Dyrektywa NIS 2 nazywana jest „rewolucją w zakresie cyberbezpieczeństwa” nie bez przyczyny. Cyberprzestępczość przybiera na sile i rozprzestrzenia w zastraszającym tempie, raz po raz dostarczając nowych zagrożeń. Dlatego konieczna była aktualizacja starych przepisów, która z jednej strony ma zwiększyć odporność organizacji na ataki, a z drugiej – nakłada na nie konkretne obowiązki. Jakie i kogo one dotyczą? Tłumaczy firma PBSG, ekspert od cyberbezpieczeństwa.
Dyrektywa NIS 2 weszła w życie w 2023 roku jako aktualizacja dyrektywy z 2016 roku. W Polsce jej założenia realizuje ustawa o krajowym systemie cyberbezpieczeństwa (KSC) z 28 sierpnia 2018 roku. Zaostrza ona dotychczasowe przepisy, jednocześnie nakładając na firmy konkretne obowiązki, a także wysokie kary, jeśli te nie będą stosować się do zaleceń. Szerzej o tym opowiedzieli eksperci podczas warsztatów prowadzonych przez PBSG w ramach Forum Cybersecurity. Nagranie z nich jest dostępne bezpłatnie tutaj: Zmiany dla organizacji w kontekście dyrektywy NIS 2.
Takie aktualizacje przepisów są konieczne. Przekonują o tym wyniki badania przeprowadzanego przez VMware, które wskazują, że tylko w 2022 roku działanie co trzeciej polskiej firmy zostało zakłócone w wyniku cyberataku. Niepokojące jest również co innego – według badania zaledwie 39% przedsiębiorców uważa cyberbezpieczeństwo za priorytetową kategorię w swojej działalności.
Przejdźmy teraz do najważniejszych pytań, a mianowicie, czy i w jakim zakresie dyrektywa NIS 2 dotyczy akurat twojej organizacji? A jeśli tak, to jak najlepiej się przygotować i mieć pewność, że wszystkie jej założenia zostały poprawnie wdrożone? Dowiesz się z dalszej części artykułu.
Czy dyrektywa NIS 2 dotyczy właśnie ciebie?
Dyrektywa NIS 2 obejmuje 11 sektorów gospodarki, które są objęte regulacjami cyberbezpieczeństwa. Dzieli przedsiębiorców na dwie kategorie: podmioty kluczowe (przedsiębiorstwa użyteczności publicznej, banki, firmy komunikacyjne) oraz podmioty istotne (np. firmy przewozowe, platformy mediów społecznościowych, dostawcy centrów danych). Aby ustalić, czy dotyczy twojej firmy, należy przyjrzeć się klasyfikacji działalności w kontekście sektorów i typów usług wymienionych w dyrektywie. Co ważne, firmy zatrudniające mniej niż 250 pracowników lub z rocznymi obrotami nieprzekraczającymi 50 mln EUR są zwolnione z wdrożenia zmian.
Artykuł 2 dyrektywy NIS 2 precyzuje, jak powinniśmy się identyfikować, jako podmiot zobowiązany. Pierwszym elementem jest definicja średniego przedsiębiorstwa, do której możemy się odnieść (w dużym uproszczeniu są to podmioty, zatrudniające co najmniej 50 osób o rocznych obrotach 10 mln EUR). Jednak okazuje się, że nie musimy spełniać tej definicji, by być uznanym za podmiot kluczowy. Taka sytuacja ma miejsce, kiedy przykładowo jesteśmy jedynym dostawcą usługi kluczowej w państwach unijnych albo też zakłócenia w świadczeniu usługi miałyby wpływ na porządek i zdrowie publiczne – wówczas wielkość organizacji nie ma znaczenia. Dlatego też należy upewnić się, czy czasem nie spełniamy innych dodatkowych warunków.
Jacek Knopik, manager, ekspert i praktyk zarządzania ryzykiem w PBSG
Jak to sprawdzić? Zawsze możesz poczekać na urzędowe pismo, jednak jest to scenariusz niezalecany, zwłaszcza że niespełnienie wymogów grozi surową karą finansową, która może wynieść nawet 7 mln EUR w przypadku podmiotów istotnych. To na przedsiębiorcy spoczywa obowiązek zrobienia diagnozy klasyfikacji i oceny, czy podlega pod NIS 2. Zalecamy tu przeprowadzenie dokładnej analizy, aby upewnić się, że możesz działać spokojnie dalej lub musisz zadbać o wdrożenie NIS 2. Czy warto? Tak. Miej na uwadze, że nie chodzi tu o uniknięcie ewentualnych sankcji, ale o zabezpieczenie się przed cyberzagrożeniami. Taka diagnoza pozwoli też efektywnie zaplanować zmiany, by uniknąć zbędnych wydatków na cyberbezpieczeństwo.
