Ο νέος κανονισμός κυβερνοασφάλειας της Ευρωπαϊκής Ένωσης, γνωστός ως NIS 2, θα απαιτήσει από περισσότερους από 2.000 φορείς του δημόσιου και ιδιωτικού τομέα στην Ελλάδα να συμμορφωθούν με αυστηρότερα μέτρα έως το 2025. Σε περίπτωση μη συμμόρφωσης, θα επιβάλλονται κυρώσεις όπως διοικητικά πρόστιμα και προσωρινή αναστολή πιστοποίησης. Η ευθύνη για την ψηφιακή ασφάλεια μεταφέρεται πλέον στα υψηλότερα κλιμάκια των οργανισμών, με την υποχρέωση αναφοράς περιστατικών εντός 24 ωρών.
Η νέα οδηγία NIS 2, που υιοθετήθηκε το 2022, στοχεύει στην προστασία κρίσιμων δικτύων και συστημάτων πληροφορικής από κυβερνοαπειλές. Η Ελλάδα ενσωματώνει αυτή την οδηγία στο εθνικό της δίκαιο, απαιτώντας από τις επιχειρήσεις να αναφέρουν περιστατικά κυβερνοασφάλειας και να λαμβάνουν μέτρα διαχείρισης κινδύνων. Η νομοθεσία βρίσκεται σε φάση δημόσιας διαβούλευσης και αναμένεται να ψηφιστεί μέχρι το τέλος του έτους.
Οι οργανισμοί που πρέπει να συμμορφωθούν περιλαμβάνουν επιχειρήσεις με 50 έως 250 εργαζομένους και κύκλο εργασιών από 10 έως 250 εκατ. ευρώ, καθώς και μεγάλες επιχειρήσεις σε τομείς όπως η δημόσια διοίκηση, οι ταχυδρομικές υπηρεσίες, η διαχείριση αποβλήτων και τα χημικά προϊόντα. Οι υποχρεώσεις τους περιλαμβάνουν τη λήψη μέτρων κυβερνοασφάλειας και την αναφορά περιστατικών στην Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ).
Οι κυρώσεις για μη συμμόρφωση περιλαμβάνουν πρόστιμα που μπορεί να φτάσουν τα 10 εκατ. ευρώ ή το 2% του παγκόσμιου κύκλου εργασιών μιας επιχείρησης. Η νομοθεσία στοχεύει στη μείωση του κινδύνου κυβερνοεπιθέσεων και στη διασφάλιση της ασφάλειας των πολιτών και των επιχειρήσεων. Οι φορείς και οι επιχειρήσεις πρέπει να εφαρμόζουν πολιτικές και διαδικασίες για την ανάλυση κινδύνου, τη διαχείριση περιστατικών και την ασφάλεια της αλυσίδας εφοδιασμού.