NIS2: Πότε Υπάγεται μια Επιχείρηση και τι Ευθύνη Φέρει

Υπαγωγή στη NIS2: κριτήρια, ευθύνη διοίκησης και κυρώσεις μη συμμόρφωσης

Εν συντομία:

• Η υπαγωγή μιας επιχείρησης στη NIS2 κρίνεται σωρευτικά από δύο κριτήρια: δραστηριότητα σε τομέα των Παραρτημάτων Ι ή ΙΙ του Ν. 5160/2024 και μέγεθος τουλάχιστον μεσαίας επιχείρησης. Ορισμένες οντότητες υπάγονται ανεξαρτήτως μεγέθους.
• Οι υπόχρεες επιχειρήσεις διακρίνονται σε βασικές και σημαντικές οντότητες. Η διάκριση καθορίζει την ένταση της εποπτείας και το ανώτατο πρόστιμο: έως 10 εκατ. ευρώ ή 2% του κύκλου εργασιών για τις βασικές, έως 7 εκατ. ευρώ ή 1,4% για τις σημαντικές.
• Οι χρηματοπιστωτικές οντότητες δεν υπάγονται στις υποχρεώσεις της NIS2 αλλά στον Κανονισμό DORA, που λειτουργεί ως ειδικότερο νομικό πλαίσιο.
• Η υπαγωγή ενεργοποιεί μέτρα διαχείρισης κινδύνων, αναφορά περιστατικών σε αυστηρές προθεσμίες, ορισμό Υπεύθυνου Ασφάλειας και εγγραφή στο μητρώο της Εθνικής Αρχής Κυβερνοασφάλειας.
• Η ευθύνη δεν περιορίζεται μόνο στην οντότητα, αλλά και τα μέλη της διοίκησης φέρουν προσωπική ευθύνη για την έγκριση και εποπτεία των μέτρων.

Πότε υπάγεται μια επιχείρηση στη NIS2;

Η υπαγωγή κρίνεται σωρευτικά από δύο κριτήρια. Πρώτον, η επιχείρηση να δραστηριοποιείται σε τομέα των Παραρτημάτων Ι ή ΙΙ του Ν. 5160/2024, με τον οποίο ενσωματώθηκε στο ελληνικό δίκαιο η Οδηγία (ΕΕ) 2022/2555 (NIS2). Δεύτερον, να υπερβαίνει το όριο μεγέθους της μεσαίας επιχείρησης.

Το κριτήριο του τομέα καλύπτει ευρύ φάσμα δραστηριοτήτων (πχ ενέργεια, μεταφορές, υγεία, τραπεζικές υπηρεσίες, ψηφιακές υποδομές και πάροχοι ψηφιακών υπηρεσιών). Τομείς που υπό την προηγούμενη Οδηγία NIS έμεναν εκτός (όπως η παραγωγή και διανομή τροφίμων, η διαχείριση αποβλήτων, η παρασκευή χημικών προϊόντων, ο κατασκευαστικός τομέας και οι ταχυδρομικές υπηρεσίες), τώρα υπάγονται. Πολλές μεσαίες επιχειρήσεις εμπίπτουν πλέον στο πεδίο εφαρμογής, χωρίς να το έχουν αντιληφθεί.

Το κριτήριο του μεγέθους παραπέμπει στον ορισμό της μεσαίας επιχείρησης κατά τη σύσταση 2003/361/ΕΚ (απασχόληση τουλάχιστον 50 ατόμων ή ετήσιος κύκλος εργασιών άνω των 10 εκατ. ευρώ). Ωστόσο, ορισμένες κατηγορίες υπάγονται ανεξαρτήτως μεγέθους, όπως οι πάροχοι υπηρεσιών εμπιστοσύνης, τα μητρώα ονομάτων τομέα ανωτάτου επιπέδου, οι πάροχοι υπηρεσιών DNS και οι πάροχοι δημόσιων δικτύων ηλεκτρονικών επικοινωνιών. Στις περιπτώσεις αυτές, ακόμη και μια πολύ μικρή εταιρεία υπάγεται πλήρως.

