Ένα πρόστιμο 10 εκατομμυρίων ευρώ δεν είναι θεωρητικό ρίσκο πια — είναι αριθμός γραμμένος σε νόμο του ελληνικού κράτους. Η ενσωμάτωση της Οδηγίας NIS2 στο ελληνικό δίκαιο με τον Ν. 5160/2024 δεν είναι απλά ένα ακόμα κανονιστικό έγγραφο που θα μείνει σε συρτάρι. Είναι το πλαίσιο που, για πρώτη φορά, βάζει την προσωπική ευθύνη των διοικητικών συμβουλίων πάνω στο τραπέζι της κυβερνοασφάλειας.
Το πρωτότυπο άρθρο του PcMag.gr έθεσε σωστά το πλαίσιο, αλλά άφησε ανοιχτά τα ερωτήματα που πραγματικά καίνε μια ελληνική επιχείρηση: ποιοι ακριβώς είναι υπόχρεοι, τι σημαίνει στην πράξη η ΚΥΑ 1689/2025, πόσο κοστίζει η συμμόρφωση, και τι κάνεις αν έχεις ήδη χάσει προθεσμίες. Εδώ μπαίνουμε σε αυτό το κενό.
⚡ Quick Start:
- Ελέγξτε αν εμπίπτετε στους 18 τομείς της NIS2 και στα κριτήρια μεγέθους (50+ εργαζόμενοι ή τζίρος 10εκ+)
- Εγγραφείτε στο Μητρώο Φορέων-Υπόχρεων της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ), έστω και καθυστερημένα
- Ορίστε ICSSO (εσωτερικό ή vCISO) — δεν μπορεί να είναι το ίδιο πρόσωπο με τον DPO
- Ξεκινήστε gap analysis έναντι της ΚΥΑ 1689/2025, με προτεραιότητα στους 17 ελληνικούς overlays
📌 Περιεχόμενα
Ποιος εμπίπτει πραγματικά στη NIS2
Η NIS2 καλύπτει 18 τομείς, χωρισμένους σε “υψηλής κρισιμότητας” (ενέργεια, τράπεζες, υγεία, ψηφιακές υποδομές, δημόσια διοίκηση) και “άλλους κρίσιμους” (ταχυδρομικές υπηρεσίες, τρόφιμα, κατασκευές, ψηφιακές υπηρεσίες). Στην πράξη, αν διαχειρίζεσαι δεδομένα πελατών, cloud υποδομές ή παρέχεις B2B ΤΠΕ υπηρεσίες, οι πιθανότητες να εμπίπτεις είναι μεγαλύτερες απ’ όσο πιστεύεις.
Το κριτήριο μεγέθους είναι το δεύτερο φίλτρο. Επιχειρήσεις με 250+ εργαζόμενους ή τζίρο άνω των 50 εκατομμυρίων ευρώ σε τομέα υψηλής κρισιμότητας χαρακτηρίζονται Βασικές Οντότητες. Μεσαίες επιχειρήσεις με 50-249 εργαζόμενους ή τζίρο 10-50 εκατ. ευρώ χαρακτηρίζονται Σημαντικές Οντότητες. Υπάρχουν όμως εξαιρέσεις που παγιδεύουν πολλούς: πάροχοι DNS, τηλεπικοινωνιακές εταιρείες και αποκλειστικοί πάροχοι μιας υπηρεσίας εμπίπτουν ανεξαρτήτως μεγέθους, όπως αναλύει αναλυτικά ο οδηγός συμμόρφωσης NIS2 για την ελληνική αγορά.
⚠️ Reality Check: Στην πράξη, παρατηρήσαμε ότι πολλές μικρομεσαίες επιχειρήσεις πληροφορικής στην Αθήνα υποθέτουν λανθασμένα ότι η NIS2 αφορά μόνο “μεγάλους” οργανισμούς. Αν παρέχεις managed IT services σε πελάτες άλλων υπόχρεων οντοτήτων, ενδέχεται να εμπίπτεις μέσω της αλυσίδας εφοδιασμού — ακόμα κι αν η δική σου εταιρεία έχει 15 άτομα.
Η ΚΥΑ 1689/2025: το πραγματικό “βιβλίο κανόνων”
Ο Ν. 5160/2024 θέτει το νομικό πλαίσιο, αλλά η ουσία της συμμόρφωσης βρίσκεται στην ΚΥΑ 1689/2025 (ΦΕΚ Β’ 2186/06.05.2025), που εξειδικεύει το Άρθρο 15 σε δέκα κατηγορίες μέτρων — από πολιτικές διαχείρισης κινδύνου έως multi-factor authentication. Το πλαίσιο λειτουργεί σωρευτικά σε τρία επίπεδα: Basic, Important, Essential. Όλες οι υπόχρεες οντότητες εφαρμόζουν το Basic tier, οι Σημαντικές προσθέτουν το Important, και μόνο οι Βασικές φτάνουν στο πλήρες σύνολο των περίπου 213 ελέγχων.
Το σημείο που ξεχωρίζει το ελληνικό πλαίσιο από απλή μεταφορά της ευρωπαϊκής οδηγίας είναι οι 17 ελληνικοί overlays — απαιτήσεις που δεν έχουν αντίστοιχο σε άλλα ευρωπαϊκά πλαίσια, όπως το βελγικό CyFun 2025. Καλύπτουν ειδικές διαδικασίες αναφοράς προς την ΕΑΚ και απαιτήσεις για κρίσιμους προμηθευτές ΤΠΕ.
💡 Pro-Tip: Αν κάνεις gap analysis, μην ξεκινήσεις από τα Basic/Important/Essential controls — ξεκίνησε από τους 17 GR overlays. Εκεί βρίσκονται συχνά τα μεγαλύτερα κενά, ενώ στα διεθνή πρότυπα (ISO 27001, NIST) πολλές επιχειρήσεις έχουν ήδη κάποια βάση.
| Πλαίσιο | Κάλυψη NIS2 | Τι λείπει |
|---|---|---|
| ISO 27001:2022 | ~65-75% | Εγγραφή ΕΑΚ, ICSSO, 17 GR overlays, χρονοδιαγράμματα αναφοράς |
| NIST CSF | Μερική | Ελληνική νομική τεκμηρίωση, ετήσια αυτοαξιολόγηση |
| Καμία υπάρχουσα δομή | 0% | Όλο το πλαίσιο — 12-18 μήνες υλοποίησης |
Πρακτικό roadmap 12 μηνών
Πολλές επιχειρήσεις παγιδεύονται στη λογική του “one-off project”. Το πρόβλημα όμως είναι ότι η NIS2 απαιτεί συνεχή συμμόρφωση, όχι εφάπαξ έλεγχο. Ένα ρεαλιστικό πλάνο μοιράζεται σε τρεις φάσεις.
- Μήνες 0-2: Gap analysis, εγγραφή στο Μητρώο ΕΑΚ, διορισμός ICSSO, board resolution για budget κυβερνοασφάλειας
- Μήνες 3-6: Policies (access control, backup, incident response), τεχνικές υλοποιήσεις MFA/encryption/EDR, tabletop exercises
- Μήνες 7-12: Ετήσια αυτοαξιολόγηση, τεκμηρίωση evidence, εσωτερικό audit, τριμηνιαία αναφορά στο Δ.Σ.
🔄 Εναλλακτική: Αν η επιχείρησή σου έχει ήδη ώριμο ISO 27001, το roadmap συμπυκνώνεται σε 4-6 μήνες — εστιάζοντας αποκλειστικά στα κενά που αναφέρθηκαν παραπάνω, χωρίς να ξαναχτίσεις όλο το ISMS από το μηδέν.
Πόσο κοστίζει στην πράξη
Μέχρι πρόσφατα, η συζήτηση για το κόστος συμμόρφωσης γινόταν αόριστα. Σήμερα υπάρχουν τρία σαφή μοντέλα υλοποίησης. Μια εσωτερική ομάδα με full-time CISO κοστίζει 200.000-400.000 ευρώ ετησίως και ταιριάζει σε μεγάλες Βασικές Οντότητες. Ένας project-based σύμβουλος για εφάπαξ gap analysis κοστίζει 30.000-80.000 ευρώ, αλλά δεν καλύπτει τη συνεχή συμμόρφωση που απαιτεί ο νόμος. Ένα fractional vCISO σχήμα, στα 30.000-90.000 ευρώ ετησίως, είναι συχνά η ρεαλιστική λύση για Σημαντικές Οντότητες και μεσαίες ελληνικές επιχειρήσεις χωρίς in-house δυνατότητα.
Πρόστιμα και προσωπική ευθύνη
Τα πρόστιμα φτάνουν έως 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου τζίρου για Βασικές Οντότητες, και έως 7 εκατομμύρια ευρώ ή 1,4% για Σημαντικές — ισχύει πάντα το μεγαλύτερο ποσό. Πέρα από τα χρηματικά πρόστιμα, η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να επιβάλει διακοπή λειτουργίας υποδομής, δημοσιοποίηση παραβάσεων και προσωρινή απαγόρευση άσκησης διευθυντικών καθηκόντων σε στελέχη που δεν εποπτεύουν σωστά τα μέτρα διαχείρισης κινδύνου.
Technoid Take: το πιο υποτιμημένο σημείο της NIS2 δεν είναι το πρόστιμο — είναι η προσωπική ευθύνη του Δ.Σ. Ένα διοικητικό συμβούλιο που δεν εγκρίνει, εποπτεύει και εκπαιδεύεται σε κυβερνοασφάλεια δεν κινδυνεύει μόνο με πρόστιμο στην εταιρεία, αλλά με προσωπική απαγόρευση άσκησης καθηκόντων. Αυτό αλλάζει εντελώς τη δυναμική στα boardrooms ελληνικών επιχειρήσεων.
Αν έχεις ήδη ενδιαφέρον για τεχνικές πλευρές της κυβερνοασφάλειας, δες και το ρεπορτάζ μας για το BlueKit phishing kit που εκμεταλλεύεται browser sessions — ένα ρεαλιστικό παράδειγμα του τι προσπαθεί να αποτρέψει το Άρθρο 15. Αντίστοιχα, η πρόσφατη διαρροή 142 εκατομμυρίων emails δείχνει πόσο κρίσιμη είναι η ασφάλεια εφοδιαστικής αλυσίδας που επιβάλλει η NIS2.
