NIS2 vs DORA: τι αλλάζει και γιατί μας αφορά. Από το πρόγραμμα Data Officer

Από παράδοση του προγράμματος Data Officer, που συνδιοργανώνουν το Εργαστήριο ΤΠΕ Ήρων και το Πανεπιστήμιο Αιγαίου.

Σε αυτή την ενότητα κάνουμε μια πρακτική, επαγγελματικά χρήσιμη εισαγωγή στο NIS2 και μια πρώτη γνωριμία με το DORA (Digital Operational Resilience Act). Στόχος είναι να καταλάβουμε όχι μόνο τι απαιτεί η νομοθεσία, αλλά και πώς μεταφράζεται αυτό σε πραγματικές διαδικασίες μέσα σε μια επιχείρηση ή οργανισμό: ρόλοι, ευθύνες, αποδείξεις συμμόρφωσης και διαχείριση περιστατικών.

Τι θα μάθετε στο βίντεο

NIS2 vs DORA: τι αλλάζει και γιατί μας αφορά

Τι σημαίνει ότι το NIS2 είναι Οδηγία, ενώ το DORA είναι νομοθετική πράξη

Γιατί περνάμε από το security των δεδομένων (GDPR) στην ασφάλεια της λειτουργίας: το κρίσιμο ζητούμενο είναι το business continuity

Ποιους “πιάνει” το NIS2

Βασικά κριτήρια εφαρμογής (π.χ. πάνω από 50 άτομα ή τζίρος άνω των 10 εκατ.), με έμφαση στους κρίσιμους κλάδους

Η σημασία της εφοδιαστικής αλυσίδας: προμηθευτές κρίσιμων οντοτήτων μπορεί να εμπίπτουν ανεξαρτήτως μεγέθους

Essential vs Important οντότητες και τι σημαίνει αυτό για κυρώσεις και πρόστιμα

Η μεγάλη τομή: η ευθύνη είναι της Διοίκησης

Το NIS2 δεν είναι project του IT

Η τελική ευθύνη και απόφαση ανήκει στο Διοικητικό Συμβούλιο

“Ό,τι δεν μπορείς να αποδείξεις, θεωρείται ότι δεν υπάρχει”: evidence, καταγεγραμμένες αποφάσεις, επίσημη αλληλογραφία

Τι ζητά ο έλεγχος: αποδεικτικά και ετοιμότητα

Ρόλοι, αρμοδιότητες, reporting lines και ιεραρχία

Καταγραφή κινδύνων και τεκμηρίωση αποφάσεων της διοίκησης

Σχέδια αποκατάστασης, ομάδες, ασκήσεις και γιατί οι δοκιμές πρέπει να γίνονται σε περιβάλλον παραγωγής

Βασικά μέτρα κυβερνοασφάλειας σε “business” γλώσσα

MFA, least privilege, διαχείριση προνομιακών προσβάσεων (έγκριση και καταγραφή συνεδριών)

Κατάργηση παλιών μηχανισμών σύνδεσης, patch και vulnerability management

Κανόνες firewall και περιορισμοί πρόσβασης, secure baselines

Offline backups και αντιμετώπιση ransomware

Κρυπτογράφηση, allowlisting εφαρμογών, περιορισμός επικίνδυνων ενεργειών

Reporting σε περιστατικό: τα ρολόγια που τρέχουν

Ειδοποίηση μέσα σε 24 ώρες

Ενημέρωση ή αρχική εκτίμηση μέσα σε 72 ώρες

Τελική αναφορά μέσα σε 1 μήνα

Τι σημαίνει αυτό στην πράξη: επικοινωνία, νομική διάσταση, ενημέρωση πελατών και συνεργατών

Ο ρόλος του NIS2 Officer

Δεν είναι ο τεχνικός. Είναι ο ρόλος που διασφαλίζει ότι οι έλεγχοι γίνονται συστηματικά, υπάρχουν μετρικές και αποδείξεις, ενημερώνεται η διοίκηση με σαφή εικόνα κινδύνου και συντονίζονται οι αναφορές όταν προκύψει περιστατικό.

Αν θέλετε, γράψτε στα σχόλια:

Σε ποιον κλάδο δραστηριοποιείστε (π.χ. υγεία, ενέργεια, δημόσιο, υποδομές, fintech)

Ποιο είναι το Νο1 σημείο που σας δυσκολεύει περισσότερο: αποδεικτικά στοιχεία, προμηθευτές, incident response ή έλεγχοι;

Ορίστε τα χρονικά σημεία (timestamps) του βίντεο με τις βασικές ενότητες που καλύπτονται:

[00:00] Εισαγωγή: Καλωσόρισμα, NIS2 και DORA.

[00:35] Διαφορά μεταξύ NIS2 (Οδηγία) και DORA (Νομοθετική Πράξη).

[01:05] NIS2: Ποιες υπηρεσίες είναι κρίσιμες για τη λειτουργία (Business Continuity).

[02:27] Ευθύνη Διοικητικού Συμβουλίου: Ποιος παίρνει την τελική απόφαση σε κρίση.

[03:19] Μετατόπιση από το GDPR (Ασφάλεια Δεδομένων) στην Ασφάλεια Λειτουργίας.

[04:04] Κριτήρια Εφαρμογής: Μέγεθος εταιρείας, τζίρος και κρίσιμοι κλάδοι.

[04:36] Η σημασία της εφοδιαστικής αλυσίδας και των προμηθευτών.

[06:13] Κρίσιμες και Σημαντικές Οντότητες (Τομείς που καλύπτονται).

[07:04] Search Engines και Social Media: Η ακεραιότητα της πληροφορίας.

[11:21] Χρηματοοικονομικοί Φορείς: Σχέση NIS2 και DORA (Lex Specialis).

[13:02] Διαδραστική Αυτοαξιολόγηση: Ερωτήσεις για το αν μας αφορά η οδηγία.

[14:24] Διοικητική Ευθύνη και Πρόστιμα.

[15:48] Καταγραφή και Τεκμηρίωση (Evidence): "Ό,τι δεν μπορείς να αποδείξεις, δεν υπάρχει".

[17:07] Τι ζητάει ο Ελεγκτής: Ρόλοι, ρίσκα, διαδικασίες και ασκήσεις.

[19:04] Τεχνικά μέτρα (Cyber Hygiene): MFA, Least Privilege, Logs.

[23:13] Conditional Access και Firewall rules (Geo-blocking).

[25:27] Patch Management και Vulnerability Management.

[27:56] Κρυπτογράφηση (Disk Encryption).

[30:48] Offline Backups και προστασία από Ransomware.

[32:01] Παράδειγμα Ransomware επίθεσης (ΕΑΠ).

[35:39] Χρονοδιάγραμμα Αναφορών (Reporting Timeline): 24h, 72h, 1 μήνας.

[36:41] Σενάριο Κρίσης και Διαχείριση.

[38:24] Ο ρόλος του NIS2 Officer.