ΆρθραΟδηγία NIS2: Υποχρεώσεις Υπαγόμενων Οντοτήτων & Περιστατικά Ασφαλείας

21 Μαΐου, 2026by Stavros Koumentakis

Οδηγία NIS2: Υποχρεώσεις Υπαγόμενων Οντοτήτων & Περιστατικά Ασφαλείας

 

Σε προηγούμενη αρθρογραφία μας προσεγγίσαμε το ρυθμιστικό πλαίσιο της Οδηγίας NIS2 και του εφαρμοστικού της νόμου (ν. 5160/2024), με έμφαση στο υποκειμενικό πεδίο εφαρμογής-στις οντότητες, δηλ., που υποχρεούνται να συμμορφωθούν. Προχωρώντας βαθύτερα, κρίσιμο είναι να εξετάσουμε το πλαίσιο συμμόρφωσης για τις υπαγόμενες (Βασικές και Σημαντικές) Οντότητες. Επικεντρωνόμαστε, στη συνέχεια, στις υποχρεώσεις τους και στο πλαίσιο διαχείρισης περιστατικών ασφαλείας.

Υποχρέωση Εγγραφής στο Μητρώο Φορέων – Υπόχρεων

Καταληκτική ημερομηνία για την ολοκλήρωση της εγγραφής στο Μητρώο Φορέων-Υπόχρεων της Εθνικής Αρχής Κυβερνοασφάλειας ορίσθηκε η 30η.09.2025. Κατά την εγγραφή απαιτείται κοινοποίηση των πληροφοριών του άρ. 1 του Υποδ. Ι της υπ’ αριθ. 1990/28.7.2025 Κ.Υ.Α. Στις σχετικές πληροφορίες περιλαμβάνονται και τα στοιχεία του Υπεύθυνου Ασφαλείας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), ο οποίος έχει οριστεί από την υπαγόμενη Οντότητα (για τα προσόντα, τα καθήκοντα και τα ασυμβίβαστα του οποίου σε επόμενη αρθρογραφία μας).

Μέσω της πλατφόρμας εγγραφής παρέχεται επίσης δυνατότητα επικαιροποίησης των στοιχείων των ήδη εγγεγραμμένων οντοτήτων.

Υποχρέωση Λήψης Μέτρων Kυβερνοασφάλειας

Οι υπόχρεες Οντότητες οφείλουν να λαμβάνουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα. Τα συγκεκριμένα μέτρα αφορούν τη διαχείριση των κινδύνων σχετικά με την ασφάλεια συστημάτων δικτύου και πληροφοριακών συστημάτων, που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους˙ επίσης, για την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες και οργανισμούς.

Σύμφωνα με το άρ. 15 ν. 5160/2024, τα μέτρα βασίζονται σε ολιστική προσέγγιση του κινδύνου˙ περιλαμβάνουν, τουλάχιστον, τα ακόλουθα:

(α) πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων, ώστε να εντοπίζονται, έγκαιρα, πιθανά σημεία ευπάθειας,

(β) διαχείριση περιστατικών, με την έννοια της ανίχνευσης, ανταπόκρισης και ανάκαμψης,

(γ) επιχειρησιακή συνέχεια, όπως με την τήρηση αντιγράφων ασφαλείας και την ανάπτυξη διαδικασιών αποκατάστασης και διαχείρισης κρίσεων,

(δ) ασφάλεια της αλυσίδας εφοδιασμού, συμπεριλαμβανομένων των πτυχών των σχετικών με την ασφάλεια, που αφορούν τις σχέσεις μεταξύ κάθε Οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της,

(ε) ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένων του χειρισμού και της γνωστοποίησης ευπαθειών καθ’ όλη τη διάρκεια του κύκλου ζωής τους,

