Η συζήτηση στις Βρυξέλλες για το Cybersecurity Act και τον πιθανό περιορισμό του ρόλου των κρατών. Η ιδιαίτερη περίπτωση της Ελλάδας
Μια σημαντική συζήτηση βρίσκεται σε εξέλιξη στις Βρυξέλλες, με επίκεντρο τις προωθούμενες αλλαγές σε κάποια ζητήματα κυβερνοασφάλειας. Μόνο που πλέον η υπόθεση αυτή δεν μοιάζει με μια καθαρά τεχνική ρύθμιση. Δεν αφορά μόνο λογισμικό, εξοπλισμό, πιστοποιήσεις, servers, δίκτυα και ευρωπαϊκά δεδομένα. Αφορά κάτι πολύ ουσιαστικότερο: Ποιος τελικά θα αποφασίζει για την ασφάλεια των κρίσιμων ψηφιακών δικτύων, των υποδομών και των προμηθευτών σχετικού εξοπλισμού; Τα κράτη-μέλη της Ε.Ε., όπως συμβαίνει μέχρι σήμερα, ή η Κομισιόν, με τις χώρες της Ευρώπης να χάνουν «τμήμα» της εθνικής κυριαρχίας τους σε ζητήματα ασφάλειας;
Τι ακριβώς συμβαίνει στην «καρδιά» της Ευρώπης; Η Ευρωπαϊκή Επιτροπή, με όχημα την κυβερνοασφάλεια, μοιάζει να επιχειρεί πλέον να αποκτήσει μεγαλύτερο έλεγχο σε πεδία που μέχρι σήμερα τα κράτη-μέλη θεωρούσαν μέρος της αποκλειστικής αρμοδιότητάς τους. Πολύ απλά πίσω από την ανάγκη για πιο ασφαλή ευρωπαϊκά ψηφιακά δίκτυα προάγεται η λογική της μεγαλύτερης κεντρικής επιρροής των Βρυξελλών σε αποφάσεις που άπτονται της εθνικής ασφάλειας.
Το κρίσιμο νομικό σημείο είναι σαφές: Με βάση το άρθρο 4(2) της Συνθήκης για την Ευρωπαϊκή Ένωση, η εθνική ασφάλεια -συμπεριλαμβανομένης της κυβερνοασφάλειας- παραμένει αποκλειστική ευθύνη κάθε κράτους-μέλους. Όταν η Κομισιόν επιχειρεί να αποκτήσει πρωτεύοντα ρόλο στην αξιολόγηση προμηθευτών, χωρών προέλευσης, κρίσιμων τεχνολογικών υποδομών και του σχετικού εξοπλισμού, το θέμα παύει να είναι μόνο τεχνικό, γίνεται θεσμικό και φυσικά αποκτά σημαντικές πολιτικές διαστάσεις.
Το επίμαχο «εργαλείο» ονομάζεται CSA2 και πρόκειται για τη νέα προτεινόμενη μορφή του ευρωπαϊκού Cybersecurity Act, δηλαδή του βασικού κανονισμού της Ε.Ε. για την κυβερνοασφάλεια. Δεν είναι, δηλαδή, ένας δευτερεύων κανονισμός, αλλά το πλαίσιο που καθορίζει με ποιους κανόνες θα κρίνονται η ασφάλεια των ψηφιακών υποδομών, ο έλεγχος των προμηθευτών και η ανθεκτικότητα των κρίσιμων συστημάτων. Μαζί με αυτό ενισχύεται και ο ρόλος του ENISA, δηλαδή του ευρωπαϊκού οργανισμού κυβερνοασφάλειας, ο οποίος λειτουργεί ως θεσμικός και τεχνικός μηχανισμός υποστήριξης της ευρωπαϊκής πολιτικής στο συγκεκριμένο πεδίο.
Μέχρι εδώ το επιχείρημα από την πλευρά της Κομισιόν ακούγεται εύλογο. Ποιος Ευρωπαίος πολίτης θα έλεγε όχι σε πιο ασφαλή δίκτυα και ψηφιακές υποδομές;
Όμως από μια δεύτερη ανάγνωση των προωθούμενων αλλαγών προκύπτουν ζητήματα τα οποία χρήζουν διερεύνησης. Γιατί η Κομισιόν δεν φαίνεται να θέλει να ελέγχει μόνο αν ένα προϊόν, ένα δίκτυο ή ένα σύστημα είναι τεχνικά ασφαλές. Επιδιώκει να ελέγξει και τους λεγόμενους «μη τεχνικούς κινδύνους».