Krótko mówiąc, nawet jeśli dochodzisz do wniosku, że NIS 2 formalnie cię nie obejmuje, warto mieć sporządzony raport z oceny. Taka dokumentacja to parasol ochronny na wypadek, gdyby kiedykolwiek ktoś zapytał, dlaczego nie podjąłeś konkretnych działań.
Oceń stan gotowości, czyli czy jesteś gotowy na NIS 2
Aby sprawdzić, czy firma jest przygotowana na NIS 2, najlepiej wykonać audyt – może być wewnętrzny lub zlecony ekspertom zewnętrznym. Audyt powinien obejmować analizę istniejących środków bezpieczeństwa, procedur reagowania na incydenty i polityk zarządzania ryzykiem. W ten sposób łatwo ocenisz, czy są jakiekolwiek luki w zgodności z NIS 2 oraz obszary wymagające ulepszeń.
Dobrym pomysłem jest zlecenie audytu na zewnątrz. Dlaczego? Ponieważ niezależny ekspert oceni stan gotowości organizacji z boku, rzetelnie obiektywnie. Sprawdzi, jak wygląda kwestia zabezpieczeń, jak działają procedury reagowania na incydenty i jak wygląda polityka zarządzania ryzykiem. Wynikiem jego pracy będzie kompleksowy raport z oceny stanu gotowości do NIS 2, uwzględniający listę wymaganych zmian organizacyjno-technicznych, które pozwolą zrealizować wymogi NIS 2. Znajdą się tam również wnioski i zalecenia, będące fundamentem do planowania dalszych działań w dostosowywaniu się do dyrektywy.
Żeby dowiedzieć się więcej, jak taka analiza wygląda w praktyce i jak można samodzielnie przeprowadzić ocenę stanu gotowości, ponownie odnosimy do warsztatów on-line w ramach Forum Cybersecurity, podczas którego zaproszeni przez PBSG eksperci omówili między innymi, jak ocenić stan przygotowania oraz jak stworzyć plany zarządzania ryzykiem i procesami dostosowania do NIS 2. Nagranie dostępne jest tutaj: Ocena gotowości organizacji do NIS 2 – strategie skutecznego działania.
Odpowiednie procedury odpowiedzią na zagrożenia
W przypadku NIS 2 ważne jest, aby dokładnie poznać realia, w których działa twoja firma, a także powiązane z tym zagrożenia. Dlatego pierwszym krokiem jest analiza ryzyka, której metodyka powinna uwzględniać analizę aktywów, zagrożeń i skuteczności obecnych środków ochrony. Dzięki temu będziesz mógł przejść do kolejnego kroku, jakim jest ocena tego, co masz (aktywa), przed czym musisz się bronić (zagrożenia) i jak dobrze jesteś na to przygotowany (obecne środki ochrony). To z kolei pozwoli opracować plan postępowania z ryzykiem, który powinien być elastyczny, stale aktualizowany i rozwijany razem z twoją firmą i zmieniającym się środowiskiem.
Odpowiednie procedury w organizacji są sposobem na to, aby efektywnie ocenić i priorytetyzować potrzebne zmiany, optymalizując koszty i harmonogram działań. Co więcej, nie chodzi tu o wzbudzenie strachu i poczucia, że zagrożenie czai się za rogiem, co może blokować działalność i rozwój. Nacisk jest położony na przygotowanie się i zyskanie spokoju. Dobre zarządzanie ryzykiem to taka biznesowa higiena – robisz to regularnie, żeby uniknąć większych problemów w przyszłości.
Jacek Knopik, manager, ekspert i praktyk zarządzania ryzykiem w PBSG
Road Map NIS 2, czyli twój plan działania
W PBSG plan pomagający w zarządzaniu procesem dostosowania do dyrektywy nazywamy Road Mapą NIS 2. Ten strategiczny dokument powinien uwzględniać nie tylko spełnienie wymogów dyrektywy, ale przede wszystkim dopasowanie do konkretnych potrzeb twojej organizacji. Koncentracja pada na to, jakie masz zaplecze technologiczne, jakie pojawiają się zagrożenia i co możesz z nimi robić.