(στ) πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας,

(ζ) βασικές πρακτικές κυβερνοϋγιεινής (:πρακτικές που οφείλουν χρήστες και οργανισμοί να ακολουθούν για να διατηρούν τα συστήματά τους ασφαλή, να προστατεύουν τα δεδομένα τους και να μειώνουν τους κινδύνους από κυβερνοαπειλές) και κατάρτιση στην κυβερνοασφάλεια,

(η) πολιτικές και διαδικασίες σχετικά με τη χρήση κρυπτογραφίας και κρυπτογράφησης για την προστασία των δεδομένων από μη εξουσιοδοτημένη πρόσβαση,

(θ) ασφάλεια ανθρώπινου δυναμικού, πολιτικές ελέγχου πρόσβασης και διαχείριση πάγιων στοιχείων,

(ι) χρήση λύσεων πολυπαραγοντικής επαλήθευσης ταυτότητας ή συνεχούς επαλήθευσης ταυτότητας και ασφαλών επικοινωνιών (φωνής, βίντεο, κειμένου και έκτακτης ανάγκης).

Σε κάθε περίπτωση διαπίστωσης μη συμμόρφωσης με τα παραπάνω μέτρα, κάθε Οντότητα οφείλει να λαμβάνει τα αναγκαία, κατάλληλα και αναλογικά διορθωτικά μέτρα.

Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας

Σύμφωνα με τον εφαρμοστικό νόμο (άρ. 30 §13.α ν. 5160/2024), με απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης καθορίζεται το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας, το οποίο περιλαμβάνει τα ως άνω τεχνικά, επιχειρησιακά και οργανωτικά μέτρα διαχείρισης των κινδύνων κυβερνοασφάλειας. Σχετικά έχει εκδοθεί η Κ.Υ.Α. 1689/30.4.2025, σύμφωνα με την οποία προβλέπεται ότι η (Bασική ή Σημαντική) Οντότητα:

(α) διαμορφώνει και υλοποιεί ολοκληρωμένο πρόγραμμα διαχείρισης των κινδύνων κυβερνοασφάλειας,

(β) αναπτύσσει και τηρεί κατάλληλο πλαίσιο διαχείρισης κινδύνων κυβερνοασφάλειας, διενεργεί σε περιοδική βάση και με αναλογικό τρόπο εκτίμηση κινδύνων (risk assessment), αναπτύσσει-υλοποιεί-επιβλέπει πλάνο αντιμετώπισης κινδύνων (risk treatment plan),

(γ) εκπονεί γραπτή γενική Πολιτική ασφάλειας πληροφοριών καθώς και γραπτές θεματικές Πολιτικές ασφάλειας,

(δ) ορίζει αρμοδιότητες και εξουσίες αναφορικά με την κυβερνοασφάλεια, τις οποίες αναθέτει σε συγκεκριμένους ρόλους,

(ε) υλοποιεί διαδικασίες παρακολούθησης και αξιολόγησης της συμμόρφωσής της με τις κανονιστικές της υποχρεώσεις αναφορικά με την κυβερνοασφάλεια, εκκινώντας -εφόσον διαπιστώνεται έλλειψη συμμόρφωσης- διαδικασίες διορθωτικών μέτρων,

(στ) λαμβάνει μέτρα ασφάλειας του ανθρώπινου δυναμικού (:έλεγχοι καταλληλότητας, καθορισμός και κοινοποίηση ευθυνών και καθηκόντων, πειθαρχικοί έλεγχοι, background checks του υποψήφιου προσωπικού που αναλαμβάνει ρόλους και αρμοδιότητες αναφορικά με την κυβερνοασφάλεια),