Συχνές ερωτήσεις
Ποιες εταιρίες υπάγονται υποχρεωτικά στη NIS2;
Υπάγονται οργανισμοί που δραστηριοποιούνται σε έναν από τους 18 τομείς υψηλής ή άλλης κρισιμότητας (ενέργεια, υγεία, τράπεζες, ψηφιακές υποδομές, μεταφορές) και πληρούν τα κριτήρια μεγέθους — 50+ εργαζόμενοι ή τζίρος άνω των 10 εκατομμυρίων ευρώ. Ορισμένες κατηγορίες, όπως οι πάροχοι DNS και οι τηλεπικοινωνίες, εμπίπτουν ανεξαρτήτως μεγέθους.
Ποια είναι η διαφορά Βασικών και Σημαντικών Οντοτήτων;
Οι Βασικές Οντότητες υπόκεινται σε προληπτική εποπτεία από την ΕΑΚ, δηλαδή μπορούν να ελεγχθούν χωρίς προηγούμενο περιστατικό, και εφαρμόζουν το πλήρες σύνολο ελέγχων της ΚΥΑ 1689/2025. Οι Σημαντικές Οντότητες ελέγχονται κατασταλτικά, κυρίως μετά από ύποπτη παράβαση, και εφαρμόζουν μικρότερο υποσύνολο απαιτήσεων.
Τι είναι ο ICSSO και ποιος πρέπει να τον διορίσει;
Ο ICSSO είναι το στέλεχος που αναλαμβάνει τεχνική και οργανωτική ευθύνη για την κυβερνοασφάλεια της οντότητας. Κάθε υπόχρεη επιχείρηση πρέπει να ορίσει έναν, εσωτερικά ή μέσω εξωτερικού vCISO. Τα καθήκοντά του είναι ασυμβίβαστα με αυτά του DPO — δεν μπορεί να είναι το ίδιο άτομο.
Πόσα είναι τα πρόστιμα της NIS2 στην Ελλάδα;
Για Βασικές Οντότητες, τα πρόστιμα φτάνουν έως 10 εκατομμύρια ευρώ ή 2% του παγκόσμιου τζίρου. Για Σημαντικές Οντότητες, έως 7 εκατομμύρια ευρώ ή 1,4%. Ισχύει πάντα το μεγαλύτερο ποσό, και η ΕΑΚ διαθέτει επιπλέον εξουσίες όπως διακοπή λειτουργίας υποδομής και δημοσιοποίηση παραβάσεων.
Έχασα την προθεσμία εγγραφής στο Μητρώο ΕΑΚ. Τι κάνω τώρα;
Η υποχρέωση δεν εξαφανίζεται επειδή καθυστέρησες. Εγγραφείτε άμεσα στο Μητρώο, τεκμηριώνοντας τους λόγους καθυστέρησης, και ξεκινήστε παράλληλα gap analysis. Η καθυστερημένη αλλά ενεργή συμμόρφωση αντιμετωπίζεται πιο επιεικώς από την πλήρη αδράνεια σε περίπτωση ελέγχου ή περιστατικού.
Η πιστοποίηση ISO 27001 αρκεί για τη NIS2;
Όχι πλήρως, αλλά βοηθά σημαντικά. Ένα ώριμο ISO 27001:2022 καλύπτει περίπου το 65-75% των τεχνικών απαιτήσεων. Λείπουν η εγγραφή στο Μητρώο ΕΑΚ, ο διορισμός ICSSO, τα χρονοδιαγράμματα αναφοράς περιστατικών, η προσωπική ευθύνη Δ.Σ. και οι 17 ελληνικοί overlays.
Πόσο χρόνο χρειάζεται μια επιχείρηση για πλήρη συμμόρφωση;
Για Σημαντική Οντότητα χωρίς προϋπάρχον πρόγραμμα, 9-12 μήνες. Για Βασική Οντότητα χωρίς ώριμο σύστημα διαχείρισης ασφάλειας, 12-18 μήνες. Επιχειρήσεις με υπάρχον ISO 27001 μπορούν να καλύψουν τα ειδικά κενά της NIS2 σε 4-6 μήνες.
Η NIS2 δεν είναι ένας νόμος που θα “ξεθυμάνει” μετά τις πρώτες προσαρμογές της Κομισιόν τον Ιανουάριο του 2026 — αντίθετα, οι τροποποιήσεις που προτάθηκαν επιβεβαιώνουν ότι το πλαίσιο μπαίνει σε φάση εφαρμογής, όχι απλοποίησης. Οι ελληνικές επιχειρήσεις που θα αντιμετωπίσουν τη συμμόρφωση ως στρατηγικό επενδυτικό πλάνο και όχι ως γραφειοκρατικό εμπόδιο, θα βρεθούν σε πλεονεκτική θέση όταν η ΕΑΚ αρχίσει να εντείνει τους ελέγχους το επόμενο δωδεκάμηνο.


