Εισήχθη προς επεξεργασία στην αρμόδια επιτροπή της Βουλής το νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης: «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις».

Ο υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου, τόνισε ότι πρόκειται για νομοσχέδιο το οποίο στην ουσία άπτεται της κοινωνικής ζωής, των υπηρεσιών κοινωνικής ωφέλειας και σε πάρα πολλούς ακόμη και σημαντικούς τομείς της ζωής μας.

Όπως είπε η κυβερνοασφάλεια προέκυψε ως αναγκαιότητα από την εποχή που βγήκαν τα πρώτα πληροφοριακά συστήματα και η Ευρώπη προφανώς διέγνωσε αρκετά την ανάγκη για φυσική αλλά και ηλεκτρονική ασφάλεια – γι’ αυτό και από το 2016 ξεκίνησε διάφορα νομοθετήματα, Οδηγίες και Κανονισμούς. Από τότε προέκυψαν αλλαγές που απαίτησαν περισσότερες ψηφιακές υπηρεσίες, διασυνδεδεμένα συστήματα, ακόμα μεγαλύτερη ανάγκη για ασφάλεια, ακόμα περισσότερες συναλλαγές και οικονομικές, αλλά και σε επίπεδο διοικητικών υπηρεσιών, οπότε, ως ώριμο φρούτο, το 2022, με τον ν.2555 ήρθε η ανάγκη για μια καινούργια Ευρωπαϊκή Οδηγία, την (NIS)2.

Στο σημείο αυτό, ο αρμόδιος υπουργός εξήγησε ότι η «ΝIS 2» αφορά μεσαίες και μεγάλες επιχειρήσεις, όπως αυτές αναφέρονται στις Ευρωπαϊκές Οδηγίες (επιχειρήσεις με 50 έως 250 άτομα προσωπικό και τζίρο πάνω από 50 εκατομμύρια και οι επιχειρήσεις που υπερβαίνουν αυτά τα δύο όρια). Απευθύνεται δε σε τομείς, οι οποίοι, αν βληθούν από ζητήματα κυβερνοασφάλειας, αν δεχτούν επιθέσεις δηλαδή και πέσουν οι υπηρεσίες τους, θα έχουμε σοβαρά ζητήματα στην κοινωνική και οικονομική ζωή, στην ενέργεια, στις μεταφορές, στην υγεία, στα απόβλητα, στις τηλεπικοινωνίες, στις ψηφιακές υποδομές, στο Δημόσιο – το οποίο μέχρι σήμερα δεν ήταν υποχρεωμένο να ακολουθεί τις Οδηγίες της «ΝIS 1» – στις ταχυμεταφορές, στη χημική βιομηχανία και γενικά γενικά σε όλη την αλυσίδα (εφοδιαστική, κατασκευές, έρευνα).

Αν όλα αυτά ακούγονται λίγο παράξενα στα αυτιά ενός ουδέτερου ακροατή, θα μετέφερα ίσως κάποια παραδείγματα, τα οποία δείχνουν τη σημασία του να ακολουθούμε συγκεκριμένες διαδικασίες σε όλα αυτά. Για παράδειγμα, τι θα γινόταν, αν το καλοκαίρι στο Λιμάνι του Πειραιά γινόταν μία κυβερνοεπίθεση στο σύστημα έκδοσης εισιτηρίων; Χάος, για αρκετές μέρες ή έστω και ώρες, δεν θα μπορούσαν να εκδοθούν εισιτήρια με ό,τι αυτό συνεπάγεται στην εξυπηρέτηση των πολιτών ή στον τουρισμό. Τι θα γινόταν;

