W Polsce trwają prace nad wdrożeniem przepisów dostosowujących krajowe prawo do unijnej dyrektywy NIS 2, której celem jest podniesienie poziomu cyberbezpieczeństwa w państwach członkowskich UE. Choć termin na przyjęcie ustawodawstwa minął 17 października 2024 r., Polska nie zdążyła go dotrzymać, ale gotowy jest już ostateczny projekt ustawy i nowe regulacje mogą wkrótce zacząć obowiązywać – wprowadzając bardziej rygorystyczne wymogi w zakresie ochrony danych, systemów informatycznych i reagowania na incydenty cyfrowe.
W dobie rosnącej automatyzacji, cyfryzacji procesów i wykorzystania sztucznej inteligencji przedsiębiorstwa rozwijają się szybciej niż kiedykolwiek wcześniej. Jednak wraz z postępem technologicznym, właściciele firm rzadko zdają sobie sprawę z zagrożeń, które za tym idą.
W styczniu 2023 roku, weszła w życie Dyrektywa NIS 2, której celem jest podniesienie poziomu cyberbezpieczeństwa w krajach członkowskich Unii Europejskiej. Na wdrożenie jej w życie do prawa krajowego, kraje członkowskie UE mają 21 miesięcy, więc Polska jest już ponad rok po terminie. 4 listopada pojawił się jednak ostateczny tekst projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (UC32), więc możliwe jest głosowanie nad nią jeszcze przed 30 listopada, by w życie mogła wejść od nowego roku.
– Firmy mogą już teraz śmiało rozpocząć wdrażanie nowych procedur – tłumaczy Karolina Praszek-Gołębiewska, specjalistka ds. bezpieczeństwa informacji. – Czas między publikacją a wejściem ustawy w życie wynosi zaledwie jeden miesiąc, co oznacza, że przedsiębiorstwa będą miały tylko 30 dni na wprowadzenie wymaganych zmian. Dla dużych organizacji może to być ogromne wyzwanie. Dyrektywa NIS 2 obowiązuje bezpośrednio już od października 2024 roku, dlatego nie warto czekać na ostatnią chwilę z dostosowaniem się do nowych przepisów – ten czas na wdrożenie w praktyce już trwa. To właśnie moment, by rzetelnie ocenić poziom przygotowania swojej organizacji, ponieważ później te 30 dni mogą okazać się zbyt krótkim terminem. Warto już teraz rozpocząć prace nad wprowadzeniem odpowiednich procedur bezpieczeństwa, ponieważ ustawa jest gotowa i czeka jedynie na zielone światło.
Rosnące zagrożenie w sieci – dlaczego NIS 2 jest potrzebna?
W ostatnich latach coraz częściej słyszymy o cyberatakach paraliżujących działalność firm i instytucji. Phishing, ransomware czy skimming to tylko niektóre z pojęć, które niestety na stałe weszły do słownika współczesnego biznesu. Im większa i bardziej strategiczna dla gospodarki jest firma, tym atrakcyjniejszym celem staje się dla cyberprzestępców.
– Dyrektywa NIS 2 nie zapewni całkowitego wyeliminowania ataków hackerskich – wyjaśnia Karolina Praszek-Gołębiewska, specjalistka ds. bezpieczeństwa informacji. – Jej zadaniem jest danie narzędzi, które pozwolą firmom szybko podnieść się po incydencie, bez dużych przestojów i strat finansowych. NIS 2 ma przede wszystkim zapewnić ciągłość działania i stabilność funkcjonowania firm.
Nie tylko wielkie korporacje – NIS 2 dotyczy większości firm
Dyrektywa NIS 2 obejmie szeroki zakres przedsiębiorstw, które zostały podzielone na trzy grupy: podmioty kluczowe, podmioty ważne oraz inne organizacje spełniające określone kryteria dotyczące wielkości lub obrotu. Wszystkie te jednostki są uznawane za istotne z punktu widzenia stabilnego funkcjonowania państwa.
Podmiotami kluczowymi są organizacje, których działalność ma strategiczne znaczenie i których ewentualne wyłączenie mogłoby zagrozić bezpieczeństwu kraju – na przykład instytucje medyczne, wojskowe czy bankowe.
Podmioty ważne to te, których działalność jest również istotna, ale państwo jest w stanie funkcjonować bez nich przez krótki okres.
Z kolei trzecią kategorię stanowią przedsiębiorstwa zatrudniające ponad 50 pracowników i osiągające roczny obrót przekraczający przynajmniej 10 milionów euro.
– Dyrektywa obejmie także firmy świadczące usługi dla wymienionych wcześniej podmiotów lub działające w ich łańcuchach dostaw. Ma to kluczowe znaczenie – przedsiębiorstwa będą zobowiązane do wyboru kontrahentów posiadających podobny poziom zabezpieczeń i procedur bezpieczeństwa, co one same. Szacuje się, że w efekcie NIS 2 obejmie aż 80-90% podmiotów funkcjonujących na polskim rynku – mówi Karolina Praszek-Gołębiewska, specjalistka ds. bezpieczeństwa informacji.
