Σε τροχιά μπαίνει προσεχώς η μετεξέλιξη και αναβάθμιση της Γενικής Διεύθυνσης Κυβερνοασφάλειας με στόχο να επιτευχθεί ένα υψηλό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών, τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα. Σε αυτό το πλαίσιο, το υπουργείο Ψηφιακής Διακυβέρνησης, έθεσε χθες και μέχρι και τις μέχρι τις 17/1/2024, σε δημόσια διαβούλευση το σχέδιο νόμου «Εθνική Αρχή Κυβερνοασφάλειας και λοιπές διατάξεις».
Με το προτεινόμενο νομοσχέδιο προβλέπεται η μετεξέλιξη της μέχρι σήμερα Γενικής Διεύθυνσης Κυβερνοασφάλειας σε «Εθνική Αρχή Κυβερνοασφάλειας» μέσω σύστασης νομικού προσώπου δημοσίου δικαίου (ν.π.δ.δ.).
Βασικός σκοπός της νέας «Εθνικής Αρχής Κυβερνοασφάλειας», η οποία θα εποπτεύεται από τον εκάστοτε υπουργό Ψηφιακής Διακυβέρνησης και θα διοικείται από Διοικητική και Υποδιοικητές για λόγους ταχύτητας λήψης αποφάσεων, θα είναι ο συντονισμός και η υλοποίηση της Εθνικής Στρατηγικής για την Κυβερνοασφάλεια. Εκτός βέβαια από Εθνικό Κέντρο Συντονισμού για την Κυβερνοασφάλεια ο νέος φορέας θα λειτουργεί και ως Εθνική Αρχή Πιστοποίησης, ενώ θα μεριμνά και για την αποτελεσματική πρόληψη και διαχείριση των κυβερνοεπιθέσεων στην Ελλάδα.
Όπως επισημαίνεται και στο σχέδιο νόμου, η σύσταση διακριτού νομικού προσώπου ακολουθεί τα πρότυπα του συνόλου σχεδόν των κρατών – μελών της Ευρωπαϊκής Ένωσης, αλλά και τις επίσημες συστάσεις του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας (ENISA). Άλλωστε οι ραγδαίες τεχνολογικές εξελίξεις, η εξάρτηση κρίσιμων υπηρεσιών για τους πολίτες από την τεχνολογία αλλά και η αυξημένη διασύνδεση των συστημάτων δικτύων και επικοινωνιών απαιτούν μια διακριτή και οριζόντια δημόσια πολιτική, η οποία διατρέχει πληθώρα άλλων δημόσιων πολιτικών καθώς και ένα συνεκτικό νομοθετικό πλαίσιο που συνδυάζεται με αποτελεσματικές δομές.
Η δομή της Εθνική Αρχή Κυβερνοασφάλειας
Δομικά η «Εθνική Αρχή Κυβερνοασφάλειας» θα διαρθρώνεται σε δύο Γενικές Διευθύνσεις, μία επιτελικού σχεδιασμού και μία επιχειρησιακή και αναμένεται να διπλασιάσει το προσωπικό της - θα διαθέτει 155 οργανικές θέσεις από περίπου 50 που διαθέτει επί του παρόντος. Σε αυτό το πλαίσιο όπως διευκρινίζεται θα υπάρξει ειδική μέριμνα για τη βέλτιστη διαχείριση του ανθρώπινου δυναμικού αλλά και την ενίσχυση της Αρχής με προσωπικό υψηλής εξειδίκευσης.
Επιπλέον εντός της θα λειτουργούν Κέντρο Επιχειρήσεων Κυβερνοασφάλειας (Security Operations Centre), Ομάδα Απόκρισης Συμβάντων στον Κυβερνοχώρο (CSIRT), καθώς και Εργαστήριο Αναλύσεων, Δοκιμών και Ερευνών (Forensics & Testing Lab).
