Cybersecurity για ναυτιλιακές, λιμάνια & ακτοπλοΐα: NIS2 + IMO 2021 πρακτικός οδηγός

Το 2025 τα καταγεγραμμένα maritime cyber incidents έφτασαν τα 828 — αύξηση +103% σε έναν χρόνο. Τα ransomware διπλασιάστηκαν στα 372. Οι επιθέσεις σε OT (operational technology) αυξήθηκαν +150%. Και το ίδιο χρονικό διάστημα, η MSC Antonia προσάραξε στην Ερυθρά Θάλασσα τον Μάιο εξαιτίας GPS spoofing — μία από τις περίπου 1.000 GPS διαταραχές την ημέρα που πλέον επηρεάζουν 40.000+ πλοία παγκοσμίως. Για την ελληνική ναυτιλία — που ελέγχει το ~21% του παγκόσμιου στόλου — αυτό δεν είναι θεωρία. Είναι το επιχειρησιακό περιβάλλον του 2026.

+103%

Cyber incidents 2025

+150%

OT επιθέσεις

372

Ransomware cases

1.000/ημ.

GPS spoofing events

Γιατί τώρα: ένα σύντομο timeline που εξηγεί τα πάντα

Δεν χρειάζεται κανείς να δημιουργήσει drama για τη ναυτιλιακή κυβερνοασφάλεια — η πραγματικότητα είναι πολύ πιο σοβαρή από οποιαδήποτε υπερβολή του marketing. Ένας στοιχειώδης κατάλογος των τελευταίων δέκα ετών αρκεί για να καταλάβει κανείς τι δεν επιτρέπει πλέον το status quo:

Ιούνιος 2017 — Maersk / NotPetya: ολική κατάρρευση IT στη μεγαλύτερη container shipping εταιρεία του κόσμου. Τέθηκαν εκτός λειτουργίας 4.000 servers, 45.000 PCs και 2.500 εφαρμογές μέσα σε λίγες ώρες — και χρειάστηκαν περίπου δύο εβδομάδες για ολική επαναφορά.
Ιούλιος 2018 — COSCO Shipping Lines (Long Beach): ransomware έκλεισε τα τερματικά της COSCO στις ΗΠΑ· οι πράκτορες έκαναν booking μέσω Yahoo email για μέρες.
Σεπτέμβριος 2022 — Port of Lisbon: ransomware (LockBit) με δημοσιοποίηση δεδομένων σε leak site και διαπραγμάτευση που τράβηξε εβδομάδες.
Ιούλιος 2023 — Port of Nagoya: LockBit ransomware έκλεισε για 3 ημέρες το πιο πολυσύχναστο λιμάνι της Ιαπωνίας. Toyota σταμάτησε εξαγωγές.
Νοέμβριος 2023 — DP World Australia: ποσοστό λειτουργίας τέταρτης τάξης ακινητοποιήθηκε για 4 ημέρες. Σταμάτησαν τα γερανογέφυρα — με ντόμινο σε ολόκληρη την εφοδιαστική αλυσίδα της χώρας.
Μάιος 2025 — MSC Antonia (Ερυθρά Θάλασσα): προσάραξη μετά από GPS spoofing — ορόσημο, γιατί καμία απλή IT διαταραχή δεν είχε ποτέ ξανά κινητικό αντίκτυπο τέτοιου μεγέθους.

Το μοτίβο είναι σαφές: κάθε λίγους μήνες, ένας μεγάλος πάροχος μεταφορών χάνει είτε διαθεσιμότητα συστημάτων, είτε ακεραιότητα δεδομένων ναυσιπλοΐας, είτε και τα δύο. Στο μεταξύ, οι ρυθμιστικές αρχές αντέδρασαν με δύο παράλληλα πλαίσια — ένα ευρωπαϊκό (NIS2) και ένα διεθνές (IMO MSC.428(98)) — που κάθε ελληνικός maritime operator πρέπει σήμερα να μπορεί να συντονίζει.