Τι σημαίνει αυτό; Ότι η Κομισιόν δεν θα εξετάζει μόνο το hardware, το λογισμικό ή τον server. Η Ευρωπαϊκή Επιτροπή θα εξετάζει και ποιος το κατασκευάζει, από ποια χώρα προέρχεται, ποιο είναι το πολιτικό και νομικό περιβάλλον πίσω από τον προμηθευτή και αν αυτά μπορούν να θεωρηθούν στρατηγικοί κίνδυνοι.
Τι σημαίνει, λοιπόν, αξιολόγηση «προμηθευτή υψηλού κινδύνου»; Ότι η Κομισιόν θα μπορεί να κρίνει και να αποφασίζει εάν μια εταιρία είναι απλώς ακόμα ένας παίκτης της αγοράς ή αν θα τη θεωρεί σαν έναν κρίκο σε μια αλυσίδα που ενέχει γεωπολιτικό, θεσμικό ή στρατηγικό ρίσκο, ανοίγοντας τον δρόμο για περιορισμούς, αποκλεισμούς προμηθευτών, ακόμα και για απομάκρυνση υφιστάμενου εξοπλισμού από κρίσιμες ψηφιακές υποδομές.
Γιατί είναι τόσο σημαντικό αυτό για τα κράτη-μέλη της Ε.Ε. και φυσικά για την Ελλάδα, η οποία έχει γύρω της άσπονδους γείτονες; Επειδή το ζήτημα δεν αφορά απλώς ακόμα μία κανονιστική παρέμβαση στην ενιαία αγορά. Αφορά τηλεπικοινωνίες, ενέργεια, μεταφορές, χρηματοπιστωτικό σύστημα, Δημόσια Διοίκηση, υγεία, ψηφιακές υπηρεσίες και κρίσιμες υποδομές. Και σε αυτό το σημείο αναρωτιέται κανείς πώς είναι δυνατόν η Ελλάδα να δεχτεί το προτεινόμενο, από την CSA2, καθεστώς όπου δεν θα μπορεί να αποφασίζει η ίδια για θέματα της εθνικής της κυριαρχίας και κατ’ επέκταση των άμεσων συμφερόντων της;
ΣΥΝΔΕΣΗ NIS2 KAI CSA2
Η σχετική συζήτηση συνδέεται και με τη NIS2, δηλαδή τη νέα ευρωπαϊκή οδηγία που θέτει αυστηρότερους κανόνες κυβερνοασφάλειας σε κρίσιμους τομείς. Τι είναι η NIS2; Είναι η οδηγία που υποχρεώνει κράτη, οργανισμούς και μεγάλες επιχειρήσεις να λαμβάνουν αποτελεσματικότερα μέτρα προστασίας απέναντι σε κυβερνοεπιθέσεις και να δηλώνουν σημαντικά ψηφιακά περιστατικά. Καλύπτει 18 βασικούς τομείς, όπως ενέργεια, μεταφορές, τράπεζες, υγεία, Δημόσια Διοίκηση, ψηφιακές υπηρεσίες και άλλους.
Πολύ απλά η NIS2 καθορίζει ποιοι πρέπει να προστατευτούν και ποιες υποχρεώσεις έχουν σε θέματα κυβερνοασφάλειας. Η CSA2 πηγαίνει βαθύτερα και ανοίγει το θέμα ποιος εξοπλισμός, ποιος προμηθευτής και ποια χώρα μπορεί να θεωρηθούν κίνδυνος.
Εκεί ανοίγει το ζήτημα της κυριαρχίας. Η ασφάλεια αυτών των υποδομών δεν είναι ουδέτερο εμπορικό πεδίο, αυτονόητα είναι μέρος της εθνικής ασφάλειας, για την οποία τα κράτη-μέλη επιμένουν ότι ο τελευταίος λόγος είναι και πρέπει να παραμείνει στα ίδια. Όταν, λοιπόν, η Κομισιόν διεκδικεί ουσιαστικότερο ρόλο στον ορισμό του κινδύνου, στην κατηγοριοποίηση των προμηθευτών και στις αποφάσεις για το ποιος εξοπλισμός θεωρείται κατάλληλος, τότε εμμέσως πλην σαφώς τίθεται -και- θέμα περιορισμού της εθνικής αρμοδιότητας.
