ΆρθραΟδηγία NIS2:  Εποπτεία, Ρόλος Διοίκησης & Κυρώσεις

28 Μαΐου, 2026by Stavros Koumentakis

Οδηγία NIS2:  Εποπτεία, Ρόλος Διοίκησης & Κυρώσεις

 

Η αποτελεσματική εφαρμογή της Οδηγίας NIS2, όπως ενσωματώθηκε στην ελληνική έννομη τάξη από τον εφαρμοστικό της νόμο (ν. 5160/2024), προϋποθέτει όχι μόνο τη θέσπιση ουσιαστικών υποχρεώσεων κυβερνοασφάλειας αλλά και τη διαμόρφωση ενός αποτελεσματικού μηχανισμού εποπτείας, λογοδοσίας και επιβολής κυρώσεων. Στο πλαίσιο αυτό, ιδιαίτερη σημασία αποκτά ο ρόλος της ανώτατης διοίκησης, η οποία καλείται να ενσωματώσει την κυβερνοασφάλεια στον πυρήνα της οργανωτικής και στρατηγικής λειτουργίας των υπαγόμενων οντοτήτων. Οι επαπειλούμενες κυρώσεις δεν είναι αμελητέες…

Εποπτεία

Το καθεστώς εποπτείας των Οντοτήτων που υπάγονται στο πεδίο εφαρμογής της Οδηγίας NIS2 και του εφαρμοστικού της νόμου (ν. 5160/2024) διαφοροποιείται, ανάλογα με τον χαρακτηρισμό τους ως Βασικές ή Σημαντικές. Οι Βασικές Οντότητες υπόκεινται σε πλήρες καθεστώς εποπτείας, το οποίο περιλαμβάνει τόσο προληπτικούς όσο και κατασταλτικούς ελέγχους˙ οι Σημαντικές Οντότητες υπόκεινται σε απλοποιημένο εποπτικό καθεστώς, το οποίο ενεργοποιείται μόνο εκ των υστέρων.

Ως εκ των προτέρων (ex ante) εποπτικό καθεστώς εννοείται ο έλεγχος και η εποπτεία που πραγματοποιούνται περιοδικά ή εκτάκτως, χωρίς να έχει λάβει χώρα περιστατικό κυβερνοασφάλειας. Ως εκ των υστέρων (ex post) εποπτικό καθεστώς, εννοείται ο έλεγχος και η εποπτεία που πραγματοποιούνται μετά την εκδήλωση περιστατικού.

Κατά τη διενέργεια των ελέγχων (ex post και ex ante) η οικεία Οντότητα παρέχει τα σχετικά αποδεικτικά στοιχεία, ενδείξεις ή πληροφορίες ώστε να τεκμηριώνεται η συμμόρφωσή της με τις προβλεπόμενες απαιτήσεις, σύμφωνα με την αρχή της λογοδοσίας.

Αρμόδια αρχή για την εποπτεία, τον έλεγχο και την επιβολή κυρώσεων στο πλαίσιο εφαρμογής του ν. 5160/2024 είναι η Εθνική Αρχή Κυβερνοασφάλειας, η οποία διαθέτει τα αναγκαία μέσα και εξουσίες για την άσκηση των σχετικών αρμοδιοτήτων της.

Ευθύνη & Ρόλος Ανώτατης Διοίκησης

Ως ανώτατη διοίκηση, νοείται κάθε φυσικό πρόσωπο το οποίο είναι, κατά περίπτωση, υπεύθυνο ή ενεργεί ως νόμιμος εκπρόσωπος της Οντότητας με βάση την εξουσία εκπροσώπησής της ή έχει την αρμοδιότητα να λαμβάνει αποφάσεις εξ ονόματός της ή να ασκεί τον έλεγχό της.

Το κανονιστικό πλαίσιο της Οδηγίας NIS2, όπως ενσωματώθηκε στην εθνική έννομη τάξη, δίνει έμφαση στις υποχρεώσεις και τη λογοδοσία της ανώτατης διοίκησης, θέτοντας έτσι την κυβερνοασφάλεια υπόψη του διοικητικού συμβουλίου. Η συμμόρφωση προς τις απαιτήσεις του νόμου δεν αντιμετωπίζεται ως αμιγώς τεχνικό ζήτημα, αλλά ως αντικείμενο διοικητικής ευθύνης και εταιρικής διακυβέρνησης. Πλέον, η αποτελεσματική εφαρμογή και συμμόρφωση προς τις απαιτήσεις του νόμου απαιτεί από την ανώτατη διοίκηση την ανάπτυξη στρατηγικής προσέγγισης και την ενεργή συμμετοχή στο σχεδιασμό, υλοποίηση, επίβλεψη και αξιολόγηση των μέτρων συμμόρφωσης.