NIS2: ποιοι ελληνικοί ναυτιλιακοί φορείς υπόκεινται

Η Οδηγία (ΕΕ) 2022/2555 (NIS2), όπως ενσωματώθηκε στην Ελλάδα με τον Νόμο 5160/2024, αναγνωρίζει ρητά τις θαλάσσιες μεταφορές ως κρίσιμο τομέα. Στο Παράρτημα Ι (Τομείς Υψηλής Κρισιμότητας), η ναυτιλία εμπίπτει στην ενότητα "Μεταφορές — Πλωτή Μεταφορά" και καλύπτει τέσσερις βασικές κατηγορίες οντοτήτων:

Επιχειρήσεις θαλάσσιων & παράκτιων μεταφορών επιβατών και εμπορευμάτων — δηλαδή πρακτικά κάθε εταιρεία shipping (tankers, bulk, container, RoRo) και οι ακτοπλοϊκές (Attica Group, Minoan, Anek, Blue Star, SeaJets, Levante, Aegean Speed Lines κ.ά.).
Φορείς διαχείρισης λιμένων και οι λιμενικές αρχές (port authorities) — π.χ. ΟΛΠ Α.Ε. (Πειραιάς), ΟΛΘ Α.Ε. (Θεσσαλονίκη), Οργανισμός Λιμένος Ηρακλείου, Πατρών, Βόλου, καθώς και οι 12 Δημοτικοί Λιμενικοί Οργανισμοί.
Διαχειριστές υπηρεσιών κυκλοφορίας πλοίων (VTS) — η Διεύθυνση Υπηρεσιών Διοίκησης Κίνησης Πλοίων του Λιμενικού Σώματος και τοπικές VTS εγκαταστάσεις.
Πάροχοι υπηρεσιών logistics στους λιμένες (terminal operators, freight forwarders με κρίσιμη συμβολή στην εφοδιαστική αλυσίδα).

Η κατάταξη ως Βασική ή Σημαντική οντότητα γίνεται με τα κριτήρια του άρθρου 3 του Ν. 5160/2024 (μέγεθος + κρισιμότητα). Στην πράξη: όλα τα μεγάλα λιμάνια και κάθε ναυτιλιακή ή ακτοπλοϊκή εταιρεία ≥250 εργαζομένων ή ≥50 εκατ. ευρώ τζίρο κατατάσσεται ως Βασική Οντότητα. Οι μικρότερες (50-249 εργαζόμενοι) ως Σημαντικές. Πρόκειται για ένα τοπίο στο οποίο σχεδόν κανείς ελληνικός παίκτης μεγέθους δεν εξαιρείται.

⚖️ Νομική Αναφορά

Ν. 5160/2024 (ΦΕΚ Α' 195/2024), Παράρτημα Ι §6 — Πλωτές μεταφορές. ΚΥΑ 1689/2025 (ΦΕΚ Β' 2186/06.05.2025) — Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας. Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ): φορέας εποπτείας τομέα μεταφορών.

IMO MSC.428(98): η παράλληλη υποχρέωση που υπάρχει ήδη από το 2021

Πριν καν φτάσουμε στη NIS2, κάθε ελληνική ναυτιλιακή εταιρεία υπόκειται από 1η Ιανουαρίου 2021 στο IMO Resolution MSC.428(98). Πρόκειται για απόφαση της Maritime Safety Committee του IMO που υιοθετήθηκε στις 16 Ιουνίου 2017 και υποχρεώνει την ενσωμάτωση cyber risk management μέσα στο Safety Management System (SMS) κάθε εταιρείας, σύμφωνα με τον ISM Code.

Πιο συγκεκριμένα: στο πρώτο annual verification του Document of Compliance (DOC) μετά την 1/1/2021, η εταιρεία πρέπει να αποδείξει στη flag state administration ότι:

έχει εκτελέσει cyber risk assessment για τα συστήματα της εταιρείας και των πλοίων της,
έχει ενσωματώσει τα cyber controls στο υπάρχον SMS (όχι σε ξεχωριστό σύστημα),
διαθέτει διαδικασίες response/recovery για cyber incidents που θα μπορούσαν να επηρεάσουν την ασφάλεια ναυσιπλοΐας ή το περιβάλλον.

Η Ένωση Ελλήνων Εφοπλιστών έχει ήδη απευθύνει σχετικές οδηγίες· τα νηογνώμονες (DNV, ABS, Bureau Veritas, Lloyd's Register, RINA, ClassNK) ελέγχουν συμμόρφωση κατά τα ISM audits. Όποια εταιρεία απέτυχε σε αυτά τα audits μετά τον Ιανουάριο 2021 ξέρει: κανένας λιμενικός σταθμός σοβαρής σημαίας δεν δίνει clearance χωρίς έγκυρο DOC.

