CyFun 2025 & τα 17 Greek Overlays: Τι πραγματικά απαιτεί η ΚΥΑ 1689/2025

Το CyFun (CyberFundamentals) είναι το τεχνικό control framework του Βελγίου — που το ελληνικό κράτος υιοθέτησε ως βάση για το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας. Η ΚΥΑ 1689/2025 ωστόσο δεν είναι απλό "CyFun μεταφρασμένο στα ελληνικά": προσθέτει 17 ελληνικά overlays που αντικατοπτρίζουν ιδιαιτερότητες του ελληνικού νομικού και διοικητικού συστήματος. Αυτός ο οδηγός εξηγεί τι είναι, γιατί υπάρχουν, και τι σημαίνουν για τη συμμόρφωσή σας.

Τι είναι το CyFun 2025 και γιατί υιοθετήθηκε στην Ελλάδα

Το CyberFundamentals Framework αναπτύχθηκε από το Centre for Cybersecurity Belgium (CCB) και βρίσκεται σε φάση CyFun 2025, ευθυγραμμισμένη με NIST CSF 2.0. Είναι ένα τεχνικό control framework, όχι πλήρες management system standard — δηλαδή παρέχει controls, όχι διαδικασίες διακυβέρνησης όπως κάνει το ISO 27001.

Η Ελλάδα με την ΚΥΑ 1689/2025 (ΦΕΚ Β' 2186/06.05.2025) υιοθέτησε το CyFun ως το τεχνικό μέρος του Εθνικού Πλαισίου Απαιτήσεων Κυβερνοασφάλειας, προσθέτοντας ελληνικά overlays. Η CyFun επεκτάθηκε σε συνεργασία με το Βέλγιο, την Ιρλανδία και τη Ρουμανία — η Πορτογαλία είναι σε διαδικασία ένταξης.

Τα 3 Επίπεδα Ωριμότητας: Basic, Important, Essential

Το CyFun ορίζει τρία επίπεδα ωριμότητας, με διαφορετικό αριθμό controls στο καθένα:

Basic (60 controls): Θεμελιώδη μέτρα κυβερνοϋγιεινής που πρέπει να εφαρμόζουν όλοι.
Important (130 controls): Επεκτείνει το Basic για οργανισμούς με μεσαίο κίνδυνο ή αυξημένη εκτεθειμένη επιφάνεια.
Essential (213 controls): Πλήρες set controls για οντότητες υψηλής κρισιμότητας.

Cumulative Level Logic — το κρίσιμο σημείο

Η ΚΥΑ 1689/2025 ορίζει ότι η εφαρμογή είναι cumulative. Αυτό σημαίνει:

Οντότητες χαρακτηρισμένες ως Basic εφαρμόζουν τα 60 Basic controls.
Οντότητες χαρακτηρισμένες ως Important εφαρμόζουν Basic + Important = 130 controls.
Οντότητες χαρακτηρισμένες ως Essential εφαρμόζουν Basic + Important + Essential = 213 controls.
Όλες οι οντότητες επιπλέον εφαρμόζουν και τα 17 ελληνικά overlays — ανεξαρτήτως επιπέδου.

Στο πλήρες Essential level: 213 + 17 = 230 controls.

⚠️ Συχνή Παρανόηση

Πολλοί υπεύθυνοι συμμόρφωσης νομίζουν ότι το Important level περιλαμβάνει μόνο τα 70 νέα controls που προστίθενται σε σχέση με το Basic. Λάθος. Η Important οντότητα εφαρμόζει ΚΑΙ τα 60 Basic ΚΑΙ τα επιπλέον 70 Important = σύνολο 130 controls.

