Tegoroczna jesień może być gorąca dla kilkunastu tysięcy firm w Polsce, bo na taką liczbę, szacuje się grono podmiotów w naszym kraju, które będą podlegać unijnej dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa, lepiej znanej pod skrótem NIS2.
Rada UE przyjęła oficjalnie ten akt w grudniu 2020 roku, a jego postanowienia weszły w życie 16 stycznia 2023 r.
Państwa członkowskie Unii Europejskiej zostały zobowiązane do adaptacji dyrektywy NIS2 do swojego prawa krajowego do 17 października 2024 roku.
Oznacza to, że do tego dnia muszą przyjąć i opublikować środki niezbędne do zastosowania się do wymogów dyrektywy NIS2 a ich stosowanie ma rozpocząć się od 18 października 2024 roku.
NIS2 - co nowego?
NIS2 zastępuje swą poprzedniczkę, czyli przyjętą w 2016 roku dyrektywę NIS -Network and Information Systems Directive - w Brukseli szybko uświadomiono sobie, że skala cyberzagrożeń szybko rośnie, a dotychczasowe rozwiązania są niewystarczające.
Przepisy zaostrzono i objęto nimi kilka nowych sektorów gospodarki, które do tej pory nie musiały regulacjami NIS zawracać sobie głowy.
NIS2 jest jednak czymś więcej niż tylko aktualizacją swej poprzedniczki. Wraz z jej przystosowaniem do legislacji krajowej nastąpią duże zmiany w zakresie obowiązków z obszaru cyberbezpieczeństwa przewidzianych przez prawo.
I tak gdy przepisy poprzedniej dyrektywy swym zasięgiem obejmowały jedynie około kilku tysięcy większych organizacji w Polsce, to nowe regulacje w pewnym zakresie obejmą także sektor MŚP.
Dla tysięcy przedsiębiorstw, które będą podlegać tym przepisom istotne jest, że NIS2 nakłada na nie nowe wymagania m. in.:
- skutecznego zarządzania ryzykiem, w tym jego analizy i reagowania na cyberzagrożenia oraz zgłaszania,
- przygotowanie strategii zapewnienia ciągłości działania i zarządzania kryzysowego (w tym: zarządzanie kopiami zapasowymi, przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej),
- obsługi incydentów cybernetycznych,
- zgłaszanie informacji o incydentach ( do służb i wskazanego CSIRTu).
Dla wielu podmiotów może być to wyzwanie podobne do tego, gdy przed laty w życie wchodziły przepisy RODO.
Tak samo jak w przypadku RODO niedostosowanie sie do obowiązków nałożonych przez NIS2 będzie wiązać się z negatywnymi konsekwencjami.
Kary, mogą sięgać nawet 10 mln euro lub co najmniej 2 proc. całkowitego rocznego światowego obrotu w przypadku podmiotów kluczowych.
Tymczasem z raportu W oczekiwaniu na NIS2: stan przygotowań - opracowanego przez firmę doradczą EY Polska i Trend Micro, wynika, że:
"aż 25 proc. podmiotów w Polsce objętych nowymi przepisami nie ma tego świadomości. Na pytanie czy organizacja będzie podlegać regulacjom NIS2, 13 proc. badanych wskazało odpowiedź – nie wiem – a kolejne 12 proc. odpowiedziało – nie – mimo, że reprezentują podmioty, na których funkcjonowanie wpływ będzie miał NIS2."
Równocześnie, jedynie 38 proc. badanych przedsiębiorstw uważa, że dostosowanie się do nowych regulacji będzie zadaniem na tyle wymagającym, że planują w tym celu uruchomienie oddzielnego projektu. Z kolei połowa z nich (51 proc.) zamierza przeprowadzić zmiany w ramach bieżących działań, a niemal 10 proc. w ogóle nie rozważa podjęcia dodatkowych aktywności związanych z dostosowaniem do NIS2.
Badanie zostało przeprowadzone wśród 60 CISO i menedżerów ds. bezpieczeństwa z największych przedsiębiorstw w Polsce w IV kwartale 2023 roku.
Jak wskazuje EY, NIS2 wprowadza dwie istotne zmiany w stosunku do poprzedniczki, nakładając obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie na nowe podmioty oraz umożliwiając nakładanie na nie kar.
Kogo obejmuje NIS2 ?
Dotychczasowe rozróżnienie na operatorów usług kluczowych i dostawców usług cyfrowych okazało się nieaktualne. Organizacje zostały podzielone na dwie grupy: podmioty kluczowe i ważne.
