Μέχρι τις 17 Απριλίου 2025, όλα τα κράτη μέλη πρέπει να δημιουργήσουν καταλόγους των οντοτήτων που θα καλύπτονται από τους νέους κανονισμούς της οδηγίας NIS2 η οποία εγκρίθηκε από την Ε.Ε. τον Δεκέμβριο του 2022 και οι επιμέρους χώρες υποχρεώθηκαν να την εφαρμόσουν έως τις 18 Οκτωβρίου 2024.
Στην πράξη, ωστόσο, δεν έχει ακόμη ενσωματωθεί στη νομοθεσία πολλών κρατών μελών της ΕΕ, μεταξύ των οποίων και η Ελλάδα.
Σύμφωνα με την ενημέρωση της Forscope, τον μεγαλύτερο μεσίτη λογισμικού στην Κεντρική και Ανατολική Ευρώπη, η ευρωπαϊκή οδηγία NIS2 επηρεάζει δεκάδες χιλιάδες επιχειρήσεις στην Ευρωπαϊκή Ένωση, επιφέροντας σημαντικές αλλαγές στον τρόπο διαχείρισης της κυβερνοασφάλειας τόσο στον ιδιωτικό, όσο και στον δημόσιο τομέα.
Σε αντίθεση με την προκάτοχό της, η νέα οδηγία καλύπτει, μεταξύ άλλων, τη δημόσια διοίκηση, τον τομέα των τροφίμων, τη βιομηχανία και τη διαχείριση αποβλήτων. Για να συμβαδίσουν με τα νέα δεδομένα, οι επιχειρήσεις πρέπει να αναβαθμίσουν τα συστήματα κυβερνοασφάλειας και παράλληλα, να εξασφαλίσουν τη χρήση επαληθευμένου λογισμικού που παρέχεται από κάποιον αξιόπιστο μεσίτη.
Επιπλέον, η ασφάλεια στον κυβερνοχώρο δεν αφορά μόνο την πληροφορική, αλλά και τη φυσική ασφάλεια και την εκπαίδευση.
Η οδηγία διακρίνει δύο τύπους οντοτήτων τις βασικές οντότητες με ένα ευρύτερο φάσμα αρμοδιοτήτων και τις σημαντικές οντότητες, που πρέπει να πληρούν λιγότερες αυστηρές απαιτήσεις, αλλά εξακολουθούν να υπόκεινται στη ρύθμιση.
Γενικότερα, ως «βασικές» και «σημαντικές» μπορούν να θεωρηθούν οντότητες από τους τομείς που απαριθμούνται στα παραρτήματα Ι και ΙΙ της οδηγίας, οι οποίες είναι τουλάχιστον μεσαίες επιχειρήσεις (απασχολούν τουλάχιστον 50 άτομα ή έχουν ετήσιο κύκλο εργασιών που υπερβαίνει τα 10 εκατ. ευρώ).
Επίσης, περιλαμβάνονται και άλλες οντότητες που ορίζονται από την Οδηγία NIS2, π.χ. οντότητες δημόσιας διοίκησης, οντότητες που προσδιορίζονται ως «κρίσιμες» σύμφωνα με την οδηγία (ΕΕ) 2022/2557, πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών ή υπηρεσιών ηλεκτρονικών επικοινωνιών που είναι διαθέσιμες στο κοινό.
Παράλληλα, σε αυτές τις οντότητες περιλαμβάνονται αναγνωρισμένοι πάροχοι υπηρεσιών εμπιστοσύνης (trust services)και μητρώα τομέα ανωτάτου επιπέδου (domain name registries),καθώς και πάροχοι υπηρεσιών DNS, ανεξάρτητα από το μέγεθός τους.
Επιπλέον, κάθε κράτος μέλος μπορεί να προσθέσει και άλλες οντότητες, σύμφωνα με τη νομοθεσία του.
Οι επαγγελματίες που ασχολούνται με την ασφάλεια στον κυβερνοχώρο πρέπει να συνδυάσουν αυτή την οδηγία με την εφαρμογή ενός συστήματος διαχείρισης κυβερνοασφάλειας και οφείλουν να έχουν υπόψη τον βαθμό κινδύνου, τη σοβαρότητα των πιθανών συνεπειών, τον διαθέσιμο προϋπολογισμό, την καταλληλότητα.
