Η κοινωνία μας στηρίζεται όλο και περισσότερο στα
ηλεκτρονικά δίκτυα και τα πληροφοριακά συστήματα. Ταυτόχρονα, έχουν αυξηθεί τα
κρούσματα ηλεκτρονικής απάτης και πλαστογραφίας. Η κλοπή ταυτότητας, οι πλαστές
τραπεζικές ιστοσελίδες και η βιομηχανική κατασκοπεία αποτελούν μόνο μερικά από
τα εγκλήματα που διαπράττονται στο διαδίκτυο και έχουν στόχο προσωπικούς
λογαριασμούς, επιχειρήσεις και δημόσιες αρχές. Οι επιθέσεις στο διαδίκτυο μπορούν να
προκαλέσουν σημαντικές ζημιές σε κρίσιμες υπηρεσίες, όπως είναι η παροχή
ηλεκτρικού ρεύματος ή ο έλεγχος της εναέριας κυκλοφορίας. Υπό αυτές τις
συνθήκες, λοιπόν, η ΕΕ συμφώνησε στη δημιουργία κανόνων ασφαλείας στον
κυβερνοχώρο.
Στις 6
Ιουλίου 2016, η ολομέλεια του
Ευρωπαϊκού Κοινοβουλίου ενέκρινε την Οδηγία 2016/1148 για την Ασφάλεια Δικτύων
και Πληροφοριών (ΝΙS). Η Οδηγία αποσκοπεί στην εναρμόνιση της νομοθεσίας σχετικά
με την ασφάλειας στον κυβερνοχώρο σε όλη την ΕΕ και τη βελτίωση της συνεργασίας
μεταξύ των κρατών μελών, όταν υπάρχουν επιθέσεις. Σύμφωνα με τους νέους
κανόνες, εταιρίες που παρέχουν σημαντικές υπηρεσίες, όπως ενέργεια, μεταφορές,
τραπεζικές υπηρεσίες και υπηρεσίες υγείας, καθώς και ψηφιακές υπηρεσίες όπως
μηχανές αναζήτησης και υπηρεσίες cloud computing, πρέπει να μπορούν να
αντιμετωπίζουν ενδεχόμενες επιθέσεις στον κυβερνοχώρο και να αναφέρουν σοβαρά περιστατικά
παραβίασης των συστημάτων ασφαλείας τους στις αρχές. Επίσης, προβλέπεται
ενδυνάμωση της συνεργασίας μεταξύ των κρατών μελών στον τομέα της ασφάλειας στο
διαδίκτυο. Οι ρυθμίσεις για τα κοινά πρότυπα ασφάλειας στον κυβερνοχώρο και η
ενίσχυση της συνεργασίας μεταξύ των ευρωπαϊκών χωρών θα ενισχύσει την προστασία
των επιχειρήσεων και θα βοηθήσει στην πρόληψη επιθέσεων σε διασυνδεδεμένες
υποδομές των χωρών της ΕΕ.
Ειδικότερα, η νέα ευρωπαϊκή Οδηγία ορίζει τις
υποχρεώσεις για την τήρηση συγκεκριμένων επιπέδων ασφάλειας και την υποβολή
εκθέσεων για «φορείς εκμετάλλευσης βασικών υπηρεσιών» σε τομείς, όπως η
ενέργεια, οι μεταφορές, η υγεία, οι τραπεζικές υπηρεσίες και η παροχή νερού. Τα
κράτη μέλη της ΕΕ θα είναι εκείνα που θα ορίσουν ποιοι φορείς ανήκουν σε αυτούς
τους τομείς, χρησιμοποιώντας συγκεκριμένα κριτήρια, όπως π.χ. εάν η παρεχόμενη
υπηρεσία είναι ζωτικής σημασίας για την κοινωνία και την οικονομία και το κατά
πόσον ένα περιστατικό παραβίασης ασφαλείας θα έχει σημαντικές επιπτώσεις στην
παροχή της συγκεκριμένης υπηρεσίας. Ορισμένοι πάροχοι ψηφιακών υπηρεσιών, όπως
οι διαδικτυακές αγορές, οι μηχανές αναζήτησης και οι υπηρεσίες cloud computing,
θα υποχρεωθούν επίσης να λάβουν επιπρόσθετα μέτρα, προκειμένου να εξασφαλίσουν
ένα επιθυμητό επίπεδο ασφαλείας για τις υποδομές τους, ενώ θα υποχρεούνται να
αναφέρουν στις εθνικές αρχές τα όποια συμβάντα παραβιάσεων των συστημάτων
ασφαλείας τους. Οι απαιτήσεις, ωστόσο, για τους παρόχους ψηφιακών υπηρεσιών θα
είναι μικρότερες, ενώ θα εξαιρεθούν οι πολύ μικρές επιχειρήσεις.
