Η Ευρωπαϊκή Επιτροπή παρουσίασε σήμερα ένα νέο ολοκληρωμένο πακέτο μέτρων για την ενίσχυση της ψηφιακής ανθεκτικότητας της Ένωσης. Η πρόταση, όπως αναφέρεται, έρχεται ως απάντηση στις καθημερινές κυβερνοεπιθέσεις και τις υβριδικές απειλές που δέχονται βασικές υπηρεσίες και δημοκρατικοί θεσμοί από εξελιγμένες κρατικές και εγκληματικές ομάδες. Στο επίκεντρο του πακέτου βρίσκεται η πρόταση για μια αναθεωρημένη Πράξη Κυβερνοασφάλειας (Cybersecurity Act), η οποία στοχεύει στην ενίσχυση της ασφάλειας των εφοδιαστικών αλυσίδων Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ). Παράλληλα, διασφαλίζεται ότι τα προϊόντα που φτάνουν στους πολίτες της ΕΕ είναι ασφαλή εκ σχεδιασμού μέσω μιας απλούστερης διαδικασίας πιστοποίησης, ενώ ενισχύεται ο ρόλος του Οργανισμού της ΕΕ για την Κυβερνοασφάλεια (ENISA).
Θωράκιση των κρίσιμων εφοδιαστικών αλυσίδων της Ένωσης
Η νέα Πράξη Κυβερνοασφάλειας εισάγει ένα πλαίσιο για τη μείωση των κινδύνων στην εφοδιαστική αλυσίδα ΤΠΕ της ΕΕ, εστιάζοντας ιδιαίτερα σε προμηθευτές από τρίτες χώρες «που εγείρουν ανησυχίες ασφαλείας». Καθιερώνεται ένα πλαίσιο ασφαλείας για αξιόπιστες εφοδιαστικές αλυσίδες, βασισμένο σε μια εναρμονισμένη και αναλογική προσέγγιση βάσει κινδύνου. Αυτό θα επιτρέψει στην ΕΕ και τα κράτη μέλη να εντοπίζουν και να μετριάζουν από κοινού τους κινδύνους στους 18 κρίσιμους τομείς της Ένωσης, λαμβάνοντας υπόψη τις οικονομικές επιπτώσεις και την προσφορά της αγοράς. Σύμφωνα με την Επιτροπή, η ασφάλεια της εφοδιαστικής αλυσίδας στο σημερινό γεωπολιτικό τοπίο δεν αφορά πλέον μόνο την τεχνική ασφάλεια, αλλά και τους κινδύνους που σχετίζονται με εξαρτήσεις και ξένες παρεμβάσεις.
Ιδιαίτερη έμφαση δίνεται στα δίκτυα κινητών τηλεπικοινωνιών. Η Πράξη Κυβερνοασφάλειας θα επιτρέψει την υποχρεωτική απομείωση κινδύνου (derisking) των ευρωπαϊκών δικτύων «από προμηθευτές υψηλού ρίσκου» που προέρχονται από τρίτες χώρες. Το μέτρο αυτό βασίζεται στις εργασίες που έχουν ήδη πραγματοποιηθεί στο πλαίσιο της εργαλειοθήκης ασφαλείας για τα δίκτυα 5G. Πλέον, προβλέπεται η σταδιακή κατάργηση των προμηθευτών υψηλού κινδύνου από τα δίκτυα κινητής τηλεφωνίας, γεγονός που σημαίνει ότι οι φορείς αξιολόγησης της συμμόρφωσης δεν θα μπορούν να πιστοποιούν προϊόντα ή υπηρεσίες από τους συγκεκριμένους προμηθευτές, διασφαλίζοντας την ακεραιότητα των κρίσιμων υποδομών επικοινωνίας.
