Jakie korzyści i wyzwania wiążą się z wdrożeniem Dyrektywy NIS2?

Już od 17 października 2024 roku, podmioty publiczne i prywatne, sklasyfikowane jako średnie przedsiębiorstwa, zaczną obowiązywać szczegółowe regulacje związane z dyrektywą cyberbezpieczeństwa NIS2. Oznacza to, że wiele firm – m.in. usługi pocztowe i kurierskie, zakłady produkcyjne, przetwarzające żywność czy zajmujące się gospodarowaniem odpadami – ma zaledwie 9 miesięcy na przygotowanie własnej polityki organizacyjnej, określenie procedur operacyjnych oraz implementację rozwiązań z zakresu cyberbezpieczeństwa. Jakie wyzwania mogą mieć firmy z wdrożeniem tej dyrektywy? I jakie przyniesie im ona korzyści?

Dyrektywa NIS2, wchodząc w życie 16 stycznia 2023 roku, uchyliła obowiązujący wcześniej akt prawny z roku 2016. Wspomnianą nowelizację wymusiła rosnąca liczba cyberataków, niewystarczająca odporność biznesu na nie, a także niespójne rozumienie głównych zagrożeń i wyzwań z zakresu cyberbezpieczeństwa. Istotną kwestią był również brak międzynarodowego systemu reagowania na sytuacje kryzysowe.

W przeciwieństwie do poprzednio obowiązujących przepisów, do stosowania nowych regulacji będą zobowiązane m.in. mikroprzedsiębiorstwa oraz małe przedsiębiorstwa, które spełnią kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.

I tak, nowe przepisy obejmują:

•  analizę ryzyka i środki zarządzania ryzykiem,
• polityki bezpieczeństwa systemów teleinformatycznych,
• zarządzanie incydentami,
• raportowanie incydentów do CSIRT poziomu krajowego lub innego organu,
• bezpieczeństwo łańcucha dostaw,
• plan ciągłości działania i zarządzania kryzysowego, w tym kopiami zapasowymi,
• polityki i procedury nabywania, rozwoju i utrzymania sieci oraz systemów informatycznych, testowania i audytu zabezpieczeń,
• kryptografię i szyfrowanie,
• szkolenia z zakresu cyberbezpieczeństwa.

Z kolei kary za nieprzestrzeganie przepisów mają sięgać 10 milionów euro lub 2% rocznych globalnych przychodów – w zależności od tego, która z tych kwot jest wyższa.

Wraz z wdrożeniem NIS2 – przypomnijmy, do 17 października br. wszystkie zobowiązane podmioty będą musiały zmodernizować swoje zabezpieczenia IT oraz je udokumentować – cyberbezpieczeństwo stanie się obowiązkowym filarem prowadzenia działalności gospodarczej, a także priorytetem w procesach zamówień publicznych. Może więc decydować o tym, które firmy wygrają nowe kontrakty.

Niestety, jak wskazują eksperci F5, większość organizacji nie posiada odpowiednich umiejętności wewnątrz organizacji, aby sprostać wielu wymaganiom nowej dyrektywy, zwłaszcza że ich systemy w coraz większym stopniu obejmują wiele środowisk chmurowych, a duża liczba pracowników nadal pracuje z domu. Dlatego też w 2024 roku możemy spodziewać się intensywnych działań dostosowujących operacje przedsiębiorstw do nowej rzeczywistości.

Komentarze przedstawicieli branży cyberbezpieczeństwa

Jakie więc wyzwania mogą się wiązać z wprowadzaniem tych regulacji i jakie korzyści przyniesie firmom dyrektywa NIS2?  O odpowiedź na te pytania poprosiliśmy przedstawicieli branży cyberzbezpieczeństwa. Poniżej ich komentarze:

F5

Nakładająca rygorystyczne normy, odnowiona dyrektywa w sprawie bezpieczeństwa sieci i informacji (NIS2) będzie wymagać, aby znacznie więcej firm w UE poważnie zadbało o swoje cyberbezpieczeństwo. Nowe przepisy obejmą każdy podmiot gospodarczy, który zatrudnia ponad 50 pracowników i ma roczny obrót przekraczający 10 milionów euro. Oznacza to, że NIS2 będzie miało także zastosowanie dla podmiotów, które dotychczas nie potrzebowały szczególnie skupiać się na swoim bezpieczeństwie w sieci. I właśnie dla tych organizacji największym wyzwaniem będzie opracowanie całego ekosystemu cyberobrony, czasem niemal zupełnie od podstaw.

