Ασφάλεια των συστημάτων δικτύου και πληροφοριών

ΣΥΝΟΨΗ ΤΟΥ ΑΚΟΛΟΥΘΟΥ ΚΕΙΜΕΝΟΥ:

Οδηγία (ΕΕ) 2016/1148 — ασφάλεια των συστημάτων δικτύου και πληροφοριών

ΠΟΙΟΣ ΕΙΝΑΙ Ο ΣΚΟΠΟΣ ΤΗΣ ΟΔΗΓΙΑΣ;

Προτείνει ένα ευρύ φάσμα μέτρων για την ενίσχυση του επιπέδου ασφάλειας των συστημάτων δικτύου και πληροφοριών (ασφάλεια στον κυβερνοχώρο*) για την εξασφάλιση υπηρεσιών που είναι ζωτικής σημασίας για την οικονομία και την κοινωνία της ΕΕ (Ευρωπαϊκής Ένωσης). Στόχος της είναι να εξασφαλίσει ότι οι χώρες της ΕΕ είναι καλά προετοιμασμένες και έτοιμες να χειριστούν και να αντιμετωπίσουν επιθέσεις στον κυβερνοχώρο μέσω:

του διορισμού αρμόδιων αρχών,
της δημιουργίας ομάδων απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (CSIRT) και
της υιοθέτησης εθνικών στρατηγικών για την ασφάλεια στον κυβερνοχώρο.

Καθορίζει επίσης τη συνεργασία σε επίπεδο ΕΕ τόσο σε στρατηγικό όσο και σε τεχνικό επίπεδο.

Τέλος, εισάγει την υποχρέωση των παρόχων βασικών υπηρεσιών και των παρόχων ψηφιακών υπηρεσιών να λαμβάνουν τα κατάλληλα μέτρα ασφαλείας και να ενημερώνουν τις αρμόδιες εθνικές αρχές σχετικά με σοβαρά συμβάντα.

ΒΑΣΙΚΑ ΣΗΜΕΙΑ

Βελτίωση των εθνικών δυνατοτήτων για την ασφάλεια στον κυβερνοχώρο

Οι χώρες της ΕΕ πρέπει:

να ορίζουν μία ή περισσότερες εθνικές αρμόδιες αρχές και CSIRT και να προσδιορίζουν ένα ενιαίο κέντρο επαφής (σε περίπτωση που υπάρχουν περισσότερες από μία αρμόδιες αρχές)·
να προσδιορίζουν τους παρόχους βασικών υπηρεσιών σε σημαντικούς τομείς, όπως η ενέργεια, οι μεταφορές, η χρηματοδότηση, οι τράπεζες, η υγεία, η ύδρευση και η ψηφιακή υποδομή, στους οποίους μια επίθεση στον κυβερνοχώρο θα μπορούσε να διαταράξει μια βασική υπηρεσία.

Οι χώρες της ΕΕ πρέπει επίσης να θέτουν σε εφαρμογή μια εθνική στρατηγική ασφάλειας του κυβερνοχώρου για τα συστήματα δικτύου και πληροφοριών*, που να καλύπτει τα ακόλουθα θέματα:

την προετοιμασία και την ετοιμότητα να χειρίζονται και να αντιμετωπίζουν επιθέσεις στον κυβερνοχώρο·
τους ρόλους, τις ευθύνες και τη συνεργασία της κυβέρνησης και άλλων μερών·
προγράμματα εκπαίδευσης, ευαισθητοποίησης και κατάρτισης·
την έρευνα και τον σχεδιασμό ανάπτυξης·
τον σχεδιασμό για τον προσδιορισμό κινδύνων.

