Ψηφίστηκε από την Ολομέλεια επί της αρχής, των άρθρων, των τροπολογιών και του συνόλου του, το νομοσχέδιο υπουργείου Ψηφιακής Διακυβέρνησης με το οποίο ενσωματώνεται η ευρωπαϊκή Οδηγία NIS2 ( (ΕΕ) 2022/2555) για τη λήψη μέτρων με στόχο ένα υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση.
Όπως τόνισε ο Υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου: «Θέλουμε ένα ασφαλές και ανταγωνιστικό ψηφιακό περιβάλλον, το οποίο αναβαθμίζει τη συνολική ανθεκτικότητα της χώρας έναντι κυβερνοαπειλών. Μπορεί να ακούγεται τεχνικό, αλλά αφορά ένα τεράστιο τμήμα της καθημερινότητάς μας, καθώς οι ψηφιακές υπηρεσίες αυξάνονται και τα συστήματα διασυνδέονται όλο και περισσότερο».
Ο κ. Παπαστεργίου ενημέρωσε το Σώμα, μεταξύ άλλων ότι: «Ένα διευρυμένο πεδίο φορέων θα ακολουθούν πλέον συγκεκριμένους όρους, διαδικασίες, προϋποθέσεις, μέτρα προκειμένου να βρίσκονται σε ένα επίπεδο που θα εγγυάται την προστασία των δικαιωμάτων των πολιτών». Αναδεικνύοντας την κρισιμότητα των νέων μέτρων επικαλέστηκε ως παράδειγμα μια πιθανή επίθεση στα πληροφοριακά συστήματα ενός λιμανιού ή μιας φαρμακαποθήκης. «Αρκετές μέρες ή έστω και ώρες, δεν θα μπορούσαν να εκδοθούν εισιτήρια με ό,τι αυτό συνεπάγεται στην εξυπηρέτηση των πολιτών και στον τουρισμό και αντίστοιχα φαρμακεία σε όλη τη χώρα δεν θα μπορούσαν να εφοδιαστούν με τα απαραίτητα φάρμακα» υπογράμμισε χαρακτηριστικά.
«Mε την ενσωμάτωση της NIS στοχεύουμε στην επίτευξη ενός υψηλού επιπέδου κυβερνοασφάλειας και στην ευθυγράμμιση με τα ευρωπαϊκά πρότυπα, καθώς και στην ενίσχυση της εμπιστοσύνης των πολιτών και των επιχειρήσεων στις ψηφιακές υπηρεσίες» δήλωσε ο Υπουργός. «Στο πλαίσιο αυτό είναι απαραίτητη η επικοινωνία µεταξύ Οργανισμών και Εθνικών Αρχών και η αναβάθμιση της διευρωπαϊκής συνεργασίας» συμπλήρωσε.
Μεταξύ άλλων η Οδηγία NIS2:
– Ενδυναμώνει την Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ), ώστε να ασκήσει αποτελεσματικά τις αρμοδιότητές της ως Εθνική Αρμόδια Αρχή για την εφαρμογή της Οδηγίας, αποκτώντας μεταξύ άλλων διευρυμένες εποπτικές και ελεγκτικές αρμοδιότητες. Με την ψήφιση του νέου νόμου, αναμένεται να αυξηθεί η ζήτηση σε υπηρεσίες, προϊόντα και ειδικούς Κυβερνοασφάλειας. Για το σκοπό αυτό προβλέπεται ότι θα προετοιμάσει σχετικά προγράµµατα εκπαίδευσης, παρέχοντας τη δυνατότητα πιστοποίησης, σε συνεργασία µε συναρμόδιους φορείς και συμβάλλοντας έτσι στη δημιουργία ενός εγχώριου οικοσυστήματος Κυβερνοασφάλειας.
– Ορίζει την ΕΑΚ ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών (Computer Security Incident Response Team- CSIRT). Δίνεται η δυνατότητα να συσταθούν και άλλες ομάδες απόκρισης, εφόσον κριθεί αναγκαίο για να επιτευχθεί υψηλότερο επίπεδο Κυβερνοασφάλειας. Σε κάθε περίπτωση η ΕΑΚ θα έχει συντονιστικό ρόλο.
– Διευρύνει το πεδίο εφαρμογής των φορέων που πρέπει να λάβουν συγκεκριμένα μέτρα για την Κυβερνοασφάλειά τους, με βάση το μέγεθος των φορέων καθώς και με την υπαγωγή νέων τομέων, όπως οι ταχυδρομικές υπηρεσίες, η διαχείριση αποβλήτων, τα τρόφιμα, τα χημικά προϊόντα (παρασκευή, παραγωγή, διανομή), ο κατασκευαστικός τομέας καθώς και η Κεντρική Κυβέρνηση, οι Περιφέρειες και Δήμοι.
– Θεσπίζει υποχρέωση αναφοράς σημαντικών περιστατικών, με βάση προσέγγιση πολλαπλών σταδίων. Προβλέπεται, κατ’ αρχάς, η υποχρέωση για έγκαιρη εντός 24 ωρών προειδοποίηση, που ακολουθείται από μια πληρέστερη ενημέρωση για το περιστατικό εντός 72 ωρών από τη γνώση του. Κατόπιν, ακολουθεί μια ενδιάμεση έκθεση για την επικαιροποίηση της αντιμετώπισης και της έκτασης του περιστατικού. Η υποχρέωση αναφοράς καταλήγει στην υποχρεωτική υποβολή τελικής έκθεσης εντός 1 μήνα.
– Προβλέπει μεταξύ άλλων κυρώσεων, διοικητικά πρόστιμα για την παραβίαση απαιτήσεων σχετικά με τα μέτρα διαχείρισης κινδύνων στον τομέα της Κυβερνοασφάλειας ή τη μη συμμόρφωση με τις υποχρεώσεις αναφοράς περιστατικών, τα οποία φτάνουν έως 10 εκατ. ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης κατά το προηγούμενο οικονομικό έτος, ανάλογα με το ποιο είναι υψηλότερο.
– Προβλέπει υποχρεώσεις για τους οργανισμούς του δημόσιου τομέα και τις επιχειρήσεις του ιδιωτικού τομέα. Οφείλουν να λάβουν λεπτομερή μέτρα διαχείρισης κινδύνων για την προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων καθώς του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.
Ενδεικτικά μέτρα που οφείλουν να λάβουν οι φορείς αφορούν σε: 1. Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων 2. Διαχείριση περιστατικών 3. Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο 4. Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της 5. Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών 6. Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας.
Τα κόμματα
Ο εισηγητής της πλειοψηφίας, Ελ. Κτιστάκης, τόνισε ότι η νέα Οδηγία που ενσωματώνεται στην ελληνική έννομη αποσκοπεί στην εξάλειψη των μεγάλων αποκλίσεων που παρατηρούνται στον τομέα της κυβερνοασφάλειας μεταξύ των κρατών μελών, ιδίως με τον καθορισμό ελάχιστων κανόνων σχετικά με τη λειτουργία ενός συντονισμένου κανονιστικού πλαισίου. Θεσπίζεται, δηλαδή, ένα συνεκτικό πλαίσιο για τη διακυβέρνηση της κυβερνοασφάλειας ως διακριτής, οριζόντιου χαρακτήρα δημόσιας πολιτικής, καθώς και μηχανισμοί αποτελεσματικής συνεργασίας μεταξύ των αρμόδιων αρχών και των οργανισμών που παρέχουν κρίσιμες υπηρεσίες για την οικονομική και κοινωνική ζωή, όχι μόνο ενός κράτους μέλους, αλλά και ολόκληρης της Ευρωπαϊκής Ένωσης.
