Τετάρτη 22 Ιανουαρίου 2020

Η κυβερνοασφάλεια, νέα υποχρέωση για ΟΑΣΑ, ΟΑΣΘ, ΚΤΕΛ, ΤΡΑΙΝΟΣΕ, αεροπορικές εταιρείες κ.α.

Μετά την

  • υποβολή οικονομικών στοιχείων στην Τράπεζα της Ελλάδας
  • την υποβολή του Μητρώου Πραγματικών Δικαιούχων, 
  • την υποβολή του Μητρώου υποκείμενων σε Δηλώσεις Περιουσιακής κατάστασης ("Πόθεν έσχες"), 
  • την εναρμόνιση των καταστατικών Α.Ε.

μια νέα υποχρέωση, για την οποία δεν είναι επαρκώς ενημερωμένα τα στελέχη συγκοινωνιακών οργανισμών, προστέθηκε με....
την Ενσωμάτωση της Οδηγίας 2016/1148/ΕΕ σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών - γνωστή ως Οδηγία NIS.

Η οδηγία ενσωματώθηκε στο ελληνικό δίκαιο, με το Ν.4577/2018 και εξειδικεύθηκε με την έκδοση Υπουργικής Απόφασης της 8/10/2019 (ΦΕΚ Β' 3739)

Σκοπός της υπουργικής απόφασης είναι η έκδοση των βασικών απαιτήσεων ασφαλείας συστημάτων δικτύου και πληροφοριών, της διαδικασίας παροχής πληροφοριών και κοινοποίησης συμβάντων ασφάλειας στις αρμόδιες Αρχές, η μεθοδολογία προσδιορισμού των Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών (Φ.Ε.Β.Υ.) καθώς και η μεθοδολογία αξιολόγησης και ελέγχου, σύμφωνα με τις προβλέψεις της Οδηγίας 2016/1148/ΕΕ, του Εκτελεστικού Κανονισμού (ΕΕ) 2018/151 και του ν. 4577/2018, ο οποίος κατ’ εφαρμογή της ως άνω Οδηγίας θεσπίζει μέτρα για την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων αυτών.
Σύμφωνα με την απόφαση, στον κατάλογο βασικών υπηρεσιών εντάσσονται οι τομείς της ενέργειας (Ηλεκτρική, Πετρέλαιο, Αέριο), των μεταφορών (αεροπορικών, πλωτών, οδικών και σιδηροδρομικών), των τραπεζών, των χρηματοπιστωτικών αγορών, της υγείας, του νερού και των ψηφιακών υποδομών.

Σε ό,τι αφορά τις Μεταφορές

Το κρίσιμο ζήτημα για να διαπιστώσει κάποιος συγκοινωνιακός φορέας, αν υπόκειται στις διατάξεις του Κανονισμού, είναι εαν θεωρείται ΦΕΒΥ (Φορέας
Εκμετάλλευσης Βασικών Υπηρεσιών).

Στο Άρθρο 16 της Υ.Α. καθορίζεται η Μεθοδολογία Προσδιορισμού Φορέων Εκμετάλλευσης Βασικών Υπηρεσιών

Σύμφωνα με την Υ.Α.
"Ένας φορέας για να πληροί τις προϋποθέσεις και να χαρακτηριστεί ως ΦΕΒΥ, πρέπει να ανήκει σε τομέα ή  υποτομέα του ν. 4577/2018 (Α ́ 199), να προσφέρει βασική υπηρεσία με βάση το παράρτημα 1 της παρούσης, η παροχή υπηρεσίας του να βασίζεται σε ψηφιακά συστήματα και να καλύπτει τουλάχιστον ένα από τα παρακάτω κριτήρια του παρόντος άρθρου, ανά τομέα. 

