Βουλή: Ασάφειες και σκιές στο νομοσχέδιο της Κυβερνοασφάλειας
Γενικότητες, ασάφειες και αοριστίες φέρεται να περιλαμβάνει το νέο νομοσχέδιο του υπουργείου Ψηφιακής Διακυβέρνησης που αφορά την Εθνική Αρχή Κυβερνοασφάλειας και το οποίο πρόκειται να συζητηθεί σήμερα στη Βουλή.
Κι αυτό επειδή δεν παρέχονται σαφείς εξηγήσεις αναφορικά με το που αρχίζουν και που τελειώνουν οι αρμοδιότητες της Αρχής, όπως επίσης και αν η δράση της θα εμπλέκεται ή θα περιορίζει τις ευθύνες που έως τώρα έχουν οι ανεξάρτητες αρχές, όπως η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και η Αρχή Διασφάλισης του Απόρρητου των Επικοινωνιών.
Αντιδράσεις
Σε πολιτικό επίπεδο, υπήρξε ήδη μια πρώτη αντίδραση από το ΠΑΣΟΚ και τον βουλευτή Μιχάλη Κατρίνη. Σε ανάρτησή του στο Χ σημείωνε ότι «στο νομοσχέδιο που κατατέθηκε αργά χθες βράδυ από το υπουργείο Ψηφιακής Διακυβέρνησης, αξιοσημείωτο είναι το άρθρο 32, όπου οι αρμοδιότητες για την ασφάλεια δικτύων και τηλεπικοινωνίων περνούν από την ΑΔΑΕ (ανεξάρτητη αρχή) στην Εθνική Αρχή Κυβερνοασφάλειας (ΝΠΔΔ). Τυχαίο;».
Ακολούθησε η αντίδραση από τον Θεόφιλο Ξανθόπουλο, εκ μέρους του ΣΥΡΙΖΑ, που επιτέθηκε στην κυβέρνηση, υποστηρίζοντας πως πρόκειται για «θεσμικό εκτραχηλισμό που δεν έχει πάτο».
Το νομοσχέδιο που έρχεται σήμερα στην Ολομέλεια φέρει τον τίτλο «Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με μέτρα για υψηλό κοινό επίπεδο κυβερνοασφάλειας σε ολόκληρη την Ένωση, την τροποποίηση του Κανονισμού (ΕΕ) 910/2014 και της Οδηγίας (ΕΕ) 2018/1972, και την κατάργηση της Οδηγίας (ΕΕ) 2016/1148 (Οδηγία NIS 2) και άλλες διατάξεις».
Εποπτεία της Αρχής Κυβερνοασφάλειας
Το εν λόγω νομοσχέδιο έρχεται ως «ουρά» αντίστοιχου νομοθετήματος πριν από μερικούς μήνες, με το οποίο προβλεπόταν η σύσταση Νομικού Προσώπου Δημοσίου Δικαίου με την επωνυμία «Εθνική Αρχή Κυβερνοασφάλειας».
Σύμφωνα με όσα είχαν γίνει γνωστά τότε από την κυβέρνηση, «η νέα Αρχή θα συντονίζει, θα εφαρμόζει και θα ελέγχει το ολοκληρωμένο πλαίσιο στρατηγικών, μέτρων και δράσεων για την επίτευξη υψηλού επιπέδου Κυβερνοασφάλειας στη χώρα. Θα εποπτεύεται από τον Υπουργό Ψηφιακής Διακυβέρνησης και θα αποτελέσει την ενιαία και λειτουργική δομή που θα αναλάβει το σχεδιασμό και την υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας σε συνεργασία με άλλες αρμόδιες αρχές».
Στο παρόν νομοσχέδιο προβλέπεται μεταξύ άλλων ότι θα υπάρξει «ενίσχυση των δυνατοτήτων, καθώς και του εποπτικού και επιχειρησιακού ρόλου της Αρχής, στο πλαίσιο της εφαρμογής της Οδηγίας 2022/2555 (Οδηγία NIS2)».
