Ομιλία Ράνιας Αικατερινάρη, Προέδρου Εκτελεστικής Επιτροπής ΣΕΒ στην εκδήλωση με θέμα «Συμμόρφωση με την Οδηγία NIS2: από τη Στρατηγική στην Πράξη»

Η πρωτοβουλία της Ευρωπαϊκής Επιτροπής με την NIS2 για ένα ενιαίο μέτωπο άμυνας απέναντι στις κυβερνοαπειλές αντικατοπτρίζει την εκρηκτική αύξηση των επιθέσεων:

• Μόνο το 2024, οι καταγεγραμμένες επιθέσεις στην ΕΕ αυξήθηκαν κατά 24%.
• Και αυτά είναι μόνο τα δημοσιοποιημένα περιστατικά
• Η πραγματική εικόνα είναι ακόμα πιο σοβαρή.
• Διεθνώς, οι μισές επιχειρήσεις αναφέρουν ότι υπέστησαν κάποια κυβερνοεπίθεση.

Η νέα Οδηγία έχει λοιπό στόχο να καταστήσει την κυβερνοασφάλεια αναπόσπαστο στοιχείο της καθημερινής λειτουργίας των επιχειρήσεων.

Την ίδια στιγμή, οι τεχνολογικές εξελίξεις, και κυρίως η τεχνητή νοημοσύνη, κάνουν τις απειλές πιο σύνθετες και απρόβλεπτες. Το AI μπορεί να προστατεύσει τις επιχειρήσεις, αλλά ταυτόχρονα είναι όπλο στα χέρια των επιτιθέμενων. Στην πράξη, φανταστείτε αυτό: το 86% των επιχειρήσεων στον κόσμο που υιοθέτησε ΑΙ, μόνο τον προηγούμενο χρόνο, ήρθε αντιμέτωπο με περιστατικά κυβερνοεπιθέσεων. Είναι πλέον σαφές, η απειλή είναι παντού και κινείται πολύ γρήγορα.

Δυστυχώς όμως, η προετοιμασία των επιχειρήσεων παραμένει χαμηλή:

• Στην ΕΕ, μόνο 1 στις 3 επιχειρήσεις έχουν καθορίσει ή αναθεωρήσει την πολιτική κυβερνοασφάλειας τα τελευταία 2 χρόνια.
• Διεθνώς, μόλις το 4% των επιχειρήσεων θεωρείται υψηλής ετοιμότητας για περιστατικά.
• Και μόνο το 45% διαθέτει πάνω από το 10% του IT προϋπολογισμού σε ασφάλεια.

Σε πολλές περιπτώσεις οι επιχειρήσεις αντιλαμβάνονται τη σημασία της ασφάλειας μόνο αφού συμβεί κάποιο περιστατικό. Και τότε οι επιπτώσεις στην αξιοπιστία της επιχείρησης μπορεί να είναι πολύ μεγάλες, όπως και το κόστος πολύ υψηλό: για ορισμένες επιχειρήσεις μια διαρροή δεδομένων μπορεί να κοστίσει έως και €5 εκατομμύρια.

Η ψηφιοποίηση των επιχειρήσεων και η αυξανόμενη πολυπλοκότητα των επιθέσεων απαιτούν αλλαγή νοοτροπίας. Η κυβερνοασφάλεια δεν είναι πια τεχνικό ζήτημα που αφορά μόνο το IT. Είναι στρατηγική προτεραιότητα, θέμα βιωσιμότητας, ανταγωνιστικότητας και εμπιστοσύνης. Και, πλέον, είναι νομική υποχρέωση

Η NIS2, που ενσωματώθηκε στην ελληνική νομοθεσία με τον Ν. 5160/2024, διευρύνει σημαντικά το πεδίο εφαρμογής. Καλύπτει 18 κρίσιμους κλάδους, από ενέργεια και μεταφορές, έως υγεία, χρηματοοικονομικές υπηρεσίες, ψηφιακές υποδομές και μεταποίηση. Στην Ελλάδα, πάνω από 2.000 μεγάλες και μεσαίες επιχειρήσεις, οργανισμοί και φορείς του δημόσιου τομέα εμπίπτουν στις υποχρεώσεις της.

