Ασφάλεια των συστημάτων δικτύου και πληροφοριών

 

ΣΥΝΟΨΗ ΤΟΥ ΑΚΟΛΟΥΘΟΥ ΚΕΙΜΕΝΟΥ:

Οδηγία (ΕΕ) 2016/1148 — ασφάλεια των συστημάτων δικτύου και πληροφοριών

ΠΟΙΟΣ ΕΙΝΑΙ Ο ΣΚΟΠΟΣ ΤΗΣ ΟΔΗΓΙΑΣ;

Προτείνει ένα ευρύ φάσμα μέτρων για την ενίσχυση του επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών (ασφάλεια στον κυβερνοχώρο*) για την εξασφάλιση υπηρεσιών που είναι ζωτικής σημασίας για την οικονομία και την κοινωνία της ΕΕ (Ευρωπαϊκής Ένωσης). Στόχος της είναι να εξασφαλίσει ότι οι χώρες της ΕΕ είναι καλά προετοιμασμένες και έτοιμες να χειριστούν και να αντιμετωπίσουν επιθέσεις στον κυβερνοχώρο μέσω:

Καθορίζει επίσης τη συνεργασία σε επίπεδο ΕΕ τόσο σε στρατηγικό όσο και σε τεχνικό επίπεδο.

Τέλος, εισάγει την υποχρέωση των παρόχων βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών να λαμβάνουν τα κατάλληλα μέτρα ασφαλείας και να ενημερώνουν τις αρμόδιες εθνικές αρχές σχετικά με σοβαρά συμβάντα.

ΒΑΣΙΚΑ ΣΗΜΕΙΑ

Βελτίωση των εθνικών δυνατοτήτων για την ασφάλεια στον κυβερνοχώρο

Οι χώρες της ΕΕ πρέπει:

Οι χώρες της ΕΕ πρέπει επίσης να θέτουν σε εφαρμογή μια εθνική στρατηγική ασφάλειας του κυβερνοχώρου για τα συστήματα δικτύου και πληροφοριών*, που να καλύπτει τα ακόλουθα θέματα:

Οι αρμόδιες εθνικές αρχές παρακολουθούν την εφαρμογή της οδηγίας μέσω:

Οι CSIRT είναι υπεύθυνες για τα ακόλουθα:

Απαιτήσεις ασφάλειας και κοινοποίησης

Η παρούσα οδηγία αποσκοπεί στην προώθηση μιας νοοτροπίας διαχείρισης κινδύνου. Οι επιχειρήσεις που δραστηριοποιούνται σε βασικούς τομείς πρέπει να αξιολογούν τους κινδύνους που διατρέχουν και να υιοθετούν μέτρα για την εξασφάλιση της ασφάλειας του κυβερνοχώρου. Αυτές οι εταιρείες πρέπει να ενημερώνουν τις αρμόδιες αρχές ή τις ομάδες CSIRT για κάθε σχετικό συμβάν, όπως η ηλεκτρονική πειρατεία ή η κλοπή δεδομένων, που θέτει σε σοβαρό κίνδυνο την ασφάλεια στον κυβερνοχώρο και έχει ως αποτέλεσμα τη σοβαρή διατάραξη στη συνέχεια των υπηρεσιών ζωτικής σημασίας και στην παροχή αγαθών.

Για τον καθορισμό των συμβάντων που πρέπει να κοινοποιούνται από τους παρόχους βασικών υπηρεσιών*, Οι χώρες της ΕΕ πρέπει να λαμβάνουν υπόψη τη διάρκεια ενός συμβάντος, το γεωγραφικό εύρος, καθώς και άλλους παράγοντες, όπως τον αριθμό των χρηστών που βασίζονται σε αυτήν την υπηρεσία.

Οι βασικοί πάροχοι ψηφιακών υπηρεσιών (μηχανές αναζήτησης, υπηρεσίες νεφοϋπολογιστικής και επιγραμμικές αγορές) θα πρέπει επίσης να συμμορφώνονται με τις απαιτήσεις ασφάλειας και κοινοποίησης.

Βελτίωση της συνεργασίας σε επίπεδο ΕΕ

Η οδηγία καθιερώνει την ομάδα συνεργασίας τα καθήκοντα της οποίας περιλαμβάνουν:

Η οδηγία θεσπίζει επίσης το δίκτυο CSIRT το οποίο συνίσταται από αντιπροσώπους των CSIRT των χωρών της ΕΕ και την ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT-EU). Τα καθήκοντά του περιλαμβάνουν τα εξής:

Κυρώσεις

Οι χώρες της ΕΕ πρέπει να εφαρμόζουν αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις για να εξασφαλίζουν την εφαρμογή των όρων της παρούσας οδηγίας.

ΑΠΟ ΠΟΤΕ ΕΦΑΡΜΟΖΕΤΑΙ Η ΟΔΗΓΙΑ;

Εφαρμόζεται από τις 8 Αυγούστου 2016. Οι χώρες της ΕΕ πρέπει να την ενσωματώσουν στο εθνικό τους δίκαιο έως τις 9 Μαΐου 2018 και να προσδιορίσουν τους παρόχους βασικών υπηρεσιών έως τις 9 Νοεμβρίου 2018.

ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ

ΒΑΣΙΚΟΙ ΟΡΟΙ

Ασφάλεια στον κυβερνοχώρο: η ικανότητα των συστημάτων δικτύου και πληροφοριών να ανθίστανται σε ενέργειες που πλήττουν τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των ψηφιακών δεδομένων και των υπηρεσιών που παρέχουν αυτά τα συστήματα.
Σύστημα δικτύου και πληροφοριών: ένα δίκτυο ηλεκτρονικών επικοινωνιών ή οποιαδήποτε συσκευή ή ομάδα διασυνδεδεμένων συσκευών που επεξεργάζονται ψηφιακά δεδομένα, καθώς και τα ψηφιακά δεδομένα που έχουν αποθηκευτεί, υποστεί επεξεργασία, ανακτηθεί ή μεταδοθεί.
Βασικές υπηρεσίες: ιδιωτικές επιχειρήσεις ή δημόσιες οντότητες που διαδραματίζουν σημαντικό ρόλο για την κοινωνία και την οικονομία, όπως για παράδειγμα η υδροδότηση, οι υπηρεσίες ηλεκτρικής ενέργειας κ.λπ.

ΒΑΣΙΚΟ ΚΕΙΜΕΝΟ

Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 194 της 19.7.2016, σ. 1-30)

ΣΥΝΑΦΗ ΚΕΙΜΕΝΑ

Εκτελεστικός κανονισμός (ΕΕ) 2018/151 της Επιτροπής, της 30ής Ιανουαρίου 2018, που θεσπίζει κανόνες για την εφαρμογή της οδηγίας (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, όσον αφορά τον περαιτέρω προσδιορισμό των στοιχείων που πρέπει να λαμβάνονται υπόψη από τους παρόχους ψηφιακών υπηρεσιών για τη διαχείριση κινδύνων που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών, καθώς και των παραμέτρων βάσει των οποίων καθορίζεται κατά πόσον ο αντίκτυπος συμβάντων είναι σημαντικός (ΕΕ L 26 της 31.1.2018, σ. 48-51)

Εκτελεστική απόφαση (ΕΕ) 2017/179 της Επιτροπής, της 1ης Φεβρουαρίου 2017, για τον καθορισμό διαδικαστικών ρυθμίσεων που είναι αναγκαίες για τη λειτουργία της ομάδας συνεργασίας, σύμφωνα με το άρθρο 11 παράγραφος 5 της οδηγίας (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 28 της 2.2.2017, σ. 73-77)

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο: Αξιοποιώντας την ΑΔΠ στο έπακρον - Για την αποτελεσματική εφαρμογή της οδηγίας (ΕΕ) 2016/1148 σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (COM(2017) 476 final 2 της 4.10.2017)

Σύσταση (ΕΕ) 2017/1584 της Επιτροπής, της 13ης Σεπτεμβρίου 2017, για τη συντονισμένη αντιμετώπιση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο (ΕΕ L 239, της 19.9.2017, σ. 36-58)

Κοινή ανακοίνωση προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο — Ανθεκτικότητα, αποτροπή και άμυνα: Οικοδόμηση ισχυρής ασφάλειας στον κυβερνοχώρο για την ΕΕ (JOIN(2017) 450 final της 13.9.2017)

Έγγραφο εργασίας των υπηρεσιών της Επιτροπής — Αξιολόγηση της στρατηγικής του 2013 της ΕΕ για την ασφάλεια στον κυβερνοχώρο (SWD(2017) 295 final της 13.9.2017)

Κανονισμός (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (ΕΕ L 257 της 28.8.2014, σ. 73-114)

Απόφαση 2013/488/ΕΕ του Συμβουλίου, της 23ης Σεπτεμβρίου 2013, σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (ΕΕ L 274 της 15.10.2013, σ. 1-50).

Οι διαδοχικές τροποποιήσεις της απόφασης 2013/488/ΕΕ έχουν ενσωματωθεί στο αρχικό κείμενο. Η παρούσα ενοποιημένη έκδοση έχει μόνο αξία τεκμηρίωσης.

Οδηγία 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Αυγούστου 2013, για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου (ΕΕ L 218 της 14.8.2013, σ. 8-14)

Κανονισμός (ΕΕ) αριθ. 526/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Μαΐου 2013, σχετικά με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) και την κατάργηση του κανονισμού (ΕΚ) αριθ. 460/2004 (ΕΕ L 165 της 18.6.2013, σ. 41-58)

Κοινή ανακοίνωση προς το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών — Στρατηγική της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο: Για έναν ανοικτό, ασφαλή και προστατευμένο κυβερνοχώρο (JOIN(2013) 1 final, 7.2.2013)

τελευταία ενημέρωση 01.03.2018