Πιο αναλυτικά, η ανώτατη διοίκηση των υπόχρεων οντοτήτων (άρθρο 14 Ν. 5160/2024):

(α) Εγκρίνει τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας που λαμβάνουν οι εν λόγω Οντότητες.

(β) Επιβλέπει την εφαρμογή τους.

(γ) Παρακολουθεί εκπαίδευση, η οποία παρέχει τις απαραίτητες γνώσεις και ικανότητες για την αξιολόγηση, λήψη και παρακολούθηση των σχετικών αποφάσεων. (Τούτο, βέβαια, δεν σημαίνει πως τα μέλη της ανώτατης διοίκησης πρέπει να είναι ειδικοί στο χώρο της κυβερνοασφάλειας, αλλά ότι θα έχουν γνώσεις ικανές ώστε να μπορούν να συμμετέχουν στις απαραίτητες συζητήσεις και να λαμβάνουν ενημερωμένες αποφάσεις).

(δ) Διασφαλίζει ότι η Οντότητα παρέχει όμοια κατάρτιση στους υπαλλήλους της σε τακτική βάση, προκειμένου να αποκτούν επαρκείς γνώσεις και δεξιότητες που θα τους επιτρέπουν να εντοπίζουν τους κινδύνους καθώς και να αξιολογούν τις πρακτικές διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και τον αντίκτυπό τους στις υπηρεσίες που παρέχει η Οντότητα.

(ε) Λογοδοτεί για την εκ μέρους των Οντοτήτων παραβίαση των υποχρεώσεων (που προβλέπονται στο άρθρο 14).

Σημειώνεται ότι οι ως άνω υποχρεώσεις της ανώτατης διοίκησης εξειδικεύονται στο άρθρο 4 της υπ’ αριθ. 1689/30.4.2025 (ΦΕΚ Β΄ 2186/6.5.2025) Κ.Υ.Α.

Είναι ενδεχόμενο τα μέτρα επιβολής που θεσπίζονται από την Εθνική Αρχή Κυβερνοασφάλειας να αποδεικνύονται αναποτελεσματικά για την Οντότητα ή η Οντότητα να μην ανταποκριθεί αποτελεσματικά εντός προκαθορισμένου χρονικού διαστήματος. Στις περιπτώσεις αυτές, ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας έχει την εξουσία να απαγορεύει προσωρινά σε κάθε φυσικό πρόσωπο που είναι υπεύθυνο για την άσκηση διευθυντικών καθηκόντων σε επίπεδο διευθύνοντος συμβούλου ή νόμιμου εκπροσώπου στη Βασική Οντότητα να ασκεί διευθυντικά καθήκοντα.

Οι προσωρινές αναστολές ή απαγορεύσεις που επιβάλλονται εφαρμόζονται μόνο έως ότου η οικεία Οντότητα λάβει τα αναγκαία μέτρα για διορθώσει τις ελλείψεις ή συμμορφωθεί με τις απαιτήσεις της ως άνω αρμόδιας αρχής.

Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.)

Στο πλαίσιο της οργανωτικής συμμόρφωσης, η ανώτατη διοίκηση οφείλει να ορίσει υπάλληλο της Οντότητας ως Υπεύθυνο Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.), ο οποίος:

(α) Αποτελεί το σημείο επαφής και συνεργάζεται με την Εθνική Αρχή Κυβερνοασφάλειας και το αρμόδιο CSIRT.

(β) Συντονίζει και επιβλέπει τη συμμόρφωση της Οντότητας, ως προς την τήρηση των υποχρεώσεων που απορρέουν από την ευρωπαϊκή και εθνική νομοθεσία σχετικά με την Ασφάλεια Συστημάτων Δικτύων και Πληροφοριών.

(γ) Εποπτεύει την υλοποίηση της Ενιαίας Πολιτικής Ασφάλειας και την ικανοποίηση των βασικών απαιτήσεων ασφάλειας, την εκπαίδευση και ευαισθητοποίηση των υπαλλήλων της Οντότητας σε θέματα ασφάλειας πληροφοριών και δικτύων.

(δ) Συντάσσει την αναφορά αυτοαξιολόγησης της Οντότητας που αποστέλλεται στην Εθνική Αρχή Κυβερνοασφάλειας.

(ε) Παρίσταται στους ελέγχους που πραγματοποιεί η Ομάδα Επιθεώρησης Ελέγχου, όπως αυτή ορίζεται από την Εθνική Αρχή Κυβερνοασφάλειας, και της παρέχει όλα τα κατάλληλα μέσα για να διευκολύνει το έργο της.

