NIS2 στην Ελλάδα: Πλήρης Οδηγός Συμμόρφωσης 2026

Η συμμόρφωση με τη NIS2 δεν είναι πλέον ζήτημα σχεδιασμού — είναι ζήτημα εκτέλεσης. Τον Ιανουάριο του 2026, η Ευρωπαϊκή Επιτροπή πρότεινε στοχευμένες τροποποιήσεις για την απλοποίηση του πλαισίου, αλλά ο πυρήνας παραμένει: εάν ο οργανισμός σας εμπίπτει στο πεδίο εφαρμογής, έχετε ήδη υποχρεώσεις που δεν περιμένουν νέες διευκρινίσεις. Ο οδηγός αυτός εξηγεί τι ακριβώς σημαίνει αυτό για εσάς στην πράξη — με βάση το ελληνικό νομικό πλαίσιο, χωρίς αόριστες γενικότητες.

Τι είναι η NIS2 και γιατί σας αφορά τώρα

Η Οδηγία (ΕΕ) 2022/2555, γνωστή ως NIS2, είναι η αναθεωρημένη έκδοση της αρχικής NIS Οδηγίας του 2016. Στόχος της είναι η ενίσχυση της κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση, με τρεις βασικές αλλαγές σε σχέση με την προκάτοχό της: (α) διευρυμένο πεδίο εφαρμογής σε 18 τομείς, (β) αυστηρότερες απαιτήσεις διαχείρισης κινδύνων, και (γ) προσωπική ευθύνη της διοίκησης των οργανισμών.

Το ελληνικό νομικό πλαίσιο

Η NIS2 ενσωματώθηκε στο ελληνικό δίκαιο με τον Ν. 5160/2024 (ΦΕΚ Α' 195/2024). Όμως ο νόμος από μόνος του δεν αρκεί — εξειδικεύεται από δύο κρίσιμες Κοινές Υπουργικές Αποφάσεις:

ΚΥΑ 1645/2025 — Ρυθμίζει την εγγραφή στο Μητρώο Φορέων-Υπόχρεων της Εθνικής Αρχής Κυβερνοασφάλειας (ΕΑΚ).
ΚΥΑ 1689/2025 (ΦΕΚ Β' 2186/06.05.2025) — Θεσπίζει το Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας. Αυτή είναι η "Βίβλος" συμμόρφωσης: εξειδικεύει τα άρθρα 15 και 16 του Ν. 5160/2024 με τεχνικά, οργανωτικά και επιχειρησιακά μέτρα.

Αν αγνοείτε την ΚΥΑ 1689/2025, αγνοείτε το 80% του τι σημαίνει πραγματικά NIS2 στην Ελλάδα.

Τι άλλαξε τον Ιανουάριο 2026

Στις 20 Ιανουαρίου 2026, στο πλαίσιο νέου πακέτου κυβερνοασφάλειας, η Ευρωπαϊκή Επιτροπή πρότεινε στοχευμένες τροποποιήσεις στην οδηγία NIS2 για αύξηση της νομικής σαφήνειας και απλοποίηση της συμμόρφωσης για περίπου 28.700 επιχειρήσεις, συμπεριλαμβανομένων 6.200 πολύ μικρών και μικρών. Οι τροποποιήσεις βρίσκονται ακόμη σε νομοθετική διαδικασία και δεν αναιρούν τις υπάρχουσες υποχρεώσεις. Αντιθέτως, επιβεβαιώνουν ότι το πλαίσιο είναι εδώ για να μείνει — και ότι οι ρυθμιστικές αρχές πλέον επικεντρώνονται στην εφαρμογή, όχι στην προσαρμογή.

⚖️ Νομική Αναφορά

Ν. 5160/2024 (ΦΕΚ Α' 195/2024) — Ενσωμάτωση της Οδηγίας (ΕΕ) 2022/2555 στο ελληνικό δίκαιο. ΚΥΑ 1689/2025 (ΦΕΚ Β' 2186/06.05.2025) — Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων.

Είστε υπόχρεοι; Βασικές vs Σημαντικές Οντότητες

Η πρώτη ερώτηση που πρέπει να απαντήσετε είναι απλή: εμπίπτω στο πεδίο εφαρμογής; Η απάντηση προκύπτει από δύο διαδοχικά κριτήρια — τον τομέα δραστηριότητας και το μέγεθος.

