Η Κοινή Υπουργική Απόφαση (ΚΥΑ) 1689/2025, που δημοσιεύθηκε στο ΦΕΚ Β’ 2186 στις 6 Μαΐου 2025, καθορίζει το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας για τις «βασικές» και «σημαντικές» οντότητες, όπως ορίζονται στο άρθρο 4 του ν. 5160/2024. Αποτελεί βασικό εργαλείο για την εναρμόνιση της ελληνικής νομοθεσίας με την Οδηγία NIS2 της ΕΕ (Οδηγία 2022/2555), ενισχύοντας την ανθεκτικότητα των κρίσιμων υποδομών απέναντι σε κυβερνοαπειλές
Σκοπός και Πεδίο Εφαρμογής
Η ΚΥΑ θέτει υποχρεωτικά τεχνικά, οργανωτικά και επιχειρησιακά μέτρα για τη διαχείριση κινδύνων κυβερνοασφάλειας. Αυτά εφαρμόζονται σε οντότητες που παρέχουν κρίσιμες υπηρεσίες ή ανήκουν σε βασικούς τομείς, όπως ενέργεια, υγεία, χρηματοπιστωτικές υπηρεσίες, μεταφορές, ύδρευση, ψηφιακές υποδομές και δημόσια διοίκηση. Στόχος είναι η προστασία των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν για τις δραστηριότητές τους ή για την παροχή των υπηρεσιών τους, καθώς και η πρόληψη ή ελαχιστοποίηση των επιπτώσεων συμβάντων ασφάλειας στις ίδιες τις οντότητες, στους αποδέκτες των υπηρεσιών τους, καθώς και σε άλλες υπηρεσίες και οργανισμούς
Κύριες Αρχές και Υποχρεώσεις
1. Ολιστική Προσέγγιση Κινδύνου
Οι απαιτήσεις βασίζονται σε μια ολιστική προσέγγιση κινδύνου (all hazards approach), που αποσκοπεί στην προστασία των συστημάτων δικτύου και πληροφοριών και του φυσικού περιβάλλοντος των εν λόγω συστημάτων από περιστατικά, εξασφαλίζοντας επίπεδο ασφάλειας ανάλογο προς τον εκάστοτε κίνδυνο.
2. Αρχή της Αναλογικότητας
Η εφαρμογή των μέτρων γίνεται με βάση την αρχή της αναλογικότητας, λαμβάνοντας υπόψη παράγοντες όπως το μέγεθος και η πολυπλοκότητα των επιχειρησιακών λειτουργιών της οντότητας, το είδος και η κρισιμότητα των δεδομένων που επεξεργάζεται, ο βαθμός έκθεσης σε κινδύνους, η πιθανότητα εμφάνισης περιστατικών και η σοβαρότητά τους, οι κοινωνικές και οικονομικές επιπτώσεις από την εμφάνιση περιστατικών, και το κόστος υλοποίησης των μέτρων σε σχέση με τα προσδοκώμενα οφέλη.
3. Ευθύνη Ανώτατης Διοίκησης
Η ανώτατη διοίκηση κάθε οντότητας είναι υπεύθυνη για την έγκριση και την εποπτεία του προγράμματος διαχείρισης κινδύνων κυβερνοασφάλειας, διασφαλίζοντας επαρκείς πόρους, ενημέρωση του προσωπικού και λογοδοσία για την εφαρμογή του.
4. Πολιτικές Ασφάλειας
Κάθε οντότητα πρέπει να διαμορφώσει μια γενική πολιτική ασφάλειας πληροφοριών, καθώς και θεματικές πολιτικές που καλύπτουν ειδικές πτυχές κυβερνοασφάλειας, όπως έλεγχος πρόσβασης, διαχείριση αγαθών, κρυπτογράφηση δεδομένων και ασφάλεια της εφοδιαστικής αλυσίδας.
5. Ορισμός Υπεύθυνου Ασφάλειας ΠΣ
Η ΚΥΑ επιβεβαιώνει την υποχρέωση ορισμού Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) σε κάθε οντότητα.
υμπερασματικά
Η ΚΥΑ 1689/2025 σηματοδοτεί μια σημαντική εξέλιξη στην ενίσχυση της κυβερνοασφάλειας στην Ελλάδα, εναρμονίζοντας τη χώρα με τις ευρωπαϊκές απαιτήσεις και ενισχύοντας την ανθεκτικότητα των κρίσιμων υποδομών απέναντι σε κυβερνοαπειλές.
Για περισσότερες πληροφορίες και το πλήρες κείμενο της απόφασης, μπορείτε να επισκεφθείτε τον επίσημο ιστότοπο: Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων – Κοινή Υπουργική Απόφαση 1689/2025