Οι αρμόδιες εθνικές αρχές παρακολουθούν την εφαρμογή της οδηγίας μέσω:

της αξιολόγησης των πολιτικών ασφαλείας και των πολιτικών ασφαλείας στον κυβερνοχώρο των παρόχων βασικών υπηρεσιών·
της εποπτείας των παρόχων ψηφιακών υπηρεσιών·
της συμμετοχής στις εργασίες της ομάδας συνεργασίας [συνίσταται από τις αρμόδιες αρχές για την ασφάλεια δικτύων και πληροφοριών (NIS) της κάθε χώρας της ΕΕ, την Ευρωπαϊκή Επιτροπή και τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA)]·
της ενημέρωσης του κοινού όταν είναι αναγκαίο για την πρόληψη ενός συμβάντος ή για την αντιμετώπιση ενός συμβάντος που βρίσκεται σε εξέλιξη, με παράλληλο σεβασμό του απορρήτου·
της έκδοσης δεσμευτικών οδηγιών για την αποκατάσταση των ελλείψεων στην ασφάλεια στον κυβερνοχώρο.

Οι CSIRT είναι υπεύθυνες για τα ακόλουθα:

την παρακολούθηση και την αντιμετώπιση συμβάντων ασφαλείας στον κυβερνοχώρο·
την παροχή ανάλυσης κινδύνων και συμβάντων και την επίγνωση της κατάστασης·
τη συμμετοχή στο δίκτυο CSIRT·
τη συνεργασία με τον ιδιωτικό τομέα·
την προώθηση της χρήσης τυποποιημένων πρακτικών για τον χειρισμό συμβάντων και κινδύνων και την ταξινόμηση πληροφοριών.

Απαιτήσεις ασφάλειας και κοινοποίησης

Η παρούσα οδηγία αποσκοπεί στην προώθηση μιας νοοτροπίας διαχείρισης κινδύνου. Οι επιχειρήσεις που δραστηριοποιούνται σε βασικούς τομείς πρέπει να αξιολογούν τους κινδύνους που διατρέχουν και να υιοθετούν μέτρα για την εξασφάλιση της ασφάλειας του κυβερνοχώρου. Αυτές οι εταιρείες πρέπει να ενημερώνουν τις αρμόδιες αρχές ή τις ομάδες CSIRT για κάθε σχετικό συμβάν, όπως η ηλεκτρονική πειρατεία ή η κλοπή δεδομένων, που θέτει σε σοβαρό κίνδυνο την ασφάλεια στον κυβερνοχώρο και έχει ως αποτέλεσμα τη σοβαρή διατάραξη στη συνέχεια των υπηρεσιών ζωτικής σημασίας και στην παροχή αγαθών.

Για τον καθορισμό των συμβάντων που πρέπει να κοινοποιούνται από τους παρόχους βασικών υπηρεσιών*, Οι χώρες της ΕΕ πρέπει να λαμβάνουν υπόψη τη διάρκεια ενός συμβάντος, το γεωγραφικό εύρος, καθώς και άλλους παράγοντες, όπως τον αριθμό των χρηστών που βασίζονται σε αυτήν την υπηρεσία.

Οι βασικοί πάροχοι ψηφιακών υπηρεσιών (μηχανές αναζήτησης, υπηρεσίες νεφοϋπολογιστικής και επιγραμμικές αγορές) θα πρέπει επίσης να συμμορφώνονται με τις απαιτήσεις ασφάλειας και κοινοποίησης.

Βελτίωση της συνεργασίας σε επίπεδο ΕΕ

Η οδηγία καθιερώνει την ομάδα συνεργασίας τα καθήκοντα της οποίας περιλαμβάνουν:

την παροχή καθοδήγησης στο δίκτυο CSIRT·
την ανταλλαγή βέλτιστων πρακτικών σχετικά με τον προσδιορισμό παρόχων βασικών υπηρεσιών·
τη στήριξη των χωρών της ΕΕ για την ανάπτυξη δυνατοτήτων ασφαλείας στον κυβερνοχώρο·
την ανταλλαγή πληροφοριών και βέλτιστων πρακτικών σχετικά με την ευαισθητοποίηση και την κατάρτιση, την έρευνα και την ανάπτυξη·
την ανταλλαγή πληροφοριών και τη συλλογή βέλτιστων πρακτικών σχετικά με τους κινδύνους και τα συμβάντα·
τη συζήτηση των τρόπων κοινοποίησης των συμβάντων.

