Horyzonty Bankowości 2024 | Bezpieczeństwo – DAGMA Sp. z o.o. | NIS2 – końcowe odliczanie | 4 miesiące na wdrożenie założeń nowej dyrektywy, która obejmuje m.in. branżę finansową
Ekspert podpowiada siedem kroków, które należy wykonać, chcąc spełnić nowe wymogi.
Przedsiębiorcy wciąż nieświadomi
W opinii licznych specjalistów stopień naszego przygotowania do implementacji założeń dyrektywy NIS2 wciąż jest niewystarczający. Eksperci zwracają uwagę, że wiele podmiotów nie tylko nie jest gotowych na nowe przepisy, lecz pozostaje nieświadoma obowiązków, które na nich spoczną. Państwa członkowskie UE mają czas na wdrożenie rekomendacji do 17 października 2024 r. W kwietniu przedstawiono projekt nowelizacji ustawy o KSC. Czasu, by wprowadzić odpowiednie rozwiązania techniczne i organizacyjne, pozostaje zatem niewiele. Łącznie implementacja dotyczyć będzie ok. 38 tys. firm i instytucji z takich branż, jak m.in. transport, energetyka czy finanse, w tym łańcuch ich dostawców.
– Oceniam, że nawet 1/4 firm w Polsce nawet nie wie, że dyrektywa NIS2 będzie ich dotyczyć. To bardzo pesymistyczny wniosek, ponieważ głośno mówi się o tym od wielu miesięcy. Warto sprawdzić tę kwestię, ponieważ nowe prawo odpowiedzialnością za niespełnienie wymagań w sytuacji naruszenia bezpieczeństwa obarczy zarządy spółek czy kadrę kierowniczą – wskazuje Paweł Śmigielski, country manager Stormshield.
Firmy nie nadążają za wymaganiami
Z drugiej strony, jak wspomniano w panelu „Cyberbezpieczeństwo” zorganizowanym podczas Europejskiego Kongresu Gospodarczego w Katowicach, wiele firm nie jest w stanie nadążyć za nakładanymi na nie wymaganiami. Tak oceniał Artur Józefiak, wiceprezes Accenture w Polsce, dodając, że szczególnie w przypadku MŚP odpowiedzialność za cyfrowe bezpieczeństwo coraz bardziej spada na państwo. To, w jego opinii, rodzi potrzebę stworzenia specjalistycznego klastra funkcjonującego w formule PPP, ponieważ bez instytucjonalnego wsparcia firmy te nie będą w stanie skutecznie stawić czoła zagrożeniom. Z kolei Krzysztof Malesa, National Security Officer Microsoft, zwracał uwagę, że prawne wymogi są niezbędne jako motywator podejmowania działań i również małe firmy muszą wziąć odpowiedzialność za swoje bezpieczeństwo, którego nie można przerzucać na państwo. Odnosząc się do tego, Paweł Jurek, dyrektor rozwoju biznesu w DAGMA Bezpieczeństwo IT, podkreślał znaczenie współpracy sektorów prywatnego i publicznego. „Nie widzę sprzeczności między rolą państwa, a dbałością o cyberbezpieczeństwo przez samych przedsiębiorców. Potrzebujemy zarówno większej świadomości przedsiębiorców, jak i pomocy państwa w ściganiu zagrożeń, odkrywaniu incydentów i ich prawdziwych, nierzadko geopolitycznych motywacji”. Według CERT Polska, w ub.r. nastąpił dwukrotny wzrost liczby incydentów i przypadków ransomware, w porównaniu do 2022 r.
