Νομικό και κανονιστικό τοπίο κυβερνοασφάλειας Προκλήσεις & ευκαιρίες

Μία σφαιρική ανάλυση για το νομικό και κανονιστικό τοπίο κυβερνοασφάλειας στην Ελλάδα

panagiotis-papagiannakopoulos
Παναγιώτης Παπαγιαννακόπουλος

Εταίρος, Συμβουλευτικές Υπηρεσίες EY Ελλάδος - Επικεφαλής Υπηρεσιών Κυβερνοασφάλειας της EY στην περιοχή της Κεντρικής, Ανατολικής, Νοτιοανατολικής Ευρώπης και Κεντρικής Ασίας (CESA)

06 λεπτά 28 Ιουν 2023
Σχετικά Θέματα

Μελέτη για τις προκλήσεις συμμόρφωσης που αντιμετωπίζουν οι ελληνικές επιχειρήσεις σε ένα κατακερματισμένο κανονιστικό τοπίο για θέματα κυβερνοασφάλειας, εκπόνησαν η ΕΥ Ελλάδος και η Microsoft.

Ηεκθετική εξέλιξη της ψηφιακής τεχνολογίας, πέρα από επιχειρηματικά οφέλη, έχει παράλληλα αυξήσει και τον βαθμό πολυπλοκότητας του κυβερνοεγκλήματος, δημιουργώντας επιπλέον κόστη για τη διαχείριση των κινδύνων από τις επιχειρήσεις. Την ίδια στιγμή, η ψηφιοποίηση διαμορφώνει ένα δυναμικά μεταβαλλόμενο, αλλά και κατακερματισμένο κανονιστικό περιβάλλον, με το οποίο οι οργανισμοί καλούνται να συμμορφωθούν.

Νέα μελέτη της ΕΥ Ελλάδος και της Microsoft εξετάζει, για πρώτη φορά, τις προκλήσεις συμμόρφωσης που σχετίζονται με το ισχύον νομοθετικό και κανονιστικό τοπίο της κυβερνοασφάλειας στην Ελλάδα, με στόχο να στηρίξει τις ελληνικές επιχειρήσεις στην προσπάθειά τους να διασφαλίσουν τη συμμόρφωση με την πληθώρα των ρυθμιστικών απαιτήσεων και, παράλληλα, να προσαρμοστούν με επιτυχία σε ένα διαρκώς μεταβαλλόμενο ψηφιακό περιβάλλον.

Μπροστά σε ένα πολύπλοκο κανονιστικό περιβάλλον

Η αυξανόμενη σημασία της ασφάλειας στον κυβερνοχώρο έχει οδηγήσει τις κυβερνήσεις αλλά και υπερεθνικούς οργανισμούς, όπως η Ευρωπαϊκή Ένωση, να θεσπίσουν εξειδικευμένους κανονισμούς και νόμους, οι οποίοι καθιστούν τη συμμόρφωση και τη συστηματική παρακολούθηση των υποχρεώσεων των επιχειρήσεων εξαιρετικά περίπλοκες. 

Η μελέτη επιχειρεί, για πρώτη φορά στην ελληνική αγορά, μία σφαιρική ανάλυση του ισχύοντος εθνικού και ευρωπαϊκού νομοθετικού και κανονιστικού τοπίου κυβερνοασφάλειας. Παρουσιάζονται αναλυτικά ευρωπαϊκές Οδηγίες, όπως οι NIS, NIS II και CERD, καθώς και οι κυριότερες νομοθετικές πράξεις για την κυβερνοασφάλεια στην Ελλάδα (Ν. 4577/2018, Ν. 4961/2022), το πεδίο εφαρμογής τους και τα επόμενα βήματα για τη συμμόρφωση των ελληνικών επιχειρήσεων με αυτά.

Ακολουθώντας τις εξελίξεις στην Ε.Ε., η Ελλάδα έχει υιοθετήσει την Εθνική Στρατηγική Κυβερνοασφάλειας (2020-2025) και έχει λάβει ενεργά μέτρα για την αναβάθμιση του επιπέδου ασφάλειας των πληροφοριών στη χώρα. Πιο συγκεκριμένα, η Εθνική Στρατηγική παρέχει ένα σαφές σχέδιο δράσης για την Εθνική Αρχή Κυβερνοασφάλειας και υπογραμμίζει τη σταδιακή πρόοδο της ικανότητας των ελληνικών δημόσιων φορέων να εφαρμόζουν συνεκτικές πολιτικές στον τομέα της διακυβέρνησης της κυβερνοασφάλειας, να επιβάλλουν κανονισμούς και να ασκούν εποπτεία στον ιδιωτικό τομέα.