Τα 17 Greek Overlays — τι προστίθεται

Τα Greek overlays (πρόθεμα GR-) καλύπτουν απαιτήσεις του ελληνικού νομικού και διοικητικού πλαισίου που δεν προκύπτουν ευθέως από το γενικό CyFun. Εδώ είναι τα 17 (με σύντομη περιγραφή):

GR-01: Registration στο Μητρώο Φορέων-Υπόχρεων της ΕΑΚ (απαίτηση ΚΥΑ 1645/2025).
GR-02: Διορισμός ICSSO (Information and Communication Systems Security Officer) με επίσημη γνωστοποίηση στην ΕΑΚ.
GR-03: Γνωστοποίηση αλλαγών στον ICSSO στην ΕΑΚ εντός 30 ημερών.
GR-04: Formal board approval των μέτρων κυβερνοασφάλειας (Άρθρο 15 Ν.5160/2024).
GR-05: Υποβολή πολιτικής κυβερνοασφάλειας στην ΕΑΚ.
GR-06: 24ωρο early warning για σημαντικά περιστατικά.
GR-07: 72ωρη πλήρης γνωστοποίηση περιστατικού.
GR-08: Τελική έκθεση εντός 1 μηνός.
GR-09: Πλήρες μητρώο ICT assets με κρισιμότητα.
GR-10: Ετήσια review risk assessment.
GR-11: Τακτικά penetration tests (συχνότητα ανάλογη επιπέδου).
GR-12: Formal εκπαίδευση κυβερνοασφάλειας για μέλη ΔΣ.
GR-13: Συμβατικές υποχρεώσεις ασφάλειας με κρίσιμους προμηθευτές.
GR-14: Compliance declaration στην ΕΑΚ.
GR-15: Διατήρηση logs για συγκεκριμένο χρονικό διάστημα.
GR-16: Secure software development lifecycle για in-house ανάπτυξη.
GR-17: Business continuity plan με RTO/RPO targets.

Σημείωση: Η ακριβής αρίθμηση και περιγραφή κάθε overlay βρίσκεται στο κείμενο της ΚΥΑ 1689/2025. Οι παραπάνω περιγραφές είναι συνοπτικές και χρησιμεύουν για orientation — στη φάση εφαρμογής απαιτείται αναφορά στο πλήρες κανονιστικό κείμενο.

Κατηγοριοποίηση των Overlays

Αν παρατηρήσετε, τα 17 overlays πέφτουν σε 4 λειτουργικές κατηγορίες:

Registration & Governance (GR-01 έως GR-05): Υποχρεώσεις διοικητικής εγγραφής και διοικητικής ευθύνης. Αυτά έπρεπε να έχουν ολοκληρωθεί πριν την 30 Σεπτεμβρίου 2025.
Incident Reporting (GR-06 έως GR-08): Οι τρεις προθεσμίες (24h/72h/1m) που αντιστοιχούν στο Άρθρο 23 της NIS2.
Risk & Technical Controls (GR-09 έως GR-11, GR-15, GR-16): Τεχνικές απαιτήσεις που επικαλύπτονται με ISO 27001 controls.
Supply Chain & Continuity (GR-13, GR-17): Ευθυγράμμιση με τα NIS2 Άρθρα 21(2)(d) και business continuity requirements.
Board & Declaration (GR-12, GR-14): Προσωπική ευθύνη διοίκησης.

Συνηθισμένα Λάθη Εφαρμογής

Έναρξη από το πιο εύκολο: Πολλοί ξεκινούν με τα τεχνικά controls (GR-09, GR-10). Σωστή σειρά: Πρώτα GR-01 έως GR-05 (registration & governance), γιατί χωρίς ICSSO και board approval δεν μπορείτε να τεκμηριώσετε τα υπόλοιπα.
Θεώρηση CyFun ως NIS2 compliance: Τα 213 CyFun controls + 17 overlays καλύπτουν το τεχνικό κομμάτι. Αλλά η NIS2 compliance περιλαμβάνει και registration acts, board resolutions, ICSSO appointment, incident notification readiness, supply chain contract execution. Αυτά υπάρχουν στα overlays, αλλά χρειάζεται να εφαρμοστούν στην πράξη.
Copy-paste από ISO 27001: Ακόμα και αν έχετε ISO 27001, τα overlays απαιτούν ελληνικές-specific διαδικασίες (π.χ. υποβολή σε ΕΑΚ, formal διορισμός ICSSO με συγκεκριμένες αρμοδιότητες). Δεν είναι "αυτόματα καλυμμένα".
Μη-τεκμηριωμένο risk-based tailoring: Για Important entities, η ΕΑΚ αναμένει τεκμηριωμένο reasoning για τον τρόπο εφαρμογής (scope, implementation intensity). Δεν αρκεί να πείτε "εφαρμόσαμε το control 3.1" — χρειάζεται evidence.
Αμέλεια deadlines: 18 Απριλίου 2026 — πρώτη υποβολή assurance (CyFun Basic/Important ή ISO 27001 SoA). 18 Απριλίου 2027 — full conformity assessment για Essential entities.

