Στις 10 Απριλίου 2025, η Βουλή των Αντιπροσώπων υπερψήφισε τον περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (Τροποποιητικό) Νόμο του 2025, ο οποίος μετέφερε στην εθνική έννομη τάξη τις πρόνοιες της Οδηγίας (ΕΕ) 2022/2555, γνωστή ως Οδηγία NIS2. Η ψήφιση του τροποποιητικού νομοσχεδίου σηματοδοτεί ακόμη ένα κρίσιμο βήμα για την ενίσχυση της ασφάλειας στον κυβερνοχώρο στην Κυπριακή Δημοκρατία.

Η Οδηγία NIS2, η οποία ψηφίστηκε στις 14 Δεκεμβρίου 2022, και τέθηκε σε εφαρμογή σε Ευρωπαϊκό επίπεδο στις 17 Οκτωβρίου 2024, αποσκοπεί στην ενίσχυση της ανθεκτικότητας βασικών και σημαντικών οντοτήτων απέναντι στις κυβερνοαπειλές και αποτελεί καθοριστικό βήμα για την αναβάθμιση της κυβερνοασφάλειας σε ευρωπαϊκό επίπεδο.

Ο περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (Τροποποιητικός) Νόμος του 2025 προνοεί, μεταξύ άλλων, τα ακόλουθα:

  1. Διευρύνει ουσιαστικά το πεδίο εφαρμογής του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών Νόμου 89(Ι)/2020 με τη συμπερίληψη τομέων που δεν καλύπτονταν προηγουμένως, όπως είναι για παράδειγμα οι οντότητες του δημόσιου τομέα, οι ταχυδρομικές υπηρεσίες και οι ψηφιακές υποδομές. Η διάκριση μεταξύ των βασικών και σημαντικών οντοτήτων εξαρτάται από κριτήρια όπως είναι το μέγεθος και η κρισιμότητά τους στην κοινωνία, δηλαδή τον αντίκτυπο που έχουν στην οικονομία, στη δημόσια ασφάλεια, στη δημόσια τάξη, στη δημόσια υγεία και στο περιβάλλον.
  2. Οι βασικές και σημαντικές οντότητες οφείλουν να εφαρμόζουν το πλαίσιο κυβερνοασφάλειας που καθορίζει ο Νόμος με τη λήψη των κατάλληλων, αναλογικών τεχνικών, επιχειρησιακών και οργανωτικών μέτρων για τη διαχείριση των κινδύνων που διατρέχουν τα συστήματα στα οποία στηρίζονται οι υπηρεσίες τους και να αποτρέπουν ή να ελαχιστοποιούν τον αντίκτυπο των περιστατικών στις υπηρεσίες τους.
  3. Εισάγει διαφοροποίηση στο εποπτικό καθεστώς των βασικών και σημαντικών οντοτήτων με σκοπό την εξασφάλιση δίκαιης ισορροπίας των υποχρεώσεων τόσο για τις εν λόγω οντότητες όσο και για τις αρμόδιες αρχές. Ως εκ τούτου, οι βασικές οντότητες υπόκεινται σε πλήρες εκ των προτέρων (ex-ante) και εκ των υστέρων (ex-post) καθεστώς εποπτείας, ενώ οι σημαντικές οντότητες υπόκεινται σε καθεστώς εποπτείας μόνο εκ των υστέρων (ex-post).
  4. Εισάγει την ευθύνη της ανώτατης διοίκησης καθώς προβλέπει ότι η ανώτατη διοίκηση έχει την τελική ευθύνη για τη διαχείριση των κινδύνων κυβερνοασφάλειας σε βασικές και σημαντικές οντότητες.
  5. Δυνατότητα επιβολής αυστηρότερων διοικητικών προστίμων στις βασικές και σημαντικές οντότητές σε περίπτωση παράλειψη συμμόρφωσης με τη νομοθεσία.

Η ψήφιση του περί Ασφάλειας Δικτύων και Συστημάτων Πληροφοριών (Τροποποιητικού) Νόμου του 2025 αποτελεί ορόσημο στις συνεχιζόμενες προσπάθειες της Κυπριακής Δημοκρατίας, στο πλαίσιο της προώθησης του νομοθετικού πλαισίου της Ευρωπαϊκής Ένωσης, για την ενίσχυση της κυβερνοασφάλειας και τη βελτίωση της συνολικής ανθεκτικότητας του Κράτους μας απέναντι στις ολοένα αυξανόμενες κυβερνοαπειλές.