– Incydenty były, są i będą, a dyrektywa NIS2 kładzie duży nacisk, by przygotowywać plany ciągłości działania i budować kompetencje w zakresie cyberodporności. To pomoże w kryzysowej sytuacji przywrócić normalne funkcjonowanie. W rzeczywistości jest to wyjście naprzeciw potrzebom, co wobec faktu, że niemal każde przedsiębiorstwo i instytucja są narażone na cyberprzestępczość, zupełnie nie dziwi. Oceniam, że w ten sposób powinno się traktować to zagadnienie. Nie chodzi tylko o zgodność z przepisami w myśl zasad compliance, a o rzeczywiste wzmocnienie bezpieczeństwa – mówi ekspert Stormshield, wytwórcy rozwiązań z obszaru bezpieczeństwa IT.
Szkolenia i audyt pomogą zrozumieć zagadnienie
W tym kontekście zasadne wydaje się wprowadzenie obowiązku dla osób kierujących podmiotami kluczowymi, by raz do roku przeszły one szkolenie z zakresu cyberbezpieczeństwa i posiadły aktualną wiedzę na ten temat. O tym również jest mowa w przedstawionej nowelizacji.
– Ważne jednak, by takie szkolenie było przez uczestników potraktowane poważnie, a nie jako punkt do odhaczenia, z którego niewiele wyniosą. To na nich spoczywa odpowiedzialność i to na nich ustawodawca nakłada kary za niewypełnienie obowiązków. Określono minimalny poziom kar, co oznacza ich nieuchronność. Jednocześnie kara wynikająca z przepisów to jedynie część odpowiedzialności, niezależna od szkód wyrządzonych w przypadku skutecznego ataku, którego szanse wystąpienia podnosi brak wdrożonych zabezpieczeń – zwraca uwagę Paweł Śmigielski.
Jak zauważa Aleksander Kostuch, inżynier Stormshield, projekt nowelizacji ustawy o KSC powtarza za NIS2, że należy stosować odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem. Intencją ustawodawcy jest wdrożenie systemów, które będą realnie chronić przed cyberzagrożeniami bezpośrednio i pośrednio zagrażającym wykonywaniu usług na rzecz społeczeństwa, m.in. w obszarach zdrowia, żywności, gospodarki wodnokanalizacyjnej, energii, transportu, administracji publicznej i usług cyfrowych.
– Firmy objęte obowiązkami muszą wdrożyć rozwiązania, aby zapewnić niezbędny poziom bezpieczeństwa sieci i systemów informatycznych charakteryzujący daną działalność, zgodnie z jej celami i skalą. Jednocześnie projekt nakazuje również ciągłe dostosowywanie środków bezpieczeństwa do zmieniającego się zagrożenia i technologii. Dlatego szkolenia będą miały tak istotne znaczenie, ułatwiając odnalezienie się w tej materii – podsumowuje Aleksander Kostuch.
Rekomendacje dotyczące przygotowania się do wymogów NIS2
- Identyfikacja, czy jesteśmy podmiotem kluczowym lub ważnym (autoanaliza lub skorzystanie ze wsparcia firm trzecich – analiza prawna).
- Powołanie zespołu odpowiedzialnego za przygotowanie organizacji do wdrożenia wymogów NIS2 oraz zespołu odpowiedzialnego za utrzymywanie systemu zarządzania bezpieczeństwem informacji, raportowanie incydentów i współpracę z CSIRT-ami.
- Inwentaryzacja posiadanego sprzętu, oprogramowania, procesów i usług. Sprawdzenie, które z tych elementów mogą pomóc organizacji w przygotowaniu do spełnienia wymogów NIS2.
- Przeprowadzenie analizy ryzyka elementów z punktu 3.
- Zaplanowanie procesów (np. stworzenie planów ciągłości działania), zakup i wdrożenie rozwiązań pozwalających monitorować i reagować na ryzyka zdefiniowane w trakcie analizy.
- Określenie możliwych do wystąpienie incydentów, a także obowiązków w zakresie reagowania na nie i raportowania.
- Ustalenie, które z powyższych punktów możemy zrealizować, wykorzystując zasoby organizacji, a do których niezbędne będzie wsparcie zewnętrznych konsultantów.