Cyberbezpieczeństwo jest kluczowym aspektem zarówno naszej codzienności, jak i działalności przedsiębiorstw. Wzrost liczby i skali zagrożeń w cyfrowym świecie sprawia, że niezwykle istotna staje się kwestia regulacji prawnych w tej dziedzinie. Ponad trzy lata temu wdrożono dyrektywę NIS, którą teraz zastąpi dyrektywa NIS 2. Nowa legislacja wprowadza szereg nowych ram i regulacji, które będą miały wpływ na cyfrowy krajobraz. Tymczasem, równolegle pojawiają się również propozycje dotyczące regulacji poszczególnych sektorów.

W związku z nadchodzącymi zmianami MMC przygotowało warsztaty on-line pt. “Nowe ramy cyberbezpieczeństwa w reżimie dyrektywy NIS 2”, które odbędą się w dniach 13-14.09.2023 r.

Na wydarzenie można zapisać się pod linkiem: Nowe ramy cyberbezpieczeństwa w reżimie dyrektywy NIS 2

Poniżej przybliżymy kilka aspektów, które szczegółowo omówione zostaną podczas wrześniowych warsztatów, organizowanych przez MMC Polska.

Odpowiedzialność w zakresie nadzoru i zarządzania ryzykiem związanym z cyberbezpieczeństwem

Dyrektywa NIS 2 wprowadza nowe ramy odpowiedzialności w zakresie nadzoru i zarządzania ryzykiem związanym z cyberbezpieczeństwem. Wymaga od podmiotów podjęcia konkretnych działań, takich jak regularne oceny ryzyka i wdrażanie odpowiednich środków zaradczych. W szczególności, dyrektywa zobowiązuje podmioty do utrzymania odpowiedniego poziomu bezpieczeństwa sieci i systemów informatycznych, co obejmuje zarówno aspekty techniczne, jak i organizacyjne.

Jednym z kluczowych aspektów dyrektywy NIS 2 jest wprowadzenie mechanizmu, który pozwala uznać dowolnego dostawcę za dostawcę wysokiego ryzyka, gdy postępowanie wykaże, że stwarza on wysokie zagrożenie dla bezpieczeństwa. W konsekwencji, operatorzy usług kluczowych, dostawcy usług cyfrowych, duża część przedsiębiorców telekomunikacyjnych czy jednostki publiczne i samorządowe będą musiały wycofać z użytku produkty, usługi lub procesy ICT wskazane w decyzji. Projekt nowelizacji KSC przewiduje siedmio- lub pięcioletni okres na ich wycofanie. Od dnia opublikowania decyzji nie będzie można też wprowadzać do użytku nowych rozwiązań tego typu.

Wprowadzenie dyrektywy NIS 2 wymaga od podmiotów podjęcia konkretnych działań w celu dostosowania się do nowych wymogów. Będą one musiały na bieżąco monitorować informacje o wydanych decyzjach i utrzymywać ciągłą gotowość, aby niezwłocznie reagować, a także modyfikować postępowania zakupowe, monitorować wykorzystywane rozwiązania i być gotowe do zmiany każdego z nich. W kontekście dyrektywy NIS 2, kluczowe znaczenie ma zatem odpowiednie zarządzanie ryzykiem.

W jakim stopniu Pana zdaniem polskie podmioty są przygotowane na zmiany wynikające z dyrektywy NIS2?

Świadomość zagrożeń zw. z cyberprzestępczością rośnie wśród polskich przedsiębiorstw z roku na rok, zwłaszcza po pandemii i inwazji na Ukrainę. Największą barierą pozostaje jednak kwestia finansowa. W celu dostosowania się do wymogów dyrektywy, wśród podmiotów regulowanych konieczne będzie istotne zwiększenie poziomu wydatków na bezpieczeństwo. W sektorach, które musiały już dostosować się do wymogów pierwszej dyrektywy NIS, takich jak bankowość czy energetyka, nie powinno to stanowić tak dużego problemu. Natomiast znaczenie trudniejsze będzie dla podmiotów, które nie podlegały jeszcze krajowemu systemowi cyberbezpieczeństwa. W wielu przypadkach będą one zaczynały od przysłowiowej "czystej kartki papieru". Komisja Europejska szacowała, że w przypadku takich podmiotów niezbędne będzie zwiększenie wydatków na bezpieczeństwo nawet o 22%. - Jakub Barański, adwokat, partner, Wardynski & Partners