Η οδηγία θεσπίζει επίσης το δίκτυο CSIRT το οποίο συνίσταται από αντιπροσώπους των CSIRT των χωρών της ΕΕ και την ομάδα αντιμετώπισης έκτακτων αναγκών στην πληροφορική (CERT-EU). Τα καθήκοντά του περιλαμβάνουν τα εξής:

την ανταλλαγή πληροφοριών σχετικά με τις υπηρεσίες CSIRT·
την ανταλλαγή πληροφοριών που αφορούν συμβάντα ασφαλείας στον κυβερνοχώρο·
τη στήριξη των χωρών της ΕΕ στην αντιμετώπιση διασυνοριακών συμβάντων·
τη συζήτηση και τον καθορισμό συντονισμένης απόκρισης για συμβάν που αναφέρεται από μια χώρα της ΕΕ·
τη συζήτηση, διερεύνηση και τον καθορισμό περαιτέρω μορφών επιχειρησιακής συνεργασίας, συμπεριλαμβανομένων:
- των κατηγοριών κινδύνων και συμβάντων·
- των έγκαιρων προειδοποιήσεων·
- της αμοιβαίας συνδρομής·
- του συντονισμού μεταξύ των χωρών που αντιμετωπίζουν κινδύνους και συμβάντα τα οποία επηρεάζουν περισσότερες από μία χώρες της ΕΕ·
της ενημέρωσης της ομάδας συνεργασίας για τις δραστηριότητές του και της υποβολής αιτήματος για καθοδήγηση·
της συζήτησης σχετικά με διδάγματα από ασκήσεις ασφαλείας στον κυβερνοχώρο·
της συζήτησης σχετικά με τις δυνατότητες μεμονωμένων CSIRT κατόπιν αιτήματός τους·
της έκδοσης κατευθυντήριων γραμμών για την επιχειρησιακή συνεργασία.

Κυρώσεις

Οι χώρες της ΕΕ πρέπει να εφαρμόζουν αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις για να εξασφαλίζουν την εφαρμογή των όρων της παρούσας οδηγίας.

ΑΠΟ ΠΟΤΕ ΕΦΑΡΜΟΖΕΤΑΙ Η ΟΔΗΓΙΑ;

Εφαρμόζεται από τις 8 Αυγούστου 2016. Οι χώρες της ΕΕ πρέπει να την ενσωματώσουν στο εθνικό τους δίκαιο έως τις 9 Μαΐου 2018 και να προσδιορίσουν τους παρόχους βασικών υπηρεσιών έως τις 9 Νοεμβρίου 2018.

ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ

Ασφάλεια στον κυβερνοχώρο (Ευρωπαϊκή Επιτροπή)
Ασφάλεια στον κυβερνοχώρο: Η Επιτροπή αναβαθμίζει την απόκρισή της στις κυβερνοεπιθέσεις στον κυβερνοχώρο — δελτίο τύπου (Ευρωπαϊκή Επιτροπή)
Οδηγία σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών — δελτίο τύπου (Ευρωπαϊκή Επιτροπή)
Ανθεκτικότητα, αποτροπή και άμυνα: Οικοδόμηση ισχυρής ασφάλειας στον κυβερνοχώρο στην Ευρώπη — ενημερωτικό δελτίο (Ευρωπαϊκή Επιτροπή).

ΒΑΣΙΚΟΙ ΟΡΟΙ

Ασφάλεια στον κυβερνοχώρο: η ικανότητα των συστημάτων δικτύου και πληροφοριών να ανθίστανται σε ενέργειες που πλήττουν τη διαθεσιμότητα, την αυθεντικότητα, την ακεραιότητα ή την εμπιστευτικότητα των ψηφιακών δεδομένων και των υπηρεσιών που παρέχουν αυτά τα συστήματα.

Σύστημα δικτύου και πληροφοριών: ένα δίκτυο ηλεκτρονικών επικοινωνιών ή οποιαδήποτε συσκευή ή ομάδα διασυνδεδεμένων συσκευών που επεξεργάζονται ψηφιακά δεδομένα, καθώς και τα ψηφιακά δεδομένα που έχουν αποθηκευτεί, υποστεί επεξεργασία, ανακτηθεί ή μεταδοθεί.

