10 czerwca 2024

NIS2 - końcowe odliczanie. 4 miesiące na wdrożenie założeń nowej dyrektywy regulującej kwestię cyberbezpieczeństwa

Wciąż duży odsetek firm nie wie o nakładanych na nie obowiązkach związanych z NIS2.
Jednocześnie w opinii specjalistów wiele przedsiębiorstw nie jest w stanie nadążyć za nakładanymi na nie wymaganiami, o czy mówiono w trakcie Europejskiego Kongresu Gospodarczego w Katowicach.
Projekt nowelizacji ustawy KSC wprowadza odpowiedzialność finansową na osoby kierujące podmiotami kluczowymi, za niespełnienie ciążących na nich obowiązków związanych z bezpieczeństwem cyfrowym przedsiębiorstw.
Ekspert podpowiada siedem kroków, które należy wykonać chcąc spełnić nowe wymogi.

 

Przedsiębiorcy wciąż nieświadomi

W opinii wielu specjalistów stopień naszego przygotowania do implementacji założeń dyrektywy NIS2 wciąż jest niewystarczający. Eksperci zwracają, że wiele podmiotów nie tylko nie jest gotowych na nowe przepisy, lecz pozostaje nieświadoma obowiązków, które na nich spoczną. Państwa członkowskie UE czas na wdrożenie mają do 17 października 2024 roku. W kwietniu przedstawiono projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Czasu by wprowadzić odpowiednie rozwiązania techniczne i organizacyjne pozostaje zatem niewiele. Łącznie implementacja dotyczyć będzie ok. 38 tys. firm i instytucji.

Oceniam, że nawet 1/4 firm w Polsce nawet nie wie, że dyrektywa NIS2 będzie ich dotyczyć. To bardzo pesymistyczny wniosek, ponieważ głośno mówi się o tym od wielu miesięcy. Warto sprawdzić tę kwestię, ponieważ nowe prawo odpowiedzialnością za niespełnienie wymagań w sytuacji naruszenia bezpieczeństwa obarczy zarządy spółek czy kadrę kierowniczą

Paweł Śmigielski
country manager Stormshield

 

Firmy nie nadążają za wymaganiami

Z drugiej strony, jak wspomniano w panelu „Cyberbezpieczeństwo” zorganizowanym podczas Europejskiego Kongresu Gospodarczego w Katowicach, wiele firm nie jest w stanie nadążyć za nakładanymi na nie wymaganiami. Tak oceniał Artur Józefiak, wiceprezes Accenture w Polsce, dodając, że szczególnie w przypadku MŚP odpowiedzialność za cyfrowe bezpieczeństwo coraz bardziej spada na państwo. To w jego opinii rodzi potrzebę stworzenia specjalistycznego klastra funkcjonującego w formule PPP, ponieważ bez instytucjonalnego wsparcia firmy te nie będą w stanie skutecznie stawić czoła zagrożeniom. Z kolei Krzysztof Malesa, National Security Officer Microsoft zwracał uwagę, że prawne wymogi są niezbędne, jako motywator podejmowania działań i również małe firmy musza wziąć odpowiedzialność za swoje bezpieczeństwo, którego nie można przerzucać na państwo.

Odnosząc się do tego Paweł Jurek, dyrektor rozwoju biznesu w DAGMA Bezpieczeństwo IT, podkreślał znaczenie współpracy sektorów prywatnego i publicznego. „Nie widzę sprzeczności między rolą państwa, a dbałością o cyberbezpieczeństwo przez samych przedsiębiorców. Potrzebujemy zarówno większej świadomości przedsiębiorców, jak i pomocy państwa w ściganiu zagrożeń, odkrywaniu incydentów i ich prawdziwych, nierzadko geopolitycznych motywacji”. Według CERT Polska w ubiegłym roku nastąpił dwukrotny wzrost liczby incydentów i przypadków ransomware, w porównaniu do 2022 roku.

