Τον τρόπο με τον οποίο η χώρα μας θα θωρακίσει τις ευαίσθητες υποδομές της απέναντι σε φυσικούς κινδύνους αλλά και σε σύγχρονες απειλές, όπως οι κυβερνοεπιθέσεις, καθορίζει το νομοσχέδιο του Υπουργείου Προστασίας του Πολίτη που έρχεται προς ψήφιση στη Βουλή αυτή την εβδομάδα.

Πρόκειται, όπως αντιλαμβάνεται κανείς, για άκρως επίκαιρο νομοθέτημα μετά και τις κυβερνοεπιθέσεις που δέχονται δυτικές χώρες το τελευταίο χρονικό διάστημα. Χαρακτηριστική είναι η χθεσινή δήλωση της πρώην επικεφαλής της MI5 (υπηρεσίας αντικατασκοπίας της Μεγάλης Βρετανίας), Έλιζας Μάνινγκχαμ – Μπούλερ, που δήλωσε πως η Βρετανία ίσως είναι ήδη σε πόλεμο με τη Ρωσία λόγω της έντασης και του βάθους των δολιοφθορών στα συστήματα ασφαλείας και μιας σειράς άλλων ενεργειών που οργανώνονται από τη Μόσχα.

Κεντρικό ρόλο στη θωράκιση των εγχώριων υποδομών αναλαμβάνει, σύμφωνα με το νομοσχέδιο, η Γενική Γραμματεία Προστασίας Κρίσιμων Οντοτήτων, η οποία ορίζεται ως αρμόδια αρχή και μοναδικό σημείο επαφής για όλα τα ζητήματα που σχετίζονται με την εφαρμογή των διατάξεων. Το πλαίσιο προβλέπει την εκπόνηση Εθνικής Στρατηγικής, διαδικασίες εθνικής εκτίμησης κινδύνων, προσδιορισμό των κρίσιμων οντοτήτων που θα υπαχθούν στο καθεστώς, καθώς και αυστηρές υποχρεώσεις συμμόρφωσης, με την εποπτεία να συνοδεύεται από κυρώσεις σε περίπτωση παραβάσεων.

Κυβερνοεπίθεση για κατασκοπεία

Το πεδίο εφαρμογής είναι ιδιαίτερα εκτεταμένο, καθώς αγγίζει 12 κρίσιμους τομείς της οικονομίας και της κοινωνίας, οι οποίοι είναι οι εξής:

1. Ενέργεια

  • Επιχειρήσεις ηλεκτρικής ενέργειας (παραγωγοί, διαχειριστές δικτύων)
  • Τηλεθέρμανση/τηλεψύξη
  • Πετρέλαιο (διύλιση, αποθήκευση, μεταφορά)
  • Φυσικό αέριο
  • Υδρογόνο

2. Μεταφορές

  • Αεροπορικές (αερομεταφορείς, αερολιμένες)
  • Σιδηροδρομικές
  • Πλωτές (λιμένες, ναυτιλιακές εταιρείες)
  • Οδικές (διαχείριση κυκλοφορίας)
  • Δημόσιες μεταφορές

3. Τραπεζικός κλάδος (πιστωτικά ιδρύματα)

4. Χρηματοπιστωτικές αγορές

5. Υγεία

  • Νοσοκομεία και πάροχοι υγειονομικής περίθαλψης
  • Φαρμακευτικές επιχειρήσεις
  • Κατασκευαστές ιατροτεχνολογικών προϊόντων

6. Πόσιμο νερό (προμηθευτές και διανομείς)

7. Λύματα (επιχειρήσεις επεξεργασίας)

8. Ψηφιακές υποδομές (data centers, cloud providers, ISPs)