Οι φορείς που εμπίπτουν στο πεδίο της Οδηγίας NIS 1 είναι περίπου 70, ενώ με την ενσωμάτωση στο ελληνικό Δίκαιο της NIS 2, οι φορείς θα ξεπεράσουν τους 2000. Παράλληλα η Αρχή θα λειτουργεί ως «Εθνική Αρχή Πιστοποίησης και Εθνικό Κέντρο Συντονισμού για την κυβερνοασφάλεια».
Ασάφειες στο νομοσχέδιο
Η αλήθεια είναι πως αρκετά από τα άρθρα του νομοσχεδίου χαρακτηρίζονται από γενικότητες και ασάφειες, ειδικά στο κομμάτι του ελέγχου της εποπτείας. Για παράδειγμα έως σήμερα ήταν γνωστό πως τον έλεγχο στις τηλεπικοινωνίες -το είδαμε να συμβαίνει με αφορμή το σκάνδαλο των υποκλοπών- τον είχαν οι ανεξάρτητες αρχές, οι οποίες εξάλλου προχώρησαν και σε σχετικούς ελέγχους, όπως και στην επιβολή προστίμων, όπως συνέβη π.χ. με την περίπτωση της Intellexa.
Έμπειροι νομικοί που ασχολούνται με τα συγκεκριμένα θέματα, ανέφεραν στο in πως «είναι συνταγματικά κατοχυρωμένα τα ζητήματα που αφορούν τη δράση των Αρχών πάνω στο συγκεκριμένο πεδίο», παραδέχονταν ωστόσο ότι το νομοσχέδιο στη μορφή που κατατέθηκε ήταν αρκετά «γενικόλογο».
Οι ίδιες πηγές τόνισαν επίσης ότι «αρκετές φορές στο πεδίο δράσης, υπάρχει εμπλοκή, κάποιες φορές και σύγκρουση αρμοδιοτήτων».
Στο ερώτημά μας, αν το συγκεκριμένο νομοσχέδιο «δένει τα χέρια» των αρχών, η απάντηση ήταν πολύ συγκεκριμένη: «Κανονικά δεν πρέπει να συμβεί αυτό, ωστόσο, όπως είδαμε σε ορισμένες πτυχές της διερεύνησης των τηλεφωνικών παρακολουθήσεων κι άλλα πράγματα δεν έπρεπε να γίνουν κι όμως έγιναν».
Το ΚΕΤΥΑΚ
Εντύπωση προκαλεί επίσης το γεγονός ότι δεν γίνεται πουθενά λόγος στο νομοσχέδιο για το ΚΕΤΥΑΚ, το Κέντρο Τεχνολογικής Ανάπτυξης και Καινοτομίας, ή αλλιώς τη «μικρή ΕΥΠ», εντός της ΕΥΠ. Αξίζει να σημειωθεί ότι έως σήμερα η ΕΥΠ ήταν υπεύθυνη για θέματα κυβερνοασφάλειας για το δημόσιο τομέα.
Υπενθυμίζεται ότι το ΚΕΤΥΑΚ ιδρύθηκε το 2020 και αποτελεί αυτόνομη υπηρεσία εντός της ΕΥΠ, με δική του σφραγίδα και τραπεζικό λογαριασμό. Έργο που αφορούσε την κυβερνοασφάλεια και αφορούσε το ΚΕΤΥΑΚ, ύψους 40 εκατομμυρίων ευρώ, εντάχθηκε στο Ταμείο Ανάκαμψης το 2021, στον πυλώνα που υπόκειται στο υπουργείο Ψηφιακής Διακυβέρνησης, με αναθέτουσα αρχή την ΕΥΠ.
Για την ιστορία, υπάλληλοι της εταιρείας Krikel του Γιάννη Λαβράνου, άμεσα εμπλεκόμενου με το σκάνδαλο των υποκλοπών έχουν παραδεχτεί ότι παρέχουν υπηρεσίες «αμισθί» στις εγκαταστάσεις του ΚΕΤΥΑΚ στην Αγία Παρασκευή.