W miarę wdrażania dyrektywy NIS2 przez państwa członkowskie UE, dotknięte przedsiębiorstwa będą musiały zapewnić ochronę wszystkich zewnętrznych interfejsów, w tym aplikacji używanych do interakcji z klientami i dostawcami. Jeśli dojdzie do naruszenia, dana organizacja będzie musiała złożyć raport wczesnego ostrzeżenia w ciągu 24 godzin od uzyskania informacji o incydencie. Dalej, w ciągu 72 godzin musi powstać wstępna ocena, a także raport końcowy w terminie 30 dni. W związku z tym firmy będą musiały mieć pełną widoczność tego, co dzieje się w ich cyfrowych operacjach oraz cyfrowych interfejsach komunikacji z klientami, partnerami i dostawcami. Uzyskanie pełnej świadomości operacyjnej staje się zatem największym wyzwaniem związanym z wejściem w życie dyrektywy NIS2.

Nie jest to również łatwe zadanie dla większych organizacji. Jednym z ważniejszych wyzwań związanych ze naciskiem regulacyjnym NIS2 na bezpieczeństwo staje się złożoność stosowanych zabezpieczeń, jak i monitorowanie infrastruktury cyfrowej. Badania F5 State of Application Strategy z 2023 roku pokazały, że ponad 20% firm korzysta z 5 i więcej różnych środowisk. Podczas gdy front-end aplikacji może działać w chmurze publicznej, back-end może znajdować się w wewnętrznym centrum danych. Jednocześnie pracownicy coraz częściej logują się do systemów i aplikacji z wielu różnych lokalizacji, takich jak ich domy i przestrzenie coworkingowe. To wszystko dodatkowo komplikuje utrzymywanie świadomości operacyjnej dotyczącej cyberbezpieczeństwa i przez to utrudnia prawidłowe wdrożenie dyrektywy NIS2 w organizacjach.

Bartłomiej Anszperger, Solution Engineering Manager F5 w Polsce

Direct IT

Dyrektywa NIS2 (Network and Information Security) ma na celu wzmocnienie bezpieczeństwa cybernetycznego w Unii Europejskiej poprzez ustanowienie nowych ram prawnych dla firm z 11 sektorów. Jej wdrożenie nie jest bezproblemowe i może stwarzać wiele wyzwań dla firm. Wdrożenie zaleceń dyrektywy może wymagać znaczących inwestycji w infrastrukturę IT, technologie i procedury bezpieczeństwa oraz szkolenia personelu. Firmy, zwłaszcza te z sektorów, które wcześniej nie były objęte regulacjami NIS, mogą napotkać trudności w dostosowaniu się do nowych przepisów ze względu na ograniczone budżety.

Dyrektywa NIS2 nakłada obowiązki nie tylko na same firmy, ale także na ich dostawców i partnerów biznesowych, łańcuchy dostaw, co może wymagać zmian w umowach i procesach współpracy. Zapewnienie, że wszystkie zewnętrzne podmioty przestrzegają wymogów bezpieczeństwa może być skomplikowane i wymagać dodatkowych środków kontroli. Dyrektywa NIS2 obejmuje także szereg wymagań dotyczących bezpieczeństwa, co może sprawić trudności w zrozumieniu i skutecznym wdrożeniu wszystkich jej zapisów. Firma musi gruntownie przeanalizować i dostosować swoje procedury oraz systemy, aby spełnić szczegółowe wymagania dyrektywy.

Wdrażanie dyrektywy NIS2 jest procesem wymagającym uwagi na wielu różnych obszarach w firmie, od technologii po zarządzanie ryzykiem i wypełnieniem wymogów prawnych. Konieczne jest zrozumienie głównych jej punktów i odpowiednie dostosowanie się do nowych wymogów bezpieczeństwa cybernetycznego, co będzie wiązać się z kosztami i potrzebą ścisłej współpracy między różnymi działami oraz zewnętrznymi podmiotami. Warto w takim momencie wesprzeć się zewnętrznym partnerem, który wraz ze swoim doświadczonym zespołem będzie mógł szybko zdiagnozować obszary wymagające zmian i pomóc szybko dostosować je do nowych wymogów. To pozwoli zoptymalizować koszty całej transformacji, a także pilnować ciągłości utrzymania tych zmian w organizacji. Skuteczne wdrożenie dyrektywy NIS2 stanowi również kluczowy krok w zapewnieniu bardziej solidnych fundamentów bezpieczeństwa cybernetycznego w Europie.