9. Δημόσια διοίκηση

10. Διάστημα

11. Παραγωγή και διανομή τροφίμων

12. Αστικά απόβλητα

Για όλες τις επιχειρήσεις και τους οργανισμούς που εντάσσονται σε αυτούς τους τομείς θεσπίζεται πλέον η υποχρέωση εκπόνησης τακτικής εκτίμησης κινδύνων, το αργότερο εντός εννέα μηνών από την ειδοποίησή τους και στη συνέχεια ανά τετραετία. Οι εκτιμήσεις αυτές πρέπει να καλύπτουν κάθε πιθανή απειλή, από την κλιματική αλλαγή μέχρι στοχευμένες επιθέσεις στον κυβερνοχώρο. Παράλληλα, οι φορείς οφείλουν να λάβουν συγκεκριμένα μέτρα πρόληψης και προστασίας, όπως φυσική θωράκιση εγκαταστάσεων (περιφράξεις, έλεγχοι πρόσβασης, συστήματα παρακολούθησης), διαδικασίες για την αντιμετώπιση περιστατικών (σχέδια διαχείρισης κρίσεων, έγκαιρη προειδοποίηση) και δράσεις για την ταχεία ανάκαμψη μετά από διακοπή λειτουργίας (σχέδια επιχειρησιακής συνέχειας, εναλλακτικές αλυσίδες εφοδιασμού).

Ιδιαίτερη βαρύτητα δίνεται και στον παράγοντα «άνθρωπος». Οι επιχειρήσεις, βάσει του σχεδίου νόμου που επί της ουσίας αποτελεί ενσωμάτωση της Ευρωπαϊκής Οδηγίας 2022/2557 για την ανθεκτικότητα κρίσιμων οντοτήτων, καλούνται να θεσπίσουν διαδικασίες ελέγχου για το προσωπικό τους, να ορίσουν κρίσιμες θέσεις με αυξημένη ευθύνη, να κάνουν ελέγχους ιστορικού σε εργαζόμενους και να εξασφαλίζουν ότι η πρόσβαση σε ευαίσθητες πληροφορίες ή εγκαταστάσεις είναι περιορισμένη. Η εκπαίδευση του προσωπικού θεωρείται υποχρεωτική, ώστε να διασφαλιστεί ότι κάθε εργαζόμενος γνωρίζει πώς να ανταποκριθεί σε ενδεχόμενη κρίση.

Επιπλέον, κάθε οντότητα πρέπει να καταρτίσει ολοκληρωμένο σχέδιο ανθεκτικότητας, όπου θα περιγράφονται αναλυτικά τα μέτρα που λαμβάνει, και να ορίσει υπεύθυνο επικοινωνίας με τη Γενική Γραμματεία. Σε περίπτωση που προκύψει σοβαρό περιστατικό το οποίο διαταράσσει την παροχή υπηρεσιών, οι επιχειρήσεις έχουν την υποχρέωση να ενημερώσουν άμεσα, μέσα σε 24 ώρες, και στη συνέχεια να υποβάλουν αναλυτική έκθεση εντός ενός μήνα.

Η Γενική Γραμματεία έχει δικαίωμα να πραγματοποιεί επιτόπιες ή απομακρυσμένες επιθεωρήσεις, να ζητά αποδεικτικά συμμόρφωσης και να επιβάλλει ελέγχους. Σε περίπτωση παραβάσεων, προβλέπονται αυστηρά πρόστιμα: έως 10 εκατ. ευρώ για ελλείψεις σε εκτίμηση κινδύνων και μέτρα ανθεκτικότητας, έως 5 εκατ. ευρώ για παραβιάσεις υποχρεώσεων ελέγχου, έως 1 εκατ. ευρώ για μη κοινοποίηση περιστατικών ή παραλείψεις σε υπηρεσίες που παρέχονται σε πολλαπλά κράτη μέλη, καθώς και άλλες διοικητικές κυρώσεις.

Το χρονοδιάγραμμα εφαρμογής είναι σαφώς καθορισμένο. Μέχρι τον Ιανουάριο του 2026 θα πρέπει να έχει εκπονηθεί η Εθνική Στρατηγική και η πρώτη συνολική εκτίμηση κινδύνων, ενώ έως τον Ιούλιο του ίδιου έτους θα έχει ολοκληρωθεί ο προσδιορισμός των κρίσιμων οντοτήτων. Στη συνέχεια, μέσα σε δέκα μήνες από την ειδοποίησή τους, οι επιχειρήσεις θα πρέπει να έχουν συμμορφωθεί με όλες τις υποχρεώσεις.