Έρχεται Εθνική Αρχή Κυβερνοασφάλειας: Πώς θα συγκροτηθεί, ποιους αφορά, ποιες αρμοδιότητες θα έχει

Της Τέτης Ηγουμενίδη

Στην αποτελεσματικότερη πρόληψη και διαχείριση κυβερνοεπιθέσεων καθώς και στην ανάπτυξη του οικοσυστήματος κυβερνοασφάλειας στην Ελλάδα, θα στοχεύσει η Εθνική Αρχή Κυβερνοασφάλειας, που ιδρύεται με το υπό διαβούλευση (έως 17 Ιανουαρίου) νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης.

Υπό τον τίτλο «Εθνική Αρχή Κυβερνοασφάλειας και λοιπές διατάξεις του υπουργείου Ψηφιακής Διακυβέρνησης» το νέο σχέδιο νόμου προβλέπει την σύσταση της Εθνική Αρχή Κυβερνοασφάλειας ως Νομικό Πρόσωπο Δημοσίου Δικαίου (ΝΠΔΔ) ως μετεξέλιξη και αναβάθμιση της Γενικής Διεύθυνσης Κυβερνοασφάλειας του Ψηφιακής Διακυβέρνησης.

Σημειώνεται ότι, όπως αναφέρεται στο νομοσχέδιο, για τις σχέσεις της με την αλλοδαπή, η Αρχή χρησιμοποιεί την επωνυμία «National Cybersecurity Authority (NCSA)».

Την εποπτεία της Αρχής θα έχει ο υπουργός Ψηφιακής Διακυβέρνησης και θα διοικείται από έναν διοικητή (ο οποίος αναλαμβάνει και την αρμοδιότητα της επιβολής των προστίμων σε φορείς που δεν τηρούν τους νόμους για την κυβερνοασφάλεια) και δύο υποδιοικητές.
Θα διαθέτει 155 οργανικές θέσεις (από περίπου 50 της Γενικής Διεύθυνσης Κυβερνοασφάλειας) και θα λειτουργεί ως Εθνική Αρχή Πιστοποίησης και ως Εθνικό Κέντρο Συντονισμού για την Κυβερνοασφάλεια.

Όπως σημειώνεται από το υπουργείο Ψηφιακής Διακυβέρνησης, για την κατάρτιση του νομοσχεδίου αναλύθηκαν παραδείγματα δομών αρχών κυβερνοασφάλειας, εξετάστηκαν η οικεία νομοθεσία και η προσέγγιση σχετικά με τη λειτουργία των δομών αυτών. Παρόμοια θεσμική αρχιτεκτονική (προσέγγιση whole of government, με τον ορισμό ίδιας αρχής ως κεντρικής αρμόδιας αρχής, επιφορτισμένης με τη συνολική ευθύνη και εποπτεία των θεμάτων για το σύνολο της επικράτειας) ακολουθούν χώρες όπως το Βέλγιο, η Τσεχία, η Ισπανία, η Πορτογαλία, η Αυστρία, η Ιρλανδία, η Εσθονία. Όμοια προσέγγιση ακολουθούν επίσης προηγμένες χώρες στον τομέα, όπως το Ηνωμένο Βασίλειο, οι ΗΠΑ και το Ισραήλ.
Σύμφωνα επίσης με το Ψηφιακής Διακυβέρνησης με το εν λόγω νομοσχέδιο η χώρα ανταποκρίνεται στις συνεχώς αυξανόμενες εθνικές ανάγκες αλλά και τις ενωσιακές δεσμεύσεις της.