Τους τελευταίους μήνες η Εθνική Αρχή Κυβερνοασφάλειας έχει απευθύνει πρόσκληση, μεταξύ άλλων σε στελέχη των Ενόπλων Δυνάμεων, του Λιμενικού, της ΕΛ.ΑΣ. προκειμένου να ενισχύσει τις υπηρεσίες της. Το ερώτημα που προκύπτει είναι αν τελικά στο πρόγραμμα κυβερνοασφάλειας συμμετέχει και το ΚΕΤΥΑΚ και με ποιον τρόπο, καθώς στο νομοσχέδιο δεν υπάρχει κάποια σχετική αναφορά.
Τι περιλαμβάνει η Οδηγία
H Οδηγία NIS2 αφορά: Όλες τις μεσαίες επιχειρήσεις (απασχολούν από 50 έως 250 εργαζομένους και έχουν κύκλο εργασιών έως 250 εκατ. ευρώ) ή και μεγάλες επιχειρήσεις που δραστηριοποιούνται ενδεικτικά στους τομείς της Ενέργειας, των Μεταφορών, της Υγείας, υπηρεσιών cloud και data centers, τηλεπικοινωνιών, παραγωγής και διανομής τροφίμων, παραγωγής χημικών προϊόντων, φαρμακευτικών προϊόντων, διαχείρισης λυμάτων και αποβλήτων, εταιριών ταχυμεταφορών.
Ανεξάρτητα από το μέγεθός τους σε πάροχους δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, παρόχους υπηρεσιών εμπιστοσύνης, μητρώα ονομάτων τομέα ανωτάτου επιπέδου, και παρόχους υπηρεσιών συστήματος ονομάτων τομέα.
Με τις προτεινόμενες διατάξεις:
- Ορίζεται η Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) ως ενιαία αρμόδια αρχή και ως αρμόδια ομάδα απόκρισης.
- Ενισχύεται η συνεργασία μεταξύ του δημόσιου και ιδιωτικού τομέα.
- Ενισχύεται ο εθνικός στρατηγικός σχεδιασμός κυβερνοασφάλειας.
- Καθορίζεται πλαίσιο για τη συντονισμένη γνωστοποίηση ευπαθειών.
Αξίζει να σημειωθεί ότι προβλέπονται συγκεκριμένες κυρώσεις και διοικητικά πρόστιμα σε περίπτωση παραβίασης απαιτήσεων σχετικά µε τα µέτρα διαχείρισης κινδύνων, ή μη συµµόρφωσης µε τις υποχρεώσεις αναφοράς περιστατικού.
Με την εφαρμογή της NIS2 θα αυξηθεί η ζήτηση σε υπηρεσίες, προϊόντα και ειδικούς κυβερνοασφάλειας. Για το σκοπό αυτό η ΕΑΚ θα προετοιμάσει σχετικά προγράµµατα εκπαίδευσης, παρέχοντας τη δυνατότητα πιστοποίησης, σε συνεργασία µε συναρμόδιους φορείς και συμβάλλοντας έτσι στη δημιουργία ενός εγχώριου οικοσυστήματος κυβερνοασφάλειας.
Διαγωνισμός
Τέλος, από τον προηγούμενο Ιούλιο η Κοινωνία της Πληροφορίας προκήρυξε για λογαριασμό του υπουργείου Ψηφιακής Διακυβέρνησης το έργο «Δράσεις για την Ενίσχυση της Ασφάλειας των Πληροφοριών και των Συστημάτων του Δημοσίου Τομέα».
Πρόκειται για έργο με προϋπολογισμό πάνω από 100 εκατ. ευρώ, που αφορά τη θωράκιση του Δημοσίου Τομέα από κυβερνοεπιθέσεις. Ειδικότερα η συνολική εκτιμώμενη αξία της σύμβασης ανέρχεται σε 102.168.000 ευρώ, συμπεριλαμβανομένου ΦΠΑ 24%.