Cyberbezpieczeństwo przestaje być domeną działów IT. Zarządy przejmują odpowiedzialność

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Europa przez lata budowała swoje bezpieczeństwo w oparciu o klasyczne rozumienie zagrożeń: granice państwowe, potencjał militarny, infrastrukturę krytyczną i bezpieczeństwo energetyczne. Ostatnie lata pokazały jednak bardzo wyraźnie, że współczesny konflikt – niezależnie od tego, czy ma charakter militarny, hybrydowy czy gospodarczy – w ogromnym stopniu toczy się również w cyberprzestrzeni.

Atak na system logistyczny, sparaliżowanie operatora energetycznego, przejęcie danych dostawcy dla sektora zbrojeniowego, zatrzymanie produkcji w zakładzie przemysłowym czy czasowe wyłączenie infrastruktury telekomunikacyjnej mogą dziś wywołać skutki porównywalne z klasycznym sabotażem infrastruktury fizycznej.

Z perspektywy państwa odporność cyfrowa przestała być więc zagadnieniem stricte technologicznym. Stała się elementem bezpieczeństwa narodowego.

Właśnie w tym kontekście należy patrzeć na dyrektywę NIS2.

W debacie publicznej regulacja ta bywa nadal sprowadzana do „kolejnej unijnej dyrektywy IT”. To poważne uproszczenie. W rzeczywistości NIS2 jest próbą zbudowania europejskiego systemu odporności gospodarczej i operacyjnej wobec zagrożeń cybernetycznych, które coraz częściej mają charakter systemowy, państwowy albo quasi-państwowy.

Nieprzypadkowo regulacja pojawia się równolegle z europejską debatą dotyczącą resilience, strategic autonomy, dual use technologies czy odporności infrastruktury krytycznej.

Z punktu widzenia sektora defence, przemysłu strategicznego, logistyki, energetyki czy zaawansowanej produkcji przemysłowej znaczenie NIS2 wykracza daleko poza compliance.

To regulacja o charakterze operacyjnym i strategicznym.

Dyrektywa znacząco rozszerza katalog podmiotów objętych obowiązkami. Nie chodzi już wyłącznie o klasycznych operatorów infrastruktury krytycznej. W praktyce objęte regulacją będą również firmy funkcjonujące w szerokim ekosystemie bezpieczeństwa państwa i gospodarki – producenci przemysłowi, podmioty technologiczne, operatorzy logistyczni, dostawcy usług cyfrowych, część sektora chemicznego, spożywczego czy podwykonawcy funkcjonujący w łańcuchach dostaw dużych grup przemysłowych oraz podmiotów realizujących kontrakty publiczne i obronne.

I właśnie łańcuch dostaw jest dziś jednym z kluczowych obszarów ryzyka.

Nowoczesne operacje cybernetyczne coraz rzadziej polegają na frontalnym ataku na najlepiej zabezpieczony podmiot. Znacznie częściej wykorzystują słabsze ogniwo – mniejszego dostawcę, podwykonawcę, firmę serwisową albo partnera technologicznego. W praktyce oznacza to, że nawet średnia firma przemysłowa, która formalnie nie uważa się za element infrastruktury krytycznej, może stać się punktem wejścia do systemów podmiotu strategicznego.

W sektorze defence to problem fundamentalny. Dzisiejszy przemysł obronny funkcjonuje w oparciu o wielowarstwowe i silnie rozproszone sieci kooperantów. Ryzyko cybernetyczne nie kończy się więc na głównym wykonawcy kontraktu. Ono rozlewa się na cały ekosystem dostawców, integratorów, producentów komponentów, firm software’owych, operatorów infrastruktury i podmiotów logistycznych.

Dlatego właśnie NIS2 bardzo mocno akcentuje bezpieczeństwo supply chain. To jeden z najbardziej niedocenianych aspektów tej regulacji.

W praktyce już dziś obserwujemy, że duże grupy przemysłowe oraz podmioty z obszaru infrastruktury krytycznej zaczynają przenosić wymagania bezpieczeństwa na swoich dostawców. W ciągu najbliższych lat stanie się to standardem rynkowym. W wielu przypadkach brak odpowiednich procedur cyberbezpieczeństwa będzie oznaczał realne ryzyko utraty możliwości uczestniczenia w strategicznych projektach, również tych związanych z obronnością i bezpieczeństwem państwa.