Krzysztof Dudziński, wiceprezes zarządu Direct IT

IBM

Obowiązująca od kilku lat dyrektywa NIS, zaimplementowana w polskim systemie prawnym ustawą o Krajowym Systemie Bezpieczeństwa, powstała w odpowiedzi na zagrożenia i stan cyberbezpieczeństwa, jaki mieliśmy ponad 10 lat temu, a przez ten czas cyberberzagrożenia istotnie wyewoluowały. Jeszcze parę lat temu najczęstszym celem ataku przestępców były informacje pomagające wykradać pieniądze, numery kart kredytowych czy dane ich właścicieli. Natomiast od co najmniej 2-3 lat, najpopularniejsze są ataki mające na celu wymuszenie na ofiarach ataków haraczu przez zaszyfrowanie dysków lub kradzież danych. I tak jak zmieniają się i rozwijają zagrożenia, rozwijać się też musi odpowiedź i sposób radzenia sobie z nimi. Dlatego pojawiła się potrzeba objęcia ustawą KSC nowych podmiotów. O ile obowiązki wynikające z ustawy KSC dotyczyły do tej pory kilkuset podmiotów, teraz po wprowadzeniu NIS2 będą ich tysiące.

NIS2 to nie tylko nowe obowiązki, odpowiedzialność i kary. To przede wszystkim działania zmierzające do podniesienia poziomu świadomości cyberzagrożeń oraz lepsza współpraca z instytucjami wspierającymi reagowanie na incydenty. Dyrektywa spowoduje, że poszczególne branże i sektory gospodarki będą w bardziej wyspecjalizowany sposób przygotowane na cyberataki. Dla firm i instytucji, które są objęte ustawą KSC, po zaimplementowaniu NIS2 pojawią się nowe obowiązki. Zostanie też po raz pierwszy zdefiniowana konieczność wprowadzenia tam, gdzie to jest konieczne ze względu na prowadzoną działalność, odpowiednich środków technicznych i organizacyjnych, takich jak m.in. szyfrowanie danych czy wieloskładnikowa autentykacja.

Objęcie dyrektywą NIS2 i ustawą KSC nowych podmiotów spowoduje przede wszystkim, że kilka tysięcy firm i instytucji, jeśli nie zrobiło tego do tej pory, wprowadzi do swojego obszaru zarządczego cyberbezpieczeństwo, jako istotny czynnik wpływający na sposób podejmowania decyzji i prowadzenia działalności. Podmioty te będą z jednej strony zobowiązane do przeprowadzania analiz ryzyk związanych z zagrożeniami cybernetycznymi i oceny ich wpływu na prowadzoną działalność, a z drugiej strony będą częścią zintegrowanego organizmu współpracy w zakresie cyberbezpieczeństwa, dzięki czemu nie będą osamotnione w walce z hakerami.

Jacek Niedziałkowski, Security Solutions Senior Sales Specialist w IBM

CDeX PSA

Dyrektywa nie będzie łatwa do wdrożenia w wielu firmach ze względu na koszty, braki w szkoleniu oraz personalne, a także szereg procedur oraz procesów, które musiałby powstać w stosunkowo krótkim czasie. Oto największe wyzwania z perspektywy organizacyjnej przy wprowadzaniu NIS2:

• Zarządzanie Ryzykiem Cybernetycznym: NIS2 wymaga wdrożenia różnorodnych polityk zarządzania ryzykiem cybernetycznym, obejmujących analizę ryzyka, reakcję na incydenty, szyfrowanie, kryptografię, ujawnianie podatności, szkolenia z cyberbezpieczeństwa oraz zabezpieczenie łańcucha dostaw.
• Raportowanie: Dyrektywa wprowadza rygorystyczne wymagania dotyczące raportowania incydentów, obejmujące początkowe powiadomienie w ciągu 24 godzin od detekcji, drugie w ciągu 72 godzin i ostateczny raport w ciągu 1 miesiąca. To spora presja na działach odpowiedzialnych za reakcję na incydenty oraz dodatkowa biurokracja.
• Nadzór Organów Zarządzających: NIS2 nakłada bezpośrednie obowiązki na organy zarządzające, zobowiązując je do zatwierdzania i nadzorowania wdrożenia środków zarządzania ryzykiem. Członkowie tych organów muszą regularnie uczestniczyć w szkoleniach dotyczących zagrożeń cybernetycznych i praktyk zarządzania ryzykiem.

Dyrektywa NIS2 kładzie również szczególny nacisk na rozwijanie szkoleń oraz ćwiczeń z zakresu cybernetyki w całej Unii Europejskiej, mając na celu zwiększenie odporności na zagrożenia cybernetyczne. Nowa dyrektywa modernizuje ramy prawne, aby sprostać skutkom zwiększonej digitalizacji. Aby osiągnąć ten cel, NIS2 rozszerza minimalne standardy oraz wymagania dotyczące cyberbezpieczeństwa, obejmując nowe podmioty i sektory. W ten sposób wzmacnia więc bezpieczeństwo cybernetyczne oraz umiejętności reagowania na incydenty w organizacjach publicznych i prywatnych na terenie UE.

dr. Bartłomiej Ziółkowski, Co-founder & CEO CDeX PSA