Τηλεπικοινωνίες, ενέργεια, τράπεζες και υγεία βρίσκονται στο επίκεντρο των νέων απαιτήσεων, που συνολικά καλύπτει 18 κρίσιμους τομείς
Έως 4 δισ. ευρώ ενδέχεται να φτάσει ο «λογαριασμός» για την Ελλάδα από τις προωθούμενες αλλαγές στην ευρωπαϊκή κυβερνοασφάλεια στην πενταετία 2026-2030, εφόσον εφαρμοστεί το σενάριο υποχρεωτικού αποκλεισμού και αντικατάστασης προμηθευτών οι οποίοι θα χαρακτηριστούν «υψηλού κινδύνου» μέσω του CSA2.
Το συμπέρασμα αυτό προκύπτει από την οικονομική αποτίμηση της KPMG και του CCCEU (Εμπορικό Επιμελητήριο των κινεζικών επιχειρήσεων στην Ε.Ε.) για τις πιθανές επιπτώσεις του CSA2, εφόσον τελικά εφαρμοστεί το σενάριο υποχρεωτικού αποκλεισμού και αντικατάστασης προμηθευτών που χαρακτηρίζονται «υψηλού κινδύνου». Το CSA2, σημειωτέον, όπως αναφέρθηκε στο πρώτο μέρος της έρευνας για τις προωθούμενες αλλαγές στην κυβερνοασφάλεια, είναι η υπό εξέλιξη αναθεώρηση του ευρωπαϊκού Cybersecurity Act, δηλαδή του κανονιστικού πλαισίου της Ε.Ε. για την κυβερνοασφάλεια, τις πιστοποιήσεις προϊόντων και υπηρεσιών τεχνολογίας και πλέον την ασφάλεια των αλυσίδων προμήθειας ICT (Information and Communication Technologies – τεχνολογίες πληροφορικής και επικοινωνιών). Επί της ουσίας, η Ευρωπαϊκή Επιτροπή θέτει πλέον επί τάπητος όχι μόνο τις τεχνικές πιστοποιήσεις των προϊόντων, αλλά και πώς θα μπορεί στο άμεσο μέλλον να περιορίζει -ή να αποκλείει- προμηθευτές, όταν κρίνει ότι συνδέονται με χώρες ή δομές που προκαλούν κινδύνους κυβερνοασφάλειας.
Τι σημαίνει αυτό από οικονομικής πλευράς; Εάν οι αλλαγές περάσουν ως έχουν, τότε ένας πάροχος τηλεπικοινωνιών, μια ενεργειακή εταιρία, μια δημόσια υποδομή ή ένας φορέας κρίσιμης σημασίας που ήδη έχει εξοπλισμό από προμηθευτή ο οποίος αργότερα θα χαρακτηριστεί «υψηλού κινδύνου» μπορεί να κληθεί να τον αντικαταστήσει. Πολύ απλά, θα πρέπει να αποξηλώσει τον υφιστάμενο εξοπλισμό, να αγοράσει νέο, να προχωρήσει σε νέες εγκαταστάσεις, να λάβει ξανά πιστοποιήσεις, να κάνει τεχνικές δοκιμές και να επωμιστεί πρόσθετο κόστος συμμόρφωσης.
Η οδηγία NIS2
Εδώ βρίσκεται και το σημείο διασύνδεσης του CSA2 με τη NIS2. Η NIS2 είναι η ευρωπαϊκή οδηγία που έχει ήδη ορίσει ποιοι τομείς της οικονομίας θεωρούνται κρίσιμοι για την κυβερνοασφάλεια. Η NIS2 δείχνει, δηλαδή, το πεδίο εφαρμογής των υπό εξέταση αλλαγών, δηλαδή ποιες επιχειρήσεις, ποιες υποδομές και ποιοι κλάδοι θεωρούνται κρίσιμοι. Το CSA2 έρχεται να προσθέσει σε αυτό το πεδίο έναν νέο παράγοντα κόστους, δηλαδή την ασφάλεια των αλυσίδων προμήθειας ICT και τη δυνατότητα αποκλεισμού προμηθευτών οι οποίοι θα χαρακτηριστούν «υψηλού κινδύνου».
