Κυβερνοασφάλεια: Η Κομισιόν, οι προμηθευτές υψηλού κινδύνου και η ελληνική διάσταση

Μια κρίσιμη θεσμική συζήτηση βρίσκεται σε εξέλιξη στις Βρυξέλλες, με αντικείμενο τις νέες αλλαγές στο ευρωπαϊκό πλαίσιο για την κυβερνοασφάλεια. Η υπόθεση, ωστόσο, δεν εξαντλείται σε τεχνικές ρυθμίσεις για λογισμικό, πιστοποιήσεις, δίκτυα, servers, εξοπλισμό και ψηφιακά δεδομένα. Στον πυρήνα της βρίσκεται ένα πολύ βαρύτερο ερώτημα: ποιος θα έχει τον τελικό λόγο για την ασφάλεια των κρίσιμων ψηφιακών υποδομών της Ευρώπης;

Μέχρι σήμερα, τα κράτη-μέλη θεωρούν ότι η ασφάλεια των κρίσιμων δικτύων, των προμηθευτών και των τεχνολογικών υποδομών αποτελεί τμήμα της δικής τους εθνικής αρμοδιότητας. Η νέα κατεύθυνση που συζητείται σε ευρωπαϊκό επίπεδο φαίνεται να μετακινεί μέρος αυτής της εξουσίας προς την Ευρωπαϊκή Επιτροπή, δημιουργώντας σοβαρά ερωτήματα για τα όρια μεταξύ ευρωπαϊκού συντονισμού και περιορισμού της εθνικής κυριαρχίας.

Το θέμα αποκτά ιδιαίτερη βαρύτητα επειδή η κυβερνοασφάλεια δεν αφορά πλέον μόνο την προστασία υπολογιστικών συστημάτων. Συνδέεται με τηλεπικοινωνίες, ενέργεια, μεταφορές, τράπεζες, Δημόσια Διοίκηση, υγεία, ψηφιακές υπηρεσίες και κρίσιμες υποδομές. Πρόκειται δηλαδή για τον σκληρό πυρήνα της λειτουργίας ενός σύγχρονου κράτους.

Το νομικό ζήτημα είναι καθοριστικό. Με βάση το άρθρο 4 παράγραφος 2 της Συνθήκης για την Ευρωπαϊκή Ένωση, η εθνική ασφάλεια παραμένει αποκλειστική ευθύνη κάθε κράτους-μέλους. Όταν, επομένως, η Κομισιόν επιχειρεί να αποκτήσει αποφασιστικότερο ρόλο στην αξιολόγηση προμηθευτών, χωρών προέλευσης, τεχνολογικού εξοπλισμού και κρίσιμων υποδομών, η συζήτηση παύει να είναι απλώς τεχνική. Μετατρέπεται σε θεσμική και πολιτική αντιπαράθεση.

Το CSA2 και οι «μη τεχνικοί κίνδυνοι»

Το επίμαχο εργαλείο είναι το λεγόμενο CSA2, δηλαδή η νέα προτεινόμενη μορφή του ευρωπαϊκού Cybersecurity Act. Δεν πρόκειται για έναν περιφερειακό ή δευτερεύοντα κανονισμό. Πρόκειται για το βασικό ευρωπαϊκό πλαίσιο που θα καθορίζει με ποιους κανόνες θα αξιολογούνται η ασφάλεια των ψηφιακών υποδομών, η αξιοπιστία των προμηθευτών και η ανθεκτικότητα κρίσιμων συστημάτων.

Στο ίδιο πλαίσιο ενισχύεται και ο ρόλος του ENISA, του Ευρωπαϊκού Οργανισμού Κυβερνοασφάλειας, ο οποίος λειτουργεί ως τεχνικός και θεσμικός μηχανισμός υποστήριξης της ευρωπαϊκής πολιτικής στον συγκεκριμένο τομέα.

Σε πρώτη ανάγνωση, το επιχείρημα των Βρυξελλών ακούγεται εύλογο. Η Ευρώπη χρειάζεται ασφαλέστερα ψηφιακά δίκτυα, αυστηρότερα πρότυπα, καλύτερη προστασία από κυβερνοεπιθέσεις και ανθεκτικότερες υποδομές. Κανένα κράτος-μέλος δεν μπορεί να αγνοήσει την απειλή που προέρχεται από κακόβουλες κυβερνοενέργειες, κρατικούς ή μη κρατικούς δρώντες και εξαρτήσεις από αμφίβολους προμηθευτές.

Η δεύτερη ανάγνωση, όμως, αναδεικνύει σοβαρότερα ζητήματα. Η Κομισιόν δεν φαίνεται να ενδιαφέρεται μόνο για την τεχνική ασφάλεια ενός προϊόντος ή συστήματος. Επιδιώκει να εισαγάγει αξιολόγηση και των λεγόμενων «μη τεχνικών κινδύνων».

Αυτό σημαίνει ότι η αξιολόγηση δεν θα περιορίζεται στο αν ένα δίκτυο, ένα λογισμικό ή ένας server είναι ασφαλής από τεχνική άποψη. Θα εξετάζεται επίσης ποιος είναι ο κατασκευαστής, ποια είναι η χώρα προέλευσης, ποιο είναι το πολιτικό και νομικό περιβάλλον πίσω από τον προμηθευτή και αν όλα αυτά δημιουργούν γεωπολιτικό ή στρατηγικό ρίσκο.

