Η κυβερνοασφάλεια αποτελεί πλέον μία από τις σημαντικότερες προκλήσεις για τους φορείς του Δημοσίου, καθώς η αυξανόμενη ψηφιοποίηση υπηρεσιών, η διαχείριση ευαίσθητων δεδομένων και η εξάρτηση από πληροφοριακά συστήματα καθιστούν αναγκαία την εφαρμογή ουσιαστικών μέτρων προστασίας. Στο πλαίσιο αυτό, η Εθνική Αρχή Κυβερνοασφάλειας, με το υπ’ αριθ. 20718/08.06.2026 έγγραφό της με θέμα «Υλοποίηση μέτρων κυβερνοασφάλειας από τις υπηρεσίες του Δημοσίου Τομέα που εμπίπτουν στο πεδίο εφαρμογής του Ν. 5160/2024», θέτει συγκεκριμένες ενέργειες και προθεσμίες συμμόρφωσης για τους δημόσιους φορείς που έχουν χαρακτηριστεί ως Βασικές Οντότητες.

Το έγγραφο δεν εισάγει νέες νομοθετικές απαιτήσεις, αλλά καθορίζει συγκεκριμένες ενέργειες και αυστηρά χρονοδιαγράμματα για την άμεση εφαρμογή κρίσιμων μέτρων κυβερνοασφάλειας, δίνοντας ιδιαίτερη έμφαση στην ευθύνη των διοικήσεων των οργανισμών.

Σύμφωνα με το άρθρο 14 του Ν. 5160/2024, η συμμόρφωση βαρύνει τα ανώτατα διοικητικά όργανα των φορέων. Η ευθύνη αυτή είναι ουσιαστική, καθώς τα μέλη της διοίκησης καλούνται να διασφαλίζουν ότι ο οργανισμός διαθέτει τις κατάλληλες πολιτικές, διαδικασίες, μηχανισμούς ελέγχου και πόρους για την προστασία των πληροφοριακών του υποδομών. Η μη συμμόρφωση με τις υποχρεώσεις του νόμου μπορεί να οδηγήσει ακόμη και στην επιβολή σημαντικών διοικητικών προστίμων.

Πρώτη προτεραιότητα αποτελεί η εγγραφή όλων των φορέων στην ηλεκτρονική πλατφόρμα του Μητρώου Βασικών και Σημαντικών Οντοτήτων, εφόσον αυτή δεν έχει ήδη ολοκληρωθεί. Επιπλέον, τα στοιχεία που καταχωρίζονται στο Μητρώο πρέπει να επικαιροποιούνται τουλάχιστον μία φορά τον χρόνο, αλλά και σε κάθε περίπτωση μεταβολής κρίσιμων πληροφοριών.

Ιδιαίτερη βαρύτητα δίνεται επίσης στην υποχρεωτική εφαρμογή αυθεντικοποίησης πολλαπλών παραγόντων, γνωστής ως Multi-Factor Authentication ή MFA. Η απαίτηση αυτή αφορά όλους τους διαχειριστικούς λογαριασμούς, τους λογαριασμούς προμηθευτών και εξωτερικών συνεργατών που αποκτούν πρόσβαση στις υποδομές του οργανισμού, αλλά και τους λογαριασμούς χρηστών που είναι προσβάσιμοι μέσω διαδικτύου (π.χ. VPN, Remote Desktop Protocol). Η ΕΑΚ θεωρεί την εφαρμογή του MFA ως το σημαντικότερο μέτρο άμεσης προστασίας απέναντι στις σύγχρονες επιθέσεις κλοπής διαπιστευτηρίων.

Παράλληλα, η ΕΑΚ επισημαίνει τη σημασία της μετάπτωσης των πληροφοριακών συστημάτων ηλεκτρονικού ταχυδρομείου σε υπηρεσίες υπολογιστικού νέφους (cloud). Η σύσταση αυτή αφορά κυρίως φορείς που δεν διαθέτουν επαρκείς ανθρώπινους ή τεχνικούς πόρους για την ασφαλή διαχείρισή τους. Για τον λόγο αυτό προτείνεται η αξιοποίηση των κεντρικών συμβάσεων του Ελληνικού Δημοσίου με μεγάλους παρόχους υπηρεσιών cloud, ώστε να μειωθεί τόσο ο χρόνος όσο και το κόστος υλοποίησης. Για τους φορείς που δεν μπορούν να ολοκληρώσουν άμεσα τη μετάπτωση στο cloud, προβλέπεται η λήψη προσωρινών αλλά ουσιαστικών μέτρων τεχνικής θωράκισης.

Οι προθεσμίες που τίθενται είναι συγκεκριμένες και απαιτούν άμεση κινητοποίηση. Η εγγραφή στο Μητρώο Βασικών και Σημαντικών Οντοτήτων πρέπει να ολοκληρωθεί εντός 30 ημερών, ενώ η εφαρμογή MFA για διαχειριστικούς λογαριασμούς και λογαριασμούς προμηθευτών, καθώς και η υποβολή σχεδίου μετάπτωσης ηλεκτρονικού ταχυδρομείου ή τεχνικής θωράκισης, πρέπει να πραγματοποιηθούν εντός 90 ημερών. Η εφαρμογή MFA στους υπόλοιπους λογαριασμούς χρηστών προβλέπεται εντός 180 ημερών, ενώ η ολοκλήρωση της μετάπτωσης του ηλεκτρονικού ταχυδρομείου στο cloud ή η τεκμηρίωση ισοδύναμων μέτρων προστασίας ορίζεται εντός δέκα μηνών.

Ωστόσο, τα συγκεκριμένα μέτρα δεν συνιστούν πλήρη συμμόρφωση με τον Ν. 5160/2024 και τις σχετικές κανονιστικές απαιτήσεις. Αποτελούν τις ελάχιστες ενέργειες προτεραιότητας που οφείλουν να υλοποιήσουν άμεσα οι φορείς του Δημοσίου, ενώ η συνολική συμμόρφωση απαιτεί ευρύτερη αξιολόγηση των κινδύνων, ανάπτυξη πολιτικών και διαδικασιών και συνεχή παρακολούθηση της αποτελεσματικότητας των μέτρων ασφαλείας.

Η νέα αυτή εξέλιξη επιβεβαιώνει ότι η κυβερνοασφάλεια δεν αποτελεί πλέον μία μελλοντική ανάγκη, αλλά άμεση επιχειρησιακή και διοικητική προτεραιότητα. Οι δημόσιοι φορείς καλούνται να αξιολογήσουν το επίπεδο ωριμότητάς τους, να εντοπίσουν τυχόν κενά και να προχωρήσουν έγκαιρα στον σχεδιασμό και την υλοποίηση ενός ολοκληρωμένου πλάνου συμμόρφωσης.

Η TQS GROUP εξειδικεύεται στην παροχή ολοκληρωμένων λύσεων προς οργανισμούς του δημόσιου και ιδιωτικού τομέα, με έμφαση σε σύγχρονες εφαρμογές τεχνολογίας για Δήμους και Περιφέρειες, διαθέτοντας πιστοποίηση σύμφωνα με τα πρότυπα ISO 9001:2015, ISO 14001:2015, ISO 45001:2018, ISO 22301:2019, ISO 37001:2017, ISO 27001:2022, ISO 20000-1:2018 και ISO 27701:2019.

Για την TQS GROUP IKE Consulting Office

+30 21 0300 2877

info@tqsgroup.gr