Dyrektywa NIS2, czyli Dyrektywa o Środkach na rzecz Wysokiego Wspólnego Poziomu Cyberbezpieczeństwa w Unii Europejskiej, jest nowym unijnym prawodawstwem mającym wzmocnić cyber-ochronę w całej Europie. Jej celem jest aktualizacja i rozszerzenie przepisów zawartych w pierwotnej dyrektywie NIS z 2016 roku. Nowe regulacje zostały wprowadzone w odpowiedzi na rosnące zagrożenia w cyberprzestrzeni oraz potrzebę ujednolicenia podejścia do cyberbezpieczeństwa na poziomie europejskim. Państwa członkowskie mają czas do 17 października 2024 roku na wdrożenie dyrektywy, co oznacza, że organizacje muszą niezwłocznie rozpocząć prace nad spełnieniem nowych wymagań. Dyrektywa NIS2 nałoży na firmy obowiązek implementacji odpowiednich środków technicznych i organizacyjnych, a także zwiększy odpowiedzialność zarządów i kadry kierowniczej za naruszenia bezpieczeństwa.
W opinii wielu specjalistów, w Polsce stopień przygotowania do implementacji założeń dyrektywy NIS2 wciąż jest niewystarczający. Eksperci zwracają, że wiele podmiotów nie tylko nie jest gotowych na nowe przepisy, lecz pozostaje nieświadoma obowiązków, które na nich spoczną. Państwa członkowskie UE czas na wdrożenie mają do 17 października 2024 roku. W kwietniu przedstawiono projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Czasu by wprowadzić odpowiednie rozwiązania techniczne i organizacyjne pozostaje zatem niewiele. Łącznie implementacja dotyczyć będzie ok. 38 tys. firm i instytucji.
– Oceniam, że nawet 1/4 firm w Polsce nawet nie wie, że dyrektywa NIS2 będzie ich dotyczyć. To bardzo pesymistyczny wniosek, ponieważ głośno mówi się o tym od wielu miesięcy. Warto sprawdzić tę kwestię, ponieważ nowe prawo odpowiedzialnością za niespełnienie wymagań w sytuacji naruszenia bezpieczeństwa obarczy zarządy spółek czy kadrę kierowniczą – wskazuje Paweł Śmigielski, country manager Stormshield.
Z drugiej strony, jak wspomniano w panelu „Cyberbezpieczeństwo” zorganizowanym podczas Europejskiego Kongresu Gospodarczego w Katowicach, wiele firm nie jest w stanie nadążyć za nakładanymi na nie wymaganiami. Tak oceniał Artur Józefiak, wiceprezes Accenture w Polsce, dodając, że szczególnie w przypadku MŚP odpowiedzialność za cyfrowe bezpieczeństwo coraz bardziej spada na państwo. To w jego opinii rodzi potrzebę stworzenia specjalistycznego klastra funkcjonującego w formule PPP, ponieważ bez instytucjonalnego wsparcia firmy te nie będą w stanie skutecznie stawić czoła zagrożeniom.
Z kolei Krzysztof Malesa, National Security Officer Microsoft zwracał uwagę, że prawne wymogi są niezbędne, jako motywator podejmowania działań i również małe firmy musza wziąć odpowiedzialność za swoje bezpieczeństwo, którego nie można przerzucać na państwo. Odnosząc się do tego Paweł Jurek, dyrektor rozwoju biznesu w DAGMA Bezpieczeństwo IT, podkreślał znaczenie współpracy sektorów prywatnego i publicznego: – Nie widzę sprzeczności między rolą państwa, a dbałością o cyberbezpieczeństwo przez samych przedsiębiorców. Potrzebujemy zarówno większej świadomości przedsiębiorców, jak i pomocy państwa w ściganiu zagrożeń, odkrywaniu incydentów i ich prawdziwych, nierzadko geopolitycznych motywacji. Według CERT Polska w ubiegłym roku nastąpił dwukrotny wzrost liczby incydentów i przypadków ransomware, w porównaniu do 2022 roku.