Με άλλα λόγια, η Ευρωπαϊκή Επιτροπή θα μπορεί να συμμετέχει ουσιαστικά στον χαρακτηρισμό ενός προμηθευτή ως υψηλού κινδύνου. Μια εταιρεία δεν θα αντιμετωπίζεται μόνο ως οικονομικός παράγοντας της αγοράς, αλλά πιθανώς ως κρίκος μιας αλυσίδας με θεσμικό, στρατηγικό ή γεωπολιτικό φορτίο.

Από μια τέτοια αξιολόγηση μπορεί να προκύψουν περιορισμοί, αποκλεισμοί προμηθευτών ή ακόμη και απομάκρυνση υφιστάμενου εξοπλισμού από κρίσιμες ψηφιακές υποδομές. Σε αυτό το σημείο η κυβερνοασφάλεια συναντά ευθέως την κυριαρχία, την εθνική άμυνα και την πολιτική αυτονομία των κρατών.

Η ελληνική διάσταση και ο λογαριασμός για τα κράτη

Για την Ελλάδα, το ζήτημα έχει ακόμη μεγαλύτερη σημασία. Η χώρα δεν βρίσκεται σε ουδέτερο γεωπολιτικό περιβάλλον. Διαθέτει ανοιχτά μέτωπα στην Ανατολική Μεσόγειο, αντιμετωπίζει απρόβλεπτες περιφερειακές πιέσεις, βρίσκεται σε κρίσιμο ενεργειακό και θαλάσσιο σταυροδρόμι και έχει ιδιαίτερες ανάγκες σε τηλεπικοινωνιακές, στρατιωτικές και ψηφιακές υποδομές.

Η ασφάλεια των δικτύων, των προμηθευτών και των τεχνολογικών συστημάτων δεν μπορεί να αντιμετωπίζεται ως αφηρημένη ευρωπαϊκή διαδικασία. Για την Ελλάδα αποτελεί μέρος της στρατηγικής της θωράκισης. Η επιλογή προμηθευτών σε δίκτυα, τηλεπικοινωνίες, ενέργεια και υποδομές δεν είναι απλή εμπορική απόφαση. Είναι ζήτημα ασφάλειας, ανθεκτικότητας και εθνικού συμφέροντος.

Η συζήτηση συνδέεται και με τη NIS2, τη νέα ευρωπαϊκή οδηγία που εισάγει αυστηρότερους κανόνες κυβερνοασφάλειας για κρίσιμους τομείς. Η NIS2 καθορίζει ποιοι οργανισμοί και ποιες επιχειρήσεις πρέπει να προστατεύονται καλύτερα, ποιες υποχρεώσεις έχουν και πώς πρέπει να δηλώνουν σοβαρά περιστατικά κυβερνοασφάλειας.

Η οδηγία καλύπτει δεκαοκτώ βασικούς τομείς, μεταξύ των οποίων η ενέργεια, οι μεταφορές, οι τράπεζες, η υγεία, η Δημόσια Διοίκηση και οι ψηφιακές υπηρεσίες. Η NIS2, δηλαδή, ορίζει ποιοι πρέπει να προστατευθούν. Το CSA2 πηγαίνει ένα βήμα παραπέρα, ανοίγοντας το θέμα του ποιος εξοπλισμός, ποιος προμηθευτής και ποια χώρα προέλευσης μπορεί να θεωρηθούν κίνδυνος.

Εκεί ακριβώς εντοπίζεται η θεσμική ένταση. Η ασφάλεια αυτών των υποδομών δεν είναι ουδέτερο εμπορικό πεδίο. Αποτελεί μέρος της εθνικής ασφάλειας, για την οποία τα κράτη-μέλη επιμένουν ότι ο τελικός λόγος πρέπει να παραμείνει στα ίδια. Αν η Κομισιόν αποκτήσει ουσιαστικό ρόλο στον ορισμό του κινδύνου, στην κατηγοριοποίηση των προμηθευτών και στις αποφάσεις για την καταλληλότητα του εξοπλισμού, τότε τίθεται ζήτημα μεταφοράς κρίσιμης εθνικής αρμοδιότητας.

Υπάρχει, όμως, και η οικονομική πλευρά. Κάθε περιορισμός προμηθευτών σημαίνει λιγότερες επιλογές για τα κράτη και τις επιχειρήσεις. Λιγότερες επιλογές συνήθως σημαίνουν ακριβότερες λύσεις, μεγαλύτερες καθυστερήσεις, νέα κόστη συμμόρφωσης και πιθανές ανατροπές σε ήδη εγκατεστημένα δίκτυα.

Αν ζητηθεί αντικατάσταση υφιστάμενου εξοπλισμού, το κόστος θα είναι υψηλό. Θα απαιτηθούν νέες επενδύσεις, τεχνικές μεταβάσεις, διαγωνισμοί, καθυστερήσεις και επιχειρησιακή προσαρμογή. Το βάρος αυτό θα μεταφερθεί αρχικά στις επιχειρήσεις που διαχειρίζονται κρίσιμες υποδομές και τελικά, όπως συνήθως συμβαίνει, στον πολίτη και στον καταναλωτή.

Το ερώτημα, επομένως, δεν είναι αν η Ευρώπη χρειάζεται ισχυρότερη κυβερνοασφάλεια. Το χρειάζεται. Το πραγματικό ερώτημα είναι ποιος αποφασίζει, με ποια νομιμοποίηση, με ποια όρια και με ποιο κόστος. Για χώρες όπως η Ελλάδα, η απάντηση δεν μπορεί να δοθεί ελαφρά. Η προστασία των ψηφιακών υποδομών είναι αναγκαία, όμως δεν μπορεί να χρησιμοποιηθεί ως όχημα για τη σταδιακή αποδυνάμωση της εθνικής αρμοδιότητας σε ζητήματα ασφάλειας.