Σύμφωνα με την έκθεση που συντάχθηκε με συμβολή της KPMG και της CCCEU, για την Ελλάδα αυτή η εξέλιξη θα προκαλέσει ένα κόστος της τάξης των 4 δισ. ευρώ. Το ποσό αυτό δεν αφορά μόνο τις τηλεπικοινωνίες, δεδομένου ότι η ευρωπαϊκή οδηγία NIS2 καλύπτει συνολικά 18 κρίσιμους τομείς και συγκεκριμένα την ενέργεια, τις μεταφορές, τις τράπεζες, τις χρηματοπιστωτικές υποδομές, την υγεία, το νερό, τις ψηφιακές υποδομές, τη Δημόσια διοίκηση, τη διαχείριση ICT υπηρεσιών, τα τρόφιμα, τα χημικά, τη μεταποίηση, τις ταχυδρομικές υπηρεσίες, τον διαστημικό τομέα και την έρευνα.
Το κόστος, λοιπόν, των προωθούμενων αλλαγών φαίνεται ότι θα περάσει στην οικονομία, μέσα από ακριβότερες επενδύσεις, καθυστερήσεις δικτύων, αύξηση κόστους σε έργα υποδομών και μεγαλύτερες ανάγκες χρηματοδότησης. Κατ’ επέκταση, το βάρος εκτιμάται ότι στη συνέχεια θα περάσει στους λογαριασμούς, στα τιμολόγια υπηρεσιών, στις δημόσιες δαπάνες και σε ενδεχόμενες χαμένες επενδύσεις.
Σε επίπεδο Ε.Ε., με βάση τις εκτιμήσεις της KPMG, οι συνολικές οικονομικές απώλειες μπορεί να φτάσουν τα 367,8 δισ. ευρώ στην πενταετία 2026-2030. Από αυτά, περίπου 146,2 δισ. ευρώ αφορούν άμεσες απώλειες, δηλαδή αντικατάσταση, αποξήλωση και επανεγκατάσταση εξοπλισμού. Άλλα 81,5 δισ. ευρώ συνδέονται με έμμεσες δαπάνες, όπως ανακατασκευή συστημάτων, μεταφορά πόρων, εκπαίδευση και πιστοποιήσεις. Παράλληλα, σε 102,1 δισ. ευρώ εκτιμώνται οι κοινωνικές απώλειες, από καθυστερήσεις, διακοπές υπηρεσιών και επιπτώσεις στην απασχόληση, ενώ την ίδια στιγμή σε 38,1 δισ. ευρώ θα ανέλθει το νομικό κόστος από διαφορές αποζημιώσεις και επαναπιστοποιήσεις. Όπως αναφέρεται στην έκθεση της KPMG, οι απώλειες ενδέχεται να ανέλθουν στα 170,8 δισ. ευρώ για τη Γερμανία, στα 46,3 δισ. ευρώ για τη Γαλλία, στα 36,5 δισ. ευρώ για την Ιταλία, στα 25,7 δισ. ευρώ για την Ισπανία και στα 21,3 δισ. ευρώ για την Πολωνία.
Πώς αντιδρούν κυβερνήσεις της Ευρωπαϊκής Ένωσης
Οι προωθούμενες αλλαγές στην κυβερνοασφάλεια στο πλαίσιο του CSA2 ήδη προκαλούν αντιδράσεις από κράτη-μέλη της Ευρωπαϊκής Ένωσης, επιβεβαιώνοντας ότι το νέο πλαίσιο δεν θα αφορά μόνο τεχνικά αλλά ευρύτερα, ιδιαίτερα κρίσιμα ζητήματα.
Το CSA2 ανοίγει ζητήματα εξουσίας, αφού, εάν οι αλλαγές υιοθετηθούν ως έχουν, θα φέρουν στην επιφάνεια μια σειρά κομβικών ερωτημάτων για τον ρόλο και τον λόγο των χωρών της Ε.Ε.: Ποιος θα αποφασίζει εφεξής για τα θέματα κυβερνοασφάλειας; Η Κομισιόν ή τα κράτη-μέλη; Με ποια κριτήρια θα χαρακτηρίζεται μια χώρα «υψηλού κινδύνου»;
Η Ολλανδία ήδη έχει θέσει μια σειρά ζητημάτων στο πλαίσιο των προωθούμενων αλλαγών, εκφράζοντας την ανησυχία της για το «τι μέλλει γενέσθαι». Η χώρα της τουλίπας δεν απορρίπτει την ανάγκη για ισχυρότερη κυβερνοασφάλεια, αλλά ζητεί οι αποφάσεις να είναι τεχνικά τεκμηριωμένες, αναλογικές, νόμιμες και μη διακριτικές. Με βάση τις θέσεις που έχει κάνει γνωστές, η Ολλανδία θέλει η πιστοποίηση να παραμείνει τεχνική διαδικασία και όχι να μετατραπεί σε έναν μηχανισμό γεωπολιτικού αποκλεισμού.