Οι 18 τομείς εφαρμογής

Η NIS2 καλύπτει δύο κατηγορίες τομέων. Οι τομείς υψηλής κρισιμότητας περιλαμβάνουν: ενέργεια (ηλεκτρισμός, φυσικό αέριο, πετρέλαιο), μεταφορές, τραπεζικός τομέας, χρηματοπιστωτικές υποδομές αγοράς, υγεία, πόσιμο νερό, λύματα, ψηφιακές υποδομές (DNS, TLD, cloud, data centres), διαχείριση υπηρεσιών ΤΠΕ B2B, δημόσια διοίκηση, και διάστημα.

Οι άλλοι κρίσιμοι τομείς περιλαμβάνουν: ταχυδρομικές και courier υπηρεσίες, διαχείριση αποβλήτων, παρασκευή χημικών, τρόφιμα, κατασκευή (ιατροτεχνολογικά, ηλεκτρονικά, μηχανήματα, οχήματα), πάροχοι ψηφιακών υπηρεσιών (marketplaces, μηχανές αναζήτησης, social platforms), και έρευνα.

Κριτήρια μεγέθους και κατηγοριοποίηση

Εάν δραστηριοποιείστε σε έναν από τους παραπάνω τομείς, το επόμενο κριτήριο είναι το μέγεθος:

Κατηγορία	Προσωπικό	Τζίρος / Ισολογισμός	Κατάταξη
Μεγάλη επιχείρηση	250+	€50εκ+ / €43εκ+	Βασική (σε τομέα υψηλής κρισιμότητας)
Μεσαία επιχείρηση	50-249	€10εκ-€50εκ	Σημαντική
Μικρή / πολύ μικρή	<50	<€10εκ	Κατά κανόνα εξαιρείται (εκτός ειδικών περιπτώσεων)

Προσοχή: υπάρχουν εξαιρέσεις. Ορισμένοι τύποι οντοτήτων υπάγονται ανεξαρτήτως μεγέθους — παραδείγματα είναι οι πάροχοι DNS, οι top-level domain registries, οι εταιρείες τηλεπικοινωνιών, και οι αποκλειστικοί πάροχοι μιας υπηρεσίας σε ένα κράτος-μέλος. Η δημόσια διοίκηση (συμπεριλαμβανομένων δήμων ορισμένου μεγέθους) εμπίπτει επίσης με ειδικούς κανόνες.

Γρήγορο checklist αυτοαξιολόγησης

Δραστηριοποιούμαι σε έναν από τους 18 τομείς της NIS2;
Απασχολώ 50+ εργαζομένους ή έχω τζίρο >€10εκ;
Παρέχω υπηρεσία από τις ειδικές κατηγορίες χωρίς κατώφλι μεγέθους;
Έχω εγγραφεί ήδη στο Μητρώο της ΕΑΚ;

Αν έχετε απαντήσει "ναι" στις πρώτες δύο ή τη τρίτη, είστε υπόχρεος. Αν η τέταρτη είναι "όχι", έχετε ήδη καθυστερήσει.

Οι υποχρεώσεις σας βήμα-βήμα

Οι υποχρεώσεις συμμόρφωσης χωρίζονται σε τέσσερις μεγάλες κατηγορίες: (1) εγγραφή, (2) διορισμός υπεύθυνου, (3) εφαρμογή μέτρων, (4) αναφορά περιστατικών.

1. Εγγραφή στο Μητρώο Φορέων-Υπόχρεων της ΕΑΚ

Κάθε υπόχρεη οντότητα οφείλει να εγγραφεί στο Μητρώο που διατηρεί η Εθνική Αρχή Κυβερνοασφάλειας. Η εγγραφή περιλαμβάνει βασικά στοιχεία ταυτοποίησης, περιγραφή υπηρεσιών, στοιχεία επικοινωνίας ICSSO, και γεωγραφική περιοχή παροχής υπηρεσιών. Οι καταληκτικές προθεσμίες ήδη έχουν παρέλθει για την πρώτη κατηγορία υπόχρεων — όμως αυτό δεν σημαίνει ότι δεν μπορείτε να εγγραφείτε τώρα. Σημαίνει ότι η εγγραφή θα γίνει ως καθυστερημένη και θα συνυπολογιστεί στην αξιολόγηση από την ΕΑΚ.

