NIS Directive: Η ψηφιακή ασφάλεια στο επίκεντρο της ευρωπαϊκής νομοθεσίας

Το καλοκαίρι του 2016 έφερε νέες ευρωπαϊκές οδηγίες για την ψηφιακή ασφάλεια και την προστασία των δεδομένων. Ο λόγος για τα γνωστά πλέον Network and Information Security (NIS) Directive και το General Data Protection Regulation (GDPR). Οι δύο οδηγίες έχουν κοινό “finish line” τον Μάιο του 2018, όταν και πλέον θα ισχύουν ως εθνικοί νόμοι για τα κράτη-μέλη της Ευρωπαϊκής Ένωσης, κάτι το οποίο σηματοδοτεί την εκκίνηση ενός «μαραθώνιου» προετοιμασιών για τους κλάδους και τους οργανισμούς στους οποίους απευθύνονται τα νέα νομοθετήματα.

Το netweek ζήτησε από την Πέννυ Κοντογεώργου, ICT & Data Privacy Law Expert και Ιδρυτή της δικηγορικής εταιρείας e-Business Law να περιγράψει τις αρχές του NIS Directive και να αναλύσει το ποιους κλάδους επηρεάζει άμεσα.

NIS Directive: Βασικές αρχές και περιοχές εφαρμογής
Σύμφωνα με την Π. Κοντογεώργου «η Οδηγία 2016/1148 (γνωστή ως NIS Directive) αποτελεί το πρώτο νομοθέτημα της Ευρωπαϊκής Ένωσης που καλεί τα Κράτη Μέλη να προσεγγίσουν συλλογικά και σφαιρικά τις προκλήσεις ασφάλειας των ψηφιακών δικτύων, υπογραμμίζοντας παράλληλα την ανάγκη μιας συνεκτικής διεθνούς πολιτικής της ΕΕ για τον κυβερνοχώρο. Η Ευρωπαϊκή Ένωση αμύνεται στο διαδικτυακό έγκλημα και στις επιθέσεις των συστημάτων ψηφιακών δικτύων και πληροφοριών που πλήττουν την ομαλή λειτουργία της εσωτερικής αγοράς, με μια στρατηγική για την ασφάλεια στον κυβερνοχώρο, που στόχο έχει να βοηθήσει τις επιχειρήσεις και τους καταναλωτές να αποκομίσουν τα μέγιστα δυνατά οφέλη από τα τις νέες τεχνολογίες.

Σύμφωνα με την Οδηγία, η αρχιτεκτονική της ασφάλειας των ψηφιακών δικτύων σε επίπεδο Ένωσης, βασίζεται, σε τρεις πυλώνες: (α) στην εθνική στρατηγική κάθε Κράτους Μέλους, (β) στις τεχνικές και οργανωτικές πολιτικές των επιχειρήσεων και οργανισμών και (γ) στη συνεργασία των Κρατών Μελών.
Ειδικότερα:

• Τα Κράτη Μέλη καλούνται να θέσουν σε εθνικό επίπεδο στόχους και προτεραιότητες ώστε να υιοθετήσουν ακέραιες πολιτικές και μέτρα κανονιστικής συμμόρφωσης που να διασφαλίζουν υψηλά επίπεδα ασφάλειας. Η συγκρότηση (α) Εθνικών Αρμόδιων Αρχών για την παρακολούθηση της εφαρμογής της Οδηγίας, (β) ενιαίων κέντρων επαφής, αρμόδιων για τη διασφάλιση της διασυνοριακής συνεργασίας των κρατών Μελών και (γ) ομάδων απόκρουσης συμβάντων που αφορούν την ασφάλεια των υπολογιστών (CSIRT), αποτελούν μέρος των επιβαλλόμενων με την Οδηγία υποχρεώσεων των Κρατών Μελών αναφορικά με την ασφάλεια των δικτύων και πληροφοριών.
• Θεσπίζονται υποχρεώσεις ασφαλείας για τους φορείς εκμετάλλευσης βασικών υπηρεσιών (σε τομείς ζωτικής σημασίας όπως η ενέργεια, οι μεταφορές, η υγεία και οι χρηματοπιστωτικές υπηρεσίες) και για τους παρόχους ψηφιακών υπηρεσιών (τις διαδικτυακές αγορές, τις μηχανές αναζήτησης και τις cloud υπηρεσίες), που περιλαμβάνουν μεταξύ άλλων τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων, την αποτροπή ή ελαχιστοποίηση του αντίκτυπου που έχουν οι κακόβουλες επιθέσεις στην παροχή των βασικών υπηρεσιών, για την κοινοποίηση συμβάντων κ.α.
• Θεσπίζεται «Ομάδα Συνεργασίας» μεταξύ των Κρατών Μελών με σκοπό τη διασυνοριακή ανάπτυξη της αξιοπιστίας και της εμπιστοσύνης μέσω της ανταλλαγής πληροφοριών και βέλτιστων πρακτικών, προτύπων και προδιαγραφών, της αξιολόγησης των εθνικών στρατηγικών, της αποτελεσματικότητας των CSIRT κ.α.
• Δημιουργείται ένα δίκτυο εθνικών ομάδων παρέμβασης για περιστατικά που αφορούν την ασφάλεια των υπολογιστών σε ολόκληρη την ΕΕ, με στόχο την ταχεία αντίδραση στις απειλές και τα περιστατικά στον κυβερνοχώρο. Η αποτελεσματικότητα του δικτύων των εθνικών αυτών ομάδων, επιτυγχάνεται μέσω ανταλλαγής πληροφοριών για μεμονωμένα συμβάντα, καθορισμού μορφών επιχειρησιακής συνεργασίας σχετικών με την έγκαιρη προειδοποίηση, έκδοσης κατευθυντήριων γραμμών κ.α.

