Την ουσιαστική ενίσχυση του Οργανισμού της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια (ENISA), που εδρεύει στην Ελλάδα, προωθεί η Ευρωπαϊκή Επιτροπή, όπως προκύπτει από τις προτάσεις που συνοδεύουν τη νέα οδηγία για την αντιμετώπιση του εγκλήματος στο Διαδίκτυο.
Όπως επισημαίνει η Κομισιόν, στο κείμενο που συνοδεύει την παρουσίαση της νέας οδηγίας (Cybersecurity Act 2), υπάρχει σοβαρό πρόβλημα υποστελέχωσης και έλλειψης πόρων στον ENISA. Στα τέλη του 2024, ο οργανισμός, με γραφεία στην Αθήνα και στο Ηράκλειο, διέθετε μόλις 132 υπαλλήλους και συνολικό προϋπολογισμό 26.218.721 ευρώ.
Παρά την αύξηση του προϋπολογισμού από τα 17 εκατομμύρια ευρώ το 2019, οι πόροι θεωρούνται ανεπαρκείς για τις νέες αρμοδιότητες που του έχουν ανατεθεί.
Η νέα εισήγηση της Ευρωπαϊκής Επιτροπής αναδεικνύει την Ελλάδα σε κομβικό παίκτη για την κυβερνοασφάλεια. Η χώρα μας καλείται όχι μόνο να φιλοξενήσει, αλλά να υποστηρίξει την «καρδιά» της ευρωπαϊκής κυβερνοάμυνας, τον ENISA, επωφελούμενη από τις επενδύσεις, αλλά και αναλαμβάνοντας το βάρος της ευθύνης για την αποτελεσματική λειτουργία του οργανισμού σε μια εποχή ψηφιακού πολέμου.
Η Επιτροπή προτείνει σειρά αλλαγών στον ENISA με πρόσθετο κόστος 148.118.870 ευρώ σε βάθος πενταετίας (2028-2032). Το ποσό αυτό περιλαμβάνει:
- 65,42 εκατομμύρια ευρώ για 102 επιπλέον θέσεις εργασίας.
- 20 εκατομμύρια ευρώ για υπηρεσίες πληροφοριών απειλών (Cyber Threat Intelligence).
- 10 εκατομμύρια ευρώ για τη συντήρηση της πλατφόρμας αναφοράς του Cyber Resilience Act (CRA).
- 15 εκατομμύρια ευρώ για την επίτευξη του απαιτούμενου επιπέδου κυβερνο-ωριμότητας του ίδιου του οργανισμού.
Με την ενίσχυση αυτή, εκτιμάται ότι η ταχύτερη ανίχνευση και απόκριση σε περιστατικά θα μπορούσε να επιφέρει εξοικονόμηση πόρων για τις ευρωπαϊκές επιχειρήσεις και τις αρχές της τάξης των 3,7 έως 4,4 δισεκατομμυρίων ευρώ σε βάθος πενταετίας. Η υπόθεση εργασίας είναι ότι ο χρόνος ανάκαμψης (σ.σ. δηλαδή επιστροφής σε πλήρη λειτουργία) μετά από παραβιάσεις δεδομένων ενός φορέα (εταιρείας ή οργανισμού) θα μειωθεί από τις 241 ημέρες σε κάτω από 200 ημέρες.
Το κόστος του κυβερνοεγκλήματος
Σε έναν κόσμο όπου η τεχνολογία αποτελεί πλέον τη ραχοκοκαλιά της οικονομίας και της κυριαρχίας της Ευρώπης, η Ευρωπαϊκή Επιτροπή προχωρά σε μια καθοριστική αναθεώρηση του πλαισίου κυβερνοασφάλειας. Το συνοδευτικό έγγραφο της πρότασης για τον «Cybersecurity Act 2», που παρουσιάστηκε προ ημερών, αποκαλύπτει μια ανησυχητική πραγματικότητα για το ψηφιακό τοπίο της Ένωσης. Σύμφωνα με την έκθεση, το συνολικό κόστος του κυβερνοεγκλήματος στην παγκόσμια οικονομία εκτιμήθηκε στα 5,5 τρισεκατομμύρια ευρώ το 2020. Οι προβλέψεις είναι εφιαλτικές: μέχρι το 2031, μια επίθεση ransomware αναμένεται να χτυπά κάθε 2 δευτερόλεπτα, μια δραματική επιδείνωση σε σύγκριση με τα 11 δευτερόλεπτα που ισχύουν σήμερα.