Ειδικά για την Ελλάδα, το ζήτημα είναι ακόμα σοβαρότερο, δεδομένης της γεωγραφικής θέσης της, άρα το θέμα της εξέτασης των προωθούμενων αλλαγών έχει ακόμα πιο βαρύνουσα σημασία. Η χώρα δεν μπορεί να αντιμετωπίζει την ασφάλεια των κρίσιμων ψηφιακών δικτύων ως μια αφηρημένη έννοια, δεδομένου ότι έχει ειδικό γεωπολιτικό βάρος, ανοιχτά μέτωπα στην ανατολική Μεσόγειο, απρόβλεπτους γείτονες, ενεργειακές, θαλάσσιες και τηλεπικοινωνιακές ιδιαιτερότητες. Αυτό σημαίνει ότι η ασφάλεια των δικτύων, των προμηθευτών και των ψηφιακών υποδομών αποτελούν κρίσιμους παράγοντες της στρατηγικής θωράκισής της.
Ο λογαριασμός
Υπάρχει και δεύτερη διάσταση. Όταν μεταφέρονται εξουσίες από τα κράτη-μέλη προς την Κομισιόν, στη συνέχεια ακολουθεί και ο… λογαριασμός. Είναι δεδομένο ότι κάθε περιορισμός των προμηθευτών σημαίνει αυτόματα και λιγότερες επιλογές και πιθανώς πολύ ακριβότερες. Μια δε ενδεχόμενη αντικατάσταση του υφιστάμενου θα σημαίνει για κάθε κράτος-μέλος της Ε.Ε. νέες επενδύσεις, καθυστερήσεις και εν γένει πίεση σε δίκτυα και υποδομές. Το υψηλό κόστος προφανώς θα μεταφερθεί στις επιχειρήσεις που λειτουργούν τις κρίσιμες υποδομές και εν τέλει θα καταλήξει στον πολίτη – καταναλωτή κάθε χώρας.
Σε ποιο στάδιο βρίσκεται η επεξεργασία των αλλαγών
Η υπόθεση των προωθούμενων αλλαγών στην κυβερνοασφάλεια δεν βρίσκεται στην αρχή. Δεν έχει, όμως, κλείσει. Βρίσκεται στο στάδιο της επεξεργασίας και της διαπραγμάτευσης. Οι αλλαγές που συζητούνται στις Βρυξέλλες έχουν περάσει από το επίπεδο της γενικής ιδέας και έχουν μπει στη φάση της θεσμικής επεξεργασίας.
Συγκεκριμένα, η Ευρωπαϊκή Επιτροπή έχει ήδη βάλει στο τραπέζι την πρότασή της. Η πρόταση για τη CSA2 κατατέθηκε στις 20 Ιανουαρίου 2026, ενώ η σχετική πρόταση σχετικά με την πράξη για τα Ψηφιακά Δίκτυα (Digital Networks Act) ακολούθησε στις 21 Ιανουαρίου 2026. Από εκεί και πέρα η διαδικασία περνά στο Συμβούλιο της Ε.Ε. και στο Ευρωπαϊκό Κοινοβούλιο. Εκεί κρίνεται αν το αρχικό κείμενο θα περάσει όπως είναι ή αν θα αλλάξει.
Τι έχει συμβεί μέχρι στιγμής; Η διαδικασία άρχισε με δημόσια διαβούλευση μέσα στο 2025. Στη συνέχεια η Κομισιόν προχώρησε στη διαμόρφωση της πρότασης για τη νέα εκδοχή του Cybersecurity Act και του ευρύτερου πακέτου που συνδέεται με αυτήν. Από τη στιγμή που η πρόταση κατατέθηκε επίσημα, άρχισε η φάση της θεσμικής διαπραγμάτευσης.
Στο Συμβούλιο τα κείμενα εξετάζονται από ομάδες εργασίας και εθνικούς εκπροσώπους. Κάθε χώρα βλέπει πού συμφωνεί, πού διαφωνεί και ποιες αλλαγές επιθυμεί. Εδώ ο παράγοντας της εθνικής στάθμισης έχει μεγάλο βάρος, γιατί οι προτάσεις αγγίζουν κρίσιμα ζητήματα ασφάλειας, αγοράς, προμηθειών και υποδομών.
Παράλληλα, στο Ευρωπαϊκό Κοινοβούλιο το κείμενο πηγαίνει στις αρμόδιες επιτροπές, όπως η ITRE, η LIBE, η IMCO και η JURI. Εκεί το θέμα δεν αντιμετωπίζεται μόνο ως τεχνικό ή βιομηχανικό ζήτημα. Εξετάζεται και από την πλευρά των δικαιωμάτων, της αγοράς, της νομικής βάσης και της θεσμικής ισορροπίας.
