Για χρόνια, πολλές διοικήσεις αντιμετώπιζαν την ανθεκτικότητα ως ένα τεχνικό ζήτημα “συμμόρφωσης”. Κάτι που αφορά κυρίως firewalls, backups και σχέδια αποκατάστασης. Η ευρωπαϊκή πραγματικότητα, όμως, έχει ήδη μετακινηθεί. Με την Οδηγία CER για την ανθεκτικότητα των κρίσιμων οντοτήτων και τη NIS2 για την κυβερνοασφάλεια, η Ευρωπαϊκή Ένωση λέει πλέον κάτι πολύ πιο απλό και πιο απαιτητικό: η κρίσιμη υπηρεσία πρέπει να συνεχίσει να λειτουργεί όχι μόνο όταν δεχθεί κυβερνοεπίθεση, αλλά και όταν χτυπηθεί από φυσική καταστροφή, τεχνολογικό ατύχημα, δολιοφθορά ή σύνθετη υβριδική απειλή. Η CER καλύπτει 11 τομείς, από την ενέργεια και τις μεταφορές έως την υγεία, το νερό, τις ψηφιακές υποδομές, τη δημόσια διοίκηση, το διάστημα και τα τρόφιμα. Οι κανόνες εφαρμόζονται από τις 18 Οκτωβρίου 2024, ενώ τα κράτη μέλη οφείλουν να έχουν προσδιορίσει τις κρίσιμες οντότητες έως τις 17 Ιουλίου 2026.
Αν υπάρχει μία χώρα στην οποία αυτή η λογική δεν μπορεί να μείνει θεωρητική, αυτή είναι η Ελλάδα. Η ίδια η εθνική τεκμηρίωση πολιτικής προστασίας περιγράφει ένα περιβάλλον όπου συνυπάρχουν φυσικοί κίνδυνοι, λοιμώδεις νόσοι και ανθρωπογενείς κίνδυνοι, ενώ ιδιαίτερη βαρύτητα δίνεται σε φαινόμενα όπως οι σεισμοί, οι πλημμύρες, οι δασικές πυρκαγιές, τα ακραία καιρικά φαινόμενα και τα τεχνολογικά ατυχήματα. Με απλά λόγια, για έναν ελληνικό φορέα ύδρευσης, έναν οργανισμό υγείας, έναν διαχειριστή μεταφορικής υποδομής ή έναν κρίσιμο φορέα της δημόσιας διοίκησης, η ανθεκτικότητα δεν εξαντλείται στην ασφάλεια των πληροφοριακών συστημάτων. Αφορά στο κατά πόσο μπορεί να συνεχίσει να παρέχει υπηρεσία όταν χαθεί ρεύμα, όταν πλημμυρίσει μια εγκατάσταση, όταν διακοπεί η εφοδιαστική αλυσίδα ή όταν ένα περιστατικό στον κυβερνοχώρο συμπέσει με φυσικό συμβάν στο πεδίο.
Εδώ ακριβώς μπαίνει η NIS2. Στην Ελλάδα έχει ενσωματωθεί με τον ν. 5160/2024 και η εφαρμογή της προχωρά ήδη μέσα από το εθνικό πλαίσιο απαιτήσεων κυβερνοασφάλειας για βασικές και σημαντικές οντότητες. Η Εθνική Αρχή Κυβερνοασφάλειας περιγράφει ένα πλαίσιο 22 απαιτήσεων, με τεχνικά, οργανωτικά και επιχειρησιακά μέτρα, το οποίο ακολουθεί ολιστική προσέγγιση κινδύνου και καλύπτει κρίσιμους τομείς όπως ενέργεια, μεταφορές, υγεία, χρηματοπιστωτικές υπηρεσίες, ψηφιακές υποδομές, δημόσια διοίκηση, τρόφιμα, χημικά, έρευνα και ταχυμεταφορές. Αυτό έχει ιδιαίτερη σημασία, διότι δείχνει ότι η ελληνική εφαρμογή της NIS2 δεν περιορίζεται σε “καθαρά ΙΤ” υποχρεώσεις, αλλά αναγνωρίζει ότι η κυβερνοασφάλεια επηρεάζεται από το συνολικό λειτουργικό και φυσικό περιβάλλον του οργανισμού.