Συνοπτικά, οι κεντρικοί πυλώνες της παρούσας νομοθετικής πρωτοβουλίας είναι οι ακόλουθοι: Πρώτον, διευρυμένο πεδίο εφαρμογής με βάση το κριτήριο του κανόνα μεγέθους των επιχειρήσεων οντοτήτων καθώς και η υπαγωγή νέων τομέων. Δεύτερον, ενίσχυση και λειτουργική αναβάθμιση της αρμόδιας εθνικής αρχής κυβερνοασφάλειας. Τρίτον, μέτρα διαχείρισης κινδύνων, λογοδοσία οργάνων της διοίκησης των υπόχρεων οργανισμών και επιχειρήσεων οντοτήτων και εμπέδωση κουλτούρας συμμόρφωσης μέσω ενός αναλογικού κοινοτικού πλαισίου και μηχανισμών εφαρμογής με αυστηρότερες κυρώσεις, ώστε να διασφαλιστεί ότι οι οργανισμοί συμμορφώνονται με τα πρότυπα ασφάλειας, μειώνοντας συνακόλουθα τον κίνδυνο κυβερνοεπιθέσεων και διαφυλάσσοντας τα δικαιώματα των πολιτών και την ασφάλεια των επιχειρήσεων. Τέταρτον, εντατικοποίηση των μέτρων κυβερνοασφάλειας και περιορισμός των υποχρεώσεων αναφοράς περιστατικών από πλευράς των υπόχρεων οντοτήτων με συγκεκριμένα χρονοδιαγράμματα, που θα επιτρέπουν την ταχεία αντίδραση και την προστασία των δεδομένων προσωπικού χαρακτήρα. Πέμπτον, εμβάθυνση της διευρωπαϊκής συνεργασίας και συμμετοχή σε ευρωπαϊκούς μηχανισμούς για την ανταλλαγή πληροφοριών και το συντονισμό σε περιπτώσεις κρίσεων στον κυβερνοχώρο.
Ο εισηγητής της μειοψηφίας, Απ. Πάνας, αναφέρθηκε στις επισημάνσεις των εμπλεκόμενων με το θέμα φορέων, για την υποστελέχωση των υποστηρικτικών δομών και τη συνεργασία με άλλες ανεξάρτητες αρχές, όπως η ΑΔΑΕ, αλλά και η έλλειψη εξειδικευμένων στελεχών στην κυβερνοασφάλεια στους φορείς της δημόσιας διοίκησης, τονίζοντας ότι αυτές καθιστούν απολύτως αναγκαία την κατάθεση βελτιώσεων ή τροπολογιών για να διασφαλιστεί η αποτελεσματικότητα της εφαρμογής της συγκεκριμένης ευρωπαϊκής ενσωμάτωσης. Προσέθεσε ότι η πρόταση του ΠΑΣΟΚ συνεχίζει να θίγει το θέμα που αφορά τον χαρακτήρα της εθνικής αρχής, τον τρόπο επιλογής της διοίκησής της, την οργανωτική αρτιότητα, την επαρκή στελέχωση με ασφάλεια, τη λειτουργική αυτονομία, την αυτοτέλεια, αλλά και τη χρηματοδότηση που θα της προσδώσει το ανάλογο κύρος, τη στελέχωση της διοίκησης με ανοικτές συγχρόνως διαδικασίες, ώστε να θωρακίσουμε και τον διακομματικό έλεγχο και να αντιμετωπίσουμε οποιαδήποτε αυθαιρεσία ή υπολειτουργία μπορεί να υπάρξει. “Αν οι προθέσεις σας και το ενδιαφέρον σας για την κυβερνοασφάλεια είναι ειλικρινείς, θα πρέπει έστω και τώρα να υιοθετήσετε μια σειρά από τις προτάσεις μας, όπως την ίδρυση μιας ανεξάρτητης εθνικής αρχής, που θα θωρακίζει το πολίτευμα, την πατρίδα, τις δημόσιες υποδομές, το κράτος δικαίου και τα ανθρώπινα δικαιώματα”, είπε ο κ. Πάνας απευθυνόμενος προς τον αρμόδιο υπουργό, ζητώντας να προχωρήσει σε συγκεκριμένες αλλαγές, ώστε η ΑΔΑΕ και όλες οι συνταγματικά κατοχυρωμένες αρχές να μην τελούν υπό τον έλεγχο, την εποπτεία και την υποβολή κυρώσεων ενός νομικού προσώπου δημοσίου δικαίου χωρίς θεσμική ανεξαρτησία, αλλά να λογοδοτούν στη Βουλή όπως ορίζει και το Σύνταγμα.
