ΆρθραΟδηγία NIS2: Στόχευση & Πεδίο Εφαρμογής

14 Μαΐου, 2026by Stavros Koumentakis

Οδηγία NIS2: Στόχευση & Πεδίο Εφαρμογής

 

Κεντρικό χαρακτηριστικό της σύγχρονης, διεθνούς, επιχειρηματικότητας συνιστά η ανάπτυξή της μέσα σε ένα ολοένα και περισσότερο πολύπλοκο (ακόμα και για τους επαΐοντες) ψηφιακό περιβάλλον. Τα οφέλη είναι προφανή˙ αντίστοιχα και η ευπάθειά του: η συχνότητα αλλά και η σοβαρότητα κυβερνοεπιθέσεων & κυβερνοαπειλών δημιουργεί σοβαρούς προβληματισμούς-όχι μόνον στις μεγάλες και μεσαίες επιχειρήσεις. Η ραγδαία -καταιγιστική- τεχνολογική εξέλιξη, η αυξανόμενη εξάρτηση από συστήματα πληροφορικής και δικτύων και η διασυνοριακή φύση των απειλών κατέστησαν αναγκαία την θέσπιση ενός ισχυρού και συνεκτικού πλαισίου προστασίας. Οι υποχρεώσεις όσων υπάγονται έχουν ήδη εκκινήσει, με πρώτη την εγγραφή, έως την 30.9.2025, στο Μητρώο Φορέων-Υπόχρεων της Εθνικής Αρχής Κυβερνοασφάλειας. Έπονται, όμως, οι σοβαρότερες, για τις οποίες επόμενη αρθρογραφία μας.

Εισαγωγικά

Η ασφάλεια στον κυβερνοχώρο περιλαμβάνει την προστασία των συστημάτων δικτύου και πληροφοριών (NIS), των χρηστών τους και άλλων επηρεαζόμενων προσώπων, επιχειρήσεων και οντοτήτων από περιστατικά κυβερνοεπιθέσεων και αντίστοιχων απειλών. Τα κυβερνοπεριστατικά (περιστατικά, δηλ., που θέτουν σε κίνδυνο τη διαθεσιμότητα, αυθεντικότητα, ακεραιότητα ή εμπιστευτικότητα δεδομένων και περιστατικών προκαλώντας σοβαρές λειτουργικές διαταράξεις ή οικονομική ζημία) ολοένα πληθαίνουν. Η ανάγκη αντιμετώπισης της αυξημένης έκθεσης της Ευρωπαϊκής Ένωσης σε κυβερνοαπειλές οδήγησε στην υιοθέτηση της Οδηγίας NIS2.

Η Οδηγία (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης.12.2022, γνωστή ως «Οδηγία NIS2» (Network and Information Security Directive), θεσπίζει ενιαίο νομικό πλαίσιο για την προάσπιση της κυβερνοασφάλειας σε 18 κρίσιμους τομείς.

Η Οδηγία NIS2 διασφαλίζει συνεκτική́ προσέγγιση στην κυβερνοασφάλεια εστιάζοντας στην προστασία κρίσιμων υποδομών έναντι των διαρκώς αυξανόμενων απειλών στον κυβερνοχώρο. Η ανάγκη της προστασίας των οντοτήτων που υπάγονται σ’ αυτήν, υπαγορεύεται από το γεγονός ότι η διατάραξη της ασφάλειας των υπηρεσιών που παρέχουν, είναι δυνατό να έχει σημαντικά αρνητικό αντίκτυπο στην εσωτερική αγορά ή/και τη λειτουργία του κράτους.

Με το ν. 5160/2024 ενσωματώθηκε στην ελληνική έννομη τάξη η Οδηγία NIS2, σχετικά με τα μέτρα για την επίτευξη υψηλού-κοινού επιπέδου κυβερνοασφάλειας σε ολόκληρη την Ένωση.

Καθεστώς Συμμόρφωσης

Το καθεστώς το οποίο εισάγεται με την Οδηγία NIS2 ως προς τις υπαγόμενες οντότητες διαμορφώνεται βάσει αυξημένων απαιτήσεων για την προστασία των κρίσιμων υποδομών και των βασικών υπηρεσιών.