Incydenty były, są i będą, a dyrektywa NIS2 kładzie duży nacisk by przygotowywać plany ciągłości działania i budować kompetencje w zakresie cyberodporności. To pomoże w kryzysowej sytuacji przywrócić normalne funkcjonowanie. W rzeczywistości jest to wyjście naprzeciw potrzebom, co wobec faktu, że niemal każde przedsiębiorstwo i instytucja jest narażone na cyberprzestępczość, zupełnie nie dziwi. Oceniam, że w ten sposób powinno się traktować to zagadnienie. Nie chodzi tylko o zgodność z przepisami w myśl zasad compliance, a o rzeczywiste wzmocnienie bezpieczeństwa

Aleksander Kostuch
ekspert Stormshield

 

Szkolenia i audyt pomogą zrozumieć zagadnienie

W tym kontekście zasadnym wydaje się wprowadzenie obowiązku dla osób kierujących podmiotami kluczowymi, by raz do roku przeszły one szkolenie z zakresu cyberbezpieczeństwa i posiadły aktualną wiedzę na ten temat. O tym również jest mowa w przedstawionej nowelizacji.

Ważne jednak, by takie szkolenie było przez uczestników potraktowane poważnie, a nie jako punkt do odhaczenia, z którego niewiele wyniosą. To na nich spoczywa odpowiedzialność i to na nich ustawodawca nakłada kary za niewypełnienie obowiązków. Określono minimalny poziom kar, co oznacza ich nieuchronność. Jednocześnie kara wynikająca z przepisów to jedynie część odpowiedzialności, niezależna od szkód wyrządzonych w przypadku skutecznego ataku, którego szanse wystąpienia podnosi brak wdrożonych zabezpieczeń

Paweł Śmigielski
country manager Stormshield

Jak zauważa Aleksander Kostuch, inżynier Stormshield, projekt nowelizacji ustawy o KSC powtarza za NIS2, że należy stosować odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem. Intencją ustawodawcy jest wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio zagrażającym wykonywaniu usług na rzecz społeczeństwa, m.in. w obszarach zdrowia, żywności, gospodarki wodno-kanalizacyjnej, energii, transportu, administracji publicznej i usług cyfrowych.

Firmy objęte obowiązkami muszą wdrożyć rozwiązania, aby zapewnić niezbędny poziom bezpieczeństwa sieci i systemów informatycznych charakteryzujący daną działalność, zgodnie z jej celami i skalą. Jednocześnie projekt nakazuje również ciągłe dostosowywanie środków bezpieczeństwa do zmieniającego się zagrożenia i technologii. Dlatego szkolenia będą miały tak istotne znaczenie, ułatwiając odnalezienie się w tej materii

Aleksander Kostuch
ekspert Stormshield

 

Rekomendacje dotyczące przygotowania się do wymogów NIS2

  1. Identyfikacja, czy jesteśmy podmiotem kluczowym lub ważnym (autoanaliza lub skorzystanie ze wsparcia firm trzecich – analiza prawna),
  2. Powołanie zespołu odpowiedzialnego za przygotowanie organizacji do wdrożenia wymogów NIS2 oraz zespołu odpowiedzialnego za utrzymywanie systemu zarządzania bezpieczeństwem informacji, raportowanie incydentów i współpracę z CSIRT-ami,
  3. Inwentaryzacja posiadanego sprzętu, oprogramowania, procesów i usług. Sprawdzenie, które z tych elementów mogą pomóc organizacji w przygotowaniu do spełnienia wymogów NIS2,
  4. Przeprowadzenie analizy ryzyka elementów z punktu 3,
  5. Zaplanowanie procesów (np. stworzenie planów ciągłości działania), zakup i wdrożenie rozwiązań pozwalających monitorować i reagować na ryzyka zdefiniowane w trakcie analizy,
  6. Określenie możliwych do wystąpienie incydentów, a także obowiązków w zakresie reagowania na nie i raportowania,
  7. Ustalenie, które z powyższych punktów możemy zrealizować wykorzystując zasoby organizacji, a do których niezbędne będzie wsparcie zewnętrznych konsultantów.
Piotr Zielaskiewicz

Piotr Zielaskiewicz
senior product manager STORMSHIELD

Masz pytania?
Skontaktuj się ze mną:
zielaskiewicz.p@dagma.pl
32 259 11 38

Podobne wpisy: