Cybersecurity governance: deploying a national framework

Abstract

The establishment of a climate of trust in the digital world has become a necessity in the digital age, as digital transformation has become essential in the provision of services. The advancement of the cybersecurity sector is a key component in achieving this. To promote developments in this direction, the European Union (EU) has issued a plethora of legal and regulatory obligations. However, these obligations cannot produce the desired results on their own, unless they are integrated into a holistic governance framework that covers both strategic and operational issues. This dissertation investigates cybersecurity-related legal and policy initiatives that have been implemented or are currently being developed in the European Union (EU), with a primary focus on the Directive on the security of network and information systems (NIS Directive). The dissertation provides an indicative roadmap for the NIS Directive's implementation in Greece as a case study, highlighting the challenges and proposed solutions. As critical national infrastructures become increasingly vulnerable to cyberattacks, EU member states must prioritize their defense by imposing network and information system security measures. National Competent Authorities must assess compliance with these responsibilities. The dissertation includes an assessment of Greece’s major governmental ICT infrastructures, evaluating major threats, priorities and established controls. It also proposes the use of a Cybersecurity Maturity Assessment Framework (CMAF) as a self-assessment tool for critical national infrastructures or as an audit tool for National Competent Authorities. Furthermore, the dissertation outlines Greece's cyber security key milestones since the establishment of the Greek National Competent Authority for Cyber Security, which serves as a national coordinating and policymaking agency. The accomplishment of these milestones resulted in the development of a national cybersecurity framework, which significantly improved Greece's standing in international cybersecurity indices.

Ο Ψηφιακός μετασχηματισμός, που έχει πλέον κάνει αισθητή την αναγκαιότητα εφαρμογής του στον τρόπο παροχής υπηρεσιών, απαιτεί την εγκαθίδρυση ενός κλίματος εμπιστοσύνης στον ψηφιακό κόσμο. Η πρόοδος του τομέα της κυβερνοασφάλειας αποτελεί βασική συνιστώσα για την επίτευξη αυτού του στόχου. Σε μια προσπάθεια να προωθήσει τις εξελίξεις προς αυτή την κατεύθυνση, η Ευρωπαϊκή Ένωση (ΕΕ) έχει εκδώσει πληθώρα νομικών και κανονιστικών υποχρεώσεων. Ωστόσο, οι υποχρεώσεις αυτές δεν μπορούν να αποφέρουν τα επιθυμητά αποτελέσματα από μόνες τους, εάν δεν ενσωματωθούν σε ένα ολιστικό πλαίσιο διακυβέρνησης που να καλύπτει τόσο στρατηγικά όσο και επιχειρησιακά ζητήματα. Η παρούσα διπλωματική εργασία διερευνά νομικές και πολιτικές πρωτοβουλίες που σχετίζονται με την κυβερνοασφάλεια και έχουν υλοποιηθεί ή αναπτύσσονται επί του παρόντος στην Ευρωπαϊκή Ένωση (ΕΕ), με κύρια έμφαση στην Οδηγία για την ασφάλεια συστημάτων δικτύου και πληροφοριών (Οδηγία NIS). Η διατριβή παρέχει έναν ενδεικτικό οδικό χάρτη για την εφαρμογή της Οδηγίας NIS στην Ελλάδα ως μελέτη περίπτωσης, αναδεικνύοντας τις προκλήσεις και τις προτεινόμενες λύσεις. Καθώς οι κρίσιμες εθνικές υποδομές καθίστανται ολοένα και πιο ευάλωτες σε κυβερνοεπιθέσεις, τα κράτη μέλη της ΕΕ πρέπει να δώσουν προτεραιότητα στην άμυνά τους επιβάλλοντας μέτρα ασφάλειας δικτύων και συστημάτων πληροφοριών. Οι εθνικές αρμόδιες αρχές πρέπει να αξιολογούν τη συμμόρφωση με αυτές τις αρμοδιότητες. Η διατριβή περιλαμβάνει μελέτη των σημαντικότερων κυβερνητικών υποδομών ΤΠΕ της Ελλάδας, αξιολογώντας τις σημαντικότερες απειλές, τις προτεραιότητες και τα υπάρχοντα μέτρα προστασίας και αντιμετώπισης. Προτείνει επίσης τη χρήση ενός πλαισίου αξιολόγησης ωριμότητας στον τομέα της κυβερνοασφάλειας (CMAF) ως εργαλείου αυτοαξιολόγησης για τις κρίσιμες εθνικές υποδομές ή ως εργαλείου ελέγχου για τις εθνικές αρμόδιες αρχές. Επιπλέον, η διατριβή περιγράφει τα βασικά ορόσημα της Ελλάδας για την ασφάλεια στον κυβερνοχώρο από την ίδρυση της Ελληνικής Εθνικής Αρμόδιας Αρχής για την κυβερνοσφάλεια, η οποία λειτουργεί ως εθνικός φορέας συντονισμού και χάραξης πολιτικής. Η επίτευξη αυτών των ορόσημων είχε ως αποτέλεσμα την ανάπτυξη ενός εθνικού πλαισίου κυβερνοασφάλειας, το οποίο βελτίωσε σημαντικά τη θέση της Ελλάδας στους διεθνείς δείκτες κυβερνοασφάλειας.