Zgodnie z dyrektywą NIS2 wprowadzającą nowe ramy odpowiedzialności w zakresie nadzoru i zarządzania ryzykiem związanym z cyberbezpieczeństwem, organizacje objęte regulacją znajdują się teraz w decydującym okresie implementacyjnym. Równo 12 miesięcy mają firmy działające w sektorze publicznym i prywatnym państw członkowskich UE, aby dostosować się do nowych standardów, w tym m.in. przygotować własną politykę organizacyjną, określić procedury operacyjne i wybrać technologie wspierające cały proces.
Dyrektywa NIS2, która weszła w życie 16 stycznia 2023 roku, uchyliła dotychczas obowiązujący akt prawny z 2016. Ten krok ma kluczowe znaczenie dla wzmocnienia cyberbezpieczeństwa w organizacjach, które są filarami infrastruktury krytycznej. W wyniku tych zmian lista sektorów, branż i obszarów gospodarki podlegających regulacjom w dziedzinie bezpieczeństwa cyfrowego została rozszerzona o dziewięć pozycji. Co istotne, dyrektywa NIS2 ma zastosowanie zarówno do podmiotów działających w sektorze publicznym, jak i prywatnym, które świadczą usługi lub prowadzą działalność w Unii Europejskiej, spełniając jednocześnie kryteria klasyfikujące je jako średnie przedsiębiorstwa. Według wprowadzonej w nowelizacji klasyfikacji podmioty, których dotyczą nowe przepisy, dzielą się na kluczowe i ważne. Organizacje świadczące usługi kluczowe to te, których zakłócenie działalności związane z cyberatakami może spowodować poważne konsekwencje społeczno-gospodarcze, zalicza się więc do nich m.in. również sektor administracji publicznej.
Liczba cyberataków rośnie w coraz szybszym tempie, stąd dynamicznie przybywa też nowych wyzwań w tym obszarze. Pomimo istotnej poprawy poziomu cyberbezpieczeństwa w Unii Europejskiej po wdrożeniu regulacji NIS w 2016 roku, potrzeba nowelizacji dyrektywy zaczęła się nasilać. W dużej mierze jest to związane z przyspieszoną transformacją cyfrową społeczeństwa, której początkiem była pandemia COVID-19. Zauważono, że organy odpowiedzialne za cyberbezpieczeństwo mało rygorystycznie podchodziły do kwestii reagowania na incydenty i usuwania ich skutków – mówi Michał Kurek, Partner, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Jak przygotować organizację do wdrożenia zasad zawartych w dyrektywie NIS2?
Wiele organizacji postrzega osiągnięcie zgodności swoich procedur z wymogami postawionymi w dyrektywie NIS2 jako stan docelowy. Zdaniem tych podmiotów jest to zbiór zasad, których należy przestrzegać i dążyć do spełnienia wymaganego minimum. W rzeczywistości jednak, te zasady, które zostały przedstawione w ramach znowelizowanego aktu stanowią podstawę i środek do osiągania wyższego poziomu cyberbezpieczeństwa. Skoordynowane i dostosowane regulacje są kluczowe dla wzmocnienia odporności organizacji na cyberataki. Jednak ich spójność i wdrożenie stanowią wyzwanie dla organów nimi zarządzających. Liderzy biznesowi muszą rozważać wszelkie konsekwencje wprowadzanych procedur, które mogą wpłynąć na dostawców usług, klientów i innych kluczowych partnerów współtworzących cały łańcuch dostaw. Powinni również stale monitorować, czy wprowadzane zmiany są zgodne z nowymi przepisami.
Nieprzypisanie odpowiedzialności za cyberbezpieczeństwo konkretnym osobom czy zespołom w organizacji może skutkować przeoczeniem zagrożeń. Tematyka cyberbezpieczeństwa w systemach OT (Operational Technology) nie jest jeszcze w takim stopniu upowszechniona jak ma to miejsce w przypadku systemów IT, a w świetle regulacji NIS2 harmonizacja środków bezpieczeństwa wdrażanych na obu tych płaszczyznach jest konieczna. Ponadto organizacje muszą zmierzyć się z zaostrzonymi wymogami w zakresie raportowania incydentów. Argumenty te uwypuklają konieczność wskazywania zespołów odpowiedzialnych za cyberbezpieczeństwo w organizacjach objętych dyrektywą NIS2 – mówi Łukasz Staniak, Dyrektor w Zespole Cyberbezpieczeństwa w KPMG w Polsce.
