδους και επιχειρήσεις, εισάγει αυξημένες υποχρεώσεις διαχείρισης κινδύνου και επιχειρησιακής συνέχειας, προβλέπει αυστηρότερες διαδικασίες αναφοράς περιστατικών και μεταφέρει μεγαλύτερη ευθύνη και στη διοίκηση των οργανισμών.


"Εμείς είμαστε μικρή εταιρεία, άρα δεν μας αφορά!":

Λάθος, σας αφορά! Και εδώ βρίσκεται μία από τις σημαντικότερες αλλαγές που έφερε η μετάβαση από τη NIS1 στη NIS2. Η νέα οδηγία δίνει πλέον ιδιαίτερη έμφαση στην αλυσίδα συνεργασιών, προμηθευτών και υπεργολάβων μιας επιχείρησης. Αυτό σημαίνει ότι ο κυβερνοκίνδυνος δεν αξιολογείται μόνο μέσα στα “τείχη” ενός οργανισμού, αλλά συνολικά στο οικοσύστημα συνεργατών του. Για αυτόν ακριβώς τον λόγο, ακόμα και μικρότερες επιχειρήσεις που δεν εντάσσονται άμεσα στο υποχρεωτικό πεδίο εφαρμογής της νομοθεσίας, είναι πολύ πιθανό να αρχίσουν να δέχονται απαιτήσεις συμμόρφωσης από μεγαλύτερους πελάτες ή συνεργάτες τους, προκειμένου να αποδεικνύουν ότι εφαρμόζουν βασικά τεχνικά, οργανωτικά και επιχειρησιακά μέτρα κυβερνοασφάλειας.


Διαφορές μεταξύ NIS2 και DORA:

Παρότι τόσο η NIS2 όσο και το DORA σχετίζονται με την κυβερνοασφάλεια και την επιχειρησιακή ανθεκτικότητα, δεν είναι το ίδιο πράγμα. Η NIS2 αποτελεί ένα ευρύτερο πλαίσιο κυβερνοασφάλειας που αφορά πολλούς κρίσιμους και σημαντικούς κλάδους της οικονομίας, όπως ενέργεια, υγεία, τρόφιμα, μεταφορές, cloud και βιομηχανία. Αντίθετα, το DORA (Digital Operational Resilience Act) αφορά ειδικά τον χρηματοοικονομικό τομέα, δηλαδή τράπεζες, ασφαλιστικές, fintech, επενδυτικές εταιρείες και λοιπούς χρηματοπιστωτικούς οργανισμούς. Η μεγαλύτερη διαφοροποίηση του DORA είναι ότι εστιάζει ιδιαίτερα στην ψηφιακή επιχειρησιακή ανθεκτικότητα, στις δοκιμές ανθεκτικότητας συστημάτων και στη διαχείριση κινδύνων από τρίτους παρόχους ICT υπηρεσιών.


Αρχεία Νομοθεσίας (Κατεβάστε):







Συμπέρασμα

Οι επιχειρήσεις που θα αντιμετωπίσουν τη NIS2 ως “υποχρέωση IT” πιθανόν να δυσκολευτούν να προσαρμοστούν στη νέα πραγματικότητα. Αντίθετα, όσες δουν το νέο πλαίσιο ως ευκαιρία οργανωτικής ωρίμανσης, ενίσχυσης διαδικασιών και επιχειρησιακής ανθεκτικότητας, θα αποκτήσουν ουσιαστικό στρατηγικό πλεονέκτημα. Γιατί η κυβερνοασφάλεια δεν αφορά μόνο την προστασία συστημάτων. Αφορά τη δυνατότητα μιας επιχείρησης να συνεχίσει να λειτουργεί αξιόπιστα, οργανωμένα και βιώσιμα σε ένα όλο και πιο απαιτητικό ψηφιακό περιβάλλον.



Γεώργιος Δασκαλέλος

Σύμβουλος Στρατηγικής Marketing, Εταιρικών Λειτουργιών και Ψηφιακού Μετασχηματισμού

Σχόλια

Marketing-Communications-Blog-And-Articles
Search By Tags
bottom of page