Η NIS2 δίνει έμφαση στην πρόληψη, αλλά και στην αντίδραση και ανάκαμψη μετά από περιστατικό. Αναδεικνύει τη σημασία της ασφάλειας της εφοδιαστικής αλυσίδας, καθώς οι επιτιθέμενοι συχνά στοχεύουν προμηθευτές για να πλήξουν μεγαλύτερους οργανισμούς. Οι επιχειρήσεις καλούνται:

• Να εφαρμόσουν μέτρα διαχείρισης κινδύνων και ασφάλειας σε όλα τα κρίσιμα συστήματα και διαδικασίες.
• Να αναφέρουν περιστατικά στην αρμόδια Αρχή εντός 24 ωρών για αρχική ειδοποίηση και 72 ωρών για πλήρη αναφορά.
• Να συνεργάζονται με την Αρχή σε ελέγχους, διερευνήσεις και αξιολογήσεις ασφάλειας.
• Να προστατεύουν την εφοδιαστική τους αλυσίδα, διασφαλίζοντας ότι οι προμηθευτές και συνεργάτες συμμορφώνονται με τα ίδια πρότυπα ασφάλειας, και φυσικά
• Να εκπαιδεύουν ανά τακτικά διαστήματα το σύνολο του προσωπικού για θέματα ασφάλειας και διαδικασίες αντιμετώπισης περιστατικών.

Επιπλέον, η NIS2 εισάγει και ένα κρίσιμο νέο στοιχείο: την ευθύνη της ανώτατης διοίκησης. Τα διοικητικά συμβούλια φέρουν την ευθύνη να εγκρίνουν την πολιτική ασφάλειας, να ενημερώνονται τακτικά από τον Υπεύθυνο Ασφαλείας και να εποπτεύουν τη συνολική συμμόρφωση της επιχείρησης. Θεωρώ ότι το θέμα αυτό πρέπει πλέον να είναι ψηλά στην ατζέντα των στρατηγικών συζητήσεων τόσο του ΔΣ όσο και της επιτροπής ελέγχου. Και έχω πει δημοσίως ότι εφόσον οι Επιτροπές Ελέγχου είναι επιφορτισμένες και έχουν την ευθύνη της εποπτείας της σωστής λειτουργίας του συστήματος εσωτερικού ελέγχου αλλά και της διαχείρισης κινδύνων, θα πρέπει να εμπλουτιστούν με περισσότερα ανεξάρτητα μέλη που να αντιλαμβάνονται σε βάθος αυτά τα θέματα ενώ τα μέλη της θα πρέπει να συμμετέχουν και σε ενημερωτικά σεμινάρια.

Ας θυμόμαστε ότι η κυβερνοασφάλεια δεν είναι μόνο συμμόρφωση. Είναι ανθεκτικότητα, εμπιστοσύνη και ανταγωνιστικότητα. Οι επιχειρήσεις που επενδύουν στην ασφάλεια έχουν 4 φορές μικρότερη πιθανότητα να υποστούν περιστατικό, προστατεύοντας παράλληλα τους πελάτες, τους συνεργάτες και την αξιοπιστία τους.

Ο ΣΕΒ, με τον Οδηγό συμμόρφωσης και με δράσεις όπως η σημερινή, στέκεται δίπλα στις επιχειρήσεις, προσφέροντας γνώση, εργαλεία και υποστήριξη. Καλούμε τις επιχειρήσεις να αξιοποιήσουν τον Οδηγό, ώστε να ενισχύσουν τις διαδικασίες τους και να δουν την κυβερνοασφάλεια όχι ως βάρος, αλλά ως στρατηγικό ανταγωνιστικό πλεονέκτημα.