Στο πλαίσιο της Στρατηγικής κυβερνοασφάλειας της Ε.E., η Ευρωπαϊκή Ένωση έχει ήδη θεσπίσει την Πράξη για την κυβερνοασφάλεια και την κλαδική Πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) για τον χρηματοπιστωτικό τομέα, οι οποίες έχουν άμεση εφαρμογή στην Ελλάδα.

Ειδικότερα, το συνολικό νομικό και κανονιστικό τοπίο στοχεύει στην ενίσχυση της ανθεκτικότητας των οργανισμών ενάντια σε απειλές στον κυβερνοχώρο, σε όλους τους τομείς και κλάδους, και στη μείωση του συνολικού κινδύνου κυβερνοασφάλειας.

Παρόλα αυτά, η διαχειριστική προσπάθεια που απαιτείται από πλευράς επιχειρήσεων, προκειμένου να διασφαλίσουν τη συμμόρφωσή τους με τις διευρυνόμενες απαιτήσεις, συμπεριλαμβανομένων του χρόνου και του κόστους, αλλά και των συνολικών δεξιοτήτων, της ανάπτυξης ταλέντων και της εκπαίδευσης, δημιουργεί επιπλέον δυσκολίες.

Αυξημένος βαθμός ψηφιοποίησης, αυξημένες προκλήσεις συμμόρφωσης

Ως αποτέλεσμα της νομοθεσίας και των κανονισμών για την κυβερνοασφάλεια, οι ελληνικές επιχειρήσεις φαίνεται να αντιμετωπίζουν διάφορες προκλήσεις συμμόρφωσης. Στο πλαίσιο της μελέτης, διεξήχθη και έρευνα σε δείγμα επαγγελματιών κυβερνοασφάλειας από μεγάλες ελληνικές επιχειρήσεις, που δραστηριοποιούνται σε διάφορους κλάδους της οικονομίας, όπως ο χρηματοπιστωτικός, η ενέργεια, οι τηλεπικοινωνίες, αλλά και ο δημόσιος τομέας. 

Οι κύριες πηγές από τις οποίες ανακύπτουν μερικές από αυτές τις προκλήσεις συμμόρφωσης, είναι οι παρακάτω:

  • Ο κατακερματισμός του κανονιστικού και νομοθετικού τοπίου
  • Οργανωτικά και διοικητικά ζητήματα
  • Η διαχείριση συμμόρφωσης τρίτων μερών
  • Η διαθεσιμότητα ταλέντων και δεξιοτήτων για την αποτελεσματική διαχείριση της συμμόρφωσης με τους κανονισμούς για την κυβερνοασφάλεια
Περισσότερες από τις μισές επιχειρήσεις που συμμετείχαν στην έρευνα,
αναγνωρίζουν ότι το ρυθμιστικό πλαίσιο για την κυβερνοασφάλεια στη χώρα είναι κατακερματισμένο και χρήζει άμεσων και σημαντικών αλλαγών.

Τα ευρήματα της έρευνας έδειξαν, ότι το 54% των ελληνικών επιχειρήσεων θεωρούν ότι ο διαχειριστικός χρόνος και τα έξοδα που απαιτούνται για τη διασφάλιση της κανονιστικής συμμόρφωσης, αποτελούν επιβάρυνση για την επιχείρηση.

Επιπλέον, οκτώ στις δέκα επιχειρήσεις, φαίνεται να αντιμετωπίζουν δυσκολίες όσον αφορά στην εύρεση ανθρώπινων πόρων που απαιτούνται για την αποτελεσματική διαχείριση των προκλήσεων συμμόρφωσης. Την ίδια στιγμή, μόνο το 27% των επιχειρήσεων ισχυρίζεται ότι έχει σαφή εικόνα για τη διαχείριση των κινδύνων συμμόρφωσης από τρίτα μέρη, καθώς επίσης μόλις ένας στους δέκα ερωτώμενους (13%) συμφωνεί απόλυτα ότι η επιχείρησή του εφαρμόζει τα κατάλληλα τεχνολογικά μέσα ελέγχου, αλλά και τα σχετικά εργαλεία για τη συνεχή τήρηση των ισχυόντων κανονισμών για την κυβερνοασφάλεια.