Στην έκθεση της Κομισιόν αναφέρονται συγκεκριμένα παραδείγματα που καταδεικνύουν το μέγεθος του προβλήματος. Όπως η επίθεση στην Jaguar Land Rover τον Σεπτέμβριο του 2025, η οποία ανάγκασε την εταιρεία να σταματήσει την παραγωγή σε εργοστάσια στο Ηνωμένο Βασίλειο, την Κίνα, τη Σλοβακία και την Ινδία. Το περιστατικό απείλησε άμεσα 30.000 θέσεις εργασίας στην εταιρεία και 100.000 θέσεις στην αλυσίδα εφοδιασμού, ενεργοποιώντας κρατική εγγύηση δανείου ύψους 1,5 δισ. λιρών. Σε παγκόσμιο επίπεδο, το μέσο άμεσο κόστος μιας παραβίασης που ξεκινά από την αλυσίδα εφοδιασμού εκτιμάται στα 4,91 εκατομμύρια δολάρια ΗΠΑ. Τέτοιου είδους παραβιάσεις απαιτούν τον περισσότερο χρόνο για να εντοπιστούν και να περιοριστούν, φτάνοντας κατά μέσο όρο τις 267 ημέρες.
Εξίσου αποκαλυπτικά είναι τα στοιχεία για την επίθεση στη SolarWinds το 2020. Επηρέασε περισσότερους από 18.000 οργανισμούς παγκοσμίως. Σύμφωνα με έρευνα, το 85% των θυμάτων δήλωσε ότι η επίθεση είχε αντίκτυπο, ενώ κατά μέσο όρο, το κόστος για τις εταιρείες ανήλθε στο 11% των ετήσιων εσόδων τους.
Η ίδια έκθεση δίνει ιδιαίτερη έμφαση στους λεγόμενους «μη τεχνικούς κινδύνους», δηλαδή την πιθανότητα ένας προμηθευτής να υπόκειται σε αθέμιτη επιρροή από τρίτη χώρα. Η έκθεση αποκαλύπτει ότι έντεκα κράτη μέλη έχουν ποσοστό άνω του 40% «προμηθευτών υψηλού κινδύνου» στα δίκτυα κινητής τηλεφωνίας πέμπτης γενιάς (5G).
Χαρακτηριστικό είναι το παράδειγμα των φωτοβολταϊκών μετατροπέων (inverters). Το 2023, το 70% των μετατροπέων που εγκαταστάθηκαν στην Ευρώπη προέρχονταν από Κινέζους προμηθευτές, με δύο μόνο εταιρείες να ελέγχουν την απομακρυσμένη πρόσβαση σε 168 Gigawatt (GW) φωτοβολταϊκής ισχύος. Η έκθεση αναφέρει τον κίνδυνο απομακρυσμένης απενεργοποίησης αυτών των συσκευών, που θα μπορούσε να αποσταθεροποιήσει τα δίκτυα ηλεκτρικής ενέργειας.
Η προτείνει την κωδικοποίηση της Εργαλειοθήκης 5G (5G Toolbox), που είχε ψηφιστεί προ ετών, καθιστώντας υποχρεωτική την αντικατάσταση εξοπλισμού από προμηθευτές υψηλού κινδύνου. Το κόστος αντικατάστασης του εξοπλισμού (hardware και software) εκτιμάται μεταξύ 3,4 και 4,3 δισεκατομμυρίων ευρώ ετησίως για μια μεταβατική περίοδο τριών ετών. Αν οι πάροχοι κινητής τηλεφωνίας μετακυλήσουν πλήρως αυτό το κόστος στους καταναλωτές, αυτό θα μπορούσε να σημαίνει αύξηση 6,5 έως 8,3 ευρώ ανά συνδρομητή κινητής τηλεφωνίας συνολικά για την τριετία. Ωστόσο, η έκθεση σημειώνει ότι αυτό θα δημιουργήσει νέες ευκαιρίες για τους «έμπιστους προμηθευτές», ύψους 2 δισεκατομμυρίων ευρώ ετησίως, τονώνοντας την καινοτομία εντός της ΕΕ.