Αναφορικά με τα προσόντα και ασυμβίβαστα του Υ.Α.Σ.Π.Ε [σύμφωνα με την υπ΄ αριθ. 1899/27.6.2025 (ΦΕΚ Β΄ 4250/5.8.2025) Υ.Α.] σημειώνεται ότι:

(α) Ο Υ.Α.Σ.Π.Ε. πρέπει να διαθέτει επαρκή γνώση των επιχειρηματικών διαδικασιών της Οντότητας, καθώς και τα κάτωθι ελάχιστα προσόντα:

  1. προπτυχιακό ή μεταπτυχιακό τίτλο ετήσιας τουλάχιστον διάρκειας σε συναφές με τους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας γνωστικό αντικείμενο ή
  2. εμπειρογνωσία στους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας τουλάχιστον 5 ετών ή
  • πιστοποιημένη γνώση μεθοδολογιών, διαδικασιών, τεχνικών, εργαλείων και προτύπων ασφάλειας πληροφοριών και ψηφιακών συστημάτων και εμπειρογνωσία στους τομείς της ασφάλειας πληροφοριών και δικτύων ή της κυβερνοασφάλειας τουλάχιστον 2 ετών.

(β) Κώλυμα για τον ορισμό στελέχους ως Υ.ΑΣ.Π.Ε. συνιστά η προηγούμενη αμετάκλητη καταδίκη του για την τέλεση τουλάχιστον ενός από τα εγκλήματα των παρ. 1 και 2 του άρθρου 6 του Ν. 5002/2022, των άρθρων 292Α έως 293 και 370 έως 370ΣΤ του Π.Κ. Προς απόδειξη της απουσίας του κωλύματος οι Οντότητες οφείλουν να ζητούν από τον υποψήφιο Υ.Α.Σ.Π.Ε, την προσκόμιση αντιγράφου ποινικού μητρώου.

(γ) Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστα με αυτά του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.) του Γενικού Κανονισμού για την Προστασία Δεδομένων (άρθρο 37) και των άρθρων 7 και 8 του Ν. 4624/2019 καθώς και με αυτά του Υπευθύνου για τα αντικείμενα των τεχνολογιών πληροφορικής και επικοινωνίας (Τ.Π.Ε) και της ηλεκτρονικής διακυβέρνησης της Οντότητας.

Τέλος, σημειώνεται ότι ο ρόλος του Υ.Α.Σ.Π.Ε. στην οργανωτική δομή της Οντότητας πρέπει να είναι ανεξάρτητος και να μην προκύπτει σύγκρουση συμφερόντων με άλλους εργασιακούς ρόλους που τυχόν κατέχει.

Κυρώσεις

Το πλαίσιο κυρώσεων της Οδηγίας NIS2, όπως εξειδικεύεται με τον ν. 5160/2024, αποσκοπεί στη διασφάλιση υψηλού επιπέδου κυβερνοασφάλειας μέσω αναλογικών, αποτελεσματικών και αποτρεπτικών μέτρων επιβολής. Οι κυρώσεις διαβαθμίζονται ανάλογα με τη βαρύτητα της παράβασης και τον χαρακτηρισμό της Οντότητας ως Βασικής ή Σημαντικής.

Πέραν των ειδικών διοικητικών μέτρων -όπως οι προσωρινές αναστολές και απαγορεύσεις (άρ. 24), προβλέπεται η δυνατότητα επιβολής χρηματικών κυρώσεων ως εξής:

(α) Σε περίπτωση παράλειψης λήψης ή λήψης ανεπαρκών μέτρων για την διαχείριση κινδύνων κυβερνοασφάλειας ή παραβίασης των υποχρεώσεων αναφοράς περιστατικού ασφαλείας (δηλαδή σε περίπτωση παραβίασης των άρθρων 15 ή 16) προβλέπεται δυνατότητα επιβολής προστίμου:

  1. έως 10.000.000€ για τις Βασικές Οντότητες και έως 7.000.000€ για τις Σημαντικές Οντότητες ή
  2. έως 2% για τις Βασικές Οντότητες και 1,4% για τις Σημαντικές Οντότητες, του κατά το προηγούμενο οικονομικό έτος συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της Οντότητας-ανάλογα με το ποιο είναι υψηλότερο.

(β) Σε περίπτωση παράβασης από πλευράς της διοίκησης της υποχρέωσης έγκρισης μέτρων διαχείρισης κινδύνων και επίβλεψης της εφαρμογής τους (δηλαδή σε περίπτωση παραβίασης της παρ. 1 του άρθρου 14), προβλέπεται δυνατότητα επιβολής προστίμου έως 200.000€.

(γ) Σε περίπτωση μη παρακολούθησης εκπαίδευσης κυβερνοασφάλειας και μη διασφάλισης της παροχής σχετικής εκπαίδευσης στους υπαλλήλους της Οντότητας εκ μέρους της διοίκησης (δηλαδή σε περίπτωση παραβίασης της παρ. 2 του άρθρου 14), προβλέπεται δυνατότητα επιβολής προστίμου έως 100.000€.