Υλοποίηση Βήμα-Βήμα

Scope Determination: Επιβεβαίωση πεδίου εφαρμογής. Essential ή Important; Τομέας υψηλής κρισιμότητας ή άλλος κρίσιμος τομέας; (Βάσει Άρθρου 3 Ν.5160/2024 και Παραρτημάτων.)
Μητρώο Φορέων-Υπόχρεων (GR-01): Πλήρης εγγραφή στο Μητρώο της ΕΑΚ με όλα τα απαιτούμενα στοιχεία.
ICSSO Appointment (GR-02): Διορισμός με επίσημη γνωστοποίηση — μπορεί να είναι εσωτερικός ή εξωτερικός (vCISO/ICSSO-as-a-service).
Board Resolution (GR-04): Formal απόφαση ΔΣ για έγκριση μέτρων κυβερνοασφάλειας.
Gap Assessment: Χαρτογράφηση τρέχουσας κατάστασης έναντι των 130 ή 213 controls + 17 overlays.
Implementation Plan: Roadmap εφαρμογής με προτεραιοποίηση (compliance-deadline-driven).
Evidence Collection: Συστηματική συλλογή τεκμηρίωσης για κάθε control.
Self-Assessment (CyFun Self-Assessment Excel Tool): Συμπληρώνεται ετησίως, διαθέσιμο στο www.cyfun.be.
Submission στην ΕΑΚ: Βάσει timeline (Basic/Important μέχρι 18/4/2026, Essential μέχρι 18/4/2027).

Συχνές Ερωτήσεις

Πρέπει να επιλέξω μεταξύ CyFun και ISO 27001;

Η ΕΑΚ αποδέχεται και τα δύο ως path για assurance submission. Το ISO 27001 είναι πιο αναγνωρισμένο διεθνώς και προσφέρει commercial value (B2B contracts). Το CyFun είναι πιο εξειδικευμένο για NIS2 και δωρεάν. Πολλοί οργανισμοί συνδυάζουν: ISO 27001 για overall ISMS + CyFun Essential για τεχνικά controls.

Υπάρχει προσωπικό CyFun certification;

Όχι στα αγγλικά. Το CCB πιστοποιεί οργανισμούς, όχι άτομα. Εκπαίδευση προσωπικού γίνεται μέσω CCB-approved training providers ή μέσω γνώσης στο πλαίσιο NIS2 Lead Implementer courses (Βέλγιο, με PECB ή B2B Learning).

Πόσο κοστίζει η εφαρμογή;

Μεγάλη διακύμανση ανάλογα ωριμότητας. Για Important-level ελληνική ΜΜΕ: €20.000-€50.000 initial implementation. Για Essential-level μεγαλύτερο οργανισμό: €50.000-€150.000. Συντήρηση: 15-20% του initial κόστους ετησίως.

Τα Annex overlays πρέπει να είναι σε κάθε SoA;

Ναι. Σε αντίθεση με ISO 27001 Annex A όπου μπορείτε να exclude controls με αιτιολόγηση, τα 17 Greek overlays είναι υποχρεωτικά για όλες τις υπόχρεες οντότητες ανεξάρτητα επιπέδου. Το scoping αφορά τον τρόπο εφαρμογής, όχι αν εφαρμόζονται.