Η Οδηγία NIS 2 επικαιροποιεί και διευρύνει σημαντικά τις υποχρεώσεις για την ασφάλεια και τη διαχείριση κινδύνων στον κυβερνοχώρο σε ολόκληρη την Ευρωπαϊκή Ένωση.

Η Οδηγία διευρύνει το πεδίο εφαρμογής των φορέων που πρέπει να λάβουν συγκεκριμένα μέτρα για την Κυβερνοασφάλειά τους, με βάση το μέγεθος των φορέων καθώς και με την υπαγωγή νέων τομέων, όπως οι ταχυδρομικές υπηρεσίες, η διαχείριση αποβλήτων, τα τρόφιμα, τα χημικά προϊόντα (παρασκευή, παραγωγή, διανομή), ο κατασκευαστικός τομέας καθώς και η Κεντρική Κυβέρνηση, οι Περιφέρειες και Δήμοι.

Θεσπίζει υποχρέωση αναφοράς σημαντικών περιστατικών, με βάση προσέγγιση πολλαπλών σταδίων. Προβλέπεται, κατ’ αρχάς, η υποχρέωση για έγκαιρη εντός 24 ωρών προειδοποίηση, που ακολουθείται από μια πληρέστερη ενημέρωση για το περιστατικό εντός 72 ωρών από τη γνώση του. Κατόπιν, ακολουθεί μια ενδιάμεση έκθεση για την επικαιροποίηση της αντιμετώπισης και της έκτασης του περιστατικού. Η υποχρέωση αναφοράς καταλήγει στην υποχρεωτική υποβολή τελικής έκθεσης εντός 1 μήνα.

Περαιτέρω, προβλέπει μεταξύ άλλων κυρώσεων, διοικητικά πρόστιμα για την παραβίαση απαιτήσεων σχετικά με τα μέτρα διαχείρισης κινδύνων στον τομέα της Κυβερνοασφάλειας ή τη μη συμμόρφωση με τις υποχρεώσεις αναφοράς περιστατικών, τα οποία φτάνουν έως 10 εκατ. ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης κατά το προηγούμενο οικονομικό έτος, ανάλογα με το ποιο είναι υψηλότερο.

Προβλέπει, τέλος, υποχρεώσεις για τους οργανισμούς του δημόσιου τομέα και τις επιχειρήσεις του ιδιωτικού τομέα. Οφείλουν να λάβουν λεπτομερή μέτρα διαχείρισης κινδύνων για την προστασία των συστημάτων δικτύου και πληροφοριακών συστημάτων καθώς του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά.

Μέτρα που οφείλουν να λάβουν οι φορείς αφορούν σε:

1. Πολιτικές και διαδικασίες για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων

2. Διαχείριση περιστατικών

3. Επιχειρησιακή συνέχεια, όπως διαχείριση αντιγράφων ασφαλείας και αποκατάσταση έπειτα από καταστροφή, καθώς και διαχείριση των περιστατικών στον κυβερνοχώρο

4. Ασφάλεια της αλυσίδας εφοδιασμού, ώστε να διαχειρίζονται ικανοποιητικά τους κινδύνους που απορρέουν από τις σχέσεις μεταξύ κάθε οντότητας και των άμεσων προμηθευτών ή παρόχων υπηρεσιών της

5. Ασφάλεια στην απόκτηση, ανάπτυξη και συντήρηση συστημάτων δικτύου και πληροφοριακών συστημάτων, συμπεριλαμβανομένου του χειρισμού και της γνωστοποίησης ευπαθειών

6. Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας.