Η κυβερνοασφάλεια φέρνει βαρύ κόστος στην Ελλάδα

Στο επίκεντρο των νέων ευρωπαϊκών απαιτήσεων για την κυβερνοασφάλεια βρίσκονται οι τηλεπικοινωνίες, η ενέργεια, οι τράπεζες, η υγεία και συνολικά 18 κρίσιμοι τομείς της οικονομίας. Για την Ελλάδα, ο πιθανός λογαριασμός από τις αλλαγές που προωθούνται στο ευρωπαϊκό πλαίσιο μπορεί να φτάσει ακόμη και τα 4 δισ. ευρώ την πενταετία 2026-2030, εφόσον εφαρμοστεί το σενάριο υποχρεωτικού αποκλεισμού και αντικατάστασης προμηθευτών που θα χαρακτηριστούν «υψηλού κινδύνου» μέσω του CSA2.

Το συμπέρασμα προκύπτει από την οικονομική αποτίμηση της KPMG και του CCCEU, του Εμπορικού Επιμελητηρίου των κινεζικών επιχειρήσεων στην Ευρωπαϊκή Ένωση, για τις επιπτώσεις που μπορεί να προκαλέσει η αναθεώρηση του ευρωπαϊκού πλαισίου κυβερνοασφάλειας. Το CSA2 αποτελεί την υπό διαμόρφωση αναθεώρηση του Cybersecurity Act, δηλαδή του κανονιστικού πλαισίου της Ε.Ε. για την κυβερνοασφάλεια, την πιστοποίηση τεχνολογικών προϊόντων και υπηρεσιών και πλέον την ασφάλεια των αλυσίδων προμήθειας στον τομέα των τεχνολογιών πληροφορικής και επικοινωνιών.

Η Ευρωπαϊκή Επιτροπή δεν περιορίζεται πια μόνο στις τεχνικές προδιαγραφές και στις πιστοποιήσεις προϊόντων. Θέτει στο τραπέζι ένα πολύ ευρύτερο πλαίσιο, μέσα από το οποίο θα μπορεί να περιορίζει ή να αποκλείει προμηθευτές, όταν κρίνει ότι συνδέονται με χώρες, δομές ή επιχειρηματικά σχήματα που ενδέχεται να δημιουργούν κινδύνους για την κυβερνοασφάλεια.

Η οικονομική σημασία μιας τέτοιας επιλογής είναι τεράστια. Ένας πάροχος τηλεπικοινωνιών, μια εταιρεία ενέργειας, μια δημόσια υποδομή ή ένας φορέας κρίσιμης σημασίας που έχει ήδη εγκατεστημένο εξοπλισμό από προμηθευτή ο οποίος στη συνέχεια θα χαρακτηριστεί «υψηλού κινδύνου», μπορεί να υποχρεωθεί να τον αντικαταστήσει. Αυτό σημαίνει αποξήλωση υφιστάμενων συστημάτων, αγορά νέου εξοπλισμού, νέες εγκαταστάσεις, επαναπιστοποιήσεις, τεχνικές δοκιμές και πρόσθετες δαπάνες συμμόρφωσης.

Η σύνδεση του CSA2 με τη NIS2

Κρίσιμο στοιχείο είναι η σύνδεση του CSA2 με την ευρωπαϊκή οδηγία NIS2. Η NIS2 έχει ήδη ορίσει τους τομείς που θεωρούνται κρίσιμοι για την κυβερνοασφάλεια. Με άλλα λόγια, καθορίζει το πεδίο στο οποίο μπορούν να εφαρμοστούν οι νέες απαιτήσεις: ποιες επιχειρήσεις, ποιες υποδομές και ποιοι κλάδοι θα θεωρούνται στρατηγικής σημασίας.

Το CSA2 έρχεται να προσθέσει σε αυτό το πεδίο έναν νέο και βαρύ παράγοντα κόστους: την ασφάλεια των αλυσίδων προμήθειας ICT και τη δυνατότητα αποκλεισμού προμηθευτών που θα καταταγούν στην κατηγορία «υψηλού κινδύνου».

