• Πρόταση της Ευρωπαϊκής Επιτροπής για αλληλεγγύη στον κυβερνοχώρο και η σημαντικότητα της ετοιμότητας απόκρισης σε κυβερνοεπιθέσεις

Η ανάγκη για ενιαία και άμεση αντιμετώπιση των κυβερνοαπειλών εντός της Ευρωπαϊκής Ένωσης, οδήγησε την Ευρωπαϊκή Επιτροπή, στις 18 Απριλίου 2023, να εκδώσει πρόταση για Κανονισμό σχετικά με τη θέσπιση μέτρων για την ενίσχυση της αλληλεγγύης και των ικανοτήτων της Ένωσης για τον εντοπισμό, την προετοιμασία και την αντιμετώπιση κυβερνοαπειλών και σχετικών συμβάντων κατά της κυβερνοασφάλειας.

Η χρήση της τεχνολογίας πληροφοριών και επικοινωνιών, έχει καταστεί ζωτικής σημασίας σε όλους τους τομείς των επιχειρηματικών και οικονομικών δραστηριοτήτων λόγω της εκτεταμένης αλληλεπίδρασης και της διασυνοριακής διασύνδεσης των δημόσιων και ιδιωτικών οργανισμών, των επιχειρήσεων και των πολιτών εντός όλων των Κρατών Μελών. Η εν λόγω κατάσταση, οδηγεί αναντίλεκτα στην αύξηση της έκθεσης στον κίνδυνο κυβερνοαπειλών και συμβάντων κατά της κυβερνοασφάλειας που πολύ εύκολα μπορούν να πλήξουν σοβαρά την εμπιστευτικότητα, ακεραιότητα καθώς και τη διαθεσιμότητα των δεδομένων του ατόμου ή οργανισμού που θα βρεθεί στο επίκεντρο της κυβερνοεπίθεσης, καθώς και στην ταχεία μετάδοση των απειλών από το ένα Κράτος Μέλος στο άλλο.

Επιπρόσθετα, η γεωπολιτική σύγκρουση γύρω από τον πόλεμο Ρωσίας – Ουκρανίας συνεχίζει να εκτυλίσσεται μέσω μιας στρατηγικής εχθρικών απειλών στον κυβερνοχώρο ιδιωτικών και δημόσιων οργανισμών Κρατών Μελών και έχει αλλάξει την αντίληψη και την αξιολόγηση της ετοιμότητας της Ευρωπαϊκής Ένωσης ως προς τη συλλογική διαχείριση κρίσεων κυβερνοασφάλειας. Παράλληλα, έχει δημιουργήσει μια επείγουσα ανάγκη για άμεση κινητοποίηση ως προς την αναβάθμιση των υποδομών του οικοσυστήματος κυβερνοασφάλειας της Ευρωπαϊκής Ένωσης.

Παρ’ όλα αυτά και ενώ πολλές κυβερνοαπειλές έχουν διασυνοριακή δράση, η ανταλλαγή σχετικών πληροφοριών μεταξύ των Κρατών Μελών παραμένει περιορισμένη. Ως εκ τούτου, η ανάγκη για τη δημιουργία ενός ενιαίο δικτύου διασυνοριακών Κέντρων Επιχειρήσεων Ασφάλειας (Security Operations Centres (SOCs)), με στόχο τον άμεσο εντοπισμό και διαχείριση των απειλών, έχει εντοπιστεί και τεθεί στις προτεραιότητες της Ένωσης από το Συμβούλιο μέσω των Συμπερασμάτων του για την ανάπτυξη της στάσης της Ευρωπαϊκής Ένωσης στον κυβερνοχώρο.

Στόχος του EU Cyber Solidarity Act

Με το εν λόγω δεδομένο ως γνώμονα, ο προτεινόμενος Κανονισμός, γνωστός και ως EU Cyber Solidarity Act, στόχο έχει να εντείνει την ικανότητα της Ευρωπαϊκής Ένωσης ως προς την άμεση ανταπόκριση σε απειλές και περιστατικά κατά της κυβερνοασφάλειας, και να ενισχύσει την αλληλεγγύη και τη συντονισμένη διαχείριση κρίσεων εντός όλων των Κρατών Μελών.