Η ευρωπαϊκή Οδηγία 2022/2555 (Οδηγία NIS2), η οποία θα τεθεί σε εφαρμογή τον Οκτώβριο του 2024, αναμένεται να αυξήσει κατακόρυφα τον αριθμό των εποπτευόμενων φορέων σε θέματα κυβερνοασφάλειας από περίπου 70 σε 2.000.
Πέρα από «παραδοσιακά» κρίσιμες υποδομές, όπως η ενέργεια, οι ψηφιακές υποδομές και ο τραπεζικός τομέας, θα συμπεριλαμβάνονται τομείς, όπως η δημόσια διοίκηση, οι ταχυμεταφορές, η παρασκευή, παραγωγή και διανομή χημικών προϊόντων, αλλά και η παραγωγή και μεταποίηση τροφίμων.
Βάσει εκτιμήσεων το παγκόσμιο κόστος του κυβερνοεγκλήματος το 2023 προσέγγισε, αν όχι ξεπέρασε, τα 10 τρισεκατομμύρια ευρώ, διατηρώντας έναν ρυθμό διπλασιασμού ανά διετία. Πρόκειται για ένα τεράστιο κόστος, μεγάλο μέρος του οποίου πλήττει την Ευρωπαϊκή Ένωση συνολικά και, συνεπώς, τη χώρα μας.
Οι κυβερνοεπιθέσεις στην Ελλάδα ακολουθούν, σε αντιστοιχία με το σύνολο των χωρών του δυτικού κόσμου, μια διαρκώς αυξητική τάση, με τα σοβαρά περιστατικά να πολλαπλασιάζονται, ακόμη και σε περιπτώσεις που, εν τέλει, δεν οδηγούν πάντα σε σοβαρή διατάραξη των κρίσιμων υπηρεσιών που τα πληροφοριακά συστήματα υποστηρίζουν.
Ειδικότερα, η Εθνική Αρχή Κυβερνοασφάλειας αναπτύσσει, με τις προτεινόμενες ρυθμίσεις, δράση στο σύνολο των βασικών πυλώνων που χαρακτηρίζουν την κυβερνοασφάλεια, δηλαδή:

• Στρατηγική διοίκηση και διακυβέρνηση, η οποία καλύπτει όλον τον «κύκλο ζωής» της εθνικής στρατηγικής κυβερνοασφάλειας, ενισχύοντας στον πυρήνα του το μοντέλο διακυβέρνησης και διασφαλίζοντας τον αναγκαίο συντονισμό για την αναγνώριση και τον μετριασμό των κινδύνων στον κυβερνοχώρο σε εθνικό επίπεδο. Παράλληλα ενισχύονται η διαφάνεια και λογοδοσία στη δημόσια πολιτική κυβερνοασφάλειας, καθώς παρέχεται ένα σαφές ρυθμιστικό πλαίσιο και καθιερώνονται ρόλοι, διαδικασίες αλλά και αντίστοιχες ευθύνες για τις αρμόδιες εθνικές αρχές.
• Επιχειρησιακές λειτουργίες, οι οποίες διασφαλίζουν την υλοποίηση της εθνικής στρατηγικής, μέσω συγκεκριμένων δράσεων που ενισχύουν το επίπεδο κυβερνοασφάλειας σε όλα τα επίπεδα και τους τομείς της οικονομικής και κοινωνικής ζωής, στη δημόσια διοίκηση, καθώς και εν γένει στο σύνολο της ελληνικής κοινωνίας.
• Τεχνικές λειτουργίες, οι οποίες διασφαλίζουν τη συμπερίληψη των νέων τεχνολογιών και εργαλείων, που απαιτούνται για την επίτευξη των στόχων της εθνικής στρατηγικής.
• Πυλώνα εποπτικών λειτουργιών και καθηκόντων, προκειμένου να διασφαλίζεται η κανονιστική συμμόρφωση των οργανισμών και πρωτίστως των κρίσιμων υποδομών της χώρας προς τις απαιτήσεις του ευρωπαϊκού και εθνικού νομοθετικού πλαισίου στον νευραλγικό τομέα της κυβερνοασφάλειας, με την καθιέρωση ενός εποπτικού μηχανισμού ικανού να επιτελεί τον ρόλο του αποτελεσματικά και με την αναγκαία λειτουργική αυτοτέλεια έναντι των εποπτευόμενων φορέων.

Έρευνα, εκπαίδευση, πιστοποίηση

Πως διορίζεται και ποια τα προσόντα του Διοικητή της Αρχής

Ο Διοικητής επιλέγεται και διορίζεται με πράξη του Υπουργικού Συμβουλίου, η οποία εκδίδεται μετά από εισήγηση του υπουργού Ψηφιακής Διακυβέρνησης.
Διαθέτει κατ’ ελάχιστον α) πτυχίο Α.Ε.Ι. της ημεδαπής ή ισότιμο τίτλο της αλλοδαπής, β) μεταπτυχιακό τίτλο ελληνικού Α.Ε.Ι. ή της ημεδαπής ή ισότιμο τίτλο της αλλοδαπής που αποδεικνύει την επιστημονική εξειδίκευση στην κυβερνοασφάλεια ή την επιστήμη των υπολογιστών, γ) άριστη γνώση της αγγλικής γλώσσας, δ) επαγγελματική εμπειρία δέκα τουλάχιστον ετών στον τομέα της κυβερνοασφάλειας και ε) σημαντική διοικητική εμπειρία σε θέσεις ευθύνης, σε διοίκηση ανθρώπινου δυναμικού, σε κατάρτιση στρατηγικών σχεδίων, σε διαχείριση έργων και δραστηριοτήτων και σε συντονισμό ομάδων.
Η θητεία του είναι πενταετής και μπορεί να ανανεώνεται μία μόνο φορά. Παύεται αζημίως για το δημόσιο με πράξη του Υπουργικού Συμβουλίου, η οποία εκδίδεται κατόπιν αιτιολογημένης εισήγησης του υπουργού Ψηφιακής Διακυβέρνησης.
Η θέση του Διοικητή μπορεί να καλύπτεται από το πάσης φύσεως προσωπικό του δημόσιου τομέα, όπως ορίζεται στην περ. α’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143) ή από απόστρατο αξιωματικό των ενόπλων δυνάμεων ή των σωμάτων ασφαλείας.
Στην Αρχή συνιστώνται και δύο θέσεις Υποδιοικητών οι οποίοι θα προέλθουν επίσης από το προσωπικό του δημόσιου τομέα ή από απόστρατο αξιωματικό των ενόπλων δυνάμεων ή των σωμάτων ασφαλείας.

Τα πρόστιμα για ζητήματα κυβερνοασφάλειας

Ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας αποκτά και την αρμοδιότητα να επιβάλλει κυρώσεις σε φυσικό ή νομικό πρόσωπο, σε περίπτωση παραβίασης των διατάξεων του νόμου, ως εξής:
α) Αν διαπιστωθεί ότι φορέας εκμετάλλευσης βασικών υπηρεσιών ή φορέας παροχής ψηφιακών υπηρεσιών δεν κοινοποιεί ή κοινοποιεί με αδικαιολόγητη καθυστέρηση συμβάν με σοβαρό αντίκτυπο στη συνέχεια των βασικών υπηρεσιών του, επιβάλλεται πρόστιμο: αα) μέχρι 15.000 ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων, ββ) μέχρι 200.000 ευρώ σε περίπτωση υποτροπής.
β) Αν διαπιστωθεί ότι φορέας εκμετάλλευσης βασικών υπηρεσιών ή φορέας παροχής ψηφιακών υπηρεσιών δεν λαμβάνει κατάλληλα και αναλογικά, τεχνικά και οργανωτικά, προληπτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των δικτύων και των συστημάτων πληροφοριών που χρησιμοποιεί για τις υπηρεσίες αυτές, επιβάλλεται πρόστιμο: αα) μέχρι 50.000 ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων, ββ) μέχρι 200.000 ευρώ σε περίπτωση υποτροπής.
γ) Αν διαπιστωθεί ότι φυσικό ή νομικό πρόσωπο δεν παρέχει ή παρέχει με αδικαιολόγητη καθυστέρηση οποιαδήποτε σχετική πληροφορία που ζητείται κατά τη διενέργεια ελέγχου ή τη διερεύνηση περιστατικού, επιβάλλεται πρόστιμο: αα) μέχρι 50.000 ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων, ββ) μέχρι 200.000 ευρώ σε περίπτωση υποτροπής.
Την αρμοδιότητα των προστίμων έχει σήμερα ο υπουργός Ψηφιακής Διακυβέρνησης, έπειτα από εισήγηση της αρμόδιας υπηρεσίας.

Ρυθμίσεις για τη διαστημική δραστηριότητα

Με το ίδιο νομοσχέδιο ρυθμίζονται ζητήματα που αφορούν στις διαστημικές δραστηριότητες της χώρας. Με αυτές επιδιώκεται (α) η απλοποίηση της διαδικασίας υποβολής και διαχείρισης των φακέλων δορυφορικών δικτύων η οποία θα διενεργείται με ηλεκτρονικά μέσα, προκειμένου να μπορεί οποιοσδήποτε δημόσιος ή ιδιωτικός φορέας με έδρα την Ελλάδα να υποβάλλει φακέλους δορυφορικών δικτύων, (β) η ασφάλιση των διαστημικών αντικειμένων από τον αιτούντα φορέα με βάση συγκεκριμένα ποσοτικά μετρήσιμα κριτήρια (μέγεθος, βάρος, τεχνικές ιδιότητες/προδιαγραφές, αξία ή και άλλες παραμέτρους λειτουργίας).