Οι χρηματοπιστωτικές οντότητες που καλύπτει ο Κανονισμός DORA (Κανονισμός (ΕΕ) 2022/2554) εξαιρούνται από τις υποχρεώσεις διαχείρισης κινδύνων και αναφοράς της NIS2, καθώς ο DORA λειτουργεί ως ειδικότερο νομικό πλαίσιο και θεσπίζει αυστηρότερες απαιτήσεις για τις χρηματοοικονομικές υπηρεσίες. Μια τράπεζα ή ασφαλιστική επιχείρηση συμμορφώνεται με το πλαίσιο του DORA, όχι με εκείνο της NIS2.

Ζητήματα προκύπτουν σε επιχειρήσεις με μεικτές δραστηριότητες, ομιλικές δομές με θυγατρικές σε διαφορετικούς τομείς ή εταιρείες που παρέχουν υπηρεσίες υποστήριξης σε υπόχρεες οντότητες, οι αποίες χρειάζονται κατά περίπτωση νομική κρίση για να προσδιοριστεί αν και υπό ποια ιδιότητα εμπίπτουν στο πεδίο εφαρμογής.

Βασική ή σημαντική οντότητα: τι αλλάζει στην πράξη;

Η διάκριση μεταξύ βασικής (essential) και σημαντικής (important) οντότητας καθορίζει α) την ένταση της εποπτείας και β) το ύψος των κυρώσεων. Οι βασικές οντότητες υπόκεινται σε προληπτική εποπτεία και υψηλότερα ανώτατα πρόστιμα. Οι σημαντικές οντότητες υπόκεινται σε κατασταλτική εποπτεία και χαμηλότερα ανώτατα όρια. Η ορθή κατάταξη επηρεάζει άμεσα την έκθεση της επιχείρησης σε κίνδυνο.

Στοιχείο	Βασικές οντότητες	Σημαντικές οντότητες
Εποπτεία	Προληπτική και κατασταλτική (ex-ante και ex-post)	Κατασταλτική (ex-post), κατόπιν ενδείξεων παράβασης
Ανώτατο πρόστιμο	Έως 10 εκατ. ευρώ ή 2% του παγκόσμιου κύκλου εργασιών	Έως 7 εκατ. ευρώ ή 1,4% του παγκόσμιου κύκλου εργασιών
Ενδεικτικοί τομείς	Ενέργεια, μεταφορές, τράπεζες, υγεία, πόσιμο νερό, ψηφιακές υποδομές	Ταχυδρομεία, διαχείριση αποβλήτων, τρόφιμα, χημικά, κατασκευές, πάροχοι ψηφιακών υπηρεσιών

Η κατάταξη προκύπτει από τον τομέα δραστηριότητας και το μέγεθος, όπως ορίζονται στα Παραρτήματα του νόμου. Ωστόσο, για επιχειρήσεις που λειτουργούν σε περισσότερους του ενός τομείς, η κατάταξη μπορεί να μεταβάλλεται ανά δραστηριότητα και να καθορίζει διαφορετικό επίπεδο υποχρεώσεων για διαφορετικά τμήματα της ίδιας οντότητας.

Ποιες υποχρεώσεις ενεργοποιεί η υπαγωγή;

Η υπαγωγή ενεργοποιεί τέσσερις δέσμες υποχρεώσεων:

• Πρώτον, τη λήψη τεχνικών, επιχειρησιακών και οργανωτικών μέτρων διαχείρισης κινδύνων κατά το άρθρο 15 του Ν. 5160/2024.
• Δεύτερον, την αναφορά σημαντικών περιστατικών σε αυστηρές προθεσμίες.
• Τρίτον, τον ορισμό Υπεύθυνου Ασφάλειας.
• Τέταρτον, την εγγραφή στο μητρώο της Εθνικής Αρχής Κυβερνοασφάλειας.