Που έχει γίνει κατά κόρον, αν γινόταν μία επίθεση σε μία φαρμακοβιομηχανία, πόσο σημαντικό θα ήταν, πόσο κρίσιμο, αλλά και πόσο επώδυνο θα ήταν εάν μία φαρμακαποθήκη δεν μπορούσε να εφοδιάσει με τα απαραίτητα φάρμακα στην Αθήνα ή στην περιφέρεια για κάποιες ημέρες ή ώρες;” είπε ο κ. Παπαστεργίου. Προσέθεσε ότι όλα αυτά, έρχονται να απαντηθούν και να καλυφθούν από την «ΝIS 2», για το πώς όλοι αυτοί οι φορείς, όλοι αυτοί οι κλάδοι, όλες αυτές οι επιχειρήσεις, θα ακολουθούν συγκεκριμένους όρους, διαδικασίες, προϋποθέσεις, συστήματα, προκειμένου να βρίσκονται καθημερινά σε ένα επίπεδο ασφάλειας τέτοιο, που θα μπορεί να εγγυηθεί τουλάχιστον ένα μίνιμουμ χαρακτηριστικών και προϋποθέσεων προκειμένου να λειτουργούν με ασφάλεια.

Παράλληλα, θα καταστεί δυνατό να μεταδίδεται η πληροφορία που χάθηκε, όταν γίνονται επιθέσεις, να μεταδίδεται πάρα πολύ γρήγορα στους υπόλοιπους αντίστοιχους φορείς. Εξίσου δε σημαντικό, είναι το να μπορούμε να ανακάμψουμε από τέτοιες επιθέσεις, συμπλήρωσε ο υπουργός και παρατήρησε: “Αλίμονο σε όποιον πιστέψει ότι μπορούμε να είμαστε 100% ασφαλείς και ότι δεν χρειάζεται σε κανένα σημείο και σε καμία περίπτωση να έχουμε εφεδρικές υποδομές, αλλά και ανθρώπους που θα έρθουν να μας βοηθήσουν να κάνουμε αυτή την επαναφορά σε λειτουργία”. “Αυτή λοιπόν η κοινή Ομάδα ‘Αμεσης Απόκρισης είναι η Εθνική Αρχή Κυβερνοασφάλειας όταν στηθεί, όμως μέχρι τότε συνεχίζουμε και στηριζόμαστε στην εξαιρετικά καλή ομάδα που υπάρχει στις Ένοπλες Δυνάμεις” υπογράμμισε. Κατέληξε λέγοντας ότι παράλληλα γίνονται πιστοποιήσεις και έλεγχοι, ενώ η Εθνική Αρχή Κυβερνοασφάλειας θα πρέπει να βάλει και τα απαραίτητα πρόστιμα, όταν επανειλημμένα κάποιες επιχειρήσεις αρνούνται να κάνουν αυτά τα οποία η λογική αλλά και η τεχνολογία επιβάλλει για την κυβερνοασφάλεια – και επίσης συνεργάζεται με όλους τους συναρμόδιους φορείς.

Τα κόμματα

Ο εισηγητής της πλειοψηφίας, Ελ. Κτιστάκης, τόνισε ότι η νέα Οδηγία που ενσωματώνεται στην ελληνική έννομη τάξη με το προκείμενο σχέδιο νόμου, αποσκοπεί στην εξάλειψη των μεγάλων αποκλίσεων εφαρμογής της προηγούμενης οδηγίες, που παρατηρήθηκε μεταξύ των κρατών-μελών, ιδίως με τον καθορισμό ελάχιστων κανόνων σχετικά με τη λειτουργία ενός συντονισμένου κανονιστικού πλαισίου. Θεσπίζεται, δηλαδή, ένα συνεκτικό πλαίσιο για τη διακυβέρνηση κυβερνοασφάλειας ως διακριτής οριζόντιου χαρακτήρα δημόσιας πολιτικής, καθώς και μηχανισμοί αποτελεσματικής συνεργασίας μεταξύ των αρμόδιων Αρχών και των οργανισμών που παρέχουν κρίσιμες υπηρεσίες για την οικονομική και κοινωνική ζωή, όχι μόνο ενός κράτους-μέλους, αλλά ολόκληρης της Ε.Ε.