(ζ) λαμβάνει μέτρα αναφορικά με τις ακόλουθες περιοχές: (i) διαχείριση υλικού και λογισμικού (asset management), (ii) διαχείριση κινδύνων από τις σχέσεις με προμηθευτές και παρόχους υπηρεσιών ΤΠΕ (Τεχνολογιών Πληροφορικής και Επικοινωνιών), (iii) διαχείριση λογαριασμών και έλεγχος πρόσβασης, (iv) ασφαλής παραμετροποίηση, (v) ασφαλής ανάπτυξη εφαρμογών, (vi) διαχείριση αλλαγών, (vii) διαχείριση και γνωστοποίηση ευπαθειών, (viii) αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας, (ix) ασφάλεια δικτύων, (x) προστασία από κακόβουλο λογισμικό, (xi) εκπαίδευση και ευαισθητοποίηση του προσωπικού, (xii) χρήση κρυπτογραφίας, (xiii) φυσική και περιβαλλοντική ασφάλεια, (xiv) διαχείριση περιστατικών καθώς και (xv) επιχειρησιακή συνέχεια και διαχείριση κρίσεων.

Τέλος, προβλέπεται για τις Βασικές μόνο Οντότητες ότι υλοποιούν, σε περιοδική βάση, ανεξάρτητους ελέγχους του συνόλου των παραμέτρων του προγράμματος διαχείρισης ασφάλειας πληροφοριών και -εφόσον απαιτείται- εκκινούν διαδικασίες διορθωτικών ενεργειών.

Σημειώνεται, συνολικά για τα ως άνω μέτρα, ότι λαμβάνει χώρα αξιολόγηση και επικαιροποίηση σε προγραμματισμένα χρονικά διαστήματα, καθώς και όταν λαμβάνουν χώρα σοβαρά περιστατικά κυβερνοασφάλειας ή σημαντικές αλλαγές στη λειτουργία της Οντότητας.

Υποχρεώσεις για την Απόδοση Ρόλων και Ευθυνών

Υφίστανται συγκεκριμένες υποχρεώσεις για την απόδοση ρόλων και ευθυνών μέσα σε κάθε Οντότητα για τα θέματα κυβερνοασφάλειας καθώς και για την ενίσχυση της λογοδοσίας του ανώτατου οργάνου διοίκησης (άρ. 14 και 15 ν. 5160/2024). Στο πλαίσιο αυτό οι υπόχρεες Οντότητες οφείλουν:

(α) Να ορίζουν ένα αρμόδιο στέλεχός τους, ανάλογων προσόντων και εμπειρογνωμοσύνης ως Υ.Α.Σ.Π.Ε. (:Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών).

(β) Να τηρούν ενιαία πολιτική κυβερνοασφάλειας, στην οποία συμπεριλαμβάνεται το σύνολο των επιμέρους μέτρων, πολιτικών και διαδικασιών που αφορούν στα ελάχιστα τεχνικά και οργανωτικά μέτρα συμμόρφωσης. Σε περίπτωση τήρησης από τον φορέα επιμέρους καταγεγραμμένων πολιτικών και διαδικασιών, η ενιαία πολιτική κυβερνοασφάλειας παραπέμπει για τις επιμέρους λεπτομέρειες στις πολιτικές και διαδικασίες αυτές.

(γ) Να τηρούν συνολική καταγραφή των υλικών και άυλων πληροφοριακών και επικοινωνιακών αγαθών, τα οποία ιεραρχούνται βάσει της κρισιμότητάς τους.

(δ) Να εκπαιδεύουν σχετικά τα μέλη της Διοίκησης, αλλά και τους εργαζομένους της Οντότητας.

Περιστατικά Ασφαλείας

Ως Περιστατικό Ασφαλείας νοείται κάθε συμβάν που θέτει σε κίνδυνο τη διαθεσιμότητα, την ακεραιότητα ή την εμπιστευτικότητα των δεδομένων που αποθηκεύονται, μεταδίδονται ή υποβάλλονται σε επεξεργασία˙ των υπηρεσιών, επίσης, που προσφέρονται ή είναι προσβάσιμες μέσω συστημάτων δικτύου και πληροφοριακών συστημάτων.

Το περιστατικό θεωρείται σημαντικό αν:

(α) έχει προκαλέσει ή μπορεί να προκαλέσει σοβαρή λειτουργική διατάραξη των υπηρεσιών ή οικονομική ζημία για την οικεία Οντότητα ή

(β) έχει επηρεάσει ή μπορεί να επηρεάσει άλλα φυσικά ή νομικά πρόσωπα προκαλώντας σημαντική υλική (ή άλλη) ζημία.