Στην πράξη αυτή είναι η πιο κρίσιμη φάση. Γιατί; Διότι τώρα διαμορφώνονται οι τροπολογίες, τώρα ασκούνται οι πιέσεις, τώρα κατατίθενται οι ενστάσεις από κυβερνήσεις, παρόχους, βιομηχανικούς φορείς, νομικούς και ομάδες συμφερόντων.
Σύμφωνα με το χρονοδιάγραμμα που έχει παρουσιαστεί, στο πρώτο τρίμηνο του 2026 οι χώρες είχαν ήδη αρχίσει να διαμορφώνουν παρατηρήσεις. Οι ομάδες εργασίας του Συμβουλίου επεξεργάζονταν κείμενα συμβιβασμού. Από τα μέσα Μαρτίου έως τις αρχές Απριλίου 2026 οι συζητήσεις προχωρούσαν πάνω στους πρώτους τίτλους της πρότασης, μεταξύ των οποίων και στα ζητήματα που συνδέονται με τον ENISA.
Τι ακολουθεί μετά; Όταν το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο διαμορφώσουν τις δικές τους θέσεις, τότε αρχίζει η φάση των τριμερών διαπραγματεύσεων. Σε αυτό το στάδιο κάθονται στο ίδιο τραπέζι η Επιτροπή, το Συμβούλιο και το Κοινοβούλιο, με στόχο να καταλήξουν σε ένα κείμενο κοινής αποδοχής. Συνήθως αυτό προκύπτει μέσα από σκληρούς συμβιβασμούς.
Η υπόθεση, λοιπόν, δεν έχει κλείσει. Κυβερνήσεις, εταιρίες, κλαδικοί φορείς, νομικοί και think tanks προσπαθούν ακόμη να επηρεάσουν το τελικό αποτέλεσμα. Οι προωθούμενες αλλαγές δεν βρίσκονται ούτε στο στάδιο της θεωρίας ούτε στο στάδιο της τελικής έγκρισης. Βρίσκονται στο πιο κρίσιμο ενδιάμεσο σημείο. Εκεί όπου το πολιτικό βάρος, οι εθνικές αντιδράσεις, τα συμφέροντα της αγοράς και οι θεσμικές ισορροπίες μπορούν ακόμη να αλλάξουν το αποτέλεσμα.
Τι είναι η CSA2 και γιατί δεν αφορά μόνο στις τηλεπικοινωνίες
Η CSA2 είναι ο όρος που χρησιμοποιείται για τη νέα προτεινόμενη αναθεώρηση του ευρωπαϊκού Cybersecurity Act, δηλαδή του βασικού κανονισμού της Ευρωπαϊκής Ένωσης για την κυβερνοασφάλεια.
Τι σημαίνει αυτό; Ότι η Ε.Ε. επιχειρεί να ξαναγράψει τους κανόνες με τους οποίους ελέγχει την ασφάλεια των δικτύων, των συστημάτων και του τεχνολογικού εξοπλισμού που χρησιμοποιείται σε κρίσιμες υποδομές.
Η αρχική Cybersecurity Act θεσπίστηκε για να δημιουργήσει ένα κοινό ευρωπαϊκό πλαίσιο σε θέματα κυβερνοασφάλειας. Τι επεδίωκε; Κυρίως δύο πράγματα. Πρώτον, να ενισχύσει τον ρόλο του ENISA, δηλαδή του ευρωπαϊκού οργανισμού κυβερνοασφάλειας. Δεύτερον, να θέσει τις βάσεις για ευρωπαϊκά σχήματα πιστοποίησης, ώστε να υπάρχει κοινή λογική για το τι θεωρείται ασφαλές προϊόν ή υπηρεσία στον ψηφιακό χώρο.
Η CSA2, όμως, δεν προσβλέπει μόνο στο «να επιλέγονται πιο ασφαλή προϊόντα». Πηγαίνει πιο μακριά. Επιχειρεί να ενισχύσει συνολικά την ευρωπαϊκή κυβερνοάμυνα απέναντι σε κινδύνους που αφορούν τις αλυσίδες εφοδιασμού, τις κρίσιμες υποδομές και τους προμηθευτές τεχνολογίας.
Τι αλλάζει; Η Ε.Ε. δεν θεωρεί αρκετό μόνο τον καθαρά τεχνικό έλεγχο. Δεν θέλει μόνο να εξετάζει και να πιστοποιεί αν ένα σύστημα λειτουργεί σωστά ή αν ένα λογισμικό έχει τρύπες ασφαλείας. Θέλει να εξετάζει και τους λεγόμενους «μη τεχνικούς κινδύνους».