Συνοπτικά, περιέγραψε τους κεντρικούς πυλώνες της νομοθετικής πρωτοβουλίας ως ακολούθως: Διευρυμένο πεδίο εφαρμογής με βάση το κριτήριο του κανόνα μεγέθους των επιχειρήσεων οντοτήτων, καθώς και υπαγωγή νέων τομέων, ενίσχυση και λειτουργική αναβάθμιση της αρμόδιας Εθνικής Αρχής Κυβερνοασφάλειας, μέτρα διαχείρισης κινδύνων, λογοδοσία οργάνωσης διοίκησης των υπόχρεων οργανισμών και επιχειρήσεων οντοτήτων και εμπέδωση κουλτούρας συμμόρφωσης μέσω ενός αναλογικού κυρωτικού πλαισίου και μηχανισμός εφαρμογής με αυστηρότερες κυρώσεις, ώστε να διασφαλιστεί, ότι οι οργανισμοί συμμορφώνονται με τα πρότυπα ασφάλειας, μειώνοντας συνακόλουθα τον κίνδυνο κυβερνοεπιθέσεων και διαφυλάσσοντας τα δικαιώματα των πολιτών και την ασφάλεια των επιχειρήσεων. Επίσης, εντατικοποίηση των μέτρων κυβερνοασφάλειας και περιορισμός των υποχρεώσεων αναφοράς περιστατικών από πλευράς των υπόχρεων οντοτήτων, με συγκεκριμένα χρονοδιαγράμματα, που θα επιτρέπουν τη ταχεία αντίδραση και την προστασία των δεδομένων προσωπικού χαρακτήρα. Εμβάθυνση της διευρωπαϊκής συνεργασίας και συμμετοχής σε ευρωπαϊκούς μηχανισμούς για την ανταλλαγή πληροφοριών και το συντονισμό σε περιπτώσεις κρίσεων στον κυβερνοχώρο.

Η εισηγήτρια της μειοψηφίας, Πόπη Τσαπανίδου, ξεκαθάρισε ότι κόμμα της βλέπει θετικά την κατεύθυνση της Οδηγίας NIS 2, η οποία επιδιώκει να δημιουργήσει ένα ισχυρό και ολοκληρωμένο σύστημα κυβερνοασφάλειας σε ολόκληρη την Ευρώπη, ωστόσο τόνισε ότι δεν αρκεί ένα νομοθέτημα, παρά χρειάζεται συστηματική προετοιμασία, εκπαίδευση, υποστήριξη των φορέων που καλούνται να το εφαρμόσουν και ζήτησε να μην μείνουν εκτός του εγχειρήματος οι δήμοι ή κάποιες μικρότερες επιχειρήσεις. Εξάλλου, διαπίστωσε καθυστέρηση στην υιοθέτηση της Οδηγίας από τη χώρα μας, επισήμανε ότι αφαιρούνται αρμοδιότητες για την ασφάλεια δικτύων και τηλεπικοινωνιών από την ΑΔΑΕ και δίνονται στην Εθνική Αρχή Κυβερνοασφάλειας και διερωτήθηκε αν “με τις υποκλοπές να βαρύνουν τη χώρα” , η κυβέρνηση, θέλει να απογυμνώσει την ανεξάρτητη Αρχή. Ζήτησε δε, να ενισχυθεί με προσωπικό και μέσα η ΑΔΑΕ, να διορθωθεί άμεσα το νομοσχέδιο ως προς ορισμένες αδυναμίες που εντοπίζονται σε αυτό και να ανατεθεί στην Αρχή Κυβερνοασφάλειας ο τομέας των κυβερνοεπιθέσεων και να αφεθεί η ΑΔΑΕ να κάνει τη δουλειά της.