Nie ma uniwersalnych rozwiązań. Każda firma musi dostosować się indywidualnie
Nawet najbardziej precyzyjne przepisy nie są w stanie stworzyć uniwersalnej listy zadań czy narzędzi do wdrożenia. Każde przedsiębiorstwo wymaga indywidualnego podejścia uwzględniającego jego strukturę, wielkość, liczbę pracowników, obrót czy sposób przetwarzania danych. Dyrektywa NIS 2 wprowadza wytyczne dotyczące analizy ryzyka oraz wdrażania odpowiednich środków technicznych. Na podstawie profesjonalnej analizy przeprowadzonej przez audytora lub specjalistę ds. ochrony danych jesteśmy w stanie dobrać rozwiązania najlepiej dopasowane do specyfiki firmy – tak, aby zbudować solidny fundament jej bezpieczeństwa i stabilnego funkcjonowania.
Cały proces opiera się na rzetelnej analizie ryzyka, identyfikacji potencjalnych zagrożeń oraz wdrożeniu adekwatnych środków technicznych, prawnych i organizacyjnych. Unia Europejska kładzie nacisk na to, by przedsiębiorstwa aktywnie dbały o swoje cyberbezpieczeństwo – między innymi poprzez opracowanie jasnych procedur zgłaszania incydentów. Ten obowiązek nie jest całkowicie nowy – wcześniej regulowało go np. RODO – jednak NIS 2 rozszerza jego zakres i wymaga większej spójności w działaniach organizacji.
Kontrola przeprowadzana przez inspektora bezpieczeństwa informacji ma na celu kompleksową ocenę stanu zabezpieczeń w firmie. Specjalista analizuje, czym dokładnie zajmuje się organizacja, jakie środki ostrożności już wdrożono oraz co można jeszcze poprawić. Sprawdza cały proces ochrony informacji. Audyt nie tylko poprawia poziom cyberbezpieczeństwa, ale też wspiera procesy biznesowe. Pozwala zidentyfikować miejsca, w których może dochodzić do niekontrolowanego przepływu danych – np. w działach sprzedaży czy marketingu – co bezpośrednio przekłada się na ryzyko finansowych strat.
– Sprawdzamy w jaki sposób dana firma podchodzi do przechowywania danych, czy to jest na zasadzie wydrukowania dokumentów i włożeniu ich do segregatora, czego stanowczo nie polecam, czy też na profesjonalnym podejściu- analizie ryzyka, audycie i wdrożeniu odpowiednich zabezpieczeń. Dzięki temu poznajemy obszary najbardziej narażone na zagrożenia i możemy skupić się na ich ochronie – tłumaczy ekspertka ds. bezpieczeństwa informacji Karolina Praszek-Gołębiewska.
Bezpieczeństwo warunkiem współpracy. Firmy powinny weryfikować swoich partnerów
Dyrektywa NIS 2 wprowadza również obowiązek weryfikacji kontrahentów przed nawiązaniem współpracy. Firmy będą musiały sprawdzać, na jakich systemach informatycznych pracują ich partnerzy, jakie stosują zabezpieczenia, czy znajdują się pod opieką inspektora ochrony danych oraz w jaki sposób chronią się przed cyberatakami.
– Chodzi o to, żeby w momencie, kiedy dopuścimy inne firmy do naszej infrastruktury albo damy im nasze dane, one były tak samo bezpieczne, jak my – tłumaczy Karolina Praszek-Gołębiewska. – Weryfikacja kontrahenta najczęściej rozpoczyna się od ankiet i deklaracji bezpieczeństwa, które pozwalają wstępnie ocenić poziom zabezpieczeń. Kolejnym krokiem są audyty bezpieczeństwa, szczególnie popularne w sektorze finansowym, gdzie instytucje dokładnie sprawdzają, jak ich podwykonawcy postępują z danymi i czy spełniają wymogi ochrony informacji. Utrzymanie spójnego i bezpiecznego łańcucha dostaw możliwe jest tylko wtedy, gdy mamy zgodność poziomu zabezpieczeń.
Odpowiedzialność zarządu za cyberbezpieczeństwo
Ważnym elementem wdrożenia dyrektywy NIS 2 w Polsce będzie wprowadzenie osobistej odpowiedzialności członków zarządu za zapewnienie odpowiedniego poziomu ochrony informacji w firmie. To pierwsza tak jednoznaczna regulacja, która pokazuje, że kierownictwo przedsiębiorstwa nie będzie mogło unikać konsekwencji zaniedbań w obszarze bezpieczeństwa. W praktyce oznacza to, że członkowie zarządu mogą ponosić odpowiedzialność majątkową – w skrajnych przypadkach obejmującą prywatny majątek, taki jak dom, samochód czy rachunek bankowy.
To wyraźny sygnał, że nadzór nad bezpieczeństwem staje się realnym obowiązkiem strategicznym, a nie tylko formalnością. Zarząd osobiście nie ucieknie ani nie ogłosi upadłości, żeby uniknąć odpowiedzialności. To dodatkowy aspekt, który ma skłonić firmy do podjęcia działań wcześniej, zanim dojdzie do incydentu – podkreśla Karolina Praszek-Gołębiewska. – Nie jestem zwolennikiem tego, żeby wszystkie ustawy związane z bezpieczeństwem informacji, regulować tylko w celu spełnienia wymogów ustawowych. – Szukamy najlepszych szkół dla naszych dzieci, wyposażamy domy w najlepszej jakości, materiały, monitoringi, jeździmy na cudowne wakacje, tylko zapominamy o tym, że na to wszystko pracują nasze firmy i to z nich mamy środki finansowe na to, żeby korzystać z życia. Więc powinniśmy zabezpieczyć swój portfel w pierwszej kolejności.