💡 Σημαντικό

Το IMO 2021 δεν είναι "αντί" της NIS2 — είναι επιπλέον. Κάθε ελληνικό shipping operator έχει σήμερα δύο παράλληλες ροές αναφοράς: μία προς τη flag state αρχή για το ISM audit, και μία προς την ΕΑΚ για τη NIS2. Σχεδιάστε ένα ενιαίο control framework — όχι δύο αποσπασματικά.

Το πραγματικό compliance stack ενός ελληνικού maritime operator

Στην πράξη, η συμμόρφωση δεν είναι μία υποχρέωση — είναι πέντε. Ένας πλήρης ελληνικός operator πρέπει να συντονίζει ταυτόχρονα:

NIS2 / Ν. 5160/2024 + ΚΥΑ 1689/2025 — τεχνικά & οργανωτικά μέτρα, incident reporting 24h/72h/1 μήνα, εγγραφή στο Μητρώο της ΕΑΚ.
IMO MSC.428(98) + ISM Code — cyber risk integration στο SMS, ετήσια ISM audits από flag state ή νηογνώμονα.
ISPS Code (SOLAS Chapter XI-2) — physical & access security, Ship Security Officer (SSO), Port Facility Security Officer (PFSO), Port Facility Security Plan (PFSP). Η σχέση με το cyber: το physical security τμήμα δεν λύνει το cyber, αλλά οι πολιτικές πρόσβασης πρέπει να ευθυγραμμιστούν.
GDPR / Κανονισμός 2016/679 — ιδιαίτερα κρίσιμο για ακτοπλοϊκές και cruise (μαζική επεξεργασία επιβατικών δεδομένων: PNR, κρατήσεις, βιντεοεπιτήρηση πλοίου, κάμερες λιμένα).
ENISA Port Cybersecurity Good Practices και τα IACS UR E26/E27 (Unified Requirements για cyber resilience νεότευκτων από 1/7/2024) — δεν είναι νόμος, αλλά τα νηογνώμονες τα εφαρμόζουν για classification.

Όπου πραγματικά κερδίζει χρόνο και χρήμα ένας ώριμος operator, είναι όταν ένα ISO 27001:2022 ISMS γίνεται ο ενιαίος "κορμός" κάτω από τον οποίο αρθρώνονται όλα τα παραπάνω. Ένα σωστά μελετημένο statement of applicability μπορεί να καλύψει το 70-80% των απαιτήσεων NIS2 και να παράσχει σχεδόν όλο το evidence base που χρειάζεται για το ISM cyber audit. Ο σχεδιασμός αυτός είναι κρίσιμος και αξίζει χωριστής συζήτησης.

Τα 5 πραγματικά attack vectors που πρέπει να σχεδιάσετε αμυντικά

Ένα από τα συχνά λάθη που βλέπω σε εφοπλιστικές εταιρείες και port operators είναι η μεταφορά γενικού "best-practice" cyber προγράμματος από άλλο sector. Η ναυτιλία έχει τα δικά της, πολύ συγκεκριμένα διανύσματα επίθεσης. Με βάση τα 828 incidents του 2025, οι πέντε επικρατούσες κατηγορίες είναι:

1. Ransomware σε shore IT (TOS, ERP, email)

Το πιο επικίνδυνο σενάριο σήμερα: ransomware που χτυπά το Terminal Operating System (TOS) ενός λιμένα — Navis N4, RBS Tideworks, ή την υποδομή ERP (SAP, Oracle) και Active Directory των κεντρικών γραφείων εφοπλιστικής. Στο DP World Australia 2023 και Port of Nagoya 2023 αυτό ήταν το ακριβές παρόν. Σταματούν τα γερανογέφυρα, οι RTGs, το booking, η τιμολόγηση. Το shore-side IT είναι το soft underbelly της ναυτιλίας — όχι το πλοίο.

2. GPS & AIS spoofing/jamming

Η περίπτωση MSC Antonia τον Μάιο 2025 ανέδειξε αυτό που οι ναυτικοί ξέρουν εδώ και χρόνια: σε ζώνες όπως η Ερυθρά Θάλασσα, ο Περσικός Κόλπος, η ΝΑ Μεσόγειος και η Μαύρη Θάλασσα, το GPS spoofing είναι καθημερινό. AIS positions πλοίων εμφανίζονται σε χερσαίες περιοχές, γίνονται "ghost ships" στις βάσεις δεδομένων του AIS. Δεν είναι θεωρητικό: παραβιάζει το ISM Code (ασφάλεια ναυσιπλοΐας) και απαιτεί positional integrity SOPs — εκπαίδευση πληρώματος για cross-checking με Loran/eLoran/celestial/visual fix.