Ο ειδικός αγορητής του ΠΑΣΟΚ, Απ. Πάνας, αναφέρθηκε επίσης στο άρθρο που αφορά την ΑΔΑΕ, αναδεικνύοντάς το σε “πολιτικό ζήτημα”, παρατήρησε ότι αρκετοί εξειδικευμένοι φορείς εκφράζουν ενστάσεις, μίλησε για καθυστέρηση στην ενσωμάτωση της οδηγίας στο εθνικό μας δίκαιο, ωστόσο τόνισε ότι το κόμμα του το αντιμετωπίζει θετικά, καθώς αποτελεί ευρωπαϊκή οδηγία για ένα σημαντικό θέμα όπως η κυβερνοασφάλεια.

Ο ειδικός Αγορητής του ΚΚΕ, Μανώλης Συντυχάκης, μίλησε για “τον αντιδραστικό και αντιλαϊκό χαρακτήρα” της Οδηγίας (NIS) 2, υπογράμμισε ότι υπηρετείται ο σκοπός της προετοιμασίας όλων των κρατών μελών και ενιαία της ΕΕ, για τις εντεινόμενες ιμπεριαλιστικές συγκρούσεις, μπροστά και στο ενδεχόμενο γενίκευσης τους. Επίσης είπε ότι ενισχύεται το κράτος που αναβαθμίζει το ψηφιακό φακέλωμα για να κυνηγά από τον φτωχό αυτοαπασχολούμενο μέχρι τον αγωνιστή συνδικαλιστή που διώκεται για τη δράση του κι ακόμη ο επόμενος στόχος αφορά την ασφαλή και απρόσκοπτη λειτουργία της εσωτερικής αγοράς, τη θωράκιση των υποδομών της ψηφιακής μετάβασης και κρίσιμων δραστηριοτήτων για την οικονομική και κοινωνική ζωή.

Ο Βασίλειος Γραμμένος, ειδικός αγορητής της Ελληνικής Λύσης, επισήμανε ότι η Οδηγία μπορεί να ενισχύσει τη συνολική κυβερνοασφάλεια στην ΕΕ, εντούτοις παρουσιάζει σημεία που χρειάζονταI προσεκτική ανάλυση και ενδεχόμενη προσαρμογή στα ελληνικά μας δεδομένα. Χρειαζόμαστε, τόσο νομοθετικές όσο και πρακτικές λύσεις, ικανές να διασφαλίσουν τα εθνικά μας συμφέροντα, χωρίς να υπονομεύεται η κυριαρχία και η επιχειρηματικότητα στη χώρα μας.

Ο κ. Γραμμένος επιφυλάχθηκε για την τελική στάση που θα κρατήσει το κόμμα του, “όπως κάνουμε σε κάθε νομοσχέδιο που φέρνετε προς ψήφιση” καθώς συν τοις άλλοις μεσολαβεί και η ακρόαση των φορέων.

Ο ειδικός αγορητής της Νέας Αριστεράς, Νάσος Ηλιόπουλος, τόνισε ότι δεν μπορεί σήμερα το Δημόσιο να έχει τα στελέχη τα οποία χρειάζονται για να υπηρετήσουν τις δομές τις οποίες και η συγκεκριμένη Οδηγία “μας αναγκάζει να προχωρήσουμε σε αυτές”. Εξέφρασε την ανησυχία για το τι μπορεί να σημαίνει το συγκεκριμένο πλαίσιο αύριο για την τοπική αυτοδιοίκηση και για το ποιες μπορούν να είναι οι δομές που θα ενδυναμώσουν τη μικρομεσαία επιχειρηματικότητα. Ακόμη διαφώνησε με την επιλογή, η ασφάλεια δικτύων και τηλεπικοινωνιών να περάσουν από την ΑΔΑΕ στην Εθνική Αρχή Κυβερνοασφάλειας.

Ο ειδικός αγορητής της “Νίκης”, Γ. Ρούντας, δήλωσε επιφύλαξη για να τοποθετηθεί στην τρίτη συνεδρίαση της Επιτροπής, μετά την ακρόαση των εξωκοινοβουλευτικών φορέων.