Επιπλέον, θα συγκροτηθεί ομάδα συνεργασίας με σκοπό
την υποστήριξη και τη διευκόλυνση της στρατηγικής συνεργασίας και της
ανταλλαγής πληροφοριών μεταξύ των κρατών μελών. Όλες οι χώρες της ΕΕ θα
εφαρμόσουν μια εθνική στρατηγική για την αντιμετώπιση των απειλών στον
κυβερνοχώρο. Τα κράτη μέλη θα δημιουργήσουν επίσης ένα δίκτυο «ομάδων απόκρισης
για συμβάντα που αφορούν την ασφάλεια υπολογιστών (CSIRT)», οι οποίες θα
χειρίζονται περιστατικά και απειλές, θα συζητούν διασυνοριακά ζητήματα
ασφάλειας και θα προωθούν την ταχεία και αποτελεσματική επιχειρησιακή
συνεργασία. Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών
(ENISA) θα διαδραματίσει καίριο ρόλο στην εφαρμογή της Οδηγίας, ιδίως σε ό, τι
αφορά τη συνεργασία μεταξύ των ευρωπαϊκών κρατών. Το ζήτημα της προστασίας των
προσωπικών δεδομένων περιλαμβάνεται επίσης σε πολλές διατάξεις της Οδηγίας.
Η νέα Οδηγία σχετικά με τα μέτρα για υψηλό κοινό
επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση
πρέπει να μεταφερθεί στο εθνικό δίκαιο των κρατών μελών έως τον Μάιο του 2018,
ενώ προβλέπεται διάστημα έξι επιπλέον μηνών, προκειμένου τα κράτη μέλη να
καθορίσουν τους εθνικούς «φορείς εκμετάλλευσης βασικών υπηρεσιών».
Παράλληλα, εντός του Ιουλίου του 2016, η Ευρωπαϊκή
Επιτροπή προχώρησε στην υπογραφή συμφωνίας με τον κλάδο της κυβερνοασφάλειας,
με σκοπό την ένταση της προσπάθειας αντιμετώπισης των κυβερνοαπειλών. Πρόκειται
για μια νέα σύμπραξη δημόσιου-ιδιωτικού τομέα για την κυβερνοασφάλεια, η οποία
αναμένεται να προσελκύσει επενδύσεις ύψους 1,8 δις ευρώ έως το 2020. Η σύμπραξη
αυτή εντάσσεται στο πλαίσιο των νέων πρωτοβουλιών για καλύτερη θωράκιση της
Ευρώπης έναντι των κυβερνοεπιθέσεων και ενίσχυση της ανταγωνιστικότητας του
κλάδου της κυβερνοασφάλειας. Η ΕΕ θα επενδύσει 450 εκατ. ευρώ στη σύμπραξη
αυτή, στο πλαίσιο του προγράμματος έρευνας και καινοτομίας «Ορίζοντας 2020».
Στόχος είναι η ανάπτυξη στενότερης συνεργασίας στα αρχικά στάδια της
διαδικασίας έρευνας και καινοτομίας και η εξεύρεση λύσεων για θέματα
κυβερνοασφάλειας σε διάφορους τομείς, όπως η ενέργεια, η υγεία, οι μεταφορές
και ο χρηματοπιστωτικός κλάδος.
Τέλος, η Ευρωπαϊκή Επιτροπή παρουσίασε διάφορα μέτρα
για να αντιμετωπιστεί ο κατακερματισμός της ευρωπαϊκής αγοράς κυβερνοασφάλειας.
Επί του παρόντος, μια εταιρεία πληροφορικής πρέπει να ακολουθεί διαφορετικές διαδικασίες
πιστοποίησης για να μπορεί να πωλεί τα προϊόντα και τις υπηρεσίες της σε
περισσότερες από μία χώρες της Ευρωπαϊκής Ένωσης. Γι’ αυτό, η Ευρωπαϊκή
Επιτροπή θα εξετάσει την πιθανότητα δημιουργίας ενός ευρωπαϊκού πλαισίου πιστοποίησης
των προϊόντων ασφάλειας στον τομέα της πληροφορικής. Πολυάριθμες καινοτόμες,
μικρές και μεσαίες επιχειρήσεις στην Ευρώπη διακρίνονται στις εξειδικευμένες
αγορές (π.χ. κρυπτογράφηση), καθώς και σε πατροπαράδοτες αγορές με νέα
επιχειρηματικά μοντέλα (π.χ. αντιϊκό λογισμικό), αλλά συχνά δεν μπορούν να
επεκτείνουν τις δραστηριότητές τους. Σκοπός της Ευρωπαϊκής Επιτροπής είναι να διευκολύνει την πρόσβαση
στη χρηματοδότηση για τις μικρές επιχειρήσεις που
δραστηριοποιούνται στον τομέα της κυβερνοασφάλειας και να εξετάσει διάφορες
εναλλακτικές λύσεις στο πλαίσιο του επενδυτικού σχεδίου της ΕΕ.
Σχετικά links:
Το κείμενο
της Οδηγίας:
Περισσότερες
πληροφορίες σχετικά με την Οδηγία:
Βλ. επίσης:
