του Ανέστη Δημόπουλου, Director, Head of Digital & Risk Advisory Services, Baker Tilly South East Europe
Σε μια εποχή όπου οι κυβερνοαπειλές εξελίσσονται με καταιγιστικούς ρυθμούς, η Ελλάδα εισέρχεται σε μια φάση στρατηγικής ωριμότητας. Η νέα Εθνική Στρατηγική Κυβερνοασφάλειας 2026-2030 που δημοσιεύθηκε τον Δεκέμβριο του 2025, υπό την εποπτεία της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ), δεν αποτελεί απλώς ένα κείμενο προθέσεων, αλλά έναν επιχειρησιακό οδικό χάρτη. Με κύριο γνώμονα την ενσωμάτωση της οδηγίας NIS2 αλλά και άλλων ευρωπαϊκών κανονισμών, η στρατηγική στοχεύει στην προστασία των κρίσιμων υποδομών, της δημόσιας διοίκησης και της ιδιωτικής οικονομίας, προάγοντας ταυτόχρονα την εμπιστοσύνη των πολιτών στις ψηφιακές υπηρεσίες. Σηματοδοτεί τη μετάβαση από επιμέρους παρεμβάσεις συμμόρφωσης σε ένα συνεκτικό, επιχειρησιακά εφαρμόσιμο πλαίσιο, πλήρως ευθυγραμμισμένο με τις ευρωπαϊκές κατευθύνσεις. Η κυβερνοασφάλεια πλέον αναγνωρίζεται ως στρατηγικός παράγοντας εμπιστοσύνης, επιχειρησιακής ανθεκτικότητας και ψηφιακής ανάπτυξης.
Η εθνική στρατηγική ευθυγραμμίζεται με κρίσιμες πολιτικές και κανονιστικά εργαλεία της Ευρωπαϊκής Ένωσης. Αποτελεί τον εθνικό μηχανισμό εφαρμογής της Οδηγίας NIS2, ενισχύοντας μεταξύ άλλων, τη διακυβέρνηση κινδύνων, τη λογοδοσία των διοικήσεων οργανισμών και τη διαχείριση περιστατικών ασφαλείας. Παράλληλα, συνδέεται με την EU Cybersecurity Strategy, τον Cybersecurity Act, το Digital Europe Programme, καθώς και με τον AI Act και τον Cyber Resilience Act.
Το βάρος μετατοπίζεται από την ύπαρξη πολιτικών στην πραγματική επιχειρησιακή ικανότητα πρόληψης, ανίχνευσης, απόκρισης και ανάκαμψης. Ιδιαίτερη έμφαση δίνεται στη συστηματική ανάπτυξη δεξιοτήτων, στην ευαισθητοποίηση και στη δημιουργία εθνικών και διασυνδεδεμένων δομών SOC.
Η στρατηγική δομείται γύρω από πέντε κεντρικούς άξονες που στοχεύουν στην ολιστική αντιμετώπιση του ψηφιακού κινδύνου:
- Ενίσχυση της Κυβερνοανθεκτικότητας: Αναβάθμιση της προστασίας κρίσιμων υποδομών (ενέργεια, υγεία, μεταφορές) και θέσπιση υψηλών προτύπων ασφαλείας και εργαλείων κυβερνο-υγιεινής.
- Ανάπτυξη Δεξιοτήτων: Η στρατηγική θέτει ως προτεραιότητα την εκπαίδευση. Προβλέπεται η γεφύρωση του ελλείματος δεξιοτήτων μέσω εκπαιδευτικών δράσεων, upskilling και reskilling δράσεις, προγράμματα ενημέρωσης για τα ανώτατα και ανώτερα στελέχη διοίκησης, και προγράμματα πιστοποίησης για στελέχη του δημόσιου και ιδιωτικού τομέα.
- Εκσυγχρονισμός της Διακυβέρνησης: Βελτιστοποίηση του ρόλου της ΕΑΚ ως κεντρικού συντονιστή και ενίσχυση της συνεργασίας μεταξύ των Computer Security Incident Response Teams (CSIRTs).
- Προώθηση της Καινοτομίας και Επενδύσεων: Παροχή κινήτρων για έρευνα στην Τεχνητή Νοημοσύνη (AI) και την κυβερνοασφάλεια, καθώς και στήριξη των μικρομεσαίων επιχειρήσεων (ΜμΕ). Προβλέπεται επίσης η δημιουργία Εθνικού Αποθεματικού Κυβερνοασφάλειας με σκοπό τη χρηματοδοτική υποστήριξη έργων και πρωτοβουλιών που ενισχύουν την κυβερνοανθεκτικότητα δημόσιων και ιδιωτικών οντοτήτων.
