Η Κυπριακή Δημοκρατία έχει αναγνωρίσει τον ουσιαστικό ρόλο των θεμάτων ασφάλειας στη προώθηση των νέων υπηρεσιών επικοινωνιών, στη χρήση των νέων τεχνολογιών και γενικότερα στην ανάπτυξη της κοινωνίας της πληροφορίας. Προς το σκοπό αυτό έχουν προωθηθεί διαχρονικά, προωθούνται κατά τον παρόντα χρόνο και προγραμματίζονται για το ορατό μέλλον πολλαπλές ενέργειες, δράσεις και πολιτικές σε εθνικό επίπεδο και σε συνεργασία μεταξύ όλων των αρμοδίων αρχών και των εμπλεκομένων μερών στην Κυπριακή Δημοκρατία.  Για σκοπούς πληρότητας και εύκολης αναφοράς, προηγούμενες δράσεις στον τομέα της Ασφάλειας Δικτύων και Πληροφοριών και της Κυβερνοασφάλειας αναφέρονται επίσης.

Σε σχέση με την παρούσα κατάσταση και συγκεκριμένα από τον Απρίλιο του 2018 έχει εισαχθεί στην Κυπριακή Δημοκρατία η νέα νομοθεσία (Νόμος 17(Ι)2018), περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών, με βάση την οποία ιδρύεται η Αρχή Ψηφιακής Ασφάλειας υπό τον Επίτροπο Επικοινωνιών, και η οποία έχει ορισθεί ως η αρμόδια αρχή για την εφαρμογή της Οδηγίας για την Ασφάλεια Δικτύων και Πληροφοριών (NIS Directive) στην Κυπριακή Δημοκρατία και την εφαρμογή της Εθνικής Στρατηγικής για την Κυβερνοασφάλεια, και στην οποία εντάσσεται και η λειτουργία του Εθνικού CSIRT. Η νέα νομοθεσία παρέχει όλες τις εξουσίες στον Επίτροπο και την Αρχή Ψηφιακής Ασφάλειας για την εφαρμογή της οδηγίας NIS, ενώ όλες οι προαναφερόμενες εξουσίες του ΓΕΡΗΕΤ μεταφέρονται στην Αρχή Ψηφιακής Ασφάλειας (ΑΨΑ).

Οι συγκεκριμένες πολιτικές καθορίζονται σε αποφάσεις του Υπουργικού Συμβουλίου:

  • στις 22/10/16 το Υπουργικό Συμβούλιο ενέκρινε τη σύσταση του Εθνικού CSIRT (αρ. απόφασης  81.477) (βλ. άρθρο 9 της Οδηγίας NIS),
  • στις 3/5/2017, το Υπουργικό Συμβούλιο ενέκρινε τον Πίνακα, με τις υποδομές πληροφοριών στην Κυπριακή Δημοκρατία, που έχουν χαρακτηρισθεί ως «κρίσιμες», για σκοπούς κυβερνοασφάλειας (αρ. απόφασης 82.518),
  • στις 20/6/2017 (αρ. απόφασης: 82.816) και 28/6/2017 (αρ. απόφασης 82.898) αποφάσισε:
    • τον ορισμό του Επιτρόπου, ως εθνικής Αρμόδιας Αρχής, βάσει του άρθρου 8 της Οδηγίας NIS, και
    • τη δημιουργία δομής, κάτω από τον Επίτροπο, που θα λειτουργεί ως εθνική Αρμόδια Αρχή.

Το πλήρες πλαίσιο για την Ασφάλεια Δικτύων και Πληροφοριών και την Κυβερνοασφάλεια καθώς και τον καθορισμό των αρμοδιοτήτων και εξουσιών της Αρχής σύμφωνα με την Οδηγία NIS και την Οδηγία για τον Κώδικα Ηλεκτρονικών Επικοινωνιών στα θέματα Ασφάλειας, επιτυγχάνεται με νεότερη ειδική εναρμονιστική νομοθεσία του 2019.

Το νέο νομικό και ρυθμιστικό πλαίσιο Ασφάλειας Δικτύων και Πληροφοριών και Κυβερνοασφάλειας, συμπληρώνεται με την δημοσίευση δευτερογενούς νομοθεσίας από την Αρχή Ψηφιακής Ασφάλειας η οποία εστιάζεται στη καλύτερη εφαρμογή της Νομοθεσίας σε Εθνικό επίπεδο, και των σχετικών Οδηγιών και Κανονισμών της Ευρωπαϊκής Ένωσης σε Εθνικό και Ευρωπαϊκό επίπεδο.  Αναμένεται ότι το ρυθμιστικό πλαίσιο θα προσαρμόζεται δυναμικά, σε συνεργασία και συνεννόηση με τα ενδιαφερόμενα μέρη, προς αντιμετώπιση των μεταβαλλόμενων προκλήσεων στον κυβερνοχώρο.

Η Κυπριακή Δημοκρατία, σε συνεργασία με τους εμπλεκόμενους φορείς, και μέσα από τις εργασίες των Ευρωπαϊκών σωμάτων, προσβλέπει στο να συμβάλλει ενεργά στην προώθηση των στόχων της Ευρωπαϊκής πολιτικής και στην διεθνή συνεργασία για την αντιμετώπιση των κινδύνων και προκλήσεων στο κυβερνοχώρο.