Σύμφωνα με το παράρτημα, υπόχρεοι σε μέτρα κυβερνοασφάλειας, είναι όσοι δραστηριοποιούνται στους εξής τομείς μεταφορών :

Αυτό σημαίνει ότι υπάγονται στις διατάξεις του Κανονισμού όσοι εκτελούν αερομεταφορές, διαχειρίζονται την υποδομή σιδηροδρόμων (Ο.Σ.Ε.), εκτελούν σιδηροδρομική μεταφορά επιβατών (ΤΡΑΙΝΟΣΕ), πλωτή μεταφορά επιβατών, αλλά και όσοι έχουν τον έλεγχο και τη διαχείριση κυκλοφορίας στις οδικές μεταφορές καθώς και όσοι μεταφορείς λειτουργούν συστήματα ευφυών μεταφορών.

Τι είναι τα Συστήματα Ευφυών Μεταφορών (Intelligent Transport Systems-ITS)

Είναι ένας συνδυασμός τεχνολογιών πληροφόρησης και επικοινωνιών εφαρμοσμένων στον τομέα των μεταφορών (ITS handbook, 2002) με στόχο την αποδοτικότερη ασφαλέστερη και οικονομικότερη, κυκλοφορία των ατόμων ή των εμπορευμάτων κάνοντας χρήση νέων τεχνολογιών.

Συνδυασμός της Τηλεματικής, Πληροφορικής και Τηλεπικοινωνιών, που επιτρέπει την παροχή πληροφοριών σε απευθείας σύνδεση και σε πραγματικό χρόνο σε όλους τους εμπλεκόμενους στη μεταφορική διαδικασία.
Η χρήση ADAS (Προχωρημένα Συστήματα Υποστήριξης Οδηγού) και IVIS (Συστήματα Πληροφόρησης Εντός Οχήματος) σε όλα τα είδη οχημάτων, που επιτρέπει την υποστήριξη του οδηγού σε πραγματικό χρόνο για μεγαλύτερη ασφάλεια.
Τα ITS εφαρμόζονται στα οδικά, σιδηροδρομικά, θαλάσσια και εναέρια συστήματα μεταφορών για να βελτιώσουν την ασφάλεια και την ποιότητα του περιβάλλοντος μέσω της παροχής πληροφοριών στους διαχειριστές των συστημάτων και τους χρήστες τους. Η χρήση των ITS για παροχή σε πραγματικό χρόνο πληροφοριών στους χρήστες των μεταφορικών συστημάτων για την καλύτερη εκτέλεση της μετακίνησης του. Η χρήση ηλεκτρονικού εισιτηρίου (μέσω μιας Ευφυούς κάρτας για παράδειγμα) επιτρέπει το γρηγορότερο και ευκολότερο ταξίδι στις δημόσιες συγκοινωνίες. Ενθάρρυνση της χρήσης όλων των μεταφορικών μέσων και του συνδυασμού τους (Multimodal Transport).

Εφ΄ όσον λοιπόν, κάποια επιχείρηση / οργανισμός, στον τομέα των Μεταφορών, χρησιμοποιεί, είτε:
-συστήματα ελέγχου και διαχείρισης κυκλοφορίας
-συστήματα ευφυών μεταφορών
θεωρείται ΦΕΒΥ,
με τον περιορισμό του μεγέθους του, που περιγράφεται στην παράγραφο 4 του άρθρου 16 της Υπουργικής Απόφασης, δηλαδή:
4. Για τον υποτομέα των οδικών μεταφορών, το κατώτατο όριο είναι:
α) Για τη βασική υπηρεσία ελέγχου διαχείρισης κυκλοφορίας, το κατώτατο όριο είναι ο φορέας (οδική αρχή) να είναι υπεύθυνος για τον έλεγχο διαχείρισης της κυκλοφορίας αυτοκινητοδρόμων με επιβατική κίνηση οχημάτων κατ’ ελάχιστον 10 εκατομμυρίων οχηματοχιλιόμέτρων κατ’ έτος ή τουλάχιστον 10.000 μέση ημερήσια κυκλοφορία οχημάτων κατ’ έτος ή 50 χιλιόμετρα συνολικό μήκος
εθνικού αυτοκινητοδρόμου.
β) Για τη βασική υπηρεσία των συστημάτων ευφυών μεταφορών (ITS), το κατώτατο όριο είναι ο φορέας να είναι υπεύθυνος για την διαχείριση συστημάτων ευφυών μεταφορών (ITS) οχημάτων με επιβατική κίνηση τουλάχιστον 10 εκατομμυρίων οχηματοχιλιόμετρων κατ’ έτος ή τουλάχιστον 10.000 μέση ημερήσια κυκλοφορία οχημάτων κατ’ έτος ή 50 χιλιόμετρων συνολικού μήκος εθνικού αυτοκινητοδρόμου.