2. Διορισμός ICSSO (Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών)

Η ΚΥΑ 1689/2025 απαιτεί τον ορισμό στελέχους ως Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (ICSSO στα αγγλικά). Κρίσιμο σημείο: τα καθήκοντα του ICSSO είναι ασυμβίβαστα με αυτά του DPO (Υπεύθυνου Προστασίας Δεδομένων). Δεν μπορείτε να έχετε το ίδιο πρόσωπο και στους δύο ρόλους.

Ο ICSSO δεν χρειάζεται να είναι εσωτερικός εργαζόμενος — μπορεί να είναι εξωτερικός σύμβουλος (vCISO ή virtual ICSSO). Το κρίσιμο είναι η τεχνική επάρκεια, η ανεξαρτησία από λειτουργικά τμήματα, και η άμεση αναφορά στην ανώτατη διοίκηση.

3. Εφαρμογή μέτρων Άρθρου 15 Ν.5160/2024

Το Άρθρο 15 του Ν.5160/2024 (ενσωμάτωση του Άρθρου 21 της NIS2) καθορίζει 10 ελάχιστες κατηγορίες μέτρων που πρέπει να εφαρμόσετε, βάσει προσέγγισης all-hazards και αναλογικότητας:

Πολιτικές ανάλυσης κινδύνων και ασφάλειας πληροφοριακών συστημάτων
Χειρισμός περιστατικών (πρόληψη, ανίχνευση, απόκριση)
Επιχειρησιακή συνέχεια (backups, disaster recovery, crisis management)
Ασφάλεια εφοδιαστικής αλυσίδας (supply chain security)
Ασφάλεια κτήσης, ανάπτυξης και συντήρησης συστημάτων (secure SDLC)
Πολιτικές και διαδικασίες αξιολόγησης αποτελεσματικότητας μέτρων
Βασικές πρακτικές κυβερνοϋγιεινής και εκπαίδευση
Πολιτικές και διαδικασίες χρήσης κρυπτογράφησης
Ανθρώπινο δυναμικό, έλεγχος πρόσβασης, διαχείριση αγαθών
Χρήση multi-factor authentication και ασφαλείς επικοινωνίες

Η ΚΥΑ 1689/2025 εξειδικεύει κάθε μία από αυτές τις κατηγορίες σε εκατοντάδες συγκεκριμένους ελέγχους. Επιπλέον, απαιτεί την τήρηση inventory αγαθών πληροφορικής (on-premises και cloud), ταξινόμηση δεδομένων βάσει εμπιστευτικότητας/ακεραιότητας/διαθεσιμότητας, διαδικασίες ελέγχου καταλληλότητας υποψήφιου προσωπικού, και ετήσια αυτοαξιολόγηση με υποβολή αποτελεσμάτων στην ΕΑΚ.

4. Αναφορά περιστατικών: 24h / 72h / 1 μήνας

Η αναφορά σημαντικών περιστατικών κυβερνοασφάλειας γίνεται σε τρεις φάσεις:

Φάση	Προθεσμία	Περιεχόμενο
Έγκαιρη προειδοποίηση	24 ώρες	Αν υποψιάζεστε κακόβουλο ή διασυνοριακό χαρακτήρα
Κοινοποίηση περιστατικού	72 ώρες	Αρχική εκτίμηση σοβαρότητας, επιπτώσεις, δείκτες συμβιβασμού
Τελική έκθεση	1 μήνας	Αναλυτική περιγραφή, root cause, διορθωτικές ενέργειες

⚠️ Προσοχή

Η μη έγκαιρη αναφορά περιστατικού συνιστά αυτοτελή παράβαση και μπορεί να επισύρει διοικητικές κυρώσεις ανεξάρτητα από την υποκείμενη ευπάθεια ή το περιστατικό καθαυτό. Χωρίς ώριμο incident response plan, θα χάσετε τις προθεσμίες — και θα πληρώσετε δύο φορές.

Το Εθνικό Πλαίσιο Απαιτήσεων (ΚΥΑ 1689/2025)

Εδώ κρύβεται η πραγματική δυσκολία. Η ΚΥΑ 1689/2025 δεν είναι απλώς checklist — είναι ένα δομημένο πλαίσιο ελέγχων που ακολουθεί αναλογική (tiered) προσέγγιση: οι απαιτήσεις κλιμακώνονται ανάλογα με την κρισιμότητα της οντότητας.

Basic / Important / Essential: η λογική του σωρευτικού tier

Το πλαίσιο οργανώνεται σε τρία επίπεδα ελέγχων — Basic, Important, και Essential — με σωρευτική λογική:

Όλες οι υπόχρεες οντότητες εφαρμόζουν τους Basic ελέγχους (θεμελιώδη μέτρα κυβερνοασφάλειας).
Σημαντικές Οντότητες εφαρμόζουν Basic + Important ελέγχους.
Βασικές Οντότητες εφαρμόζουν Basic + Important + Essential (το πλήρες σύνολο — περίπου 213 ελέγχους).

Δεν υπάρχει "Basic + Essential" συντόμευση. Η λογική είναι σχεδιασμένη ώστε να μην μπορείτε να παρακάμψετε ενδιάμεσα επίπεδα. Αυτό έχει σημαντική πρακτική συνέπεια: αν είστε Βασική Οντότητα, δεν μπορείτε να εφαρμόσετε "μόνο τα κρίσιμα".

Οι 17 Greek-specific overlays

Πέρα από τους τρεις βασικούς tiers, η ΚΥΑ 1689/2025 προσθέτει 17 ελληνικούς επιπρόσθετους ελέγχους (GR overlays) που δεν υπάρχουν σε διεθνή πλαίσια όπως το CyFun 2025 της Βελγικής CCB. Αυτοί οι overlays αντιμετωπίζουν ελληνικές ιδιαιτερότητες — από ειδικές διαδικασίες αναφοράς στην ΕΑΚ, έως απαιτήσεις για κρίσιμους προμηθευτές ΤΠΕ, έως ειδικές προβλέψεις για τη δημόσια διοίκηση και τους δήμους.

Το κρίσιμο σημείο για τη συμμόρφωση: η κάλυψη διεθνών πλαισίων δεν αρκεί. Ακόμα και αν έχετε ώριμο ISO 27001, ή ακολουθείτε το NIST CSF, ή έχετε mapped το CyFun 2025, οι 17 GR overlays πρέπει να αντιμετωπιστούν χωριστά και να τεκμηριωθούν ρητά.

💡 Pro Tip

Όταν κάνετε gap analysis NIS2, ξεκινήστε πάντα από τους 17 GR overlays — όχι από τους Basic/Important/Essential ελέγχους. Σε πολλές περιπτώσεις, οι ελληνικές ιδιαιτερότητες είναι ακριβώς τα σημεία όπου ο οργανισμός έχει μηδενική κάλυψη, ενώ για τους διεθνείς ελέγχους υπάρχει ήδη κάποια βάση.

NIS2 vs ISO 27001: Πού επικαλύπτονται;

Η πιο συχνή ερώτηση που λαμβάνουμε από οργανισμούς που ήδη έχουν ISO 27001 είναι: "Δεν φτάνει αυτό;". Η ειλικρινής απάντηση είναι: όχι, αλλά βοηθά σημαντικά.

Ένα ώριμο ISO 27001:2022 ISMS καλύπτει περίπου 65-75% των τεχνικών απαιτήσεων της NIS2, κυρίως γιατί τα 93 Annex A controls του ISO 27001 έχουν σημαντική επικάλυψη με τα μέτρα του Άρθρου 15. Αυτό που δεν καλύπτει είναι:

Εγγραφή στο Μητρώο ΕΑΚ — εθνική διοικητική υποχρέωση, δεν υπάρχει στο ISO.
Διορισμός ICSSO με συγκεκριμένες αρμοδιότητες και ασυμβατότητες.
Χρονοδιαγράμματα αναφοράς περιστατικών (24h/72h/1 μήνας) — το ISO δεν επιβάλλει εξωτερική αναφορά.
Προσωπική ευθύνη μελών Διοικητικού Συμβουλίου — νομική κατασκευή, όχι ISO control.
Οι 17 GR overlays — ελληνικές απαιτήσεις χωρίς διεθνές ισοδύναμο.
Υποχρεωτική ετήσια αυτοαξιολόγηση με υποβολή στην ΕΑΚ.