Η Οδηγία NIS2 προδιαγράφει ότι κάθε περιστατικό που έχει σημαντικό αντίκτυπο στην παροχή των υπηρεσιών των Βασικών και Σημαντικών Οντοτήτων, πρέπει να κοινοποιείται άμεσα στην Εθνική Αρχή Κυβερνοασφάλειας.

Ο εφαρμοστικός νόμος (ν. 5160/2024) προβλέπει σαφή χρονικό πλαίσιο κοινοποίησης των εν λόγω περιστατικών. Η κοινοποίηση απευθύνεται προς την «Ομάδα Απόκρισης για Συμβάντα που αφορούν στην Ασφάλεια Υπολογιστών (CSIRT)» της Εθνικής Αρχής Κυβερνοασφάλειας και πρέπει να λαμβάνει χώρα ως εξής:

(1) Έγκαιρη προειδοποίηση: χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός είκοσι τεσσάρων (24) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, η οποία, κατά περίπτωση, αναφέρει αν υπάρχει υποψία ότι το σημαντικό περιστατικό προκλήθηκε από παράνομες ή κακόβουλες ενέργειες ή θα μπορούσε να έχει διασυνοριακό αντίκτυπο.

(2) Κοινοποίηση περιστατικού: χωρίς αδικαιολόγητη καθυστέρηση και σε κάθε περίπτωση εντός εβδομήντα δύο (72) ωρών από τη στιγμή που αντιλήφθηκαν το σημαντικό περιστατικό, η οποία, κατά περίπτωση, επικαιροποιεί τις πληροφορίες και περιλαμβάνει μια αρχική αξιολόγηση του σημαντικού περιστατικού, μεταξύ άλλων της σοβαρότητας και των επιπτώσεών του, καθώς και, εφόσον υπάρχουν, τις ενδείξεις της παραβίασης.

(3) Ενδιάμεση έκθεση: κατόπιν αιτήματος της Εθνικής Αρχής Κυβερνοασφάλειας, σχετικά με τις επικαιροποιήσεις της κατάστασης.

(4) Τελική έκθεση: το αργότερο εντός ενός (1) μήνα μετά από την υποβολή της κοινοποίησης περιστατικού ή το «κλείσιμο» του περιστατικού.

(5) Σε περίπτωση εν εξελίξει περιστατικού κατά τον χρόνο υποβολής της ως άνω τελικής έκθεσης, οι οικείες Οντότητες υποβάλλουν έκθεση προόδου τη δεδομένη στιγμή και τελική έκθεση εντός ενός (1) μήνα από τον εκ μέρους τους χειρισμό του σημαντικού περιστατικού.

Επιπλέον, οι Βασικές και Σημαντικές Οντότητες οφείλουν να ενημερώνουν τους κατά περίπτωση αποδέκτες των υπηρεσιών τους (οι οποίοι ενδέχεται να επηρεαστούν από σημαντική κυβερνοαπειλή) για την ύπαρξη της. Επίσης να κοινοποιούν, αμελλητί, μέτρα ή διορθωτικές ενέργειες που μπορούν αυτοί να λάβουν για την αντιμετώπιση της συγκεκριμένης απειλής.

Είναι ακόμη δυνατόν, να απαιτηθεί από την Εθνική Αρχή Κυβερνοασφάλειας η Οντότητα να προβεί σε ενημέρωση του κοινού εντός ορισμένης προθεσμίας, όταν η ευαισθητοποίησή του (του κοινού) είναι αναγκαία για την πρόληψη σημαντικού περιστατικού ή για την αντιμετώπιση σημαντικού εν εξελίξει περιστατικού ή όταν η γνωστοποίηση του σημαντικού περιστατικού είναι προς το δημόσιο συμφέρον.