Road Map NIS 2 to rezultat pogłębionej analizy i priorytetyzacji działań na wypadek ryzyka. Przy jej opracowywaniu ustala się stopień ryzyka i określa jego znaczenie dla poszczególnych obszarów firmy. To z kolei pozwala skupić się na najważniejszych obszarach, wymagających natychmiastowej uwagi. Uwzględnia również koszty związane z każdym etapem implementacji oraz harmonogram działań dostosowany do możliwości zasobów i operacyjnych organizacji
Podobnie jak plan postępowania z ryzykiem, tak samo Road Mapa NIS 2 powinna być stale aktualizowana, aby zapewnić jej aktualność i skuteczność w zmieniającym się środowisku cybernetycznym. Takie podejście umożliwi nie tylko spełnienie wymogów NIS 2, ale także pomoże zbudować trwałą odporność cyfrową.
Przepisowy zawrót głowy, czyli od czego zacząć?
Wdrożenie NIS 2 może się wydawać dość kosztownym przedsięwzięciem, dlatego wielu przedsiębiorców decyduje się podjąć tego samodzielnie. Kto musi się tym zająć? Zadanie to spada na zarząd, który musi nadzorować wdrożenie, a także angażować się w planowanie i rozwój w dziedzinie cyberbezpieczeństwa. Niestety jest to obarczone ryzykiem. Wszystko przez mnogość przepisów i wymagań, przez które nie tylko ciężko się przebić, ale też można ich po prostu nie zrozumieć. Uspokajamy – z odpowiednim podejściem wszystko jest możliwe.
Zacznij od edukacji. Jeśli twoja firma jest z sektora finansów, może się okazać, że dotyczy jej nie tylko NIS 2, ale też akt DORA (Digital Operational Resilience Act). Dlatego w pierwszej kolejności zapoznaj się z dyrektywami i ich treściami. Wspomóż się również materiałami edukacyjnymi, które pomogą lepiej zrozumieć cele przepisów i stawiane wymagania. Sporą dawkę wiedzy znajdziesz na darmowych warsztatach dla przedsiębiorców.
W poszerzaniu wiedzy na temat NIS 2 (i nie tylko )pomocne będą materiały dostępne on-line:
- webinar Zrozumienie dyrektywy NIS 2 oraz rozporządzenia DORA – bezpieczeństwo cybernetyczne w Europie;
- debata Liderów ERM Ryzykowna gra: nowe horyzonty w zarządzaniu ryzykiem
Największe wyzwania przy wdrożeniu dyrektywy NIS 2
Wiele firm już wdrożyło środki bezpieczeństwa, aby spełnić wymagania stawiane np. przez RODO. Jednak to za mało. Dyrektywa NIS 2 wymaga dostosowania zabezpieczeń do nowej rzeczywistości. Wiąże się to z pewnymi wyzwaniami. Jednym z większych jest konieczność opracowania i wdrożenia środków zaradczych, a także wybór właściwej technologii.
Należy dokonać analizy ryzyka, wdrożyć odpowiednie polityki bezpieczeństwa, przeprowadzić szkolenia dla pracowników. Wśród kluczowych zadań jest też utrzymanie gotowości na incydenty – firmy muszą mieć plan na to, jak zapobiegać atakom, jak je wykrywać i na nie reagować. Do tego dochodzi utrzymanie ciągłości działania, czyli plan na to, co robić, gdy jednak coś pójdzie nie tak, żeby firma mogła dalej funkcjonować.
Jednak nie musi być w tym sama – na rynku działają firmy doradcze, które wspierają we wdrożeniu NIS 2.
W PBSG zapewniamy klientom kompleksową opiekę. Pomagamy nie tylko opracować koncepcję systemu bezpieczeństwa, ale też upewniamy się, że wszystkie założenia wynikające z dyrektywy NIS 2 zostały uwzględnione. Nasze dotychczasowe współprace pokazują, że z odpowiednim doradcą wypracowanie optymalnego poziomu cyberbezpieczeństwa jest do osiągnięcia.
Pamiętaj, że w NIS 2 chodzi o całościowe podejście do cyberbezpieczeństwa – od technologii, przez ludzi, aż po procesy. To wymaga regularnej pracy i proaktywnych działań. Dzięki naszemu wsparciu twoja temu firma będzie bezpieczniejsza i gotowa na różne zagrożenia. Udowodnimy, że NIS 2 to nie „kula u nogi”, a okazja do wzmocnienia twojego biznesu.
Potrzebujesz wsparcia w NIS 2? Sprawdź możliwości PBSG: Wdrożenie dyrektywy NIS 2.