(δ) Σε περίπτωση μη εγγραφής στο Μητρώο Οντοτήτων (δηλαδή σε περίπτωση παραβίασης του άρθρου 19), προβλέπεται δυνατότητα επιβολής προστίμου έως 200.000€.

(ε) Σε περίπτωση μη τήρησης ειδικής βάσης δεδομένων καταχώρισης ονομάτων τομέα (δηλαδή σε περίπτωση παραβίασης του άρθρου 20), προβλέπεται δυνατότητα επιβολής προστίμου έως 800.000€.

(στ) Σε περίπτωση μη άμεσης γνωστοποίησης στην Ε.Α.Κ. της συμμετοχής στο πλαίσιο ανταλλαγής πληροφοριών ή της απόσυρσης της συμμετοχής (δηλαδή σε περίπτωση παραβίασης της παρ. 3 του άρθρου 21), προβλέπεται δυνατότητα επιβολής προστίμου έως 100.000€.

(ζ) Σε περίπτωση παραβίασης επιβληθέντων από την Ε.Α.Κ. μέτρων κατά την άσκηση των εποπτικών της καθηκόντων (δηλαδή σε περίπτωση παραβίασης των παρ. 2 και 4 του άρθρου 24 ή της παρ. 2 του άρθρου 25), προβλέπεται δυνατότητα επιβολής προστίμου έως 500.000€ για τις Βασικές Οντότητες και έως 350.000€ για τις Σημαντικές Οντότητες.

(η) Σε περίπτωση παράβασης της απαίτησης αξιοποίησης συγκεκριμένων προϊόντων-υπηρεσιών-διαδικασιών Τ.Π.Ε. (δηλαδή σε περίπτωση παραβίασης της παρ. 6 του άρθρου 15), προβλέπεται δυνατότητα επιβολής προστίμου έως 300.000€.

(θ) Κλιμάκωση διοικητικών προστίμων: σε περίπτωση παράβασης εκ μέρους Βασικών Οντοτήτων δεσμευτικών οδηγιών και κατευθύνσεων της Ε.Α.Κ. επιβάλλεται πρόστιμο έως 1.000.000€, ενώ για την παράβαση εκ μέρους Σημαντικών Οντοτήτων δεσμευτικών οδηγιών ή εντολών για την αποκατάσταση διαπιστωμένων ελλείψεων, έως 700.000€ (παρ. 6 άρθρο 26).

 

Η Οδηγία NIS2 και ο εφαρμοστικός της νόμος (ν. 5160/2024) αποτυπώνουν μία σαφή μετατόπιση από μια στενά τεχνική προσέγγιση της κυβερνοασφάλειας προς ένα ολοκληρωμένο πλαίσιο εταιρικής διακυβέρνησης. Η εποπτεία, η ενεργός εμπλοκή της ανώτατης διοίκησης και η πρόβλεψη κλιμακούμενων κυρώσεων συνιστούν αλληλένδετα στοιχεία ενός μηχανισμού που αποσκοπεί στη διασφάλιση υψηλού επιπέδου ανθεκτικότητας των Βασικών και Σημαντικών Οντοτήτων. Η συμμόρφωση με το εν λόγω πλαίσιο δεν εξαντλείται στην τυπική εκπλήρωση υποχρεώσεων, αλλά απαιτεί συστηματική οργάνωση, συνεχή αξιολόγηση και καλλιέργεια κουλτούρας κυβερνοασφάλειας σε όλα τα επίπεδα της Οντότητας.-

 

 

Σταύρος Κουμεντάκης

Managing Partner

Koumentakis and Associates Law Firm

 

 

Σημ.: Το παρόν άρθρο αποτελεί τμήμα ευρύτερης ενότητας αρθρογραφίας της Δικηγορικής μας Εταιρείας για την NIS2. Στην ενότητα αυτή επιχειρούμε την προσέγγιση-με business view, πάντα, προσέγγιση, της σχετικής ευρωπαϊκής και εθνικής νομοθεσίας.

Stavros Koumentakis

previous
Οδηγία NIS2: Υποχρεώσεις Υπαγόμενων Οντοτήτων & Περιστατικά Ασφαλείας
https://koumentakislaw.gr/wp-content/uploads/2020/01/Koumentakis-and-Associates-NewLogo2020-White-Text-Final.png
Λεωφ. Νίκης & Μοργκεντάου 1, 54622 Θεσσαλονίκη
(+30) 2310 27 80 84
info@klaw.gr

Follow us:

Υπηρεσιες

Συνδεσμοι

Επικοινωνία

2310268833

Copyright © Koumentakis Law 2023

Created by Infinity Web