Τα μέτρα διαχείρισης κινδύνων εξειδικεύονται από την ΚΥΑ 1689/2025, που θέσπισε το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας. Περιλαμβάνουν, μεταξύ άλλων, πολιτικές ανάλυσης και διαχείρισης κινδύνων, διαχείριση περιστατικών, επιχειρησιακή συνέχεια, ασφάλεια της αλυσίδας εφοδιασμού, κρυπτογράφηση, έλεγχο πρόσβασης και πολυπαραγοντική ταυτοποίηση. Το πλαίσιο απαιτεί τα μέτρα να είναι αναλογικά προς τον βαθμό έκθεσης της οντότητας σε κίνδυνο.

Επίσης, η αναφορά περιστατικών ακολουθεί πολυεπίπεδη προσέγγιση. Η οντότητα οφείλει έγκαιρη προειδοποίηση εντός 24 ωρών από τη στιγμή που αντιλήφθηκε το σημαντικό περιστατικό, πλήρη ενημέρωση εντός 72 ωρών, ενδιάμεση έκθεση κατά την αντιμετώπιση και τελική έκθεση εντός ενός μηνός. Η μη τήρηση των προθεσμιών συνιστά αυτοτελή παράβαση, ανεξάρτητα από την έκβαση του ίδιου του περιστατικού.

Σημειώνεται ότι ο ορισμός Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (ΥΑΣΠΕ) διαφέρει νομικά από τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του GDPR. Ο πρώτος εστιάζει στην ασφάλεια των συστημάτων δικτύου και πληροφοριών, ο δεύτερος στη νομιμότητα της επεξεργασίας προσωπικών δεδομένων.

Σε πολλές επιχειρήσεις οι δύο ρόλοι συνυπάρχουν με διακριτές αρμοδιότητες και η σύγχυσή τους δημιουργεί κενά συμμόρφωσης. Η NIS2 αποτελεί το πλαίσιο ενός ευρύτερου ψηφιακού κανονιστικού πλαισίου, στο οποίο εντάσσονται επίσης ο Κανονισμός για την τεχνητή νοημοσύνη και η νομοθεσία προστασίας δεδομένων.

Τι ευθύνη φέρει προσωπικά η διοίκηση;

Η ευθύνη δεν περιορίζεται στην οντότητα. Τα διοικητικά όργανα εγκρίνουν τα μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας και εποπτεύουν την εφαρμογή τους, κατά το άρθρο 20 της Οδηγίας 2022/2555. Η παράλειψη αυτού του καθήκοντος επισύρει προσωπική ευθύνη των μελών της διοίκησης, πέρα από το διοικητικό πρόστιμο που βαρύνει την ίδια την επιχείρηση.

Πρακτικά, η υποχρέωση σημαίνει ότι η κυβερνοασφάλεια παύει να είναι αποκλειστικά ζήτημα του τμήματος πληροφορικής και ανάγεται σε καθήκον επιμέλειας της διοίκησης. Τα μέλη οφείλουν να παρακολουθούν σχετική κατάρτιση και να είναι σε θέση να αξιολογούν τους κινδύνους και την επάρκεια των μέτρων. Η τυπική ανάθεση σε τρίτο πάροχο δεν απαλλάσσει τη διοίκηση από την ευθύνη εποπτείας.

Η μετάβαση από τη συλλογική ευθύνη της οντότητας στην προσωπική ευθύνη των μελών της διοίκησής της, έχει συγκεκριμένες συνέπειες ως προς την τεκμηρίωση. Η καταγραφή των εγκρίσεων, η σαφής κατανομή αρμοδιοτήτων μεταξύ των μελών και η τεκμηρίωση της παρακολούθησης των μέτρων αποκτούν διαφορετική σημασία σε περίπτωση ελέγχου.

Πώς κατανέμεται συμβατικά ο κίνδυνος της αλυσίδας εφοδιασμού;

Η ασφάλεια της αλυσίδας εφοδιασμού είναι ρητή υποχρέωση της υπόχρεης οντότητας κατά το άρθρο 21 της Οδηγίας 2022/2555. Η επιχείρηση οφείλει να αξιολογεί τους προμηθευτές της από την άποψη της κυβερνοασφάλειας και να κατανέμει τον σχετικό κίνδυνο. Η κατανομή αυτή γίνεται κατά κύριο λόγο συμβατικά, μέσω ρητρών που μετακυλίουν συγκεκριμένες απαιτήσεις στους τρίτους.

Η εμπειρία από υποθέσεις συμβατικής κατανομής κινδύνου με προμηθευτές δείχνει ότι οι τυποποιημένοι όροι σπάνια επαρκούν όταν ο προμηθευτής έχει πρόσβαση σε κρίσιμα συστήματα ή δεδομένα. Οι ουσιαστικές ρήτρες πρέπει να περιλαμβάνουν απαιτήσεις ασφαλείας με συγκεκριμένο περιεχόμενο, δικαίωμα ελέγχου της συμμόρφωσης του προμηθευτή, υποχρέωση άμεσης ενημέρωσης για περιστατικά που τον αφορούν και κατανομή της ευθύνης για ζημία που προέρχεται από αδυναμία στην πλευρά του.

Κάθε μία από τις παραπάνω ρήτρες απαιτεί ad hoc διατύπωση προσαρμοσμένη στη συγκεκριμένη σχέση. Η αόριστη αναφορά σε «συμμόρφωση με την κείμενη νομοθεσία» δεν μεταφέρει ουσιαστικά τον κίνδυνο. Όταν η ίδια η επεξεργασία αφορά προσωπικά δεδομένα, η συμβατική κάλυψη πρέπει να συντονίζεται με τη σύμβαση επεξεργασίας του άρθρου 28 του GDPR, ώστε οι δύο δέσμες υποχρεώσεων να μην αφήνουν κενά.

Τι κίνδυνο επιφέρει η μη συμμόρφωση;

Η μη συμμόρφωση επισύρει κλιμακούμενες κυρώσεις. Πέρα από τα διοικητικά πρόστιμα, η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να εκδώσει εντολές συμμόρφωσης με συγκεκριμένα χρονοδιαγράμματα, να επιβάλει περιορισμούς στη λειτουργία συστημάτων, να διατάξει διακοπή λειτουργίας υποδομής και να δημοσιοποιήσει τις παραβάσεις. Η βαρύτητα της κύρωσης συναρτάται με τη σοβαρότητα και τη διάρκεια της παράβασης.

Το ύψος των προστίμων κλιμακώνεται βάσει της σοβαρότητας της παράβασης, της τυχόν υποτροπής, του βαθμού συνεργασίας με τις αρχές και των μέτρων που λήφθηκαν για την άμεση διόρθωση. Η έγκαιρη και τεκμηριωμένη ανταπόκριση σε ένα περιστατικό μπορεί να λειτουργήσει ελαφρυντικά, ενώ η απόκρυψη ή η καθυστερημένη αναφορά επιβαρύνει τη θέση της οντότητας.

Ιδιαίτερη προσοχή απαιτεί η περίπτωση που το περιστατικό αφορά και προσωπικά δεδομένα. Όταν κυβερνοεπίθεση οδηγεί σε διαρροή δεδομένων ενεργοποιεί σωρευτικά τις υποχρεώσεις της NIS2 και του GDPR, με χωριστές προθεσμίες αναφοράς προς διαφορετικές αρχές και κίνδυνο διπλής κύρωσης. Ο συντονισμός της απόκρισης απαιτεί προηγούμενη συμμόρφωση με τον GDPR, ώστε οι δύο ροές υποχρεώσεων να αντιμετωπίζονται ενιαία και όχι αποσπασματικά.

Συχνές ερωτήσεις

Ποιους αφορά η NIS2;

Η NIS2 αφορά μεσαίες και μεγάλες επιχειρήσεις που δραστηριοποιούνται σε τομείς υψηλής ή σημαντικής κρισιμότητας των Παραρτημάτων Ι και ΙΙ του Ν. 5160/2024, καθώς και ορισμένες κατηγορίες παρόχων που υπάγονται ανεξαρτήτως μεγέθους. Δεν αφορά κατά κανόνα τις μικρές και πολύ μικρές επιχειρήσεις, εκτός αν εμπίπτουν σε κατηγορία που υπάγεται ανεξαρτήτως μεγέθους.

Ποια είναι η προθεσμία συμμόρφωσης και υπάρχει παράταση;

Οι υποχρεώσεις απορρέουν ήδη από τον Ν. 5160/2024 και την ΚΥΑ 1689/2025, με προθεσμίες εγγραφής στο μητρώο της Εθνικής Αρχής Κυβερνοασφάλειας που έχουν ήδη παρέλθει για τις πρώτες κατηγορίες υπόχρεων. Οι κατά καιρούς παρατάσεις αφορούν συγκεκριμένες ομάδες οντοτήτων. Η μη εγγραφή δεν αναστέλλει τις ουσιαστικές υποχρεώσεις διαχείρισης κινδύνων και αναφοράς περιστατικών.

Πώς ελέγχει μια επιχείρηση αν υπάγεται;

Ο έλεγχος υπαγωγής γίνεται σε δύο βήματα: αρχικά εξετάζεται αν η κύρια ή δευτερεύουσα δραστηριότητα εμπίπτει σε τομέα των Παραρτημάτων του νόμου και, στη συνέχεια, αν η επιχείρηση υπερβαίνει το όριο της μεσαίας επιχείρησης ή ανήκει σε κατηγορία που υπάγεται ανεξαρτήτως μεγέθους. Σε σύνθετες περιπτώσεις μεικτών δραστηριοτήτων ή ομιλικών δομών απαιτείται εξατομικευμένη νομική αξιολόγηση.

Τι ισχύει για τις μικρές και πολύ μικρές επιχειρήσεις;

Κατά κανόνα οι μικρές και πολύ μικρές επιχειρήσεις δεν υπάγονται στις υποχρεώσεις της NIS2. Ωστόσο υπάρχουν επιχειρήσεις οι οποίες υπάγονται ανεξαρτήτως μεγέθους, όπως οι πάροχοι υπηρεσιών εμπιστοσύνης ή DNS. Επιπλέον, μικρή επιχείρηση που είναι προμηθευτής υπόχρεης οντότητας ενδέχεται να δεσμεύεται έμμεσα μέσω συμβατικών απαιτήσεων.

Πρακτικές επισημάνσεις

Έλεγχος υπαγωγής: Το πρώτο βήμα είναι ο προσδιορισμός αν και υπό ποια ιδιότητα υπάγεται η επιχείρηση. Λανθασμένη παραδοχή υπαγωγής οδηγεί είτε σε περιττό κόστος συμμόρφωσης είτε, χειρότερα, σε έκθεση σε κυρώσεις.

Διάκριση NIS2 και DORA από την αρχή: Οι χρηματοπιστωτικές οντότητες δεν εφαρμόζουν τη NIS2 αλλά τον DORA. Η εσφαλμένη ταξινόμηση οδηγεί σε εφαρμογή λάθος πλαισίου και σε κενά συμμόρφωσης.

Η ευθύνη της διοίκησης τεκμηριώνεται: Η έγκριση και εποπτεία των μέτρων από τα διοικητικά όργανα πρέπει να αποτυπώνεται εγγράφως. Η τεκμηρίωση αυτή έχει ιδιαίτερη αξία σε περίπτωση ελέγχου ή περιστατικού.

Συμβατική θωράκιση της αλυσίδας εφοδιασμού: Οι σχέσεις με προμηθευτές που έχουν πρόσβαση σε κρίσιμα συστήματα χρειάζονται ειδικές ρήτρες ασφαλείας, ελέγχου και κατανομής ευθύνης, συντονισμένες με τις υποχρεώσεις του GDPR.

Ενιαία αντιμετώπιση περιστατικού με διπλή διάσταση: Όταν ένα περιστατικό αφορά και προσωπικά δεδομένα, οι προθεσμίες και οι αρχές της NIS2 και του GDPR τρέχουν παράλληλα. Ο σχεδιασμός της απόκρισης πρέπει να καλύπτει και τις δύο ροές ταυτόχρονα.

Το Δικηγορικό μας Γραφείο, για περισσότερα από 20 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σε κάθε θέμα σχετικά με την Κυβερνοασφάλεια και την υπαγωγή μιας επιχείρησης στη NIS2 .