Εκ μέρους του ΣΥΡΙΖΑ, η Πόπη Τσαπανίδου, ζήτησε την απόσυρση του άρθρου 29, επισημαίνοντας ότι υποχρεώνει τους πάροχους για ενισχυμένα μέτρα κυβερνοασφάλειας, δεν παρέχει όμως στην ΑΔΑΕ, ούτε ελεγκτικές, ούτε ακυρωτικές αρμοδιότητες. Προσέθεσε ότι απογυμνώνεται μια συνταγματικά κατοχυρωμένη ανεξάρτητη αρχή και καθίσταται υπόλογη σε μια αρχή που είναι νομικό πρόσωπο δημοσίου δικαίου, στην Εθνική Αρχή Κυβερνοασφάλειας. Τέλος, σημείωσε ότι είναι απαραίτητη προϋπόθεση για τη σωστή λειτουργία της Εθνικής Αρχής Κυβερνοασφάλειας η κάλυψη του προϋπολογισμού της από κρατικούς πόρους, αλλά και η στελέχωσή της με εξειδικευμένο και επαρκώς καταρτισμένο ανθρώπινο δυναμικό.
Ο ειδικός αγορητής του ΚΚΕ, Μανώλης Συντυχάκης, είπε ότι το νομοσχέδιο αυτό είναι προέκταση όλων των προηγούμενων για την κυβερνοασφάλεια και επιχειρείται να αναβαθμιστεί η επιτελικότητα του αστικού κράτους σε έναν τομέα κρίσιμο για το κεφάλαιο, για τους συνολικούς στρατηγικούς σχεδιασμούς των Ηνωμένων Πολιτειών της Αμερικής, του ΝΑΤΟ και της Ευρωπαϊκής Ένωσης. “Καμία θέση δεν έχουν εδώ οι λαϊκές ανάγκες και ελευθερίες. Αντίθετα, αυτές δέχονται επίθεση ακόμα και στο όνομα της προστασίας τους” είπε και προσέθεσε πως τα άλλα κόμματα και ειδικά η συμπολιτευόμενη – αντιπολίτευση του ΣΥΡΙΖΑ και του ΠΑΣΟΚ επιδίδονται σε μια κριτική στο νομοσχέδιο απόλυτα βολική για τη Νέα Δημοκρατία και αρκετά εποικοδομητική για το κεφάλαιο, για τις επιδιώξεις του κεφαλαίου, με φόντο τις κατηγορίες για προχειρότητα ή καθυστερήσεις και επιμέρους πλευρές του νομοσχεδίου και σε εγκλίσεις για τον βαθμό αναβάθμισης της αρχής.
Ο ειδικός αγορητής από την Ελληνική Λύση, Β. Γραμμένος, αφού είπε ότι στο νομοσχέδιο προβλέπεται σειρά μέτρων για την προστασία κρίσιμων υποδομών για περίπου 3.000 οργανισμούς του δημοσίου, αλλά και επιχειρήσεις, διερωτήθηκε αν οι δήμοι, είναι έτοιμοι από άποψη υποδομών, εξοπλισμού και προσωπικού να ανταποκριθούν στις ανάγκες της Οδηγίας; Επίσης αν μπορεί σήμερα το Δημόσιο να έχει τα στελέχη, τα οποία χρειάζεται για να υπηρετήσουν αυτές τις δομές και τόνισε ότι πρέπει να ληφθούν υπόψη οι ανάγκες σε πόρους και προσωπικό πριν την εναρμόνιση στις ευρωπαϊκές επιταγές και οδηγίες.
Από την Νέα Αριστερά, η ειδική αγορήτρια Θεανώ Φωτίου, παρατήρησε ότι ο υπουργός αρνείται να κάνει τις αναγκαίες διορθώσεις όπως τις έχει ζητήσει σύσσωμη η αντιπολίτευση, ενώ είναι εν γνώσει του ότι το οικοδόμημα της κυβερνοασφάλειας είναι ατελές και επικίνδυνο και κάτι που – όπως υποστήριξε – δείχνει να είναι εσκεμμένη ενέργεια περιθωριοποίησης της ΑΔΑΕ. Προσέθεσε ότι δεν υπάρχουν προβλέψεις για ενίσχυση με πόρους και προσωπικό των επιχειρήσεων όπως εξίσου ανέτοιμη να αναλάβει τον σχεδιασμό και την εποπτεία μέτρων κυβερνοασφάλειας είναι η ίδια η Εθνική Αρχή Κυβερνοασφάλειας.
Ο ειδικός αγορητής της Νίκης, Γ. Ρούντας, υπογράμμισε ότι καταργούνται οι αρμοδιότητες της ΑΔΑΕ, δηλαδή η εξουσία της να επιβάλλει κυρώσεις στους παρόχους σε περιπτώσεις παραβίασης της ασφάλειας των δικτύων και των υπηρεσιών τους, κατόπιν διαδικασίας ελέγχου και ακρόασης και ζήτησε να αποσυρθεί το άρθρο 32, που το προβλέπει.