Επιπρόσθετα, ο εν λόγω Κανονισμός θα συμβάλει στη δημιουργία ενός ασφαλούς ψηφιακού περιβάλλοντος για τους πολίτες και τις επιχειρήσεις, καθώς και στην προστασία κρίσιμων οντοτήτων και ζωτικής σημασίας υπηρεσιών.

Οι εν λόγω στόχοι θα επιτευχθούν μέσω των ακόλουθων πράξεων:

  • Ανάπτυξη μιας πανευρωπαϊκής υποδομής εγχώριων και διασυνοριακών Κέντρων Επιχειρήσεων Ασφάλειας – European Cyber Shield, η οποία σκοπό θα έχει τη δημιουργία ενός μηχανισμού εντοπισμού και εξέτασης συμβάντων κατά της κυβερνοασφάλειας,
  • Δημιουργία Μηχανισμού Έκτακτης Ανάγκης (Cyber Emergency Mechanism) για την υποστήριξη Κρατών Μελών σε περιπτώσεις κυβερνοαπειλών και επιθέσεων, μέσω της παροχής βοήθειας για ανταπόκριση και άμεση ανάκαμψη από σοβαρές και μεγάλης κλίμακας κυβερνοεπιθέσεις, καθώς και για υλοποίηση δράσεων ετοιμότητας, συμπεριλαμβανομένων ελέγχων σε οντότητες οι οποίες βρίσκονται σε εξαιρετικά κρίσιμους τομείς, για εντοπισμό πιθανών αδυναμιών με βάση κοινά σενάρια κινδύνου,
  • Δημιουργία ενός Ευρωπαϊκού Μηχανισμού Επισκόπησης Συμβάντων Κυβερνοασφάλειας (European Cybersecurity Incident Review Mechanism) για την εξέταση και αξιολόγηση συγκεκριμένων σημαντικών ή μεγάλης κλίμακας συμβάντων που έλαβαν χώρα με σκοπό την αναβάθμιση, όπου κρίνεται αναγκαία, της στάσης της Ευρωπαϊκής Ένωσης και των Κρατών Μελών σε παρόμοια συμβάντα.

Όπως χαρακτηριστικά τόνισε ο Επίτροπος, Thierry Breton, υπεύθυνος για την Εσωτερική Αγορά «Σήμερα σηματοδοτείται η πρόταση για ενσωμάτωση μιας Ευρωπαϊκής ασπίδας στον κυβερνοχώρο. Για να μπορούμε να εντοπίζουμε, να ανταποκρινόμαστε και να ανακάμπτουμε αποτελεσματικά από μεγάλης κλίμακας κυβερνοαπειλές, είναι ζωτικής σημασίας να επενδύσουμε ουσιαστικά και άμεσα στις ικανότητες κυβερνοασφάλειας. Ο Ευρωπαϊκός Νόμος Αλληλεγγύης στον Κυβερνοχώρο (EU Cyber Solidarity Act) είναι ένα κρίσιμο ορόσημο στο ταξίδι μας για την επίτευξη αυτού του στόχου.»

Σημειώνεται ότι, οι πρόνοιες του προτεινόμενου Κανονισμού συνάδουν απόλυτα και υποστηρίζουν τους υφιστάμενους στόχους του ρυθμιστικού πλαισίου που ισχύσει σε Ενωσιακό επίπεδο, ιδίως βάσει της Οδηγίας (ΕΕ) 2022/2555 («NIS2 Directive»). Ουσιαστικά, ο εν λόγω Κανονισμός θα υποστηρίζει και θα κτίζει πάνω στο υφιστάμενο πλαίσιο επιχειρησιακής συνεργασίας και διαχείρισης κρίσεων στον τομέα της κυβερνοασφάλειας, όπως το Δίκτυο Οργανισμού Διασύνδεσης Κρίσεων στον Κυβερνοχώρο (EU-CyCLONE) και το Δίκτυο Ομάδων Απόκρισης Συμβάντων Ασφάλειας Υπολογιστών (CSIRTs).

