Η Ευρωπαϊκή Ένωση βρίσκεται σε μια κρίσιμη καμπή, καθώς ενισχύει το πλαίσιο κυβερνοασφάλειάς της για την αντιμετώπιση των αυξανόμενων και ολοένα και πιο εξελιγμένων κυβερνοαπειλών. Με την πρόσφατη εφαρμογή της οδηγίας για την ασφάλεια δικτύων και πληροφοριών 2 (NIS2) και του κανονισμού για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA), η ΕΕ θέτει νέα, υψηλότερα πρότυπα για την κυβερνοασφάλεια σε κρίσιμους τομείς. Αυτές οι νομοθετικές πράξεις αποτελούν τον ακρογωνιαίο λίθο μιας ευρύτερης στρατηγικής για τη διασφάλιση ενός ασφαλούς και ανθεκτικού ψηφιακού μέλλοντος για τους πολίτες και τις επιχειρήσεις της.
Η οδηγία NIS2, η οποία αντικαθιστά την προκάτοχό της, NIS1, διευρύνει σημαντικά το πεδίο εφαρμογής της, καλύπτοντας περισσότερους τομείς και οντότητες. Τα κράτη μέλη είχαν προθεσμία έως τις 17 Οκτωβρίου 2024 για να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο, με την εφαρμογή των μέτρων να ξεκινά από τις 18 Οκτωβρίου 2024. Ωστόσο, πολλά κράτη μέλη αντιμετώπισαν καθυστερήσεις. Η οδηγία επιβάλλει αυστηρότερες απαιτήσεις διαχείρισης κινδύνων και υποβολής εκθέσεων για περιστατικά, καθιστώντας τη διοίκηση των εταιρειών υπεύθυνη για τη συμμόρφωση. Στην Ελλάδα, οι προθεσμίες για την υποβολή στοιχείων από τις υπόχρεες οντότητες έχουν παραταθεί έως τον Φεβρουάριο και τον Μάρτιο του 2025.
Παράλληλα, ο κανονισμός DORA, ο οποίος τέθηκε σε εφαρμογή στις 17 Ιανουαρίου 2025, εστιάζει ειδικά στον χρηματοπιστωτικό τομέα. Στόχος του είναι να διασφαλίσει ότι οι χρηματοπιστωτικοί οργανισμοί μπορούν να αντέξουν, να ανταποκριθούν και να ανακάμψουν από κάθε είδους διαταραχές και απειλές που σχετίζονται με την τεχνολογία πληροφοριών και επικοινωνιών (ΤΠΕ). Ο DORA είναι ένας δεσμευτικός κανονισμός που εφαρμόζεται άμεσα σε ολόκληρη την ΕΕ, σε αντίθεση με την οδηγία NIS2 που απαιτεί μεταφορά στο εθνικό δίκαιο. Για τις χρηματοπιστωτικές οντότητες, ο DORA θεωρείται lex specialis, δηλαδή ειδικός νόμος που υπερισχύει των γενικότερων διατάξεων της NIS2.
Πέρα από την NIS2 και τον DORA, η ΕΕ προωθεί και άλλες σημαντικές νομοθετικές πρωτοβουλίες. Ο νόμος για την ανθεκτικότητα στον κυβερνοχώρο (Cyber Resilience Act - CRA), ο οποίος τέθηκε σε ισχύ τον Δεκέμβριο του 2024, αποσκοπεί στη διασφάλιση ότι τα προϊόντα με ψηφιακά στοιχεία, τόσο το υλικό όσο και το λογισμικό, είναι ασφαλή καθ' όλη τη διάρκεια του κύκλου ζωής τους. Οι κατασκευαστές θα έχουν πλέον την ευθύνη να διασφαλίζουν ότι τα προϊόντα τους πληρούν τα πρότυπα κυβερνοασφάλειας της ΕΕ.
Επιπλέον, ο νόμος για την αλληλεγγύη στον κυβερνοχώρο (Cyber Solidarity Act), ο οποίος τέθηκε σε ισχύ τον Φεβρουάριο του 2025, στοχεύει στην ενίσχυση της ανίχνευσης, της ετοιμότητας και της αντίδρασης σε μεγάλης κλίμακας κυβερνοεπιθέσεις σε επίπεδο ΕΕ. Δημιουργεί ένα Ευρωπαϊκό Σύστημα Προειδοποίησης για την Κυβερνοασφάλεια για την ανταλλαγή πληροφοριών σε πραγματικό χρόνο και έναν Μηχανισμό Έκτακτης Ανάγκης για την Κυβερνοασφάλεια.
Μια άλλη σημαντική πρωτοβουλία είναι το Ευρωπαϊκό Σύστημα Πιστοποίησης Κυβερνοασφάλειας για Υπηρεσίες Cloud (EUCS), το οποίο αναπτύσσεται από τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA). Το EUCS στοχεύει στη δημιουργία ενός εναρμονισμένου πλαισίου πιστοποίησης για τις υπηρεσίες cloud σε ολόκληρη την ΕΕ, αν και οι συζητήσεις συνεχίζονται γύρω από τα αμφιλεγόμενα ζητήματα κυριαρχίας.
Η εναρμόνιση αυτών των πολλαπλών νομοθετικών πλαισίων αποτελεί βασική προτεραιότητα για το 2025. Το Συμβούλιο της ΕΕ έχει τονίσει την ανάγκη για αποτελεσματική εφαρμογή και συνεκτική προσέγγιση, προειδοποιώντας κατά του κατακερματισμού των κανόνων. Η αναθεώρηση του νόμου για την κυβερνοασφάλεια (Cybersecurity Act - CSA) προσφέρει την ευκαιρία να ενισχυθεί ο ρόλος της πιστοποίησης ως εργαλείο για τη νομική διαλειτουργικότητα και τη συνοχή. Οι προτεραιότητες της βιομηχανίας περιλαμβάνουν τη διατήρηση του εθελοντικού χαρακτήρα της πιστοποίησης, την ευθυγράμμιση με τα διεθνή πρότυπα και την ενίσχυση του ρόλου του ENISA.
Η επιτυχής εφαρμογή αυτού του ολοκληρωμένου πλαισίου απαιτεί συνεργασία μεταξύ του δημόσιου και του ιδιωτικού τομέα, καθώς και αυξημένες επενδύσεις στην κυβερνοασφάλεια. Καθώς οι οργανισμοί προχωρούν στην εφαρμογή, η εστίαση μετατοπίζεται από την απλή συμμόρφωση σε μια πιο στρατηγική και συνεργατική προσπάθεια για την οικοδόμηση ενός ασφαλούς και ανθεκτικού ψηφιακού οικοσυστήματος στην Ευρώπη.