To szczególnie istotne dla polskich przedsiębiorstw przemysłowych i technologicznych, które coraz aktywniej uczestniczą w europejskich projektach infrastrukturalnych i defence.

Warto zwrócić uwagę na jeszcze jeden aspekt. NIS2 zmienia filozofię odpowiedzialności. Przez lata cyberbezpieczeństwo traktowane było jako domena działów IT. Zarządy często postrzegały je jako obszar techniczny, delegowany do informatyków, administratorów systemów czy zewnętrznych dostawców usług.

Ta epoka właśnie się kończy.

Dyrektywa wprost przenosi odpowiedzialność na poziom zarządczy. Kadra kierownicza ma nie tylko zatwierdzać środki bezpieczeństwa, ale również aktywnie nadzorować system zarządzania ryzykiem cybernetycznym. Co więcej – ustawodawca europejski wprost mówi o odpowiedzialności za zaniedbania.

To bardzo istotna zmiana z perspektywy corporate governance. Cyberbezpieczeństwo zaczyna funkcjonować podobnie jak compliance, AML czy bezpieczeństwo finansowe – jako obszar osobistej odpowiedzialności członków zarządu i kierownictwa.

W praktyce oznacza to również zmianę oczekiwań wobec rad nadzorczych, audytów wewnętrznych oraz procesów decyzyjnych w spółkach.

W sektorach strategicznych będzie to miało szczególne znaczenie także w kontekście odpowiedzialności kontraktowej, relacji z administracją publiczną oraz zdolności do realizacji zamówień związanych z bezpieczeństwem państwa.

Jednocześnie warto uczciwie powiedzieć: dla wielu organizacji największym problemem nie będzie technologia.

Problemem będzie brak uporządkowanego governance. Brak realnej mapy odpowiedzialności. Brak procedur incydentowych. Brak wiedzy, kto podejmuje decyzje kryzysowe. Brak scenariuszy działania po ataku. Brak kontroli nad dostawcami. Brak świadomości zarządu, jak wygląda rzeczywista ekspozycja organizacji na ryzyko.

A współczesne incydenty cybernetyczne coraz rzadziej mają charakter wyłącznie technologiczny. To dziś często zdarzenia wpływające bezpośrednio na zdolność operacyjną przedsiębiorstwa, ciągłość produkcji, logistykę, realizację kontraktów, bezpieczeństwo informacji, relacje z administracją publiczną czy reputację organizacji.

W kontekście obecnej sytuacji geopolitycznej trudno traktować te kwestie wyłącznie jako problem regulacyjny. NIS2 należy dziś postrzegać szerzej – jako element budowania odporności państwa, gospodarki i przedsiębiorstw funkcjonujących w strategicznych sektorach.

I właśnie dlatego dyskusja o cyberbezpieczeństwie coraz częściej pojawia się obok debat dotyczących obronności, infrastruktury krytycznej, bezpieczeństwa energetycznego czy resilience państwa. Bo współczesne bezpieczeństwo coraz rzadziej zaczyna się od granicy państwowej.

Coraz częściej zaczyna się od serwera, dostępu uprzywilejowanego, podatności w systemie albo niepozornego dostawcy w łańcuchu dostaw.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...

Brexit – tracą wszyscy poza Polską (no i Irlandią) – 10 lat po Brexicie

Szacujemy wymierne straty we wzroście brytyjskiego PKB z tytułu...
Wiadomości

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...

Wojanki i Palionki pod lupą UOKiK. Zarzuty dla youtuberów

Prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowania przeciwko...

Ministerstwo Infrastruktury przygotowuje nowe przepisy dla hulajnóg elektrycznych i taksówek

Ministerstwo Infrastruktury opracowało projekt ustawy dotyczący hulajnóg elektrycznych, rowerów...

Praca zostanie wstrzymana podczas największych upałów. Rząd określił limity temperatur

Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało rozporządzenie określające...

Nieuczciwa konkurencja XXI wieku. Dlaczego firmy tracą przewagę, choć nikt nie kradnie dokumentów

Najgroźniejszy konkurent nie zawsze wychodzi z firmy z teczką...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...
Coś dla Ciebie

Wybrane kategorie