Η σημαντικότητα του προτεινόμενου Κανονισμού στην Κύπρο και η ανάγκη ετοιμότητας

Τα πρόσφατα συμβάντα κατά της κυβερνοασφάλειας που έλαβαν χώρα εντός της Κυπριακής Δημοκρατίας, αποτελούν παράδειγμα της ανάγκης για πρόληψη, ετοιμότητα απόκρισης και ανάκαμψης από κυβερνοαπειλές και επιθέσεις.

Εάν ο προτεινόμενος Κανονισμός τεθεί σε ισχύ, θα είναι άμεσα δεσμευτικός εντός της Κυπριακής Δημοκρατίας δημιουργώντας μια βοηθητική υποδομή σε ότι αφορά τα θέματα κυβερνοασφάλειας. Παρ’ όλα αυτά, πέραν της πιθανής ένταξης του εν λόγω Κανονισμού στο Ευρωπαϊκό νομοθετικό πλαίσιο, η λήψη μέτρων από δημόσιους και ιδιωτικούς οργανισμούς για την ετοιμότητα και απόκριση σε συμβάντα κατά της κυβερνοασφάλειας είναι αναγκαία.

Στην προσπάθεια αυτή, θα πρέπει να λαμβάνεται σοβαρά υπόψιν ότι η κυβερνοασφάλεια δεν αφορά μόνο την εφαρμογή λογισμικών προστασίας από ιούς, αλλά περιλαμβάνει μια ολιστική στρατηγική η οποία καλύπτει όλες τις πτυχές της τεχνολογικής υποδομής ενός οργανισμού, της νομικής υπόστασής του καθώς και της ετοιμότητας και ενημέρωσης του ανθρώπινου δυναμικού του. Η ετοιμότητα αυτή έγκειται τόσο στην πρόληψη, δηλαδή στη δημιουργία μια σταθερής και ακατάβλη της τεχνολογικής και εσωτερικής υποδομής, όσο και στην εγρήγορση ανταπόκρισης και ανάκαμψης ακολούθως μιας κυβερνοεπίθεσης, περιλαμβανομένης της δυνατότητας άμεσης ανταπόκρισης στις νομικές υποχρεώσεις που απορρέουν ακολούθως μιας πιθανής επίθεσης η οποία στόχο έχει τα δεδομένα ενός οργανισμού.

Νομική υποστήριξη σε θέματα κυβερνοασφάλειας

Η τεχνολογία και το δίκαιο είναι δύο κλάδοι που στο παρελθόν απείχαν πολύ ο ένας από τον άλλο με ελάχιστη αλληλεπίδραση. Παρ’ όλα αυτά, η ταχεία ανάπτυξη της τεχνολογίας και η αδήριτη ανάγκη για κυβερνοασφάλεια έχει φέρει νέες νομικές προκλήσεις, υποχρεώσεις και ευθύνες για τους οργανισμούς. Ως εκ τούτου, η αναζήτηση και η λήψη συμβουλών από έμπειρους νομικούς και επαγγελματίες τεχνολογίας, με εξειδίκευση στην κυβερνοασφάλεια, από δημόσιους ή ιδιωτικούς οργανισμούς οι οποίοι επιθυμούν να προστατεύσουν τα δεδομένα τους αλλά και να είναι προετοιμασμένοι για πιθανή ανάγκη ανταπόκρισης στις νομικές τους υποχρεώσεις σε περιπτώσεις επιθέσεων, καθίσταται αναγκαία.

Αντωνία Μονογυιού

Οι κυβερνοεπιθέσεις, κατά βάση, στόχο έχουν την υποκλοπή δεδομένων, περιλαμβανομένων, ως επί το πλείστον, δεδομένων προσωπικού χαρακτήρα, με αποτέλεσμα να πλήττουν την εμπιστευτικότητα, ακεραιότητα και σε αρκετές περίπτωσης τη διαθεσιμότητα των δεδομένων ενός οργανισμού.