3. ECDIS & bridge systems exploitation

Το ECDIS (Electronic Chart Display and Information System) είναι ο εγκέφαλος της σύγχρονης γέφυρας. Τα περισσότερα τρέχουν Windows XP/7 χωρίς patches. Ένα μολυσμένο USB από τον remote pilot ή από ENC update κακόβουλης προέλευσης μπορεί να αλλοιώσει χάρτες, depth contours ή navigation alarms. Το θέμα δεν είναι θεωρητικό — οι US Coast Guard alerts (2019, 2021, 2024) έχουν ήδη τεκμηριώσει συγκεκριμένα ECDIS exploits.

4. Port Community Systems (PCS) & EDI breaches

Τα Port Community Systems διαμοιράζουν δεδομένα ανάμεσα σε δεκάδες παίκτες (τελωνείο, πλοιοπρακτορεία, σιδηροδρομικοί, οδικοί μεταφορείς, ναυτιλιακές, freight forwarders). Στον Πειραιά, στη Θεσσαλονίκη και διεθνώς (Antwerp 2018-2020 narcotics smuggling case μέσω παραβίασης PCS). Είναι single point of failure τόσο για τη διαθεσιμότητα όσο και για την εμπιστευτικότητα, με αμέτρητα 3rd party connectors.

5. Supply chain & ship-to-shore επικοινωνίες

Οι σύγχρονοι στόλοι έχουν 50-100+ τρίτους με remote access: navigation software vendors, engine manufacturers (MAN, Wärtsilä), VSAT providers, charter operations platforms, weather routing services. Μία compromised supplier μπορεί να ανοίξει lateral movement σε όλο τον στόλο. Το άρθρο 21 παρ. 2(δ) NIS2 το απαιτεί ρητά: "ασφάλεια στις σχέσεις με τους άμεσους προμηθευτές ή παρόχους υπηρεσιών".

Ο κρίσιμος διαχωρισμός IT vs OT — γιατί δεν σώζει ένα IT firewall

Σε ένα σύγχρονο πλοίο και σε ένα σύγχρονο λιμάνι, τα συστήματα χωρίζονται σε δύο κόσμους που δεν λειτουργούν με τους ίδιους κανόνες:

Διάσταση	IT (Information Technology)	OT (Operational Technology)
Παραδείγματα	ERP, email, CRM, fleet management, TOS, billing	ECDIS, AIS, propulsion control, ballast water, container cranes (RTG/STS), engine monitoring (CMS)
Lifecycle	3-5 χρόνια	15-25 χρόνια (ένα πλοίο)
Patching	Μηνιαίο, αυτοματοποιημένο	Σπάνιο — απαιτεί dry-dock ή planned downtime
Προτεραιότητα	Confidentiality > Integrity > Availability	Safety > Availability > Integrity > Confidentiality
Πρότυπα	ISO 27001, NIST CSF	IEC 62443, IACS UR E26/E27
Συνέπεια αποτυχίας	Διαθεσιμότητα δεδομένων	Ανθρώπινες ζωές, περιβάλλον, ολική απώλεια πλοίου

Μία κοινή σύγχυση: επειδή το IT firewall του γραφείου είναι "τέλειο", το πλοίο νομίζεται ασφαλές. Ψέμα. Το shipboard network συνδέεται στο shore IT μέσω VSAT. Όταν το shore πέφτει σε ransomware, το malware μπορεί να φτάσει στο πλοίο μέσω synchronised file-shares ή authenticated VPN, και να κατεβεί από τον bridge laptop στο OT segment μέσα από κακώς segmented switch. Το ζητούμενο είναι defense in depth με DMZs, unidirectional gateways (data diodes) όπου χρειάζεται, και ξεκάθαρη IT/OT οριοθέτηση κατά IEC 62443.