Όσοι συγκοινωνιακοί φορείς λοιπόν, εκτελούν πάνω από 10 εκ. χιλιόμετρα κατ' έτος και χρησιμοποιούν ITS (τηλεματική κ.λ.π.), θεωρούνται ΦΕΒΥ κι έχουν τις υποχρεώσεις της Υ.Α.

Μεταξύ αυτών των υποχρεώσεων περιλαμβάνεται η Ενιαία Πολιτική Ασφάλειας, αντίγραφα ασφαλείας, ενημέρωση του κοινού, υποβολή εκθέσεων στην αρχή κυβερνοασφάλειας και ορισμός "Υπεύθυνου Ασφαλείας και Δικτύων", διαδικασίες που επιβαρύνουν εξαιρετικά τις επιχειρήσεις, που υπάγονται.

Τι είναι ο Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων

Κάθε Οργανισμός οφείλει να ορίσει συγκεκριμένο εργαζόμενο του ως Υπεύθυνο Ασφάλειας Πληροφοριών και Δικτύων του. 

Ο Υπεύθυνος Ασφάλειας Πληροφοριών και Δικτύων:Αποτελεί το σημείο επαφής με την Εθνική Αρχή Κυβερνοασφάλειας και το αρμόδιο CSIRT.

Συνεργάζεται με την Εθνική Αρχή Κυβερνοασφάλειας και με το αρμόδιο CSIRT.

Συντονίζει και επιβλέπει τον Οργανισμό ως προς τις υποχρεώσεις που απορρέουν από τον ν. 4577/2018 (Α΄ 199), από την παρούσα υπουργική απόφαση και από άλλες διατάξεις της Ευρωπαϊκής Ένωσης ή της Εθνικής Αρχής Κυβερνοασφάλειας σχετικά με την Ασφάλεια Συστημάτων Δικτύων και Πληροφοριών. Εποπτεύει την υλοποίηση της Ενιαίας Πολιτικής Ασφάλειας και την ικανοποίηση των βασικών απαιτήσεων ασφάλειας, την εκπαίδευση και ευαισθητοποίηση των υπαλλήλων του Οργανισμού σε θέματα ασφάλειας πληροφοριών και δικτύων καθώς, και τη σύνταξη της αναφοράς αυτοαξιολόγησης του Οργανισμού που αποστέλλεται στην Εθνική Αρχή Κυβερνοσφάλειας.

Παρίσταται στους ελέγχους που πραγματοποιεί η Ομάδα Επιθεώρησης Ελέγχου, όπως αυτή ορίζεται από την Εθνική Αρχή Κυβερνοσφάλειας, και της παρέχει όλα τα κατάλληλα μέσα για να διευκολύνει το έργο της.

Ο ρόλος του στην οργανωτική δομή του Οργανισμού προτείνεται να είναι ανεξάρτητος και να μην έγκειται σε σύγκρουση συμφερόντων με άλλους εργασιακούς ρόλους που τυχόν κατέχει.

Κάθε Οργανισμός οφείλει αμελλητί να κοινοποιεί στην Εθνική Αρχή Κυβερνοασφάλειας τα στοιχεία επικοινωνίας του εκάστοτε Υπευθύνου που έχει οριστεί και το αργότερο εντός 2 μηνών από την έκδοση της παρούσας υπουργικής απόφασης.

  • Δείτε την Υπουργική Απόφαση εδώ
  • Δείτε μια σχετική παρουσίαση της ΑΑΔΕ εδώ
  • Δείτε την αξιολόγηση της Ε.Ε. για την Ελλάδα, σχετικά με την Κυβερνοασφάλεια εδώ
  • Δείτε πρότυπο ορισμού Υπευθύνου Ασφαλείας Πληροφοριών και Δικτύων εδώ


Σάκης Γεωργιάδης, 22/1/2020

sakisgeorgiadis