Απλούστευση των διαδικασιών ευρωπαϊκής πιστοποίησης κυβερνοασφάλειας
Η αναθεωρημένη Πράξη διασφαλίζει ότι τα προϊόντα και οι υπηρεσίες που απευθύνονται στους καταναλωτές της ΕΕ ελέγχονται με πιο αποδοτικό τρόπο μέσω του ανανεωμένου Ευρωπαϊκού Πλαισίου Πιστοποίησης Κυβερνοασφάλειας (ECCF). Το πλαίσιο φέρνει σαφήνεια και απλούστερες διαδικασίες, επιτρέποντας την ανάπτυξη συστημάτων πιστοποίησης εντός 12 μηνών ως κανόνα. Εισάγεται επίσης μια πιο ευέλικτη και διαφανής διακυβέρνηση για την καλύτερη συμμετοχή των ενδιαφερόμενων μερών μέσω δημόσιας ενημέρωσης και διαβούλευσης. Τα συστήματα πιστοποίησης, τα οποία διαχειρίζεται ο ENISA, θα αποτελέσουν ένα πρακτικό, εθελοντικό εργαλείο για τις επιχειρήσεις, επιτρέποντάς τους να αποδεικνύουν τη συμμόρφωσή τους με τη νομοθεσία της ΕΕ, μειώνοντας έτσι τον φόρτο και το κόστος.
Μια σημαντική καινοτομία είναι η δυνατότητα πιστοποίησης της «στάσης κυβερνοασφάλειας» (cyber posture) των οργανισμών. Πέρα από τα προϊόντα και τις υπηρεσίες ΤΠΕ, οι εταιρείες και οι οργανισμοί θα μπορούν πλέον να πιστοποιούν το συνολικό επίπεδο ασφαλείας τους για να ανταποκριθούν στις ανάγκες της αγοράς. Αυτό το πιστοποιητικό θα μπορεί να χρησιμοποιηθεί για την απόδειξη συμμόρφωσης και την επίτευξη τεκμηρίου συμμόρφωσης με την Οδηγία NIS2 και άλλες νομοθεσίες της Ένωσης. Σύμφωνα με την Επιτροπή, το ανανεωμένο ECCF θα αποτελέσει ανταγωνιστικό πλεονέκτημα για τις επιχειρήσεις της ΕΕ, εξασφαλίζοντας υψηλό επίπεδο εμπιστοσύνης στις πολύπλοκες εφοδιαστικές αλυσίδες.
Μείωση διοικητικού κόστους μέσω τροποποιήσεων NIS2
Το πακέτο περιλαμβάνει στοχευμένες τροποποιήσεις στην Οδηγία NIS2 με σκοπό την αύξηση της νομικής σαφήνειας και τη μείωση του διοικητικού φόρτου. Τα μέτρα αυτά αναμένεται να διευκολύνουν τη συμμόρφωση για 28.700 εταιρείες, συμπεριλαμβανομένων 6.200 πολύ μικρών και μικρών επιχειρήσεων. Επιπλέον, εισάγεται μια νέα κατηγορία «μικρών επιχειρήσεων μεσαίας κεφαλαιοποίησης» (small mid-caps), η οποία θα μειώσει το κόστος συμμόρφωσης για 22.500 εταιρείες. Οι τροποποιήσεις αυτές συμπληρώνουν το ενιαίο σημείο αναφοράς περιστατικών που προτείνεται στην Πράξη Digital Omnibus, απλοποιώντας τους κανόνες δικαιοδοσίας και τη συλλογή δεδομένων σχετικά με τις επιθέσεις ransomware.
Οι αλλαγές στο πεδίο εφαρμογής της NIS2 αντικατοπτρίζουν επίσης τις νέες προκλήσεις ασφαλείας. Εξασφαλίζεται ότι οι υποδομές υποθαλάσσιων καλωδίων δεδομένων, ως ένας όλο και πιο κρίσιμος τύπος υποδομής, καλύπτονται ολοκληρωμένα από το πεδίο εφαρμογής της Οδηγίας. Παράλληλα, διασφαλίζεται η συνοχή με την πρόσφατη νομοθετική πρόταση για τη διευκόλυνση της μεταφοράς στρατιωτικού εξοπλισμού και προσωπικού σε ολόκληρη την Ένωση. Ο ENISA αποκτά ενισχυμένο συντονιστικό ρόλο για τη διευκόλυνση της εποπτείας των διασυνοριακών οντοτήτων, αξιοποιώντας τις ικανότητές του για την καλύτερη υποστήριξη των αρμόδιων αρχών των κρατών μελών.