Ποιος ο επιχειρησιακός αντίκτυπο του NIS Directive;
«Η τεχνολογική επανάσταση έχει αλλάξει κάθε κλάδο δραστηριότητας. Οι επιχειρήσεις που προσαρμόζονται στις νέες τεχνολογικές προκλήσεις θα επιβιώσουν», επισημαίνει η Π. Κοντογεώργου. Σύμφωνα με την ίδια «οι επιχειρήσεις που καταλαμβάνονται από τις διατάξεις της Οδηγίας, όπως για παράδειγμα πάροχοι υπηρεσιών ενέργειας, μεταφοράς, τραπεζικών και χρηματοοικονομικών, υγείας αλλά και ψηφιακών υπηρεσιών όπως domain name system service providers, top level domain name registries, digital service providers, online marketplaces, cloud service providers, κ.α, οφείλουν να ξεκινήσουν την προετοιμασία για το 2018, κάνοντας μια αξιολόγηση των πολιτικών, μέτρων και διαδικασιών που αφορούν στην ανίχνευση, αναγνώριση και διαχείριση του κινδύνου των ψηφιακών τους δικτύων και πληροφοριών. Είναι οι πολιτικές τους επικαιροποιημένες; Τις ακολουθούν; Υπάρχει πλάνο αναφοράς περιστατικών; Ποιος έχει υποχρέωση γνωστοποίησης, σε ποιον και πότε; Υπάρχουν έγγραφα για όλα τα ανωτέρω; Έχει αξιολογηθεί η μη τήρηση της νομοθεσίας και των μέτρων ασφαλείας; Τα συστήματα ασφαλείας των δικτύων καταλαμβάνουν όλα τα δίκτυα και τα γραφεία ανεξαρτήτως τοποθεσίας; Κάθε πότε πραγματοποιούνται vulnerability scan test και data risk management;».

GDPR-NIS Directive:
Ομοιότητες και Διαφορές
Ο κανονισμός GDPR, ο οποίος επίσης ψηφίστηκε τον Μάιο του 2016 συνιστά ένα ενιαίο ευρωπαϊκό πλαίσιο και αντικαθιστά τους εθνικούς νόμους για την προστασία των δεδομένων. Μεταξύ άλλων, το GDPR ενθαρρύνει την υιοθέτηση privacy friendly τεχνικών όπως pseudonimysation, anonymisation, encryption, καθώς και data protection by design/by default, εισάγει το «δικαίωμα στη λήθη» (“right to be forgotten”) για την ψηφιακή ζωή και υποχρεώνει τους οργανισμούς να κοινοποιούν στους πολίτες και στις αρμόδιες αρχές κάθε data breach, εντός 72 ωρών.

Το GDPR και το NIS Directive υποχρεώνουν τους διαχειριστές δεδομένων να πάρουν risk-based μέτρα security ενώ και τα δύο νομοθετήματα εμπεριέχουν ρήτρες ενημέρωσης σε περίπτωση συμβάντος ασφάλειας δεδομένων. Ωστόσο, στην περίπτωση του GDPR, η υποχρέωση ειδοποίησης εντός 72 ωρών αφορά και τα υποκείμενα και αναιρείται εάν «η διαρροή δεδομένων δεν ενέχει κίνδυνο για τα δικαιώματα και τις ελευθερίες των πολιτών. Στο πλαίσιο του NIS Directive οι οργανισμοί έχουν την υποχρέωση να ειδοποιήσουν μόνο τις αρχές και μόνο εάν υπάρχει σημαντική διαταραχή στην παροχή των υπηρεσιών. Επίσης, το GDPR δυνητικά αφορά κάθε άτομο ή οντότητα που επεξεργάζεται προσωπικά δεδομένα, το NIS Directive αφορά τους φορείς εκμετάλλευσης βασικών υπηρεσιών και τους παρόχους ψηφιακών υπηρεσιών, υπό την προϋπόθεση ότι αυτοί απασχολούν 50 ή περισσότερους υπαλλήλους.

Σε γενικές γραμμές, ο αντικειμενικός σκοπός του GDPR είναι η προστασία των προσωπικών δεδομένων, ενώ το NIS Directive αφορά στην προστασία των δικτύων. Οι στόχοι αυτοί δεν είναι πάντα αλληλεπικαλυπτόμενοι: για παράδειγμα, η κρυπτογράφηση αποτελεί ένα αποτελεσματικό μέτρο προστασίας των προσωπικών δεδομένων, και γι’ αυτό ενθαρρύνεται από το GDPR, ωστόσο δεν έχει καμία απολύτως ισχύ στην κάλυψη των τρωτών σημείων των δικτύων.

Όπως αναφέρει η Π. Κοντογεώργου «η Οδηγία σε συνδυασμό με τον Κανονισμό 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για την ελεύθερη κυκλοφορία των δεδομένων αυτών, επιβάλουν ένα υψηλό επίπεδο ασφαλείας για τις ψηφιακές τεχνολογίες, τα δίκτυα και τις υπηρεσίες σε όλα τα Κράτη Μέλη, προκειμένου να επιτευχθεί η ανθεκτικότητα στο κυβερνοχώρο και η δραστική μείωση του ηλεκτρονικού εγκλήματος, προς όφελος των ευρωπαίων πολιτών και επιχειρήσεων. Για πρώτη φορά στην Ευρώπη θεσπίζεται ένα πλαίσιο κανονιστικής συμμόρφωσης με τις εθνικές αρχές να εφαρμόζουν πανευρωπαϊκές προδιαγραφές αναφορικά με την ασφάλεια της πληροφορίας».