Κανονιστική Συμμόρφωση

Πλαίσια & Πρότυπα Αναφοράς

Δουλεύουμε με όλα τα ισχύοντα ευρωπαϊκά και διεθνή κανονιστικά πλαίσια κυβερνοασφάλειας και προστασίας δεδομένων.

NIS2 Directive

Οδηγία (ΕΕ) 2022/2555 για την κυβερνοασφάλεια κρίσιμων υποδομών στην Ευρωπαϊκή Ένωση. Ενσωματώθηκε στο ελληνικό δίκαιο με τον Ν. 5160/2024.

Επιβάλλει σε «βασικές» και «σημαντικές» οντότητες (όπως νοσοκομεία, πάροχοι ενέργειας, ψηφιακές υποδομές) ενισχυμένες απαιτήσεις κυβερνοασφάλειας:

  • Άρθρο 21: 10 ελάχιστα μέτρα διαχείρισης κινδύνου κυβερνοασφάλειας
  • Άρθρο 23: Υποχρέωση αναφοράς σημαντικών περιστατικών εντός 24 ωρών
  • Άρθρο 20: Ευθύνη και κατάρτιση των διοικητικών οργάνων
  • Άρθρο 24: Χρήση Ευρωπαϊκών σχημάτων πιστοποίησης
  • Διοικητικές κυρώσεις: έως 10 εκατ. € ή 2% παγκόσμιου κύκλου εργασιών
📌 Ελληνική εφαρμογή: Ο Ν. 5160/2024 ορίζει την Εθνική Αρχή Κυβερνοασφάλειας ως αρμόδια αρχή και προβλέπει συγκεκριμένες ΚΥΑ (όπως η ΚΥΑ 1689/2025 για τον τομέα της υγείας) που εξειδικεύουν τα μέτρα ανά κλάδο.

ISO/IEC 27001:2022

Το διεθνές πρότυπο για Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών (ISMS). Η έκδοση του 2022 ανανέωσε σημαντικά τα controls του Παραρτήματος Α:

  • 93 controls οργανωμένα σε 4 θεματικές περιοχές: Organizational, People, Physical, Technological
  • 11 νέα controls για threat intelligence, cloud security, ICT readiness, secure development
  • 5 attribute hashtags για κάθε control (Control type, Information security properties, Cybersecurity concepts, Operational capabilities, Security domains)
  • Πιστοποίηση από διαπιστευμένους φορείς (Annex SL High-Level Structure)

ISO 27799:2016

Εξειδίκευση του ISO 27002 αποκλειστικά για οργανισμούς υγείας. Παρέχει οδηγίες για την προστασία της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πληροφοριών υγείας.

Καλύπτει ιδιαίτερα: ηλεκτρονικό φάκελο ασθενούς, ιατρικές συσκευές, ιατρική απεικόνιση, υπηρεσίες τηλεϊατρικής, διασυνοριακή μεταφορά δεδομένων υγείας.

GDPR — Κανονισμός (ΕΕ) 2016/679

Ο Γενικός Κανονισμός Προστασίας Δεδομένων, με ελληνική εφαρμογή τον Ν. 4624/2019. Κρίσιμος ιδιαίτερα για οργανισμούς υγείας λόγω της επεξεργασίας δεδομένων ειδικών κατηγοριών:

  • Άρθρο 9: Δεδομένα υγείας ως ειδική κατηγορία με αυστηρότερες απαιτήσεις
  • Άρθρο 32: Τεχνικά και οργανωτικά μέτρα ασφαλείας
  • Άρθρο 33-34: Αναφορά παραβιάσεων εντός 72 ωρών
  • Άρθρο 35: Data Protection Impact Assessment (DPIA)
  • Άρθρο 37: Υπεύθυνος Προστασίας Δεδομένων (DPO)
  • Διοικητικά πρόστιμα: έως 20 εκατ. € ή 4% παγκόσμιου κύκλου εργασιών

EU AI Act — Κανονισμός (ΕΕ) 2024/1689

Ο πρώτος στον κόσμο Κανονισμός για την Τεχνητή Νοημοσύνη. Επιβάλλει βαθμωτές υποχρεώσεις ανάλογα με τον κίνδυνο του συστήματος AI:

  • Απαγορευμένες πρακτικές (Άρθρο 5): social scoring, manipulative AI, real-time biometric ID
  • Υψηλού κινδύνου συστήματα (Παράρτημα ΙΙΙ): πολλά συστήματα στην υγεία, εκπαίδευση, απασχόληση
  • Υποχρεώσεις διαφάνειας για συστήματα περιορισμένου κινδύνου
  • General-Purpose AI Models: νέες υποχρεώσεις για foundation models
  • Διοικητικά πρόστιμα: έως 35 εκατ. € ή 7% παγκόσμιου κύκλου εργασιών
⏰ Χρονοδιάγραμμα εφαρμογής AI Act: Απαγορεύσεις από Φεβρουάριο 2025, GPAI υποχρεώσεις από Αύγουστο 2025, υψηλού κινδύνου από Αύγουστο 2026, πλήρης εφαρμογή Αύγουστο 2027.