Η σωστή προσέγγιση για όσους έχουν ήδη ISO 27001 είναι "build upon, don't replace": χρησιμοποιήστε το ISMS σας ως θεμέλιο, προσθέστε τα κενά που αναφέρθηκαν παραπάνω, και τεκμηριώστε ρητά το mapping για να αποδείξετε συμμόρφωση σε ενδεχόμενο έλεγχο από την ΕΑΚ.

Πρόστιμα και προσωπική ευθύνη διοίκησης

Η NIS2 εισάγει δύο επίπεδα κυρώσεων — χρηματικές ποινές και προσωπική ευθύνη.

Χρηματικά πρόστιμα

Τα πρόστιμα είναι διαφοροποιημένα ανάλογα με την κατηγορία της οντότητας:

Κατηγορία	Μέγιστο Πρόστιμο	Ή ποσοστό τζίρου
Βασικές Οντότητες	€10.000.000	2% παγκόσμιου ετήσιου τζίρου
Σημαντικές Οντότητες	€7.000.000	1,4% παγκόσμιου ετήσιου τζίρου

Εφαρμόζεται πάντα το μεγαλύτερο των δύο ποσών. Για έναν όμιλο με τζίρο €500εκ., το ανώτατο πρόστιμο ως Βασική Οντότητα είναι €10εκ., αλλά αυτό το cap δεν εφαρμόζεται για έναν όμιλο €1δισ.+ όπου το 2% είναι υψηλότερο.

Πέραν των προστίμων

Η ΕΑΚ διαθέτει επιπρόσθετες εξουσίες, συμπεριλαμβανομένων:

Εντολές συμμόρφωσης (binding directives)
Προσωρινά μέτρα
Διακοπή λειτουργίας κρίσιμης υποδομής
Δημοσιοποίηση παραβάσεων (name-and-shame)
Προσωρινή απαγόρευση ασκήσεως διευθυντικών καθηκόντων

Προσωπική ευθύνη μελών Διοικητικού Συμβουλίου

Ίσως η πιο ριζική αλλαγή της NIS2 είναι η προσωπική ευθύνη της ανώτατης διοίκησης. Τα μέλη του Διοικητικού Συμβουλίου δεν μπορούν πλέον να θεωρήσουν την κυβερνοασφάλεια "τεχνικό ζήτημα του IT". Οφείλουν να εγκρίνουν τα μέτρα διαχείρισης κινδύνων, να εποπτεύουν την εφαρμογή τους, και να παρακολουθούν τακτική εκπαίδευση σε θέματα κυβερνοασφάλειας. Η παράλειψη αυτών των υποχρεώσεων μπορεί να οδηγήσει σε προσωρινή απαγόρευση άσκησης διευθυντικών καθηκόντων.

Πρακτικό 12μηνο Roadmap Συμμόρφωσης

Η συμμόρφωση δεν είναι project με ξεκάθαρο "τέλος" — είναι συνεχές πρόγραμμα. Όμως για να φτάσετε σε ευρωστία συμμόρφωσης, χρειάζεστε μια δομημένη πορεία. Ακολουθεί ένα ρεαλιστικό 12μηνο roadmap:

Φάση 1 (Μήνες 0-2): Foundations

Gap analysis έναντι ΚΥΑ 1689/2025 και 17 GR overlays
Εγγραφή στο Μητρώο ΕΑΚ (αν δεν έχει γίνει)
Διορισμός ICSSO (εσωτερικός ή εξωτερικός)
Board resolution για κυβερνοασφάλεια και ορισμό budget
Initial risk assessment και asset inventory