Πίνακας συσχέτισης: NIS2 ↔ IMO MSC.428(98) ↔ ISO 27001:2022

Όταν σχεδιάζεται ένα ενιαίο πρόγραμμα, χρήσιμο είναι το mapping. Η παρακάτω αντιστοίχιση δεν είναι εξαντλητική, αλλά καλύπτει τις βασικές περιοχές που τα audit κοιτούν πρώτα:

Περιοχή	NIS2 / Ν.5160/2024	IMO MSC.428(98) / BIMCO Guidelines	ISO 27001:2022
Risk management	Άρ. 21 §2(α)	SMS risk assessment	Clause 6.1, 8.2 / A.5.7
Incident handling	Άρ. 21 §2(β), Άρ. 23	SMS emergency procedures	A.5.24-5.30
Business continuity	Άρ. 21 §2(γ)	SMS contingency planning	A.5.29, A.5.30
Supply chain	Άρ. 21 §2(δ)	BIMCO Guidelines §4 (3rd parties)	A.5.19-5.23
Access control	Άρ. 21 §2(ε)	BIMCO §3.4 (access)	A.5.15-5.18, A.8.2-8.5
Cryptography & comms	Άρ. 21 §2(στ)	BIMCO §3.5 (comms)	A.8.24, A.8.20-8.22
HR / Awareness	Άρ. 21 §2(ζ), Άρ. 20	SMS training, ISM familiarisation	A.6.3, A.6.4
Physical security	Άρ. 21 §2(η)	ISPS Code (SOLAS XI-2)	A.7.1-7.14
Incident reporting	Άρ. 23 (24h/72h/1m)	Flag state notification (ISM)	A.5.24-5.25

Μην το διαβάσετε ως "table copy-paste". Διαβάστε το ως ένα μήνυμα: τα ίδια controls καλύπτουν πολλές υποχρεώσεις. Σχεδιάστε μια φορά. Καταγράψτε σωστά. Παρουσιάστε σε τρία διαφορετικά audits.

Πρακτικό 90-ήμερο quick-start playbook

Δεν θα προσφέρω ένα ακόμα 18μηνο "transformation roadmap" — η εμπειρία λέει ότι αν δεν έχει γίνει σοβαρή κίνηση τους πρώτους 3 μήνες, μάλλον δεν θα γίνει ποτέ. Παρακάτω ένα συμπυκνωμένο playbook που ταιριάζει σε εφοπλιστική ή port operator που ξεκινά τώρα:

Ημέρες 1–30: Διαπίστωση πραγματικής κατάστασης

Εγγραφή στο Μητρώο Φορέων-Υπόχρεων της ΕΑΚ (αν δεν έχει γίνει).
Διορισμός υπεύθυνου ασφάλειας (ICSSO κατά Ν. 5160/2024) — μπορεί να συνδυαστεί με DPA όπου εφαρμόζεται.
Asset inventory: shore IT + shipboard IT + shipboard OT (ECDIS, AIS, GPS, ECR/CMS, ballast water, propulsion). Καμία απόφαση δεν παίρνεται χωρίς αυτό.
Gap analysis: NIS2 + IMO MSC.428(98) + ISPS — με αναφορά στις 9 κατηγορίες της ΚΥΑ 1689/2025.
Tabletop exercise σε σενάριο ransomware σε TOS ή GPS spoofing — βιωματικό learning αντί για το "διαβάστε το policy".

Ημέρες 31–60: Quick wins

MFA σε όλους τους κρίσιμους λογαριασμούς (email admin, VPN, fleet management, TOS administrators, νηολόγιο portals).
EDR/XDR σε shore endpoints. Σε shipboard, τουλάχιστον antivirus με offline updates.
Εξέταση 3rd party συμβάσεων: incident notification clauses, audit rights, sub-processors register.
Cyber-aware ναυτικοί: 90-λέπτου session για bridge officers σε GPS/AIS spoofing recognition και USB hygiene στο ECDIS.
Backups: 3-2-1 για TOS & ERP, με offline restore test.

Ημέρες 61–90: Δομή που μένει

Information Security Policy εγκεκριμένη από ΔΣ (NIS2 Άρθρο 20 — προσωπική ευθύνη).
Incident response plan με αναφορά σε ΕΑΚ 24h/72h/1μ + flag state ISM notification.
IT/OT segmentation review: VLANs, DMZs μεταξύ shore↔ship, firewall rule audits.
Ξεκίνημα ενσωμάτωσης cyber στο SMS — ώστε να είναι έτοιμο στο επόμενο ISM audit.
Επιλογή πορείας ISO 27001 αν δεν υπάρχει ήδη — είναι ο πιο αποδοτικός τρόπος να σταθεροποιήσετε όλα τα παραπάνω.