Η ειδική αγορήτρια της Πλεύσης Ελευθερίας, Ελένη Καραγεωργοπούλου, έθεσε το ερώτημα γιατί ενσωματώθηκαν τέσσερα άρθρα που δεν είχαν μπει στη διαβούλευση και έθεσε ζητήματα των εργαζόμενων του Κτηματολογίου με αιχμή την πρόσφατη κυβερνοεπίθεση. Αναφέρθηκε επίσης στις κυβερνοεπιθέσεις που είχαν ως αποτέλεσμα να “πέσουν”, οι πλατφόρμες της ΑΑΔΕ, της ΕΛΑΣ και οι πλατφόρμες στα δικαστήρια της χώρας, λέγοντας πως “ελπίζει να είναι τυχαίο” και να φανεί ότι υπάρχει επιτακτική ανάγκη να υπερψηφιστεί το νομοσχέδιο.

Εξάλλου, τον λόγο πήρε η Ζωή Κωνσταντοπούλου για να ζητήσει εξηγήσεις σχετικώς με την κατάσταση στο Κτηματολόγιο στην Κέρκυρα, όσο και για το τι δεν κάνει καλά η κυβέρνηση ώστε να φέρνει το τρίτο κατά σειρά νομοσχέδιο για την κυβερνοασφάλεια. “Είναι μεγάλο φιάσκο να καταρρέει η Ιστοσελίδα της ΕΥΠ, η Ιστοσελίδα της Ελληνικής Αστυνομίας, η Ιστοσελίδα της ΑΑΔΕ που εγκαινιάστηκε με τόσες τυμπανοκρουσίες πριν από λίγες ημέρες από τον πρωθυπουργό και διαφημίστηκε η πολυτέλεια των γραφείων της, όπως είναι μεγάλο φιάσκο η κατάρρευση της Τράπεζας Θεμάτων το 2023, ενώ έδιναν εξετάσεις τα παιδιά. Δείχνει την αναξιοπιστία του κράτους, δείχνει την υποκρισία των διακηρύξεων, δείχνει την διγλωσσία των κυβερνητικών τοποθετήσεων και πρωτοβουλιών είπε.

Απαντήσεις

Απαντώντας, ο υπουργός Ψηφιακής Διακυβέρνησης, Δημήτρης Παπαστεργίου, αφού διευκρίνισε ότι είναι άλλο το “απόρρητο” (το να μην μπαίνει, δηλαδή, κάποιος μέσα σε μια επικοινωνία, στα μηνύματα, στα e-mail και τα υποκλέπτει για αλλότριους σκοπούς) και άλλο η “κυβερνοασφάλεια” (το να κτιστεί ένα τεχνικό τείχος γύρω από τις επικοινωνίες) και ξεκαθάρισε ότι δεν υπάρχει κανένα θέμα με την ύπαρξη, λειτουργία και αυτονομία της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών.

Εξήγησε ότι στο άρθρο 29 του νομοσχεδίου, σημειώνεται ότι η ΑΔΑΕ, δύναται στο πλαίσιο των αρμοδιοτήτων της να υποχρεώνει τους παρόχους δημοσίων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, να λαμβάνουν ενισχυμένα μέτρα Κυβερνοασφάλειας και δεν γίνεται πουθενά λόγος για το απόρρητο, διότι – όπως προσέθεσε – το νομοσχέδιο δεν αφορά το απόρρητο, ενώ ξεκαθαρίζεται ότι οι πάροχοι δημόσιων δικτύων οφείλουνε στην ουσία να κοινοποιούν αμελλητί κάθε περιστατικό που έχει σημαντικό αντίκτυπο κλπ..