Επιγραμματικά -και αναλυτικότερα σε επόμενη αρθρογραφία μας- εισάγονται για τους οργανισμούς:

(α) κοινά ελάχιστα πρότυπα ασφαλείας,

(β) ενισχυμένα μέτρα διαχείρισης κινδύνων και έγκαιρης αναφοράς περιστατικών,

(γ) υποχρεώσεις υποβολής αναφορών και

(δ) ενίσχυση της λογοδοσίας της ανώτατης διοίκησης.

Σχέση με την Οδηγία NIS1

Για να γίνει ευχερέστερη η κατανόηση της εξέλιξης του ρυθμιστικού πλαισίου, κρίσιμη είναι η αναφορά στη σχέση της NIS2 με την προκάτοχό της NIS1.

Η Οδηγία NIS2 αποτελεί  την αναθεωρημένη έκδοση της αρχικής Οδηγίας (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 6ης Ιουλίου 2016, γνωστή ως Οδηγία NIS1, η οποία μεταφέρθηκε στην εθνική έννομη τάξη με το ν. 4577/2018.

Η Οδηγία NIS2 εκσυγχρονίζει το υφιστάμενο νομικό πλαίσιο, προσαρμόζοντάς το στις αυξημένες απαιτήσεις ψηφιοποίησης και στο συνεχώς εξελισσόμενο τοπίο απειλών στον κυβερνοχώρο.

Η νέα Οδηγία βασίζεται στην αρχιτεκτονική και τις προβλέψεις της αρχικής Οδηγίας NIS1, αυξάνοντας, όμως, το κοινό επίπεδο φιλοδοξίας της ΕΕ όσον αφορά την ασφάλεια στον κυβερνοχώρο. Επεκτείνει το πεδίο εφαρμογής της, συμπεριλαμβάνοντας περισσότερους τομείς δραστηριότητας. Εισάγει νέες υποχρεώσεις και αυστηρότερα μέτρα ασφαλείας για τις υπαγόμενες στο καθεστώς συμμόρφωσης οντότητες όπως και νέους μηχανισμούς εποπτείας, ελέγχου, απόδοσης ευθυνών και επιβολής κυρώσεων. Προωθεί τη συνεργασία μεταξύ των κρατών-μελών της ΕΕ για την από κοινού αντιμετώπιση των κυβερνοαπειλών, μέσω της δημιουργίας νέων μηχανισμών συνεργασίας και ανταλλαγής πληροφοριών. Με τον τρόπο αυτό η Οδηγία NIS2 βελτιώνει περαιτέρω την ανθεκτικότητα και τις ικανότητες αντιμετώπισης συμβάντων των δημόσιων και ιδιωτικών οντοτήτων, των αρμόδιων αρχών και της ΕΕ στο σύνολό της.

Βασικές και Σημαντικές Οντότητες

Οι κρίσιμες υποδομές, επιχειρήσεις, φορείς και οργανισμοί που εμπίπτουν στο ρυθμιστικό πεδίο της Οδηγίας NIS2 αναφέρονται, ενιαία, ως «οντότητες». Δραστηριοποιούνται σε συγκεκριμένους τομείς και κατά κανόνα πληρούν συγκεκριμένα κριτήρια μεγέθους. Με την Οδηγία NIS2 και, κατ’ επέκταση το Ν. 5160/2024, αναγνωρίζονται δύο κατηγορίες οντοτήτων ως υπαγόμενες στο πεδίο εφαρμογής.

Πρόκειται για τις «Βασικές» και τις «Σημαντικές» Οντότητες.

Η συγκεκριμένη διάκριση λαμβάνει υπόψη το βαθμό κρισιμότητάς τους (όσον αφορά τον τομέα και το είδος των υπηρεσιών που παρέχουν) – βεβαίως και το μέγεθός τους. Στο πλαίσιο αυτό, οι Βασικές Οντότητες διακρίνονται από μεγαλύτερο βαθμό κρισιμότητας σε σχέση με τις Σημαντικές, και, συνεπώς, επιβαρύνονται με αυστηρότερες υποχρεώσεις. Είναι λογικό, επομένως, πως οι Βασικές Οντότητες υπάγονται σε αυστηρότερο καθεστώς εποπτείας και επιβολής κυρώσεων σε σχέση με τις Σημαντικές-όπως θα αναλυθεί σε επόμενη αρθρογραφία μας.