– Incydenty były, są i będą, a dyrektywa NIS2 kładzie duży nacisk by przygotowywać plany ciągłości działania i budować kompetencje w zakresie cyberodporności. To pomoże w kryzysowej sytuacji przywrócić normalne funkcjonowanie. W rzeczywistości jest to wyjście naprzeciw potrzebom, co wobec faktu, że niemal każde przedsiębiorstwo i instytucja jest narażone na cyberprzestępczość, zupełnie nie dziwi. Oceniam, że w ten sposób powinno się traktować to zagadnienie. Nie chodzi tylko o zgodność z przepisami w myśl zasad compliance, a o rzeczywiste wzmocnienie bezpieczeństwa – mówi ekspert Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
W tym kontekście zasadnym wydaje się wprowadzenie obowiązku dla osób kierujących podmiotami kluczowymi, by raz do roku przeszły one szkolenie z zakresu cyberbezpieczeństwa i posiadły aktualną wiedzę na ten temat. O tym również jest mowa w przedstawionej nowelizacji.
– Ważne jednak, by takie szkolenie było przez uczestników potraktowane poważnie, a nie jako punkt do odhaczenia, z którego niewiele wyniosą. To na nich spoczywa odpowiedzialność i to na nich ustawodawca nakłada kary za niewypełnienie obowiązków. Określono minimalny poziom kar, co oznacza ich nieuchronność. Jednocześnie kara wynikająca z przepisów to jedynie część odpowiedzialności, niezależna od szkód wyrządzonych w przypadku skutecznego ataku, którego szanse wystąpienia podnosi brak wdrożonych zabezpieczeń – zwraca uwagę Paweł Śmigielski.
Jak zauważa Aleksander Kostuch, inżynier Stormshield, projekt nowelizacji ustawy o KSC powtarza za NIS2, że należy stosować odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem. Intencją ustawodawcy jest wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio zagrażającym wykonywaniu usług na rzecz społeczeństwa, m.in. w obszarach zdrowia, żywności, gospodarki wodno-kanalizacyjnej, energii, transportu, administracji publicznej i usług cyfrowych.
– Firmy objęte obowiązkami muszą wdrożyć rozwiązania, aby zapewnić niezbędny poziom bezpieczeństwa sieci i systemów informatycznych charakteryzujący daną działalność, zgodnie z jej celami i skalą. Jednocześnie projekt nakazuje również ciągłe dostosowywanie środków bezpieczeństwa do zmieniającego się zagrożenia i technologii. Dlatego szkolenia będą miały tak istotne znaczenie, ułatwiając odnalezienie się w tej materii – podsumowuje Aleksander Kostuch.
Rekomendacje dotyczące przygotowania się do wymogów NIS2:
- Identyfikacja, czy jesteśmy podmiotem kluczowym lub ważnym (autoanaliza lub skorzystanie ze wsparcia firm trzecich – analiza prawna).
- Powołanie zespołu odpowiedzialnego za przygotowanie organizacji do wdrożenia wymogów NIS2 oraz zespołu odpowiedzialnego za utrzymywanie systemu zarządzania bezpieczeństwem informacji, raportowanie incydentów i współpracę z CSIRT-ami.
- Inwentaryzacja posiadanego sprzętu, oprogramowania, procesów i usług. Sprawdzenie, które z tych elementów mogą pomóc organizacji w przygotowaniu do spełnienia wymogów NIS2.
- Przeprowadzenie analizy ryzyka elementów z punktu 3.
- Zaplanowanie procesów (np. stworzenie planów ciągłości działania), zakup i wdrożenie rozwiązań pozwalających monitorować i reagować na ryzyka zdefiniowane w trakcie analizy.
- Określenie możliwych do wystąpienie incydentów, a także obowiązków w zakresie reagowania na nie i raportowania.
- Ustalenie, które z powyższych punktów możemy zrealizować wykorzystując zasoby organizacji, a do których niezbędne będzie wsparcie zewnętrznych konsultantów.
źródło: informacja prasowa
grafiki przygotowane przez ChatGPT