Czy wiesz, że…
- Pierwsza wersja dyrektywy NIS została przyjęta w 2016 roku, jej zaktualizowaną formę – czyli NIS2 – uruchomiono 16 stycznia 2023 roku.
- Termin implementacji wyznaczono na 17 października 2024 roku, a dokładny zakres nowych przepisów będzie zależał od decyzji polskiego ustawodawcy.
- W Polsce w kwietniu br. Ministerstwo Cyfryzacji przedstawiło projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa w odniesieniu do dyrektywy NIS2.
Czego dotyka NIS2?
Dyrektywa NIS2 (Network and Information Systems Directive) ma na celu stworzenie spójnego podejścia do bezpieczeństwa cyfrowego w całej Unii Europejskiej. Wszystko po to, by zwiększyć zdolność państw członkowskich do zapobiegania i reagowania na cyberzagrożenia, a także poprawić współpracę i wymianę informacji na poziomie międzynarodowym.
Aby to osiągnąć, w NIS2 znacząco rozszerzono ilość sektorów gospodarki oraz obowiązków i wymagań. Dyrektywa wskazuje aż 11 sektorów działalności wśród podmiotów kluczowych (czyli tych, które mają szczególne znaczenie dla funkcjonowania gospodarki i społeczeństwa, m.in. energetyka, transport, zdrowie, infrastruktura cyfrowa) i 7 wśród podmiotów ważnych (czyli pełniących istotne funkcje, ale z rolą nie tak krytyczną jak w przypadku podmiotów kluczowych, jak np. usługi cyfrowe, pocztowe i kurierskie, zarządzanie odpadami).
Krok ku cyberbezpieczeństwu
Dyrektywa NIS2 nakłada bardziej rygorystyczne wymagania dot. zarządzania cyberryzykiem, oczekując od organizacji zastosowania zaawansowanych środków bezpieczeństwa i polityk zarządzania ryzykiem.
Wśród obowiązków znalazło się m.in. wdrożenie polityk i procedur rozwoju i utrzymania systemów informatycznych, wdrożenie MFA, plan ciągłości działania i zarządzania kryzysowego, monitorowanie i reagowanie na incydenty, raportowanie ich do odpowiednich organów w ciągu 24 h od wykrycia, a także szkolenia dla pracowników w zakresie cyberbezpieczeństwa.
Co ważne, środki zarządzania ryzykiem mają być proporcjonalne i mają uwzględniać stopień narażenia podmiotu na ryzyko, jego wielkość, prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze. Odpowiedzialność za wszelkie szkody w zakresie zarządzania cyberryzykiem ponosi zaś kierownictwo wyższego szczebla.
A jeśli nie, to co...?
Warto podkreślić, że dyrektywa NIS2 wprowadza surowe sankcje za niespełnienie wymogów dotyczących bezpieczeństwa sieci i systemów informacyjnych. Organizacje, które nie dostosują się do nowych przepisów, mogą zostać ukarane grzywnami wynoszącymi nawet do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa.
Kary te mają na celu zmotywowanie podmiotów do wdrożenia odpowiednich środków ochrony i zarządzania ryzykiem. Ponadto, dyrektywa przewiduje możliwość nałożenia dodatkowych sankcji, takich jak zakaz prowadzenia działalności gospodarczej w określonym sektorze lub konieczność wdrożenia konkretnych środków naprawczych.
Organy nadzoru będą miały również uprawnienia do przeprowadzania audytów i inspekcji, aby upewnić się, że organizacje spełniają wymagania dyrektywy.
Pierwszy krok w stronię NIS2
Aby skutecznie przygotować się do wdrożenia zmian wymaganych przez dyrektywę NIS2, warto rozpocząć od przeprowadzenia kompleksowego audytu. Na początek warto zidentyfikować, czy i w jakim stopniu firma podlega nowym przepisom. Jest to niezbędne do zrozumienia specyficznych obowiązków i przygotowania odpowiedniej strategii dostosowawczej.
- Jak pokazują wyniki badań firmy Dell Technologies, średnio cyberataki kosztowały organizacje 2,61 mln dolarów, odpowiadały za 26 godzin nieplanowanego przestoju i spowodowały stratę 2,45 TB danych. Jednak – pomimo rosnącej liczby zagrożeń – wciąż spotykamy się z sytuacją, iż organizacje nie wiedzą, jak przygotować się do zmiany, a także czy podlegają pod dyrektywę NIS2 i jakie kroki powinny podjąć by dostosować się do jej wymogów. Taka sytuacja jest bardzo ryzykowna – powiedział Rafał Brudnicki z firmy Servers24.pl, wspierającej firmy we wdrażaniu rozwiązań IT, w tym również w zakresie cyberbezpieczeństwa.
- Dlatego ze swojej strony zachęcamy klientów na początek do rozmowy i przeprowadzenia audytu zgodności, który precyzyjnie określa obszary działalności wymagające dostosowania do nowych wymogów, identyfikuje luki i nieprawidłowości w obecnych systemach bezpieczeństwa. Dzięki takiemu podejściu organizacje mogą nie tylko spełnić wymogi dyrektywy, ale przede wszystkim zbudować bardziej odporną na zagrożenia cyfrowe infrastrukturę, zapewniając sobie długoterminową stabilność operacyjną — dodał.
Od audytu do działania
Ważną rolę odgrywają dziś nowoczesne rozwiązania bezpieczeństwa IT oferowane przez wiodących producentów. Firma Servers24.pl we współpracy m.in. z Dell Technologies czy Cisco, jest w stanie pomóc w sprawnym i kompletnym zaprojektowaniu, przetestowaniu (Proof of Concept) oraz wdrożeniu systemu ochrony danych.
Dostępne dziś na rynku produkty tych firm pozwalają na monitorowanie i neutralizację potencjalnych ataków, a także integrację z istniejącymi systemami IT. Dzięki temu firmy uzyskują stabilne i odporne na cyberataki środowisko, które pozwala im osiągnąć długoterminową stabilność biznesową. A o to przede wszystkim w NIS2 chodzi!
Więcej o konkretnych rozwiązaniach Dell Technologies i Cisco w zakresie cyberbezpieczeństwa można dowiedzieć się z webinarów Servers24.pl.