Σε νέα φάση άμυνας απέναντι στις κυβερνοεπιθέσεις περνά η Ευρωπαϊκή Ένωση, σε μια περίοδο όπου οι ψηφιακές απειλές εξελίσσονται σε καθημερινό φαινόμενο και στοχεύουν, πλέον, όχι μόνο επιχειρήσεις, αλλά κρίσιμες υποδομές και δημοκρατικούς θεσμούς. Η Ευρωπαϊκή Επιτροπή παρουσίασε μια νέα, εκτενή δέσμη μέτρων για την κυβερνοασφάλεια, με στόχο την ενίσχυση της ανθεκτικότητας και των επιχειρησιακών δυνατοτήτων της ΕΕ απέναντι σε επιθέσεις, που προέρχονται από εξελιγμένες κρατικές και εγκληματικές ομάδες.

Νέα πράξη για την κυβερνοασφάλεια, αυστηρότερο πλαίσιο για τις αλυσίδες εφοδιασμού ΤΠΕ και ενισχυμένος ρόλος του ENISA

Στην καρδιά της πρωτοβουλίας βρίσκεται η αναθεωρημένη πράξη για την κυβερνοασφάλεια, η οποία επιχειρεί να καλύψει κρίσιμα κενά, που ανέδειξαν πρόσφατα περιστατικά. Όπως επισημαίνεται, τα τρωτά σημεία στις αλυσίδες εφοδιασμού τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) αποτελούν σήμερα έναν από τους πιο ευάλωτους κρίκους για τη λειτουργία βασικών υπηρεσιών και υποδομών στην Ευρώπη. 

Η νέα πράξη εισάγει ένα εναρμονισμένο και βασισμένο στον κίνδυνο πλαίσιο ασφάλειας για τις αλυσίδες εφοδιασμού ΤΠΕ. Στόχος είναι ο από κοινού εντοπισμός και η μείωση κινδύνων σε 18 κρίσιμους τομείς της ευρωπαϊκής οικονομίας, λαμβάνοντας υπόψη τόσο τις οικονομικές επιπτώσεις, όσο και τη διαθεσιμότητα προϊόντων στην αγορά.

Ιδιαίτερη έμφαση δίνεται στους προμηθευτές τρίτων χωρών, που χαρακτηρίζονται υψηλού κινδύνου, με πρόβλεψη για υποχρεωτική ελαχιστοποίηση των κινδύνων στα ευρωπαϊκά δίκτυα κινητών επικοινωνιών, αξιοποιώντας την εμπειρία από την εργαλειοθήκη ασφάλειας των δικτύων 5G. 

«Σε ένα μεταβαλλόμενο γεωπολιτικό περιβάλλον, η ασφάλεια δεν περιορίζεται πλέον στην τεχνική ποιότητα των προϊόντων, αλλά επεκτείνεται στις εξαρτήσεις από προμηθευτές και στον κίνδυνο εξωτερικών παρεμβάσεων», αναφέρει η Επιτροπή. 

Απλούστερη και ταχύτερη πιστοποίηση

Κομβικό στοιχείο της πρότασης είναι η αναβάθμιση του ευρωπαϊκού πλαισίου πιστοποίησης κυβερνοασφάλειας (ECCF). Το νέο πλαίσιο προβλέπει ανάπτυξη συστημάτων πιστοποίησης εντός 12 μηνών, προσφέροντας σαφέστερες και απλούστερες διαδικασίες.

Τα συστήματα πιστοποίησης, τα οποία θα διαχειρίζεται ο ENISA, θα είναι εθελοντικά, μειώνοντας το διοικητικό και οικονομικό βάρος για τις επιχειρήσεις και διευκολύνοντας τη συμμόρφωση με την ευρωπαϊκή νομοθεσία.

Πέρα από προϊόντα και υπηρεσίες, οι επιχειρήσεις θα μπορούν να πιστοποιούν συνολικά τη στάση τους στον κυβερνοχώρο, αποκτώντας ένα σαφές ανταγωνιστικό πλεονέκτημα.

Για πολίτες, δημόσιες αρχές και επιχειρήσεις, το ECCF φιλοδοξεί να ενισχύσει την εμπιστοσύνη στις σύνθετες αλυσίδες εφοδιασμού ΤΠΕ.

Λιγότερη γραφειοκρατία, μεγαλύτερη συμμόρφωση

Η δέσμη μέτρων περιλαμβάνει στοχευμένες τροποποιήσεις της οδηγίας NIS2, με στόχο τη νομική σαφήνεια και την απλούστευση της συμμόρφωσης για 28.700 εταιρείες, εκ των οποίων 6.200 είναι πολύ μικρές και μικρές επιχειρήσεις. Παράλληλα, δημιουργείται νέα κατηγορία μικρών επιχειρήσεων μεσαίας κεφαλαιοποίησης, μειώνοντας το κόστος συμμόρφωσης για 22.500 εταιρείες.

Οι αλλαγές εξορθολογίζουν τη συλλογή δεδομένων για επιθέσεις λυτρισμικού και απλουστεύουν την εποπτεία διασυνοριακών οντοτήτων.

Ενισχυμένος ρόλος για τον ENISA

Ο ENISA, που από το 2019 αποτελεί βασικό πυλώνα της ευρωπαϊκής κυβερνοασφάλειας, αποκτά διευρυμένες αρμοδιότητες. Θα εκδίδει έγκαιρες προειδοποιήσεις, θα στηρίζει επιχειρήσεις απέναντι σε επιθέσεις λυτρισμικού σε συνεργασία με την Ευρωπόλ και θα λειτουργεί το ενιαίο σημείο εισόδου για την αναφορά περιστατικών.

Παράλληλα, προωθείται η ανάπτυξη δεξιοτήτων μέσω της Ακαδημίας Δεξιοτήτων Κυβερνοασφάλειας και συστημάτων πιστοποίησης σε επίπεδο ΕΕ. 

Η πράξη για την κυβερνοασφάλεια θα τεθεί σε ισχύ μετά την έγκρισή της από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ευρωπαϊκής Ένωσης. Τα κράτη-μέλη θα έχουν ένα έτος για να ενσωματώσουν τις αλλαγές στο εθνικό τους δίκαιο.