Środki bezpieczeństwa w zakresie ciągłości działania zgodne z dyrektywą NIS 2

Dyrektywa NIS 2 wprowadza nowe wymogi dotyczące ciągłości działania. Podmioty są zobowiązane do wdrożenia odpowiednich środków, które zapewnią ciągłość działania sieci i systemów informatycznych w przypadku incydentów cyberbezpieczeństwa. Te środki powinny obejmować zarówno aspekty techniczne, jak i organizacyjne, a ich skuteczność powinna być regularnie testowana i oceniana.

Dyrektywa NIS 2 podkreśla znaczenie utrzymania ciągłości działania sieci i systemów informatycznych. W przypadku wystąpienia incydentu cyberbezpieczeństwa, podmioty muszą być w stanie szybko i skutecznie reagować, minimalizując potencjalne szkody i przywracając normalne funkcjonowanie systemów.

Te środki bezpieczeństwa powinny obejmować zarówno aspekty techniczne, jak i organizacyjne. Na poziomie technicznym, może to obejmować zastosowanie odpowiednich technologii i rozwiązań, które zapewnią odporność systemów na różnego rodzaju zagrożenia cybernetyczne. Na poziomie organizacyjnym, może to być wdrożenie odpowiednich procedur i polityk, które zapewnią skuteczne zarządzanie incydentami cyberbezpieczeństwa.

Jednym z kluczowych elementów dyrektywy NIS 2 jest wymóg regularnego testowania i oceny skuteczności wdrożonych środków bezpieczeństwa. To oznacza, że podmioty muszą nie tylko wdrożyć odpowiednie środki, ale także regularnie sprawdzać, czy te środki są skuteczne w zapewnieniu ciągłości działania sieci i systemów informatycznych.

Czy Pana zdaniem nowe wymogi wynikające z dyrektywy NIS 2 będą mieć realny wpływ na zwiększenie cyberbezpieczeństwa w polskich podmiotach?

Rozwiązania przewidziane w nowej dyrektywie NIS odpowiadają na szereg najnowszych trendów w dziedzinie cyberbezpieczeństwa, takich jak większy nacisk na cyberodporność, tj. zdolność reagowania na incydenty niż samo im przeciwdziałanie, a także konieczność zapewnienia bezpieczeństwa w całym łańcuchu dostaw organizacji. Dzięki temu, wdrożenie dyrektywy powinno w sposób wymierny poprawić poziom bezpieczeństwa polskich przedsiębiorstw. I to nie tylko tych które będą bezpośrednio podlegać jej regulacjom. Dyrektywa też ma szansę doprowadzić do istotnej zmiany w podejściu do cyberbezpieczeństwa wśród decydentów, tj. traktowania go już nie jako problemu czysto technicznego, pozostającego w gestii działu IT, ale istotnego ryzyka biznesowego, wymagającego aktywnego zaangażowania kierownictwa na najwyższym szczeblu organizacji. - Jakub Barański, adwokat, partner, Wardynski & Partners

Wymogi oraz dobre praktyki w zakresie raportowania i obsługi incydentów

Dyrektywa NIS 2 wprowadza także nowe standardy w zakresie raportowania i obsługi incydentów cyberbezpieczeństwa. Obowiązkiem podmiotów będzie szybkie zgłaszanie poważnych incydentów w zakresie cyberbezpieczeństwa do odpowiednich organów. Ponadto, dyrektywa ustanawia obowiązek utworzenia dedykowanych zespołów reagowania na incydenty (CSIRT) i wdrożenie procedur reagowania na incydenty. Te procedury powinny zawierać szczegółowe kroki, które należy podjąć w przypadku wystąpienia incydentu cyberbezpieczeństwa. Mogą one obejmować takie działania jak identyfikacja incydentu, ocena jego skutków, podjęcie działań zaradczych i komunikacja z zainteresowanymi stronami. To pozwoli na szybką reakcję i minimalizację potencjalnych szkód.

Więcej o wymogach, a także case study’s w zakresie zarządzania ryzykiem już podczas warsztatów on-line, na które już teraz serdecznie zapraszamy!