Το πιο κρίσιμο, όμως, δεν είναι η παράλληλη ύπαρξη δύο κανονιστικών πλαισίων. Είναι ο τρόπος με τον οποίο αυτά κουμπώνουν μεταξύ τους. Η ίδια η NIS2 προβλέπει ότι οι οντότητες που χαρακτηρίζονται ως κρίσιμες οντότητες δυνάμει της CER υπάγονται στο καθεστώς της ανεξαρτήτως μεγέθους. Ακόμη περισσότερο, το ευρωπαϊκό κείμενο ζητεί από τα κράτη μέλη συντονισμό μεταξύ των αρχών NIS2 και CER, ανταλλαγή πληροφοριών για κινδύνους εντός και εκτός κυβερνοχώρου και, όπου είναι δυνατόν, εναρμόνιση εποπτικών διαδικασιών και υποδειγμάτων αναφοράς. Αυτό στην πράξη σημαίνει ότι η CER δεν είναι μια “φυσική ασφάλεια” δίπλα στη NIS2, αλλά ένας μηχανισμός που μπορεί να λειτουργήσει ως καταλύτης και για την υπαγωγή, την εποπτεία και τη διαχείριση κινδύνων στον κυβερνοχώρο.
Η ελληνική διοικητική αρχιτεκτονική το αναγνωρίζει πλέον ανοιχτά. Σύμφωνα με την Εθνική Στρατηγική Κυβερνοασφάλειας 2026-2030, η Γενική Γραμματεία Προστασίας Κρίσιμων Οντοτήτων του Υπουργείου Προστασίας του Πολίτη, βάσει του ν. 5236/2025, έχει οριστεί ως αρμόδια εθνική αρχή και ενιαίο σημείο επαφής για την ανθεκτικότητα και τη φυσική ασφάλεια των κρίσιμων οντοτήτων, ενώ η ίδια στρατηγική υπογραμμίζει τη στενή συνεργασία της με την Εθνική Αρχή Κυβερνοασφάλειας, ακριβώς επειδή η φυσική ασφάλεια και η κυβερνοασφάλεια είναι διακριτές αλλά στενά συνδεδεμένες.
Γι’ αυτό, για έναν ελληνικό δημόσιο οργανισμό ή μια κρίσιμη οντότητα, η σωστή ερώτηση δεν είναι “αν υπάγομαι στην CER ή στη NIS2”. Η σωστή ερώτηση είναι διαφορετική: ποιες είναι οι βασικές υπηρεσίες που δεν επιτρέπεται να διακοπούν, από ποιες υποδομές, συστήματα, εγκαταστάσεις, ανθρώπους και προμηθευτές εξαρτώνται, και ποιο θα ήταν το πραγματικό αποτέλεσμα αν συμβεί ένα σύνθετο περιστατικό; Η ουσιαστική scope analysis πρέπει να είναι ενιαία. Να χαρτογραφεί υπηρεσίες, εξαρτήσεις IT και OT, φυσικές εγκαταστάσεις, τρίτους παρόχους, γεωγραφική έκθεση σε κινδύνους και σενάρια διαταραχής. Μόνο έτσι η συμμόρφωση παύει να είναι άσκηση χαρτιού και γίνεται αυτό που πραγματικά ζητούν σήμερα η CER και η NIS2: οργανωμένη ικανότητα συνέχειας, αντίστασης και ανάκαμψης σε μια χώρα όπου οι κρίσεις δεν έρχονται πλέον μία-μία.
Γράφει ο Αθανάσιος Στάβερης-Πολυκαλάς, AI & Cybersecurity Specialist
Το άρθρο δημοσιεύθηκε στο περιοδικό InfoCom