Αυτό σημαίνει ότι, εκτός από το ίδιο το προϊόν, θα εξετάζεται και ο προμηθευτής του. Από ποια χώρα προέρχεται; Σε ποιο πολιτικό και νομικό περιβάλλον λειτουργεί; Υπάρχει πιθανότητα να επηρεάζεται από την κυβέρνηση της χώρας απ’ όπου προέρχεται; Μπορεί αυτό να μετατραπεί σε κίνδυνο για την Ευρώπη; Με άλλα λόγια, η συζήτηση περνά από το «είναι τεχνικά ασφαλές» στο «ποιος το ελέγχει και τι κίνδυνο ενέχει».
Από αυτό προκύπτει και η έννοια του «προμηθευτή υψηλού κινδύνου». Πρόκειται για εταιρία ή προμηθευτή που, κατά την ευρωπαϊκή λογική, μπορεί να θεωρηθεί ότι ενέχει ευρύτερο στρατηγικό κίνδυνο. Αυτό είναι το σημείο που έχει προκαλέσει και τις μεγαλύτερες αντιδράσεις. Διότι από τη στιγμή που ένας προμηθευτής χαρακτηριστεί «υψηλού κινδύνου» μπορεί να ανοίξει ο δρόμος για αποκλεισμό, περιορισμό ή αντικατάσταση εξοπλισμού.
Η CSA2 δεν αφορά μόνο τις τηλεπικοινωνίες, αλλά εκεί το ζήτημα φαίνεται πιο καθαρά. Ειδικά στα δίκτυα 5G, η συζήτηση έχει ήδη συνδεθεί με την πιθανότητα σταδιακής αντικατάστασης εξοπλισμού από προμηθευτές που θεωρούνται «υψηλού κινδύνου». Αυτό σημαίνει αντικατάσταση παλιών συστημάτων, αγορές νέου εξοπλισμού, αλλαγές σε δίκτυα, με επακόλουθα την πίεση σε χρονοδιαγράμματα και το υψηλό κόστος.
Η CSA2 συνδέεται και με το ευρύτερο ευρωπαϊκό πακέτο κανόνων για την ασφάλεια κρίσιμων τομέων. Εκεί μπαίνει και η NIS2.
Ποια είναι η διαφορά; Η NIS2 είναι η οδηγία που λέει ποιοι οργανισμοί και ποιοι τομείς πρέπει να έχουν αυξημένες υποχρεώσεις κυβερνοασφάλειας. Η CSA2 είναι το νέο πλαίσιο που πηγαίνει βαθύτερα στην πιστοποίηση, στην αξιολόγηση προμηθευτών και στην ασφάλεια της αλυσίδας τεχνολογικού εξοπλισμού.
Πιο απλά, η NIS2 λέει ποιοι πρέπει να προστατευτούν. Η CSA2 ανοίγει το θέμα ποιος εξοπλισμός, ποιος προμηθευτής και ποια χώρα θεωρούνται «υψηλού κινδύνου».
Η NIS2 καλύπτει 18 βασικούς τομείς της οικονομίας και του κράτους, όπως ενέργεια, μεταφορές, τράπεζες, Δημόσια Διοίκηση, υγεία, ψηφιακές υπηρεσίες και άλλους. Άρα η αλλαγή δεν αφορά έναν αποκλειστικά τεχνικό τομέα. Αφορά τον τρόπο με τον οποίο ολόκληρη η ευρωπαϊκή οικονομία και τα κράτη-μέλη θα επιλέγουν, θα ελέγχουν και θα διαχειρίζονται τους κρίσιμους προμηθευτές τεχνολογικού εξοπλισμού.
Συνολικά η CSA2 μοιάζει να είναι κάτι πολύ μεγαλύτερο από μια τεχνική αναθεώρηση. Επί της ουσίας φαίνεται πως είναι ένα νέο πολιτικό και ρυθμιστικό πλαίσιο που επιχειρεί να μεταφέρει την κυβερνοασφάλεια από την καθαρά τεχνική πιστοποίηση σε ένα πολύ ευρύτερο πεδίο, όπου εμπλέκονται γεωπολιτική, αλυσίδες εφοδιασμού, προμηθευτές, κράτη και κρίσιμες τεχνολογικές υποδομές.
Δημοσιεύεται στη «δημοκρατία»