Φάση 2 (Μήνες 3-6): Controls & Policies

Εκπόνηση policies (access control, backup, incident response, supply chain, cryptography)
Τεχνικές υλοποιήσεις: MFA, encryption at rest/in transit, centralized logging, EDR
Incident response playbooks + πρώτα tabletop exercises
Supply chain: ενσωμάτωση απαιτήσεων σε συμβάσεις με critical suppliers
Εκπαίδευση: γενική για όλους, εξειδικευμένη για τεχνικό προσωπικό

Φάση 3 (Μήνες 7-12): Continuous Compliance

Ετήσια αυτοαξιολόγηση και υποβολή στην ΕΑΚ
Τεκμηρίωση συμμόρφωσης (evidence collection)
Εσωτερικός audit και προετοιμασία για εξωτερική επιθεώρηση
Board reporting quarterly — τεκμηρίωση της εποπτείας
Lessons learned από incidents και προσαρμογή

Πόσο κοστίζει πραγματικά;

Η αληθινή απάντηση στο ερώτημα του κόστους δεν είναι ένας αριθμός — είναι η σύγκριση τριών μοντέλων υλοποίησης:

Μοντέλο	Τυπικό κόστος/έτος	Ιδανικό για
Εσωτερική ομάδα (full-time CISO + 2-3 άτομα)	€200K-€400K	Μεγάλες Βασικές Οντότητες με mature security function
Project-based σύμβουλος (one-off)	€30K-€80K (άπαξ)	Αρχική συμμόρφωση, αλλά όχι συνεχής
vCISO (fractional, συνεχής)	€30K-€90K	Σημαντικές Οντότητες και μεσαίες Βασικές χωρίς in-house capability

Το πιο συχνό λάθος είναι η προσέγγιση "one-off project". Η NIS2 απαιτεί συνεχή συμμόρφωση — ετήσια αυτοαξιολόγηση, συνεχή risk assessment, υποχρεωτική αναφορά περιστατικών, board reporting. Ένα one-off gap analysis σας φέρνει στο "έτοιμος να ξεκινήσεις", όχι στο "συμμορφώνομαι".

Επόμενο Βήμα

Χρειάζεστε καθοδήγηση για τη συμμόρφωσή σας με τη NIS2;

Κλείστε μια 30λεπτη ελεύθερη συζήτηση για να εκτιμήσουμε μαζί την κατάσταση του οργανισμού σας και τα επόμενα βήματα — χωρίς δέσμευση.

Κλείσε 30λεπτη συνάντηση →

Συχνές Ερωτήσεις

Ποιες εταιρίες υπάγονται υποχρεωτικά στη NIS2;

Υπάγονται οι οντότητες που δραστηριοποιούνται σε έναν από τους 18 τομείς υψηλής ή άλλης κρισιμότητας (ενέργεια, υγεία, τράπεζες, ψηφιακές υποδομές, δημόσια διοίκηση, κατασκευαστές, μεταφορές, κ.ά.) και πληρούν τα κριτήρια μεγέθους. Οι μεσαίες επιχειρήσεις (50+ εργαζόμενοι ή €10εκ+ τζίρος) κατατάσσονται ως Σημαντικές, οι μεγάλες (250+ εργαζόμενοι ή €50εκ+ τζίρος) ως Βασικές. Υπάρχουν και ειδικές κατηγορίες που υπάγονται ανεξαρτήτως μεγέθους, όπως οι πάροχοι DNS και οι τηλεπικοινωνίες.

Ποια είναι η διαφορά Βασικών και Σημαντικών Οντοτήτων;

Οι Βασικές Οντότητες είναι μεγάλες επιχειρήσεις σε τομείς υψηλής κρισιμότητας και υπόκεινται σε προληπτική (ex-ante) εποπτεία από την ΕΑΚ — μπορούν να ελεγχθούν χωρίς να προηγηθεί περιστατικό. Οι Σημαντικές Οντότητες υπόκεινται σε κατασταλτική (ex-post) εποπτεία — ελέγχονται κυρίως μετά από ύποπτη παράβαση ή περιστατικό. Επιπλέον, οι Βασικές εφαρμόζουν το πλήρες σύνολο ελέγχων της ΚΥΑ 1689/2025, ενώ οι Σημαντικές ένα μικρότερο υποσύνολο.