Προηγούμενες δράσεις στον τομέα της Ασφάλειας Δικτύων και Πληροφοριών και της Κυβερνοασφάλειας

Η διαχείριση θεμάτων για την Ασφάλεια Δικτύων και Πληροφοριών και τον συντονισμό για την εφαρμογή της Στρατηγικής Κυβερνοασφάλειας της Κυπριακής Δημοκρατίας γινόταν μέχρι τον Απρίλιο του 2018 από το ΓΕΡΗΕΤ στη βάση του Νόμου 112(Ι)/2004. Οι ενέργειες που προηγήθηκαν της παρούσας κατάστασης και της ανάπτυξής της δεύτερης Στρατηγικής Κυβερνοασφάλειας της Κυπριακής Δημοκρατίας αναφέρονται επιγραμματικά στη συνέχεια:

  • Στη βάση αρμοδιοτήτων που πηγάζουν από το Νόμο 112(Ι)/2004 (άρθρα 2(2)(ζ) και (ι), 2(3), 18(3) (στ), 19(1), 37(5), 39(2)(ιστ), 42(7), 55(2)(β), 80(α), 97, 98) και την αρμοδιότητα του ΓΕΡΗΕΤ να εκπροσωπεί την Κύπρο στο Διοικητικό Συμβούλιο του ENISA και να ενεργεί ως κεντρικός φορέας συντονισμού στην Κύπρο μεταξύ αρμοδίων εθνικών αρχών, το ΓΕΡΗΕΤ είχε αναλάβει μέχρι της παρούσης τον συντονισμό των θεμάτων της ασφάλειας δικτύων ηλεκτρονικών επικοινωνιών και πληροφοριών στην επικράτεια της Κυπριακής Δημοκρατίας και τον συντονισμό της εφαρμογής της Στρατηγικής Κυβερνοασφάλειας.

Εντός του προαναφερόμενου πλαισίου έχουν προωθηθεί διαχρονικά και προωθούνται συγκεκριμένες ενέργειες, δράσεις και πολιτικές σε εθνικό επίπεδο:

  • Το 2006, το Υπουργείο Συγκοινωνιών και Έργων (ΥΣΕ) εγκρίνει έγγραφο πολιτικής[1] με βάση το οποίο προωθούνται, μέσω του ΓΕΡΗΕΤ, συγκεκριμένες δράσεις στον τομέα της ασφάλειας δικτύων και πληροφοριών συμπεριλαμβανομένων: της εγκαθίδρυσης Ομάδων Άμεσης Ανταπόκρισης για Συμβάντα που σχετίζονται με την Ασφάλεια Δικτύων και Πληροφοριών (CERTs/CSIRTs), της δημιουργίας θεσμικού πλαισίου για την ασφάλεια και την ακεραιότητα των υποδομών, αλλά και της ενημέρωσης όλων των επηρεαζόμενων και ευρύτερα της Κυπριακής κοινωνίας για τα θέματα ασφάλειας.
  • Το 2010 το ΥΣΕ , μετά από εισηγήσεις του ΓΕΡΗΕΤ και τις θετικές αξιολόγησης από τον ENISA, εγκρίνει λεπτομερές κείμενο πολιτικής[2] για τη θέση σε λειτουργία ενός Κυβερνητικού και ενός Ακαδημαϊκού CSIRT. Τα Κυπριακά CSIRTs κτίζονται με την προοπτική να καλύψουν και τον επιχειρηματικό τομέα σε δεύτερο στάδιο.  Η ίδρυση των CSIRTs έχει θεσμοθετηθεί με Διάταγμα του ΕΡΗΕΤ ΚΔΠ 358/2010 το οποίο εκδόθηκε τον Αύγουστο του 2010.
  • Εντός του 2012 εισάγονται στο Νόμο περί Ρυθμίσεως Ηλεκτρονικών Επικοινωνιών και Ταχυδρομείων, 112(Ι)2004, νέες πρόνοιες με βάση το νέο πλαίσιο της Ευρωπαϊκής Ένωσης στο τομέα των Ηλεκτρονικών Επικοινωνιών[3], μεταξύ άλλων για τα θέματα ασφάλειας δικτύων και πληροφοριών. Οι νέες πρόνοιες του ευρωπαϊκού πλαισίου έχουν τεθεί σε εφαρμογή, σε Ευρωπαϊκό επίπεδο, από τις 25 Μαΐου 2011.
  • Τις προαναφερθείσες ενέργειες υιοθετεί και συμπληρώνει η πρώτη Στρατηγική Κυβερνοασφάλειας της Κυπριακής Δημοκρατίας που υιοθετήθηκε από το Υπουργικό Συμβούλιο τον Φεβρουάριο και τέθηκε σε εφαρμογή τον Μάρτιο του 2013. Η Στρατηγική αυτή καλύπτει επίσης οριζόντια θέματα και δράσεις στους τομείς του κυβερνοεγκλήματος και της κυβερνοάμυνας.  Περιλαμβάνει 17 δράσεις με τεχνικά, οργανωτικά και νομοθετικά μέτρα, προωθεί τα θέματα ενημέρωσης και κατάρτισης και ενισχύει τη συνεργασία μεταξύ δημόσιου και ιδιωτικού τομέα.  Το παρόν έγγραφο αναθεωρεί και εκσυγχρονίζει την Στρατηγική Κυβερνοασφάλειας της Κυπριακής Δημοκρατίας.

[1] Έγγραφο πολιτικής  για την Ασφάλεια Δικτύων και Πληροφοριών 2006.

[2] Έγγραφο Πολιτικής για τη δημιουργία Φορέων Άμεσης Ανταπόκρισης για Περιστατικά και Συμβάντα που σχετίζονται με την Ασφάλεια Δικτύων και Πληροφορικών (CSIRT/CERT).

[3] Οδηγίες:”Better Regulation” Directive 2009/140/EC, και “Citizens’ Rights” Directive 2009/136/EC.

 

Σχετικά Έγγραφα

pdf icon article Εισηγητικό Έγγραφο Πολιτικής (2006)