Οι διευρυμένες αρμοδιότητες
Με την δημιουργία της δε και για την εκπλήρωση του σκοπού της αναλαμβάνει:
- να χαράσσει την ενιαία πολιτική κυβερνοασφάλειας στο πλαίσιο της Στρατηγικής Εθνικής Ασφάλειας που διαμορφώνεται από το Κυβερνητικό Συμβούλιο Εθνικής Ασφάλειας
- να διαμορφώνει, συντάσσει και επικαιροποιεί την Εθνική Στρατηγική Κυβερνοασφάλειας ( άρθρο 6 του ν. 4577/2018), να συντονίζει, επιβλέπει και αξιολογεί την εφαρμογή της, καθώς και να υποβάλλει αναφορές στην Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας και στον Υπουργό Ψηφιακής Διακυβέρνησης,
- να αναπτύσσει και να προτείνει στα κατά περίπτωση αρμόδια όργανα ολοκληρωμένο πλαίσιο κινήτρων για επενδύσεις στον τομέα της κυβερνοασφάλειας, σε συνεργασία με το Υπουργείο Εθνικής Οικονομίας και Οικονομικών, το Υπουργείο Ανάπτυξης
- να προάγει την εκπαίδευση, την ενημέρωση και την ευαισθητοποίηση σε θέματα κυβερνοασφάλειας,
- να καθορίζει τις προτεραιότητες και να ενισχύει την επιστημονική έρευνα και την ανάπτυξη καινοτόμων υπηρεσιών και εξοπλισμού
- να αναπτύσσει συνεργασίες με δημόσιους, ιδιωτικούς, ακαδημαϊκούς και ερευνητικούς φορείς
- να διαμορφώνει και παρακολουθεί το πλαίσιο τεχνικών μέτρων και απαιτήσεων ασφαλείας συστημάτων Τεχνολογιών Πληροφορικής και Επικοινωνιών
- να λαμβάνει τεχνικά μέτρα αποτροπής και αντιμετώπισης του κυβερνοεγκλήματος, σε συνεργασία με άλλες αρμόδιες αρχές και υπηρεσίες, και ιδίως με την Ελληνική Αστυνομία
- να παρακολουθεί το συνολικό επίπεδο ασφάλειας του κυβερνοχώρου στη χώρα και προλαμβάνει, προστατεύει, συντονίζει και συμβάλλει στην αντιμετώπιση απειλών και κυβερνοεπιθέσεων, καθώς και στη διαχείριση περιστατικών ασφαλείας, μεταξύ άλλων, με τη λειτουργία του Ενοποιημένου SOC και του Εθνικού Δικτύου SOC και Ομάδας Απόκρισης συμβάντων στον κυβερνοχώρο (CSIRT)
Ελεγκτικός ρόλος
Επιπλέον έχει και ελεγκτικό ρόλο αφού θα είναι αρμόδια αφενός για την διαμόρφωση του πλαισίου πιστοποίησης κυβερνοασφάλειας για τα προϊόντα, τις διαδικασίες, τις υπηρεσίες αλλά και τους αξιόπιστους παρόχους υπηρεσιών κυβερνοασφάλειας και αφετέρου για την διενέργεια επιθεωρήσεων και για την επιβολή κυρώσεων στο πλαίσιο του ελέγχου συμμόρφωσης προς το νομικό πλαίσιο για την κυβερνοασφάλεια.
Όπως διευκρινίζεεται άλλωστε στο σχέδιο νόμου, ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας θα είναι αυτός που θα επιβάλλει κυρώσεις σε φυσικό ή νομικό πρόσωπο, σε περίπτωση μη (έγκαιρης) κοινοποίησης συμβάντος κυβερνοεπίθεσης ή μη λήψης των κατάλληλων προληπτικών μέτρων προστασίας, τα οποία επισύρουν πρόστιμα από 15.000 έως και 200.000 ευρώ.
Παράλληλα θα καταρτίζει και το Εθνικό Σχέδιο Έκτακτης Ανάγκης, συμβάλλει στην εκπόνηση του Εθνικού Σχεδίου Αποτίμησης Κινδύνων Συστημάτων Τεχνολογίας Πληροφορικής και Επικοινωνιών και θα παρέχει κατευθυντήριες γραμμές και δεσμευτικές οδηγίες για την αντιμετώπιση κυβερνοαπειλών σε δημόσιους και ιδιωτικούς φορείς.
Αξίζει να σημειωθεί ότι βάσει της ευρωπαϊκής Οδηγίας 2022/2555 (Οδηγία NIS2), η οποία θα τεθεί σε εφαρμογή τον Οκτώβριο του 2024, ο αριθμός των εποπτευόμενων φορέων της Αρχής θα αυξηθεί κατακόρυφα, φτάνοντας τις 2.000 από 70 που είναι σήμερα. Πέρα από τις «παραδοσιακά» κρίσιμες υποδομές, όπως η ενέργεια, οι ψηφιακές υποδομές και ο τραπεζικός τομέας, θα συμπεριλαμβάνονται και τομείς, όπως η δημόσια διοίκηση, οι ταχυμεταφορές, η παρασκευή, παραγωγή και διανομή χημικών προϊόντων, αλλά και η παραγωγή και μεταποίηση τροφίμων.
10 τρισ. ευρώ το κόστος των κυβερνοεπιθέσεων παγκοσμίως το 2023
Η μετεξέλιξη της σημερινής Γενικής Διεύθυνσης Κυβερνοασφάλειας έρχεται σε μια περίοδο που η ασφάλεια στον κυβερνοχώρο είναι πιο κρίσιμη από ποτέ. Αρκεί να αναφέρουμε ότι σύμφωνα με τις πλέον πρόσφατες εκτιμήσεις, το παγκόσμιο κόστος του κυβερνοεγκλήματος αναμένεται να προσεγγίσει, αν όχι να ξεπεράσει, τα δέκα τρισεκατομμύρια ευρώ το 2023, διατηρώντας έναν ρυθμό διπλασιασμού ανά διετία.
Στην περίπτωση της χώρας μας οι κυβερνοεπιθέσεις βρίσκονται σε αντιστοιχία με το σύνολο των χωρών του δυτικού κόσμου, καταγράφοντας μια διαρκώς αυξητική τάση. Τα σοβαρά περιστατικά δε πολλαπλασιάζονται, ακόμη και σε περιπτώσεις που, εν τέλει, δεν διαταρράσουν πληροφοριακά συστήματα και κρίσιμες υπηρεσίες.