Βασικές υπηρεσίες: ιδιωτικές επιχειρήσεις ή δημόσιες οντότητες που διαδραματίζουν σημαντικό ρόλο για την κοινωνία και την οικονομία, όπως για παράδειγμα η υδροδότηση, οι υπηρεσίες ηλεκτρικής ενέργειας κ.λπ.

ΒΑΣΙΚΟ ΚΕΙΜΕΝΟ

Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 194 της 19.7.2016, σ. 1-30)

ΣΥΝΑΦΗ ΚΕΙΜΕΝΑ

Εκτελεστικός κανονισμός (ΕΕ) 2018/151 της Επιτροπής, της 30ής Ιανουαρίου 2018, που θεσπίζει κανόνες για την εφαρμογή της οδηγίας (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, όσον αφορά τον περαιτέρω προσδιορισμό των στοιχείων που πρέπει να λαμβάνονται υπόψη από τους παρόχους ψηφιακών υπηρεσιών για τη διαχείριση κινδύνων που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών, καθώς και των παραμέτρων βάσει των οποίων καθορίζεται κατά πόσον ο αντίκτυπος συμβάντων είναι σημαντικός (ΕΕ L 26 της 31.1.2018, σ. 48-51)

Εκτελεστική απόφαση (ΕΕ) 2017/179 της Επιτροπής, της 1ης Φεβρουαρίου 2017, για τον καθορισμό διαδικαστικών ρυθμίσεων που είναι αναγκαίες για τη λειτουργία της ομάδας συνεργασίας, σύμφωνα με το άρθρο 11 παράγραφος 5 της οδηγίας (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 28 της 2.2.2017, σ. 73-77)

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο: Αξιοποιώντας την ΑΔΠ στο έπακρον - Για την αποτελεσματική εφαρμογή της οδηγίας (ΕΕ) 2016/1148 σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (COM(2017) 476 final 2 της 4.10.2017)

Σύσταση (ΕΕ) 2017/1584 της Επιτροπής, της 13ης Σεπτεμβρίου 2017, για τη συντονισμένη αντιμετώπιση περιστατικών και κρίσεων μεγάλης κλίμακας στον κυβερνοχώρο (ΕΕ L 239, της 19.9.2017, σ. 36-58)

Κοινή ανακοίνωση προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο — Ανθεκτικότητα, αποτροπή και άμυνα: Οικοδόμηση ισχυρής ασφάλειας στον κυβερνοχώρο για την ΕΕ (JOIN(2017) 450 final της 13.9.2017)

Έγγραφο εργασίας των υπηρεσιών της Επιτροπής — Αξιολόγηση της στρατηγικής του 2013 της ΕΕ για την ασφάλεια στον κυβερνοχώρο (SWD(2017) 295 final της 13.9.2017)

Κανονισμός (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (ΕΕ L 257 της 28.8.2014, σ. 73-114)

Απόφαση 2013/488/ΕΕ του Συμβουλίου, της 23ης Σεπτεμβρίου 2013, σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (ΕΕ L 274 της 15.10.2013, σ. 1-50).

Οι διαδοχικές τροποποιήσεις της απόφασης 2013/488/ΕΕ έχουν ενσωματωθεί στο αρχικό κείμενο. Η παρούσα ενοποιημένη έκδοση έχει μόνο αξία τεκμηρίωσης.

Οδηγία 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Αυγούστου 2013, για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου (ΕΕ L 218 της 14.8.2013, σ. 8-14)

Κανονισμός (ΕΕ) αριθ. 526/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 21ης Μαΐου 2013, σχετικά με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) και την κατάργηση του κανονισμού (ΕΚ) αριθ. 460/2004 (ΕΕ L 165 της 18.6.2013, σ. 41-58)

Κοινή ανακοίνωση προς το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών — Στρατηγική της Ευρωπαϊκής Ένωσης για την ασφάλεια στον κυβερνοχώρο: Για έναν ανοικτό, ασφαλή και προστατευμένο κυβερνοχώρο (JOIN(2013) 1 final, 7.2.2013)

τελευταία ενημέρωση 01.03.2018