Τι σημαίνει αυτό; Στο επίκεντρο βρίσκονται δύο όροι: η HRC και ο HRS. Ως «High Risk Country» (χώρα υψηλού κινδύνου) θα μπορεί να χαρακτηριστεί μια τρίτη χώρα επειδή θα μπορεί να θεωρηθεί ότι προκαλεί κινδύνους για τις ευρωπαϊκές αλυσίδες προμήθειας τεχνολογικού εξοπλισμού. Ο χαρακτηρισμός θα δύναται να αποδίδεται όχι απαραίτητα επειδή θα υπάρχει αποδεδειγμένο τεχνικό πρόβλημα σε ένα προϊόν, αλλά επειδή στο «μικροσκόπιο» θα μπαίνει το νομικό, πολιτικό ή θεσμικό της περιβάλλον.
Ο δεύτερος κρίσιμος όρος είναι το HRS, δηλαδή ο «High Risk Supplier» (ο προμηθευτής υψηλού κινδύνου). Ως HRS θα μπορεί να χαρακτηριστεί μια εταιρία τεχνολογικού εξοπλισμού ή υπηρεσιών λόγω προέλευσης, σχέσης με τρίτη χώρα ή πιθανής κρατικής επιρροής.
Η Ολλανδία μοιάζει αρνητική σε αυτά τα κριτήρια, αφού θεωρεί ότι οι κίνδυνοι διαφέρουν ανά προϊόν, υπηρεσία και χρήση. Γι’ αυτό ζητεί εθνική και ουδέτερη αξιολόγηση. Με άλλα λόγια η Ολλανδία λέει «όχι» στον ενδεχόμενο γενικό αποκλεισμό από τις Βρυξέλλες για μια ολόκληρη χώρα ή για έναν προμηθευτή χωρίς συγκεκριμένη τεκμηρίωση.
Σε ανάλογη γραμμή κινείται και η Φινλανδία. Η κυβέρνησή της αναγνωρίζει τον ρόλο του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας (ENISA) αλλά σε συμπληρωματικό επίπεδο και όχι ως υποκατάστατο των εθνικών Αρχών. Η βασική ευθύνη για το επίπεδο κυβερνοασφάλειας θεωρεί ότι πρέπει να παραμείνει στα κράτη-μέλη της Ε.Ε. και στις αρμόδιες εθνικές Αρχές. Επίσης, η Φινλανδία ζητεί οι πιστοποιήσεις να παραμείνουν κατά βάση εθελοντικές, τα μέτρα να είναι προβλέψιμα, ελεγχόμενα και βασισμένα σε αξιολόγηση επιπτώσεων, ενώ οι εξουσίες που θα δοθούν στην Κομισιόν να είναι περιορισμένες, αναλογικές και δικαιολογημένες.
Το συμπέρασμα, λοιπόν, από τη συζήτηση που βρίσκεται σε εξέλιξη σε ευρωπαϊκό επίπεδο είναι καθαρό: Οι διαπραγματεύσεις δεν θέτουν θέμα εάν τα κράτη-μέλη της Ε.Ε. είναι «υπέρ ή κατά» της κυβερνοασφάλειας. Είναι για το «ποιος θα κρατά το τιμόνι», με αρκετά κράτη-μέλη να ζητούν ασφάλεια με τεκμηρίωση, εθνική ευελιξία και αναλογικότητα από τη μία πλευρά και την Κομισιόν να ζητεί κεντρικότερο ρόλο από την άλλη.