Τι είναι ο ICSSO και ποιος πρέπει να τον διορίσει;

Ο ICSSO (Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών) είναι το στέλεχος που αναλαμβάνει την τεχνική και οργανωτική ευθύνη για την κυβερνοασφάλεια της οντότητας. Κάθε υπόχρεη οντότητα — Βασική ή Σημαντική — πρέπει να ορίσει έναν. Μπορεί να είναι εσωτερικό στέλεχος ή εξωτερικός (vCISO). Σημαντικό: τα καθήκοντα ICSSO είναι ασυμβίβαστα με αυτά του DPO. Δεν μπορείτε να έχετε ένα άτομο και στις δύο θέσεις.

Πόσα είναι τα πρόστιμα της NIS2 στην Ελλάδα;

Για Βασικές Οντότητες: έως €10.000.000 ή 2% του παγκόσμιου ετήσιου τζίρου, όποιο είναι μεγαλύτερο. Για Σημαντικές Οντότητες: έως €7.000.000 ή 1,4% του τζίρου. Πέραν των χρηματικών προστίμων, η ΕΑΚ μπορεί να επιβάλει εντολές συμμόρφωσης, προσωρινά μέτρα, διακοπή λειτουργίας υποδομής, δημοσιοποίηση παραβάσεων, και προσωρινή απαγόρευση άσκησης διευθυντικών καθηκόντων.

Έχασα την προθεσμία εγγραφής. Τι κάνω τώρα;

Δεν παύετε να είστε υπόχρεος επειδή καθυστερήσατε. Εγγραφείτε τώρα στο Μητρώο της ΕΑΚ, τεκμηριώνοντας λόγους της καθυστέρησης. Παράλληλα, ξεκινήστε άμεσα gap analysis και εφαρμογή των κρίσιμων ελέγχων. Η καθυστερημένη αλλά ενεργή συμμόρφωση αντιμετωπίζεται πιο επιεικώς από την παθητική μη-συμμόρφωση. Σε περίπτωση περιστατικού ή καταγγελίας, η τεκμηριωμένη προσπάθεια συμμόρφωσης είναι κρίσιμο ελαφρυντικό.

Η πιστοποίηση ISO 27001 αρκεί για τη NIS2;

Όχι, αλλά βοηθά σημαντικά. Ένα ώριμο ISO 27001:2022 ISMS καλύπτει το 65-75% των τεχνικών απαιτήσεων. Τα κενά που πρέπει να καλυφθούν χωριστά είναι: εγγραφή στο Μητρώο ΕΑΚ, διορισμός ICSSO, χρονοδιαγράμματα αναφοράς περιστατικών, προσωπική ευθύνη Δ.Σ., οι 17 GR overlays της ΚΥΑ 1689/2025, και η υποχρεωτική ετήσια αυτοαξιολόγηση. Χρησιμοποιήστε το ISO ως θεμέλιο — μην το θεωρήσετε ολοκληρωμένη συμμόρφωση.

Πόσος χρόνος χρειάζεται για πλήρη συμμόρφωση;

Για μία Σημαντική Οντότητα χωρίς προϋπάρχον πρόγραμμα: 9-12 μήνες για τη βασική συμμόρφωση. Για μία Βασική Οντότητα χωρίς ώριμο ISMS: 12-18 μήνες. Για οντότητες με υπάρχον ISO 27001: 4-6 μήνες για την κάλυψη των NIS2-specific απαιτήσεων. Η πλήρης ωριμότητα (continuous compliance με τεκμηρίωση, audits, και lessons learned) χτίζεται στα 18-24 μήνες.

Πόσο κοστίζει ένα NIS2 gap analysis;

Για μία Σημαντική Οντότητα μεσαίου μεγέθους: €5K-€12K για ολοκληρωμένο gap analysis που καλύπτει ΚΥΑ 1689/2025 και 17 GR overlays. Για Βασική Οντότητα: €10K-€25K ανάλογα με την πολυπλοκότητα και το multi-site setup. Ένα σοβαρό gap analysis περιλαμβάνει: on-site ή remote interviews, review τεκμηρίωσης, τεχνικό review architecture, mapping έναντι απαιτήσεων, και παραδοτέο roadmap με προτεραιοποίηση και εκτιμήσεις effort.