Σύμφωνα με την έκθεση που συντάχθηκε με τη συμβολή της KPMG και του CCCEU, για την Ελλάδα το πιθανό κόστος μιας τέτοιας εξέλιξης μπορεί να αγγίξει τα 4 δισ. ευρώ. Το ποσό αυτό δεν αφορά αποκλειστικά τις τηλεπικοινωνίες. Η NIS2 καλύπτει συνολικά 18 κρίσιμους τομείς, ανάμεσα στους οποίους περιλαμβάνονται η ενέργεια, οι μεταφορές, οι τράπεζες, οι χρηματοπιστωτικές υποδομές, η υγεία, το νερό, οι ψηφιακές υποδομές, η Δημόσια Διοίκηση, η διαχείριση υπηρεσιών ICT, τα τρόφιμα, τα χημικά, η μεταποίηση, οι ταχυδρομικές υπηρεσίες, ο διαστημικός τομέας και η έρευνα.

Το κόστος των αλλαγών, εφόσον εφαρμοστούν με υποχρεωτικό χαρακτήρα, δεν θα μείνει κλεισμένο στους ισολογισμούς των επιχειρήσεων. Αναμένεται να περάσει στην πραγματική οικονομία μέσω ακριβότερων επενδύσεων, καθυστερήσεων σε δίκτυα, αυξημένου κόστους στα έργα υποδομής και μεγαλύτερων αναγκών χρηματοδότησης.

Στην πράξη, αυτό σημαίνει ότι το βάρος μπορεί να μεταφερθεί στους λογαριασμούς, στα τιμολόγια υπηρεσιών, στις δημόσιες δαπάνες και σε επενδύσεις που είτε θα καθυστερήσουν είτε θα ματαιωθούν. Για μια οικονομία όπως η ελληνική, όπου οι υποδομές, η ενέργεια, οι ψηφιακές υπηρεσίες και η χρηματοδότηση παραμένουν κρίσιμοι παράγοντες ανάπτυξης, μια τέτοια επιβάρυνση δεν είναι δευτερεύον ζήτημα.

Οι εκτιμήσεις για την Ευρωπαϊκή Ένωση

Σε επίπεδο Ευρωπαϊκής Ένωσης, οι συνολικές οικονομικές απώλειες, σύμφωνα με τις εκτιμήσεις της KPMG, μπορεί να φτάσουν τα 367,8 δισ. ευρώ την πενταετία 2026-2030. Από αυτά, περίπου 146,2 δισ. ευρώ αφορούν άμεσες απώλειες, δηλαδή αντικατάσταση, αποξήλωση και επανεγκατάσταση εξοπλισμού.

Άλλα 81,5 δισ. ευρώ συνδέονται με έμμεσες δαπάνες, όπως η ανακατασκευή συστημάτων, η μεταφορά πόρων, η εκπαίδευση προσωπικού και οι νέες πιστοποιήσεις. Παράλληλα, οι κοινωνικές απώλειες από καθυστερήσεις, διακοπές υπηρεσιών και επιπτώσεις στην απασχόληση εκτιμώνται στα 102,1 δισ. ευρώ.

Το νομικό κόστος, από διαφορές, αποζημιώσεις και διαδικασίες επαναπιστοποίησης, υπολογίζεται σε 38,1 δισ. ευρώ. Η έκθεση αναφέρει ότι οι απώλειες μπορεί να φτάσουν τα 170,8 δισ. ευρώ για τη Γερμανία, τα 46,3 δισ. ευρώ για τη Γαλλία, τα 36,5 δισ. ευρώ για την Ιταλία, τα 25,7 δισ. ευρώ για την Ισπανία και τα 21,3 δισ. ευρώ για την Πολωνία.

Η κυβερνοασφάλεια είναι πλέον στρατηγική προτεραιότητα για την Ευρώπη. Το ζήτημα, όμως, είναι αν οι νέες ρυθμίσεις θα εφαρμοστούν με τρόπο που ενισχύει πραγματικά την ασφάλεια ή αν θα οδηγήσουν σε έναν ακριβό, βίαιο και οριζόντιο ανασχεδιασμό κρίσιμων υποδομών, με το κόστος να μετακυλίεται τελικά σε κράτη, επιχειρήσεις και πολίτες.