Πριν λίγο καιρό ενσωματώθηκε στην ελληνική νομοθεσία η ενωσιακή Οδηγία σχετικά με την υιοθέτηση κοινών από τα κράτη μέλη μέτρων για την επίτευξη κοινού επιπέδου ασφαλείας συστημάτων δικτύου και πληροφοριών (NIS Directive), γράφει σε άρθρο του ο Σπύρος Δημητρίου, Δικηγόρος, Κ. Παπακωστόπουλος & Συνεργάτες Δικηγορική εταιρεία (CPA Law), ανεξάρτητο μέλος του νομικού και φορολογικού δικτύου της KPMG.
Τα νομοθετικά όργανα της Ευρωπαϊκής Ένωσης έχουν ήδη από το 2016 ρυθμίσει το πλαίσιο που αφορά τα σχετικά ζητήματα ασφαλείας (cybersecurity), κρίνοντας κατάλληλη τη ρύθμιση σε ενωσιακό επίπεδο. Το πλήρωμα του χρόνου έφθασε λοιπόν και για την ενσωμάτωση και εφαρμογή της Οδηγίας σε εθνικό επίπεδο. Ως εκ τούτου – και εν αναμονή και των σχετικών κανονιστικών αποφάσεων – υφίσταται πλέον εδώ και μερικές εβδομάδες και στη χώρα μας ένα νέο ρυθμιστικό πλαίσιο που υιοθετεί ένα πλέγμα minimum υποχρεώσεων συμμόρφωσης για όλα τα πρόσωπα που εμπλέκονται στη διαχείριση συστημάτων δικτύου και πληροφοριών.
Η ενωσιακή αυτή πρωτοβουλία εδράζεται καταρχάς στην ανάγκη προστασίας των συστημάτων, και κυρίως του διαδικτύου, που - ως αποτέλεσμα της τεχνολογικής έκρηξης των τελευταίων δεκαετιών - διαδραματίζουν ζωτικό ρόλο στη διασφάλιση της ομαλότητας στην οικονομική και κοινωνική ζωή εντός της Ένωσης. Εάν μάλιστα αντιπαραβάλει κανείς το θεμελιώδη ρόλο των συστημάτων και του διαδικτύου στη λειτουργία της ελεύθερης κυκλοφορίας αγαθών, υπηρεσιών και προσώπων, με τη ραγδαία αύξηση του μεγέθους, της συχνότητας και του αντικτύπου των συμβάντων διατάραξης της ασφάλειας, μπορεί να αντιληφθεί ότι η ομαλή λειτουργία των συστημάτων αποτελεί ακρογωνιαία λίθο για την ομαλή λειτουργία της εσωτερικής αγοράς. Σε αυτό το πλαίσιο, η εξασφάλιση ελάχιστων κοινών απαιτήσεων ασφάλειας των συστημάτων και του διαδικτύου, με σκοπό την προαγωγή της νοοτροπίας διαχείρισης των κινδύνων και της κοινοποίησης των σοβαρών συμβάντων, κρίθηκε ότι αποτελούσε μονόδρομο και, ως εκ τούτου, αναλήφθηκε τελικώς από την Ένωση.
Επομένως, όπως προκύπτει από τα παραπάνω, ο ενωσιακός νομοθέτης, αντιλαμβανόμενος την κρισιμότητα της ομαλής λειτουργίας των συστημάτων και του διαδικτύου, έρχεται σε οριζόντια βάση να θέσει ένα minimum υποχρεωτικής συμμόρφωσης, με το οποίο όλοι οι υπόχρεοι οφείλουν να ευθυγραμμιστούν. Και όπως είναι φυσικό, ο βαθμός συμμόρφωσης θα παρακολουθείται και θα αξιολογείται κεντρικά και, ακολούθως, η μη συμμόρφωση θα επισύρει κυρώσεις. Και ασφαλώς, οι τελευταίες αποτελούν το λόγο που οι υπόχρεοι θα σπεύσουν καταρχάς να ευθυγραμμιστούν με το νέο πλαίσιο! Είναι όμως τελικά αυτό το ζήτημα; Είναι η απειλή κυρώσεων ο μόνος ή ο κύριος, έστω, λόγος προστασίας των συστημάτων;
Η απάντηση στα παραπάνω ερωτήματα είναι καταρχήν αρνητική. Πλαίσιο και κυρώσεις αποσκοπούν εν γένει στην προστασία χρηστών, φορέων, παρόχων και καταναλωτών. Απευθύνονται, μεν, σε «Φορείς» και «Παρόχους» συστημάτων, διότι η συμμόρφωση αυτών μπορεί να ελέγξει τα συμβάντα που θέτουν σε κίνδυνο την ασφάλεια συστημάτων και πληροφοριών, αποσκοπούν όμως στη μακροπρόθεσμη διασφάλιση της ομαλότητας στην οικονομική και κοινωνική ζωή. Δεν είναι το κανονιστικό πλαίσιο που επιβάλλει τη συμμόρφωση, αλλά το πλήθος, η ένταση, ο κίνδυνος και ο αντίκτυπος που επισύρουν τα συμβάντα καθεαυτά. Ακόμη κι αν το πλαίσιο δεν υπήρχε, η ίδια η Αγορά θα αντιλαμβανόταν (αργά ή γρήγορα) ότι η δημιουργία κοινών στεγανών minimum ασφάλειας είναι ζήτημα επιβίωσης. Διότι οι κυβερνοεπιθέσεις (cyber-attacks) στα συστήματα ασφάλειας οποιασδήποτε επιχείρησης (ακόμη και όταν αυτή δεν εμπίπτει στις κατηγορίες των φορέων ή παρόχων δικτύων όπως τις ορίζει ο νόμος) θέτουν σε κίνδυνο όχι απλώς τη φήμη και την προσωρινή (έστω) λειτουργία τους, αλλά την ίδια τους την υπόσταση.
Συνεπώς, το νέο πλαίσιο δεν πρέπει να αντιμετωπίζεται ως άλλη μία επιβάρυνση όσον αφορά το κόστος συμμόρφωσης για «Φορείς» και «Παρόχους» δικτύων, αλλά ως μία πρώτης τάξεως ευκαιρία για όλους να προσαρμοστούν εγκαίρως στην πραγματικότητα και, κυρίως, στους κινδύνους που εμφιλοχωρούν σε ένα επιχειρηματικό περιβάλλον που διαμορφώνεται αποκλειστικά με όρους και σε συνθήκες διαδικτύου. Όχι σήμερα, ούτε αύριο, αλλά εδώ και πολύ καιρό, η συμμόρφωση δεν είναι απλώς υποχρέωση, είναι αναγκαιότητα για όλους.