Ραγδαία αύξηση προϋπολογισμού και αρμοδιοτήτων ENISA
Ο ENISA, ως ακρογωνιαίος λίθος του οικοσυστήματος κυβερνοασφάλειας της ΕΕ, ενισχύεται σημαντικά για να αντιμετωπίσει τις κοινές απειλές. Η πρόταση προβλέπει την αύξηση του προϋπολογισμού του Οργανισμού κατά περισσότερο από 75%, ώστε να διασφαλιστεί ότι διαθέτει τους απαραίτητους πόρους. Τα κράτη μέλη θα συμβάλουν σε αυτή την ενίσχυση ορίζοντας δύο συνδέσμους ανά κράτος μέλος, διευκολύνοντας την επιχειρησιακή συνεργασία και την ανταλλαγή πληροφοριών. Ο Οργανισμός θα εκδίδει έγκαιρες προειδοποιήσεις για κυβερνοαπειλές και θα λειτουργεί το ενιαίο σημείο εισόδου για την αναφορά περιστατικών.
Σε συνεργασία με τη Europol και τις Ομάδες Αντιμετώπισης Περιστατικών Ασφάλειας Υπολογιστών (CSIRTs), ο ENISA θα υποστηρίζει εταιρείες στην αντιμετώπιση και ανάκαμψη από επιθέσεις ransomware. Παράλληλα, θα αναπτύξει μια ενωσιακή προσέγγιση για την παροχή καλύτερων υπηρεσιών διαχείρισης ευπαθειών προς τα ενδιαφερόμενα μέρη. Ο Οργανισμός θα συνεχίσει επίσης να διαδραματίζει βασικό ρόλο στην κατάρτιση ειδικευμένου εργατικού δυναμικού, πιλοτάροντας την Ακαδημία Δεξιοτήτων Κυβερνοασφάλειας (Cybersecurity Skills Academy) και καθιερώνοντας συστήματα πιστοποίησης δεξιοτήτων σε επίπεδο ΕΕ.
Δραματική αύξηση του κόστους κυβερνοεγκλήματος
Η ανάγκη για τα νέα μέτρα υπογραμμίζεται από τα ανησυχητικά στατιστικά στοιχεία που παρουσίασε η Επιτροπή. Το παγκόσμιο κόστος του κυβερνοεγκλήματος ξεπέρασε τα 9 τρισεκατομμύρια ευρώ το 2025. Οι πέντε κορυφαίοι στόχοι στην ΕΕ περιλαμβάνουν τον δημόσιο τομέα, τις μεταφορές, τον ψηφιακό τομέα, τον χρηματοπιστωτικό τομέα και τη μεταποίηση. Το ransomware αναδείχθηκε ως η πιο σημαντική απειλή το 2025, με τις προβλέψεις να δείχνουν ότι μέχρι το 2031 θα σημειώνεται μια επίθεση ransomware κάθε 2 δευτερόλεπτα. Οι επιθέσεις στην εφοδιαστική αλυσίδα συγκαταλέγονται πλέον μεταξύ των 7 κορυφαίων απειλών.
Όσον αφορά τα επόμενα βήματα, η Πράξη Κυβερνοασφάλειας θα τεθεί σε εφαρμογή αμέσως μετά την έγκρισή της από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της ΕΕ. Οι τροποποιήσεις της Οδηγίας NIS2 θα παρουσιαστούν επίσης για έγκριση. Μόλις υιοθετηθούν, τα κράτη μέλη θα έχουν στη διάθεσή τους ένα έτος για να ενσωματώσουν την Οδηγία στο εθνικό τους δίκαιο. Η πρόταση λειτουργεί συμπληρωματικά με την επερχόμενη Πράξη για την Ανάπτυξη Cloud και Τεχνητής Νοημοσύνης (CADA), ενώ αναμένεται η επανέναρξη των εργασιών για το σύστημα πιστοποίησης υπηρεσιών cloud (EUCS).