Maritime Cyber Programme

Σχεδιάζουμε το πρόγραμμα μαζί

Επί 20+ έτη χτίζω cyber προγράμματα για κρίσιμους τομείς — με τομεακή εμπειρία σε SaaS, ενέργεια και μεταφορές. Αν θέλετε ένα συντονισμένο NIS2 + IMO + ISPS πρόγραμμα χωρίς να αγοράσετε τρεις διαφορετικούς συμβούλους, κλείστε συνάντηση.

Κλείστε συνάντηση →

Τα διακυβεύματα — γιατί δεν αξίζει να αναβληθεί

Όταν τίθεται το ερώτημα "γιατί τώρα και όχι του χρόνου", βοηθάει η σύγκριση μεγέθους. Το NotPetya απενεργοποίησε ολόκληρη τη Maersk για περίπου δύο εβδομάδες. Το DP World Australia έχασε ποσοστό λειτουργίας τέταρτης τάξης για ένα τρίμηνο. Στο Port of Nagoya η Toyota σταμάτησε εξαγωγές για τρεις ημέρες. Σε καμία από αυτές τις περιπτώσεις η εταιρεία δεν είχε προβλέψει το χρονικό πλαίσιο — ξεκίνησε να επενδύει την ημέρα μετά.

Στην Ελλάδα, σε ρυθμιστικό επίπεδο, η NIS2 προβλέπει διοικητικά πρόστιμα έως 10 εκατ. ευρώ ή 2% του παγκόσμιου ετήσιου τζίρου για Βασικές Οντότητες, και έως 7 εκατ. ευρώ ή 1,4% για Σημαντικές. Πέρα από τα χρηματικά πρόστιμα, οι εποπτικές αρχές μπορούν να επιβάλλουν αναστολή υπηρεσιών, να απαγορεύσουν προσωρινά την άσκηση διοικητικών καθηκόντων σε στελέχη, και να ενεργοποιήσουν προσωπική ευθύνη μελών του ΔΣ. Αυτές οι κυρώσεις δεν καλύπτονται από τυπικά D&O ασφαλιστήρια. Το ερώτημα είναι λοιπόν αντίστροφο: μπορεί ένας ελληνικός maritime operator να αντέξει την επόμενη Παρασκευή πρωί ένα ransomware στο TOS του; Όχι; Τότε η συμμόρφωση δεν είναι κόστος — είναι λειτουργική απαίτηση.

Συχνές Ερωτήσεις

Είμαι μικρή εφοπλιστική με 8 πλοία — με αφορά πραγματικά η NIS2;

Εξαρτάται από το μέγεθος της εταιρείας (όχι του στόλου): αν έχετε ≥50 εργαζόμενους ή ≥10 εκατ. ευρώ ετήσιο τζίρο, εμπίπτετε στη NIS2 ως Σημαντική Οντότητα. Αν είστε κάτω, εξαιρείστε — αλλά το IMO MSC.428(98) σας αφορά ανεξαρτήτως μεγέθους, εφόσον έχετε πλοία υπό ISM management. Επομένως, πρακτικά, καμία ναυτιλιακή με DOC δεν έχει δικαιολογία να μην έχει cyber programme.

Έχω ήδη ISO 27001. Καλύπτει τη NIS2 και το IMO 2021;

Καλύπτει το ~75-80% — αλλά όχι όλα. Λείπουν: η εγγραφή στο Μητρώο της ΕΑΚ, το συγκεκριμένο incident reporting timeline (24h/72h/1m), τα Greek-specific overlays της ΚΥΑ 1689/2025, και τα ναυτιλιακά specifics του BIMCO/IMO. Χρειάζεται ένα "delta plan" για να γεφυρώσετε τα κενά — όχι ολική επανεκτέλεση.

Πόσο γρήγορα πρέπει να αναφέρω cyber incident στην ΕΑΚ;

Άρθρο 23 Ν. 5160/2024: 24 ώρες early warning αν είναι σοβαρό, 72 ώρες initial incident notification, 1 μήνας τελική έκθεση. Παράλληλα — αν το incident επηρεάζει την ασφάλεια ναυσιπλοΐας — υποχρεωτική αναφορά στη flag state ως ISM nonconformity.