Όπως προσέθεσε ο αρμόδιος υπουργός, στην ουσία στο άρθρο 29 ξεκαθαρίζεται τι κάνει η ΑΔΑΕ παράλληλα με την Εθνική Αρχή Κυβερνοασφάλειας. “Οι τηλεπικοινωνίες ανήκαν ούτως η άλλως ήδη σε όλο αυτό το πεδίο από την (ΝΙS 1). Δεν ερχόμαστε να καταργήσουμε οτιδήποτε έκανε η ΑΔΑΕ μέχρι σήμερα, τουναντίον ερχόμαστε να κάνουμε ακόμα πιο ασφαλείς τις τηλεπικοινωνίες, γιατί η Εθνική Αρχή Κυβερνοασφάλειας κάνει αυτό το οποίο οφείλει βάσει της (NIS 2) και η ΑΔΑΕ συνεχίζει να κάνει αυτά τα οποία έκανε και νωρίτερα”. Επιπροσθέτως, καταργούνται τα άρθρα 148 περί Ασφάλειας Δικτύων και Υπηρεσιών και 149 περί εφαρμογής και επιβολής του νόμου 47/27 του 2020 κι όπως προσέθεσε “δεν πειράζεται οτιδήποτε έχει να κάνει με την ανεξαρτησία και το απόρρητο”.

Αρα, να ξεκαθαρίσουμε ότι σε κανένα σημείο του νομοσχεδίου δεν υπάρχει οποιαδήποτε υπόνοια ότι πάμε να αφαιρέσουμε αρμοδιότητες: σίγουρα για το απόρρητο – δεν αφορά το απόρρητο των επικοινωνιών, το νομοσχέδιο – αλλά ούτε και για τις τεχνικές ευθύνες ή αρμοδιότητες που η ΑΔΑΕ έχει σε σχέση με την κυβερνοασφάλεια. Αυτό πρέπει να γίνει ξεκάθαρο, για να μην επανερχόμαστε συνεχώς στις ίδιες συζητήσεις” συνόψισε ο υπουργός.

Ως προς τη κριτική που ασκήθηκε περί καθυστέρησης στην ενσωμάτωση της Οδηγίας, απάντησε ότι δεν υπάρχει καμία καθυστέρηση και σε καμία περίπτωση δεν υπάρχει οποιοδήποτε ζήτημα για πρόστιμα.

Ως προς τα άλλα ζητήματα που τέθηκαν, απάντησε ότι:

– Η Οδηγία δεν απαγορεύει σε καμία μικρή επιχείρηση να κάνει όλα όσα είναι αυτονόητα προφανή και τεχνικά επαρκή για να είναι ασφαλής

– Οι δήμοι είναι μέσα στην NIS 2, όπως επέλεξε το υπουργείο να κάνει και χωρίς αυτό να είναι προαπαιτούμενο από την ευρωπαϊκή Οδηγία, επειδή υπήρχαν πολύ σοβαρά ζητήματα στο παρελθόν με κυβερνοεπιθέσεις, με ransomware, με κλειδώματα στην ουσία των δεδομένων των δήμων και των εφαρμογών, με την αναζήτηση λύτρων, προκειμένου αυτά να απελευθερωθούν. Επίσης, έχει βγει στον αέρα μία πρόσκληση με 8,5 εκατομμύρια για κάποιες πρώτες δράσεις κυβερνοασφάλειας, και δεν είναι οι μόνες.

Για το αν υπάρχουν οι δεξιότητες και αν υπάρχει ζήτημα ατομικής ευθύνης, που ανέφεραν, τόσο ο Απ. Πάνας όσο και ο Ν. Ηλιόπουλος, ανέφερε ότι οι απειλές προφανώς και αυξάνονται, γι’ αυτό και την ίδια ώρα είναι στον αέρα ο διαγωνισμός με 82 εκατομμύρια για τις πολύ βασικές υποδομές του Ελληνικού Δημοσίου για τον οποίον υπήρξε τεράστιο ενδιαφέρον πάρα πολλών επιχειρήσεων.

Συμπλήρωσε τέλος, ότι το νομοσχέδιο θέτει τους όρους και τις διαδικασίες και με τα λίγα στελέχη που υπάρχουν στο Δημόσιο γίνεται προσπάθεια να υλοποιηθούν τα προβλεπόμενα από την Οδηγία.