Το αποτέλεσμα μιας κυβερνοεπίθεσης, αναντίλεκτα, δημιουργεί μια σειρά υποχρεώσεων προς τον οργανισμό και εντείνει την ευθύνη του οργανισμού να λάβει νομικά διαβήματα. Εντός των υποχρεώσεων του οργανισμού, μεταξύ άλλων, εμπίπτει, σύμφωνα με το Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ), η υποχρέωση άμεσης γνωστοποίησης της παραβίασης των προσωπικών δεδομένων προς την αρμόδια αρχή, ήτοι την Επίτροπο Προστασίας Δεδομένων Προσωπικού

Χαρακτήρα, καθώς και προς τα υποκείμενα των δεδομένων των οποίων τα προσωπικά δεδομένα παραβιάστηκαν. Η γνωστοποίηση προς την αρμόδια αρχή, σύμφωνα με το άρθρο 33(1) του ΓΚΠΔ, πρέπει να πραγματοποιείται χωρίς αδικαιολόγητη καθυστέρηση και σίγουρα πριν την παρέλευση 72 ωρών από τη στιγμή που η παραβίαση έρχεται στην προσοχή του υπεύθυνου επεξεργασίας, ήτοι του οργανισμού. Εντός του εν λόγω χρονικού περιθωρίου, ο υπεύθυνος επεξεργασίας, ήτοι ο οργανισμός ο οποίος βρίσκεται στο επίκεντρο της κυβερνοεπίθεσης, οφείλει να πραγματοποιήσει

Αξιολόγηση Επιπτώσεων Παραβίασης Δεδομένων με σκοπό την εκτίμηση της σοβαρότητας του κινδύνου που προκαλείται στα δικαιώματα και τις ελευθερίες των ατόμων των οποίων τα δεδομένα παραβιάστηκαν, ούτως ώστε να εξεταστεί η ανάγκη για γνωστοποίηση της παραβίασης αλλά και για να εντοπιστούν τα κατάλληλα οργανωτικά και τεχνικά μέτρα τα οποία θα πρέπει άμεσα να ληφθούν.

Επιπρόσθετα, μια τέτοια κατάσταση δυνατόν να φέρει τον οργανισμό αντιμέτωπο με σειρά παραπόνων παραβίασης προσωπικών δεδομένων από τα άτομα των οποίων τα προσωπικά δεδομένα υποκλάπηκαν, δημιουργώντας έτσι την υποχρέωση στον οργανισμού να ανταποκριθεί σύμφωνα με τις πρόνοιες που θέτει ο ΓΚΠΔ.

Ως εκ των ανωτέρω, για να μπορεί ο οργανισμός να είναι σε θέση άμεσης και ταχείας ανταπόκρισης σε όλες τις νομικές του υποχρεώσεις, οφείλει να λάβει προληπτικά μέτρα προετοιμασίας όλων των εσωτερικών του πολιτικών, ως προνοείται, μεταξύ άλλων, από τον ΓΚΠΔ, οι οποίες θα δημιουργούν και θα εδραιώνουν μια καθαρή εικόνα ανταπόκρισης και θα δίνουν κατευθυντήρες γραμμές ούτως ώστε ο οργανισμός να γνωρίζει εκ των προτέρων ποια διαβήματα πρέπει να ληφθούν και ακολούθως, με τη βοήθεια των νομικών του συμβούλων, να λάβει όλα τα απαραίτητα διαβήματα προς αποφύγει περαιτέρω επιπτώσεων.

Ακόμη, ο οργανισμός ο οποίος βρέθηκε στο επίκεντρο κυβερνοεπίθεσης μπορεί να λάβει πιθανά διαβήματα προς εξασφάλιση των νομικών του δικαιωμάτων, ανάλογα με τα επιμέρους χαρακτηριστικά της υπόθεσής του.

Αντωνία Μονογυιού,

Δικηγόρος, Δικαστηριακό Τμήμα ΗΛΙΑΣ ΝΕΟΚΛΕΟΥΣ & ΣΙΑ ΔΕΠΕ

www.neo.law

Για περισσότερες πληροφορίες επικοινωνήστε με την Ηλίας Νεοκλέους & Σία ΔΕΠΕ στο [email protected]

τηλέφωνο: +357 25110110