IEC 62443

Διεθνές πρότυπο για ασφάλεια βιομηχανικών συστημάτων ελέγχου (ICS/OT). Εφαρμόζεται σε SCADA, PLC, και βιομηχανικά IoT συστήματα. Κρίσιμο για:

  • Βιομηχανικές εγκαταστάσεις
  • Ενεργειακές υποδομές
  • Συστήματα κτιριακού αυτοματισμού (BMS) σε νοσοκομεία και ξενοδοχεία
  • IoMT συσκευές με βιομηχανικά πρωτόκολλα

MDR — Medical Device Regulation 2017/745

Ευρωπαϊκός Κανονισμός για τα ιατροτεχνολογικά προϊόντα. Επηρεάζει σημαντικά τα ιατρικά λογισμικά (Software as Medical Device, SaMD) και τις IoMT συσκευές:

  • Νέα κατηγοριοποίηση κινδύνου για SaMD
  • Υποχρέωση κυβερνοασφάλειας ως μέρος του σχεδιασμού
  • Σύνδεση με FDA Premarket Cybersecurity Guidance 2023
  • UDI (Unique Device Identification) για ιχνηλασιμότητα

ENISA Healthcare Cybersecurity Guidelines

Οι κατευθυντήριες γραμμές του European Union Agency for Cybersecurity (ENISA) ειδικά για τον τομέα της υγείας:

  • Procurement Guidelines for Cybersecurity in Hospitals (2020)
  • Cloud Security for Healthcare Services (2021)
  • Cybersecurity Threat Landscape Health Sector
  • Good practices για IoMT, ηλεκτρονικό φάκελο, ιατρική απεικόνιση

HL7 FHIR & DICOM

Διεθνή πρότυπα διαλειτουργικότητας στον τομέα της υγείας με σημαντικές διαστάσεις κυβερνοασφάλειας:

  • HL7 FHIR: RESTful API standard για ηλεκτρονικά αρχεία υγείας με ενσωματωμένα security profiles (SMART on FHIR)
  • DICOM: Πρότυπο ιατρικής απεικόνισης με ειδικές απαιτήσεις ασφαλείας για PACS και RIS συστήματα

NIST Cybersecurity Framework 2.0

Πλαίσιο του NIST των ΗΠΑ, ευρέως υιοθετημένο διεθνώς. Η έκδοση 2.0 (2024) πρόσθεσε νέα λειτουργία Govern δίπλα στα προηγούμενα Identify, Protect, Detect, Respond, Recover.

NIST SP 800-66 Rev. 2

Implementing the HIPAA Security Rule — εξειδικευμένη καθοδήγηση για κυβερνοασφάλεια στον τομέα της υγείας. Παρόλο που η HIPAA είναι κανονισμός των ΗΠΑ, οι τεχνικές κατευθυντήριες αξιοποιούνται διεθνώς ως βέλτιστες πρακτικές.

Μεθοδολογία πολυπλαισιακής συμμόρφωσης

Στις περισσότερες περιπτώσεις, οι οργανισμοί δεν χρειάζεται να συμμορφωθούν με ένα μόνο πλαίσιο, αλλά με πολλά ταυτόχρονα. Για παράδειγμα, ένα ελληνικό νοσοκομείο πρέπει να συμμορφώνεται ταυτόχρονα με NIS2/Ν. 5160, GDPR, ISO 27799, MDR (για συσκευές) και AI Act (για AI συστήματα).

Η μεθοδολογία μας ακολουθεί προσέγγιση «ενιαίο πλαίσιο controls»:

  1. Mapping των απαιτήσεων όλων των πλαισίων σε κοινό catalog controls
  2. Gap analysis έναντι του ενιαίου catalog
  3. Priority-based υλοποίηση που καλύπτει ταυτόχρονα πολλά πλαίσια
  4. Single source of truth για audits και πιστοποιήσεις

Αυτή η προσέγγιση εξοικονομεί σημαντικά χρόνο και πόρους σε σύγκριση με την παράλληλη συμμόρφωση πλαίσιο-προς-πλαίσιο.

Χρειάζεστε συμμόρφωση σε ένα ή περισσότερα πλαίσια;

Ξεκινάμε με μια αξιολόγηση τρέχουσας κατάστασης και προτείνουμε στοχευμένο σχέδιο εφαρμογής.

Προγραμματίστε αξιολόγηση →