Η ειδική αγορήτρια από την Πλεύση Ελευθερίας, Ελένη Καραγεωργοπούλου, αναφέρθηκε επίσης στο άρθρο 32 λέγοντας πως η κυβέρνηση αποψίλωσε την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών από τις αρμοδιότητές της σχετικές με την ασφάλεια δικτύων και υπηρεσιών, η οποία είναι μια συνταγματικά κατοχυρωμένη Ανεξάρτητη Αρχή, μεταφέροντας αυτές τις αρμοδιότητες σε ένα απλό Νομικό Πρόσωπο Δημοσίου Δικαίου, την Εθνική Αρχή Κυβερνοασφάλειας. Ακόμη υποστήριξε πως σε αυτό το νομοσχέδιο η κυβέρνηση ανήγαγε σε επιστήμη την διαστρέβλωση του νομικού ορισμού νόμου φέρνοντας προς ψήφιση διατάξεις οι οποίες, χρήζουν άμεσης διόρθωσης γιατί είναι ακατάληπτες, δυσνόητες, αντιφατικές.
Ο Πέτρος Δημητριάδης από τους “Σπαρτιάτες”, είπε ότι σε γενικές γραμμές, το νομοσχέδιο ναι μεν ενσωματώνει την Οδηγία, την ενσωματώνει, όμως, μονόπλευρα και επιδερμικά, δημιουργεί μία Αρχή που θα είναι, εποπτευόμενη άμεσα από την κυβέρνηση, αποψιλώνει την ΑΔΑΕ, από σημαντικές αρμοδιότητες.
Απαντήσεις υπουργού
Απαντώντας ο υπουργός για το θέμα της ΑΔΑΕ, ανάφερε ότι σε κανένα σημείο του νομοσχεδίου δεν υπάρχει οποιαδήποτε υπόνοια ότι πάμε να αφαιρέσουμε αρμοδιότητες. Επανέλαβε ότι δεν αφορά το απόρρητο των επικοινωνιών, το νομοσχέδιο, αλλά ούτε και για τις τεχνικές ευθύνες οι αρμοδιότητες που η ΑΔΑΕ έχει σε σχέση με την κυβερνοασφάλεια. Αφού επανέλαβε ότι δεν υπάρχει κανένα θέμα σε σχέση με την ύπαρξη λειτουργίας και αυτονομίας της Αρχής Διασφάλισης του απορρήτου των επικοινωνιών, εξήγησε ότι στο άρθρο, στο νομοσχέδιο αναφέρεται ότι η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών δύναται στο πλαίσιο των αρμοδιοτήτων της να υποχρεώνει τους παρόχους δημοσίων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, να λαμβάνουν ενισχυμένα μέτρα Κυβερνοασφάλειας και δεν μιλάει πουθενά για το απόρρητο, διότι το νομοσχέδιο δεν αφορά το απόρρητο. Στην ουσία στο άρθρο 29, ξεκαθαρίζεται τι κάνει η ΑΔΑΕ παράλληλα με την Εθνική Αρχή Κυβερνοασφάλειας.
“Στην ουσία αυτό το οποίο λέμε είναι ότι η Εθνική Αρχή Κυβερνοασφάλειας κάνει οριζόντια σε όλους αυτούς τους φορείς που περιγράφονται στην (NIS 2), αυτά τα οποία πρέπει. Οι τηλεπικοινωνίες ανήκαν ούτως η άλλως ήδη σε όλο αυτό το πεδίο από την (ΝΙS 1). Δεν ερχόμαστε να καταργήσουμε οτιδήποτε έκανε η ΑΔΑΕ μέχρι σήμερα, τουναντίον ερχόμαστε να κάνουμε ακόμα πιο ασφαλείς τις τηλεπικοινωνίες, γιατί η Εθνική Αρχή Κυβερνοασφάλειας κάνει αυτό το οποίο οφείλει βάσει της (NIS 2) και η ΑΔΑΕ συνεχίζει να κάνει αυτά τα οποία έκανε και νωρίτερα” είπε ο κ. Παπαστεργίου, καταλήγοντας.