- Εθνική και Διεθνής Συνεργασία: Ενεργός συμμετοχή στους ευρωπαϊκούς μηχανισμούς διαχείρισης κρίσεων και ενίσχυση της συνεργασίας με τις διωκτικές αρχές για την καταπολέμηση του κυβερνοεγκλήματος.
Η ελληνική στρατηγική ευθυγραμμίζεται με την Ευρωπαϊκή Στρατηγική Κυβερνοασφάλειας για την ψηφιακή δεκαετία, ενώ σε σύγκριση με άλλες ευρωπαϊκές χώρες παρουσιάζει δυνατά σημεία, όπως η ενίσχυση των απαιτήσεων του νόμου 5160/2024 για την εφαρμογή της οδηγίας NIS2 (οδηγία που ακόμη δεν έχει υιοθετηθεί πλήρως με σχετικό εφαρμοστικό νόμο σε 8 από τις 27 χώρες μέλη της Ευρωπαϊκής Ένωσης μέχρι σήμερα), δίνει έμφαση στην έλλειψη δεξιοτήτων και την προώθηση της καινοτομίας και των επενδύσεων, με πρόβλεψη για δημιουργία ειδικού αποθεματικού. Ενώ υφίστανται ήδη κριτικές που αναφέρονται σε μία εσωστρεφή στρατηγική, με μειωμένο διεθνές αποτύπωμα και χωρίς αναφορές σε cyber defense και cyber diplomacy, η στρατηγική περιλαμβάνει συγκεκριμένους στόχους για ενίσχυση της ευρωπαϊκής και διεθνούς συνεργασίας, καθώς και ενίσχυση της ικανότητας κυβερνοαποτροπής στον τομέα της Εθνικής Άμυνας.
Για τη διοίκηση οργανισμών, η κυβερνοασφάλεια παύει να είναι “τεχνικό ζήτημα” και γίνεται ζήτημα εταιρικής διακυβέρνησης. Η οδηγία NIS2 και ο σχετικό νόμος προβλέπει προσωπική ευθύνη των διοικητικών στελεχών για τη μη συμμόρφωση. Η Διοίκηση πρέπει να εγκρίνει στρατηγικές διαχείρισης κινδύνου και να διασφαλίζει τη συνέχεια των εργασιών.
Οι CIOs καλούνται να ενσωματώσουν την ασφάλεια σε κάθε στάδιο του ψηφιακού μετασχηματισμού. Η στρατηγική απαιτεί διαλειτουργικότητα με ασφάλεια, χρήση πιστοποιημένων προϊόντων και μετάβαση σε αρχιτεκτονικές μηδενικής εμπιστοσύνης.
Ο ρόλος των CISOs αναβαθμίζεται σε στρατηγικό εταίρο. Θα πρέπει να διαχειρίζονται το εθνικό πλαίσιο αναφοράς περιστατικών, να συμμετέχουν σε ασκήσεις προσομοίωσης και να επιβλέπουν την εκπαίδευση του προσωπικού. Η έμφαση μετατοπίζεται από την πρόληψη στην ανθεκτικότητα και ταχεία ανάκαμψη.
Οι ελεγκτές αποκτούν ένα πιο αυστηρό και συγκεκριμένο πλαίσιο αναφοράς. Θα πρέπει να πιστοποιούν τη συμμόρφωση όχι μόνο με τεχνικά μέτρα, αλλά και με τις διαδικασίες διακυβέρνησης και διαχείρισης της εφοδιαστικής αλυσίδας. Η εμφάνιση των “Πιστοποιημένων Επιθεωρητών Κυβερνοασφάλειας” θα είναι το νέο ορόσημο στον κλάδο.
Η Εθνική Στρατηγική Κυβερνοασφάλειας 2026–2030 αποτελεί ποιοτική τομή. Μετατρέπει την κυβερνοασφάλεια από υποχρέωση συμμόρφωσης σε θεμέλιο ψηφιακής αξιοπιστίας, ανθεκτικότητας και στρατηγικού πλεονεκτήματος για τη χώρα και τους οργανισμούς της.