Οι νομικές ενστάσεις σε σχέση με το CSA2
Το CSA2 έχει προκαλέσει μεγάλη συζήτηση και σε επίπεδο κορυφαίων νομικών σε όλη την Ευρώπη, στον πυρήνα της οποίας βρίσκεται το θέμα της αρμοδιότητας σε σχέση με τα ζητήματα της κυβερνοασφάλειας. Η Κομισιόν (Ευρωπαϊκή Επιτροπή) μέσα από την αναθεώρηση του Cybersecurity Act (του ευρωπαϊκού πλαισίου για την κυβερνοασφάλεια) φαίνεται να επιχειρεί, πλέον, να μεταφέρει στις Βρυξέλλες κρίσιμες αποφάσεις, σε σχέση με τις οποίες μέχρι σήμερα αποφασίζουν τα κράτη-μέλη της Ευρωπαϊκής Ένωσης ιδίως σε θέματα εθνικής ασφάλειας, επιλογής προμηθευτών, αλυσίδων εφοδιασμού ICT (τεχνολογίες πληροφορικής και επικοινωνιών) και εφαρμογής της εργαλειοθήκης για το 5G.
Συγκεκριμένα, το πρώτο σημείο στο οποίο εστιάζουν νομικοί είναι η εθνική ασφάλεια. Σύμφωνα με τη Συνθήκη για την Ευρωπαϊκή Ένωση, η εθνική ασφάλεια παραμένει στην αποκλειστική ευθύνη κάθε κράτους-μέλους της Ε.Ε. Αυτό είναι το κρίσιμο σημείο, διότι, εάν μια ρύθμιση για την κυβερνοασφάλεια μετατρέπεται στην πράξη σε μηχανισμό ελέγχου κρίσιμων υποδομών, προμηθευτών και εθνικών δικτύων, τότε δεν είναι μόνο θέμα εσωτερικής αγοράς, αλλά ένα πεδίο το οποίο «αγγίζει» τον πυρήνα της κρατικής κυριαρχίας.
Το δεύτερο σημείο είναι η νομική βάση του θέματος. Η Κομισιόν επιχειρεί να στηρίξει το CSA2 στο άρθρο 114 της Συνθήκης για τη λειτουργία της Ε.Ε., δηλαδή στη βάση της εσωτερικής αγοράς. Όμως, αυτό το θέμα προκαλεί νομικές ενστάσεις, βάσει των οποίων αν ο πραγματικός σκοπός της ρύθμισης είναι η ασφάλεια, και μάλιστα η εθνική ασφάλεια, τότε η χρήση της εσωτερικής αγοράς ως νομικού οχήματος είναι προβληματική.
Το τρίτο σημείο αφορά τους όρους «HRC» και «HRS» (HRC σημαίνει μια χώρα υψηλού κινδύνου και HRS σημαίνει ένας προμηθευτής υψηλού κινδύνου). Αρκετοί νομικοί εστιάζουν στο γεγονός ότι οι έννοιες αυτές πρέπει να έχουν σαφή, αντικειμενικά και δικαστικά ελέγξιμα κριτήρια. Διαφορετικά ένας προμηθευτής μπορεί να αποκλείεται όχι επειδή υπάρχει συγκεκριμένο τεχνικό πρόβλημα, αλλά επειδή η χώρα προέλευσής του θεωρείται πολιτικά ή γεωπολιτικά προβληματική.
Το τέταρτο σημείο άπτεται της ίδια της λειτουργίας της αγοράς. Η ελεύθερη αγορά, οι δημόσιες συμβάσεις, ο ανταγωνισμός και οι κανόνες του Παγκόσμιου Οργανισμού Εμπορίου δεν μπορούν να παρακάμπτονται με αόριστα κριτήρια. Τι σημαίνει αυτό; Ότι ένας πιθανός γενικευμένος αποκλεισμός προμηθευτών μπορεί να δημιουργήσει ζητήματα διακριτικής μεταχείρισης, περιορισμού ανταγωνισμού και αύξησης κόστους.
Το πέμπτο και τελευταίο σημείο στο οποίο εστιάζουν νομικοί αφορά την υποχρεωτική αντικατάσταση εγκατεστημένων υποδομών. Εάν οι επιχειρήσεις και οι φορείς υποχρεωθούν, μέσα από τις προωθούμενες αλλαγές, να αποξηλώσουν εξοπλισμό μέσα σε συγκεκριμένες προθεσμίες, ανεξάρτητα από κόστος και λειτουργικές επιπτώσεις, τότε τίθενται ζητήματα προστασίας περιουσίας, οικονομικής ελευθερίας και ανταγωνιστικότητας.