Σε ό,τι αφορά τη διαχείριση των τρίτων μερών, η πλειοψηφία των ερωτηθέντων συμφώνησαν ότι η αυξημένη εξάρτηση από τρίτους μπορεί να οδηγήσει σε πραγματικούς κινδύνους συμμόρφωσης, λόγω πιθανών διαφοροποιήσεων ως προς τη συνολική ωριμότητά τους, ενώ υπάρχει μεγάλος βαθμός αβεβαιότητας ως προς το αν η εκάστοτε επιχείρηση έχει σαφή εικόνα και έλεγχο των τρίτων μερών της, προκειμένου να μπορεί να διαχειρίζεται κατάλληλα τους σχετικούς κινδύνους συμμόρφωσης.

Μία ολοκληρωμένη προσέγγιση της ΕΥ και της Microsoft, για τη διαχείριση των προκλήσεων συμμόρφωσης στον κυβερνοχώρο

Σε αυτό το περιβάλλον προκλήσεων, η Microsoft και η EY, έχουν προχωρήσει σε μία ισχυρή στρατηγική συνεργασία, με σκοπό την παροχή ολοκληρωμένων υπηρεσιών ασφαλείας στον κυβερνοχώρο για τις επιχειρήσεις, ανεξαρτήτως τομέα και κλάδου. Οι συμβουλευτικές υπηρεσίες για επιχειρηματικά και τεχνολογικά ζητήματα που προσφέρει η ΕΥ Ελλάδος, σε συνδυασμό, με τις καινοτόμες λύσεις ασφαλείας και Cloud της Microsoft, έχουν στόχο να βοηθήσουν τις ελληνικές επιχειρήσεις στη διαχείριση και στην αντιμετώπιση των προκλήσεων που σχετίζονται με τον ψηφιακό μετασχηματισμό, αλλά και με την προστασία της ψηφιακής τους υποδομής.

Κατεβάστε την πλήρη έκδοση της μελέτης της EY Ελλάδος και της Microsoft, στα ελληνικά

PDF (3 MB)

Περίληψη

Νέα μελέτη της ΕΥ και της Microsoft, επικεντρώνεται στην κατανόηση των αναγκών των ελληνικών επιχειρήσεων για τη διασφάλιση της προστασίας τους στον κυβερνοχώρο, ενώ ταυτόχρονα συμμορφώνονται με ένα δυναμικά μεταβαλλόμενο και κατακερματισμένο ρυθμιστικό περιβάλλον κυβερνοασφάλειας.

Σχετικά με αυτό το άρθρο

panagiotis-papagiannakopoulos
Παναγιώτης Παπαγιαννακόπουλος
Εταίρος, Συμβουλευτικές Υπηρεσίες EY Ελλάδος - Επικεφαλής Υπηρεσιών Κυβερνοασφάλειας της EY στην περιοχή της Κεντρικής, Ανατολικής, Νοτιοανατολικής Ευρώπης και Κεντρικής Ασίας (CESA)
Εξωστρεφής, κοινωνικός, καινοτόμος και πελατοκεντρικός. Δημιουργεί σχέσεις εμπιστοσύνης. Πιστεύει ότι οι ομάδες, και όχι τα άτομα, κάνουν τη διαφορά. Xαρούμενος πατέρας δύο κοριτσιών.
Σχετικά Θέματα

Ο όρος EY αναφέρεται στον παγκόσμιο οργανισμό, και μπορεί να αναφέρεται σε μία ή περισσότερες, από τις εταιρείες μέλη της Ernst & Young Global Limited, καθεμία από τις οποίες αποτελεί ξεχωριστή νομική οντότητα. Η Ernst & Young Global Limited, μια βρετανική εταιρεία περιορισμένης ευθύνης δια εγγυήσεως, δεν παρέχει υπηρεσίες σε πελάτες.