Τα πλοία υπό ξένη σημαία (Λιβερία, Παναμάς, Μάλτα) γλιτώνουν τη NIS2;

Τα πλοία υπόκεινται στο IMO/ISM regime της σημαίας τους. Αλλά η εταιρεία διαχείρισης (ship management company) με έδρα Πειραιά υπάγεται στη NIS2 ως ελληνική οντότητα. Δηλαδή: η flag state δεν αλλάζει το γεγονός ότι η ελληνική επιχείρηση πρέπει να συμμορφώνεται με τον Ν. 5160/2024.

Πρέπει να βάλω full SOC σε κάθε πλοίο;

Όχι. Σε bandwidth-constrained περιβάλλον (VSAT) ένα πλήρες SOC δεν είναι λειτουργικό. Η σωστή προσέγγιση είναι: lightweight endpoint logging στο πλοίο, batch upload όταν υπάρχει connectivity, ανάλυση centralised στο shore-side SOC. Η αρχιτεκτονική ονομάζεται "store-and-forward" και είναι ώριμη πρακτική.

Τι σημαίνει "προσωπική ευθύνη" για τα μέλη του ΔΣ;

Άρθρο 20 του Ν. 5160/2024: το ΔΣ οφείλει να εγκρίνει τα cyber risk management measures, να επιβλέπει την εφαρμογή τους και να εκπαιδεύεται τακτικά. Σε περίπτωση non-compliance, εκτός από εταιρικά πρόστιμα, υπάρχει διοικητική ευθύνη μελών ΔΣ — που δεν καλύπτεται από D&O insurance σε όλες τις περιπτώσεις. Αξίζει νομικός έλεγχος.

Έχουμε MSP/IT outsourcer. Φεύγει από εμάς η ευθύνη;

Όχι. Η ευθύνη συμμόρφωσης παραμένει στην οντότητα-υπόχρεο. Ο MSP είναι 3rd party και πρέπει να ενταχθεί στο supply-chain risk management σας (Άρ. 21 §2δ). Στην πράξη: επιβάλλεται audit rights, contractual incident notification, και least-privilege στους λογαριασμούς υπηρεσίας.

Ποιο είναι το πρώτο πράγμα που θα κάνατε αν αναλαμβάνατε σήμερα έναν ελληνικό port operator;

Tabletop exercise ransomware σε TOS μέσα στις πρώτες 30 ημέρες. Σχεδόν πάντα αποκαλύπτει 5-7 κρίσιμα κενά (backup verification, communication tree, decision authority, εξωτερική επικοινωνία με πελάτες, νομική κάλυψη) που κανένα policy document δεν θα είχε αναδείξει. Έπειτα: asset inventory + IT/OT segmentation review. Όλα τα υπόλοιπα έπονται.

Συμπέρασμα

Η ελληνική ναυτιλία είναι, για τέταρτη συνεχή δεκαετία, παγκόσμιος ηγέτης. Αυτή η ηγεσία δεν είναι αυτονόητη και δεν συντηρείται μόνο με τη σημαία στον ιστό. Σήμερα συντηρείται και με τους κωδικούς στους routers, με τη σωστή τοπολογία στα networks, με την επιμόρφωση των γεφυρών και με τη σωστή ροή ευθύνης από τον Master μέχρι το ΔΣ. Η NIS2, το IMO 2021 και η ISO 27001 δεν είναι τρία διαφορετικά γραφειοκρατικά βάρη — είναι τρεις γωνίες της ίδιας πραγματικότητας: ότι η maritime industry ψηφιοποιήθηκε, και πρέπει να ασφαλιστεί ψηφιακά. Όσοι ξεκινήσουν εγκαίρως ένα συνεκτικό πρόγραμμα, θα έχουν τα ίδια οφέλη που είχαν στο ναυτιλιακό safety μετά τον Exxon Valdez: λιγότερα ατυχήματα, χαμηλότερα ασφάλιστρα, καλύτερα chartering rates, μεγαλύτερη εμπιστοσύνη πελατών. Όσοι περιμένουν, θα συμμορφωθούν την ημέρα μετά το πρώτο σοβαρό incident.

Αν θέλετε να σχεδιάσουμε μαζί ένα πρόγραμμα ταιριαστό στη δική σας πραγματικότητα — ναυτιλιακή, λιμενική ή ακτοπλοϊκή — κλείστε συνάντηση.