Podmioty kluczowe
zostały wskazane jako element infrastruktury krytycznej Unii Europejskiej, a ich działalność ma bezpośredni wpływ na stabilność i bezpieczeństwo społeczne i gospodarcze. W przypadku podmiotów kluczowych oczekuje się, że będą one przestrzegać najwyższych standardów bezpieczeństwa sieci i systemów informatycznych.
Wśród tych priorytetowych obszarów znajdziemy najważniejsze dziedziny polskiej gospodarki – energetykę, transport i bankowość, ale również te szczególnie istotne dla funkcjonowania państwa, takie jak ochrona zdrowia, infrastruktura cyfrowa, ścieki, woda pitna czy administracja publiczna.
Co więcej, na gruncie NIS z 2016 roku to państwa członkowskie UE miały obowiązek zidentyfikować operatorów usług kluczowych.
Obecnie każdy podmiot powinien sam przeprowadzić ewaluację i stwierdzić, czy musi wypełniać obowiązki nałożone dyrektywą NIS2 na podmioty kluczowe lub ważne.
Podmioty ważne
Podmioty ważne są nową kategorią wprowadzoną w Dyrektywie NIS2 - to podmioty, które nie spełniają rygorystycznych kryteriów podmiotów kluczowych, ale których działalność ma istotny wpływ na funkcjonowanie społeczeństwa i gospodarki Unii. Podmioty te pozostają jednak w dużej mierze zależne od bezpieczeństwa sieci i systemów informatycznych.
To fitmy firmy średniej wielkości z kluczowych sektorów m.in. dostawcy usług cyfrowych i pocztowych oraz producenci żywności.
Przyjęty podział na podmioty kluczowe i ważne może wydawać się nieintuicyjny. Podmioty ważne działają bowiem nie tylko w sektorach ważnych, ale także w sektorach kluczowych. Ta językowa niespójność wynika z polskiego tłumaczenia NIS2, gdzie dwie kategorie sektorów (sektory kluczowe i ważne) mają nazwy tożsame dwóm kategoriom podmiotów (kluczowym i ważnym). W wersji angielskiej NIS2 sektory mają odpowiednio nazwy – sectors of high criticality oraz other critical sectors, natomiast podmioty dzielą się na essential entities oraz important entities.
Dlaczego warto już teraz zainteresować się NIS2 ?
NIS2 wprowadza bardziej rygorystyczne wymogi w zakresie zarządzania ryzykiem i zgłaszania incydentów.
Przedsiębiorstwa i organizacje we własnym zakresie będą musiały wdrożyć bardziej zaawansowane środki bezpieczeństwa i procedury reakcji na incydenty związane z naruszeniami bezpieczeństwa.
Dyrektywa nakłada też na organizacje obowiązek regularnego przeprowadzania ocen ryzyka i wdrażania odpowiednich środków bezpieczeństwa. Ponadto, wymaga od organizacji raportowania incydentów bezpieczeństwa, co ma umożliwić lepszą analizę zagrożeń i odpowiednią reakcję.
NIS2 zwiększa również nacisk na ochronę danych osobowych, wymagają od organizacji stosowania odpowiednich środków w celu ochrony prywatności i danych osobowych.
Podmioty zobowiązań do przestrzegania dyrektywy są także obowiązane do opracowania i wdrażania skutecznych planów reagowania na incydenty oraz planów kontynuacji działalności w przypadku poważnych zakłóceń.
Dyrektywa zwiększa też wymogi dotyczące współpracy i wymiany informacji między państwami członkowskimi.Ma to na celu lepsze zarządzanie zagrożeniami na poziomie międzynarodowym.
Zakres obowiązków zostanie omówiony jeszcze przez nas w kolejnych publikacjach.
Według badania przeprowadzonego przez EY i Trend Micro dla 45 proc. ankietowanych dużym wyzwaniem na drodze do wdrożenia NIS2 jest brak odpowiedniej liczby specjalistów w tym obszarze.
Z kolei co czwarta organizacja (28 proc.) uważa, że dysponuje nieadekwatnym budżetem. Z badania wynika, że wprowadzenie nowych regulacji spowoduje wzrost środków na cyberbezpieczeństwo u 34 proc. firm.
W Polsce sprawę komplikuje dodatkowo brak nowelizacji ustawy o krajowym systemie cyberbezpieczeństwie (KSC).
Jak jednak zauważa EY brak przygotowania firm do wdrożenia dyrektywy to nie tylko polska specyfika. Według niemieckich źródeł rządowych zaledwie 40 proc. podmiotów z ogólnej liczby około 30 tysięcy spełnia podstawowe wymogi nowej regulacji.