Ειδικότερα:

(α) «Βασικές Οντότητες» θεωρούνται:

  1. οι οντότητες οι οποίες υπερβαίνουν τα ανώτατα όρια για τις μεσαίες επιχειρήσεις που προβλέπονται στο άρθρο 2 παρ. 1 του Παραρτήματος της Σύστασης 2003/361/ΕΚ της Επιτροπής της 6ης Μαΐου 2023, χαρακτηρίζονται, δηλ., ως μεγάλες επιχειρήσεις και, επιπρόσθετα, δραστηριοποιούνται στους τομείς και υποτομείς που αναφέρονται στο Παράρτημα Ι της Οδηγίας NIS2˙ συγκεκριμένα: ενέργεια, μεταφορές, τράπεζες, υποδομές χρηματοπιστωτικών αγορών, υγεία, πόσιμο νερό, λύματα, ψηφιακές υποδομές, διαχείριση υπηρεσιών ΤΠΕ (Τεχνολογίες Πληροφορικής και Επικοινωνιών-μεταξύ επιχειρήσεων), οντότητες δημόσιας διοίκησης, διάστημα, καθώς και
  2. (ανεξαρτήτως μεγέθους) οι πάροχοι υπηρεσιών εμπιστοσύνης και τα μητρώα ονομάτων τομέα ανωτάτου επιπέδου, καθώς και πάροχοι υπηρεσιών συστήματος ονομάτων τομέα (DNS)· οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών που χαρακτηρίζονται ως μεσαίες επιχειρήσεις· οι οντότητες δημόσιας διοίκησης που εντάσσονται στους φορείς της κεντρικής κυβέρνησης· οποιεσδήποτε άλλες οντότητες των τύπων που αναφέρονται στα Παραρτήματα Ι ή ΙΙ της Οδηγίας, οι οποίες προσδιορίζονται ως βασικές οντότητες λόγω της κρισιμότητάς τους· οι οντότητες που προσδιορίζονται ως κρίσιμες οντότητες βάσει της Οδηγίας (ΕΕ) 2022/2557· οι οντότητες που αναγνωρίστηκαν, σύμφωνα με το Ν. 4577/2018, ως φορείς εκμετάλλευσης βασικών υπηρεσιών.

(β) «Σημαντικές Οντότητες» θεωρούνται οι οντότητες:

  1. των τομέων και υποτομέων που αναφέρονται στο Παράρτημα ΙΙ της Οδηγίας NIS2 και συγκεκριμένα: ταχυδρομικές υπηρεσίες και υπηρεσίες ταχυμεταφορών, διαχείριση αποβλήτων, παρασκευή, παραγωγή και διανομή χημικών προϊόντων, παραγωγή μεταποίηση και διανομή τροφίμων, κατασκευαστικός τομέας, ψηφιακοί πάροχοι, έρευνα καθώς και
  2. εκείνες που δραστηριοποιούνται στους τομείς και υποτομείς που αναφέρονται στο Παράρτημα Ι της Οδηγίας NIS2, αλλά δεν πληρούν την προϋπόθεση του μεγέθους, δηλαδή δεν αποτελούν «μεγάλες επιχειρήσεις» και εξ αυτού δεν θεωρούνται Βασικές Οντότητες.

Πεδίο Εφαρμογής

Με βάση το κριτήριο (και) του μεγέθους της οντότητας

Αναφορικά με την διακρίβωση υπαγωγής μίας οντότητας στο υποκειμενικό πεδίο εφαρμογής της Οδηγίας NIS2 και του Ν. 5160/2024 απαιτείται σωρευτικά:

(α) η εγκατάσταση ή παροχή υπηρεσιών ή άσκηση της δραστηριότητάς της εντός της ελληνικής επικράτειας,

(β) στους τομείς και υποτομείς που αναφέρονται στα Παραρτήματα Ι και ΙΙ και

(γ) ο χαρακτηρισμός της, κατ’ ελάχιστο, ως μεσαίας επιχείρησης σύμφωνα με την παρ. 1 του άρθρου 2 του Παραρτήματος της Σύστασης 2003/361/ΕΚ.