Ανταλλαγή Πληροφοριών – Συμμόρφωση

Οι Οντότητες ανταλλάσσουν μεταξύ τους, σε εθελοντική βάση, πληροφορίες σχετικές με την κυβερνοασφάλεια. Η ανταλλαγή πληροφοριών πραγματοποιείται στο πλαίσιο κοινοτήτων Βασικών και σημαντικών Οντοτήτων και, κατά περίπτωση, των προμηθευτών ή των παρόχων υπηρεσιών τους. Οι Βασικές και Σημαντικές Οντότητες οφείλουν να γνωστοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας, αμελλητί, τη συμμετοχή τους στο πλαίσιο ανταλλαγής πληροφοριών καθώς και την απόσυρση της συμμετοχής τους, μόλις αυτή πραγματοποιηθεί.

Για την απόδειξη της συμμόρφωσης με τα μέτρα κυβερνοασφάλειας -όπως αναλύθηκαν παραπάνω- είναι δυνατόν να απαιτηθεί από την Οντότητα να χρησιμοποιεί συγκεκριμένα προϊόντα, υπηρεσίες και διαδικασίες Τεχνολογιών Πληροφορικής και Επικοινωνίας, τα οποία πιστοποιούνται στο πλαίσιο ευρωπαϊκών συστημάτων πιστοποίησης κυβερνοασφάλειας.

Τέλος, οι Οντότητες οφείλουν να συμμορφώνονται με τα μέτρα πλήρους, προληπτικής και κατασταλτικής εποπτείας (έλεγχοι και επιθεωρήσεις) καθώς και τα μέτρα επιβολής της Εθνικής Αρχής Κυβερνοασφάλειας-περί των οποίων αναλυτικότερα σε επόμενη αρθρογραφία μας.

 

Η κυβερνοασφάλεια αποτελεί, ήδη, βασικό πυλώνα επιχειρηματικής ανθεκτικότητας και εταιρικής υπευθυνότητας. Απαιτείται, αυτονοήτως, μια ολιστική και καλά δομημένη προσέγγιση, που ξεκινά από τη στρατηγική και τη διακυβέρνηση της Οντότητας και επεκτείνεται σε κάθε τεχνικό και λειτουργικό επίπεδο. Με την συμμόρφωση με τις συγκεκριμένες προβλέψεις και συνολικά με το καθεστώς της Οδηγίας NIS2 και του εφαρμοστικού της νόμου, ενισχύεται η ετοιμότητα και η ασφάλεια έναντι των κυβερνοαπειλών˙ διασφαλίζεται, εν τέλει η επιχειρησιακή συνέχεια. Η εποπτεία, ο ρόλος της διοίκησης και οι επαπειλούμενες κυρώσεις θα μας απασχολήσουν στην επόμενη, και τελευταία, ενότητα της αρθρογραφίας μας.-

 

Σταύρος Κουμεντάκης

Managing Partner

Koumentakis and Associates Law Firm

 

 

Σημ.: Το παρόν άρθρο αποτελεί τμήμα ευρύτερης ενότητας αρθρογραφίας της Δικηγορικής μας Εταιρείας για την NIS2. Στην ενότητα αυτή επιχειρούμε την προσέγγιση-με business view, πάντα, οπτική, της σχετικής ευρωπαϊκής και εθνικής νομοθεσίας.

Stavros Koumentakis

previous
Οδηγία NIS2: Στόχευση & Πεδίο Εφαρμογής
https://koumentakislaw.gr/wp-content/uploads/2020/01/Koumentakis-and-Associates-NewLogo2020-White-Text-Final.png
Λεωφ. Νίκης & Μοργκεντάου 1, 54622 Θεσσαλονίκη
(+30) 2310 27 80 84
info@klaw.gr

Follow us:

Υπηρεσιες

Συνδεσμοι

Επικοινωνία

2310268833

Copyright © Koumentakis Law 2023

Created by Infinity Web