Ανεξάρτητα από το μέγεθος της οντότητας

Ανεξαρτήτως, όμως, μεγέθους, στο πεδίο εφαρμογής εντάσσονται:

(α) Οντότητες που παρέχουν υπηρεσίες: i) δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, ii) εμπιστοσύνης, iii) μητρώου ονομάτων τομέα ανωτάτου επιπέδου, και πάροχοι υπηρεσιών συστήματος ονομάτων τομέα,

(β) Οργανισμοί που είναι ο μοναδικός πάροχος στη χώρα υπηρεσίας που είναι ουσιώδης για τη διατήρηση κρίσιμων κοινωνικών ή οικονομικών δραστηριοτήτων,

(γ) Οργανισμοί, των οποίων η διατάραξη της υπηρεσίας που παρέχουν θα μπορούσε να έχει σημαντικό αντίκτυπο στη δημόσια ασφάλεια, στη δημόσια τάξη ή στη δημόσια υγεία,

(δ) Οργανισμοί, των οποίων η διατάραξη της υπηρεσίας που παρέχουν θα μπορούσε να προκαλέσει σημαντικό συστημικό κίνδυνο, περιλαμβανομένων των τομέων στους οποίους η διατάραξη αυτή θα μπορούσε να έχει διασυνοριακό αντίκτυπο,

(ε) Οργανισμοί, που είναι κρίσιμοι λόγω της ιδιαίτερης σημασίας τους σε εθνικό ή περιφερειακό επίπεδο για τον συγκεκριμένο τομέα ή είδος υπηρεσίας ή για άλλους αλληλοεξαρτώμενους τομείς στη χώρα και

(στ) Φορείς: i) της κεντρικής κυβέρνησης (άρ. 14§1 περ. γ΄ του N. 4270/2014), ii) σε περιφερειακό επίπεδο, ως δευτεροβάθμιος ή πρωτοβάθμιος Οργανισμός Τοπικής Αυτοδιοίκησης.

Εξαιρέσεις

Στο πλαίσιο του άρ. 4 της Οδηγίας NIS2, προβλέπονται εξαιρέσεις στην εφαρμογή της, για οντότητες οι οποίες μολονότι πληρούν τα γενικά κριτήρια υπόκεινται ταυτόχρονα σε τομεακές νομικές πράξεις της Ένωσης, οι οποίες επιβάλουν τουλάχιστον ισοδύναμες απαιτήσεις σχετικά με:

(α) μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας και

(β) άμεση πρόσβαση στις κοινοποιήσεις περιστατικών από τις CSIRT (:Ομάδα Αντιμετώπισης Περιστατικών Κυβερνοασφάλειας), τις αρμόδιες αρχές ή τα ενιαία σημεία επαφής και τις απαιτήσεις για την κοινοποίηση σημαντικών περιστατικών.

Παράδειγμα τομεακής νομικής πράξης της Ένωσης που εμπίπτει στην παραπάνω κατηγορία είναι o Κανονισμός (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 14ης Δεκεμβρίου 2022 – Κανονισμός DORA.

Κριτήριο του Κανόνα Μεγέθους της Οντότητας

Γενικά

Υπενθυμίζεται (αναφορικά με τον χαρακτηρισμό επιχείρησης κατ΄ ελάχιστο ως μεσαίας) η ακόλουθη διάκριση:

  • α. Η κατηγορία των Πολύ Μικρών, Μικρών και Μεσαίων επιχειρήσεων (ΜμΕ) αποτελείται από επιχειρήσεις που απασχολούν λιγότερους από 250 εργαζομένους και των οποίων ο ετήσιος κύκλος εργασιών δεν υπερβαίνει τα 50 εκατ. ευρώ ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 43 εκατ. ευρώ.
  • β. Ως Μεσαία ορίζεται η επιχείρηση, η οποία απασχολεί από 50 έως 249 εργαζόμενους και της οποίας ο ετήσιος κύκλος εργασιών δεν υπερβαίνει τα 50 εκατ. ευρώ ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 43 εκατ. ευρώ.
  • γ. Ως Μικρή ορίζεται η επιχείρηση, η οποία απασχολεί λιγότερους από 50 εργαζόμενους και της οποίας ο ετήσιος κύκλος εργασιών ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 10 εκατ. ευρώ.
  • δ. Ως Πολύ Μικρή ορίζεται η επιχείρηση, η οποία απασχολεί λιγότερους από δέκα εργαζόμενους και της οποίας ο ετήσιος κύκλος εργασιών ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 2 εκατ. ευρώ.

Ειδικότερα:

  • α. Λαμβάνονται υπόψη τα σχετικά οικονομικά στοιχεία (αριθμός απασχολούμενων, ετήσιος κύκλος εργασιών, ετήσιος συνολικός ισολογισμός) της τελευταίας κλεισμένης διαχειριστικής χρήσης (σύμφωνα με την πρόβλεψη του αρ. 4§2 του παραρτήματος της Σύστασης 2003/361/ΕΚ),
  • β. Για την περίπτωση που μία εταιρεία βρίσκεται κοντά στα ελάχιστα όρια αναφορικά με κάποιο από τα σχετικά οικονομικά στοιχεία, θα πρέπει να λαμβάνονται υπόψη τα σχετικά στοιχεία των δύο τελευταίων διαδοχικών οικονομικών ετών (σύμφωνα με την πρόβλεψη του αρ. 4§2 του παραρτήματος της Σύστασης 2003/361/ΕΚ),
  • γ. Οι εργαζόμενοι μερικής απασχόλησης, οι εποχιακοί εργαζόμενοι και τα άτομα που δεν εργάστηκαν ολόκληρο το έτος, αντιμετωπίζονται ως κλάσματα ετήσιων μονάδων εργασίας (σύμφωνα με την πρόβλεψη του άρ. 5 του παραρτήματος της Σύστασης 2003/361/ΕΚ).

 

Το νέο ρυθμιστικό πλαίσιο που εισάγει η Οδηγία NIS2 (και ο εφαρμοστικός ν. 5160/2024) ενδυναμώνει τη θέση της κυβερνοασφάλειας ως βασικού πυλώνα εύρυθμης λειτουργίας κρίσιμων υποδομών. Οι απαιτήσεις συμμόρφωσης που προβλέπουν δεν περιορίζονται σε τυπικές διαδικασίες˙ αντανακλούν την ανάγκη για ουσιαστική διαχείριση κινδύνων και θεσμική ετοιμότητα έναντι κυβερνοπεριστατικών. Περίσσεια, πάντως, θα τονισθεί η αναγκαιότητα της αξιολόγησης της υπαγωγής (ή μη) μιας οντότητας στις ρυθμίσεις του συγκεκριμένου νομοθετικού πλαισίου. Πάντως, τα ειδικότερα ζητήματα εφαρμογής και οι υποχρεώσεις των υπαγόμενων οντοτήτων θα αναλυθούν διεξοδικότερα σε επόμενη αρθρογραφία μας.-

 

Σταύρος Κουμεντάκης

Managing Partner

Koumentakis and Associates Law Firm

 

Σημ.: Το παρόν άρθρο αποτελεί τμήμα ευρύτερης ενότητας αρθρογραφίας της Δικηγορικής μας Εταιρείας για την NIS2. Στην ενότητα αυτή επιχειρούμε την προσέγγιση -με business view, πάντα, προσέγγιση- της σχετικής ευρωπαϊκής και εθνικής νομοθεσίας.

Stavros Koumentakis

previous
Κανονισμός για την Τεχνητή Νοημοσύνη και GDPR
https://koumentakislaw.gr/wp-content/uploads/2020/01/Koumentakis-and-Associates-NewLogo2020-White-Text-Final.png
Λεωφ. Νίκης & Μοργκεντάου 1, 54622 Θεσσαλονίκη
(+30) 2310 27 80 84
info@klaw.gr

Follow us:

Υπηρεσιες

Συνδεσμοι

Επικοινωνία

2310268833

Copyright © Koumentakis Law 2023

Created by Infinity Web