TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

NIS2 dotyczy nie tylko telekomunikacji

Piszemy dużo o konsekwencjach europejskiej dyrektywy NIS2, która dotyczy cyberbezpieczeńśtwa Starego Kontynentu. Nowa wersja projektu ustawy o krajowym systemie cyberbezpieczeństwa, przedstawia planowany przez rząd sposób wdrożenia jej postanowień do polskiego systemu prawnego. Wiemy już, że zasady te dotyczyć będą wszystkich małych i średnich operatorów telekomunikacyjnych. Ale nie tylko. 

Eksperci do spraw cyberbezpieczeństwa wskazują aż 18 sektorów gospodarki, które muszą usprawnić narzędzia informatyczne chroniące przed cyberatakami, zaś brak wdrożenia dyrektywy może grozić grzywną w wysokości 10 mln euro lub 2 proc. obrotów danej firmy.

Deadline: 18 października 2024 r.

Pełna nazwa NIS2 to dyrektywa Unii Europejskiej w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2). O jej znaczeniu dla poprawy cybernetycznego bezpieczeństwa Europy mówił na zjeździe w Janowie Podlaskim Marcin Zemła, pełnomocnik ds. cyberbezpieczeństwa Grupy MiŚOT.

Dyrektywa ma na celu wzmocnienie naszego cyberbezpieczeństwa we wszystkich kluczowych sektorach. Od energetyki po opiekę zdrowotną, od bankowości po infrastrukturę cyfrową.

Warto też podkreślić, że dyrektywa ta weszła już w życie. Nastąpiło to w styczniu 2023 r. 18. października tego roku moja zaś termin na dostosowanie niezbędnych do wykonania niniejszej dyrektywy przepisów krajowych.

Spełnienie wymogów dyrektywy NIS2 jest nie tylko wskazane, ale wręcz konieczne, ponieważ grzywny sięgają nawet 10 milionów euro lub 2 proc. łącznego rocznego obrotu w poprzednim roku przedsiębiorstwa, do którego należy podmiot kluczowy, a dyrektorzy najwyższego szczebla są pociągani do osobistej odpowiedzialności.

Szersza perspektywa

Dyrektywa NIS2, która ma szerszy zakres niż jej poprzedniczka (NIS), obejmuje 18 sektorów gospodarki, w tym przedsiębiorstwa i organizacje świadczące usługi, które są niezbędne dla sprawnego funkcjonowania UE na poziomie społecznym i gospodarczym. Dotyczy to: energetyki, opieki zdrowotnej, finansów i kilku podobnych.

Lista sektorów została podzielona na dwie kategorie: sektory kluczowe i sektory ważne. Oczekuje się jednak, że zarówno kluczowe, jak i ważne podmioty będą spełniać te same standardy bezpieczeństwa, ale sposób ich karania i nadzorowania jest różny i zwykle zależy od wielkości organizacji.

Jeśli firma zostanie  sklasyfikowana jako kluczowa, będzie podlegać proaktywnemu nadzorowi, który ma na celu upewnienie się, że spełnia wszystkie wymogi dyrektywy. Jeśli zaś przedsiębiorstwo zostanie sklasyfikowane jako ważny, będzie objęte jedynie nadzorem reaktywnym, który zostanie uruchomiony tylko wtedy, gdy władze otrzymają dowody braku przestrzegania przepisów.

W ramach dyrektwy NIS2 monitowane będą: zapobieganie, wykrywanie i reagowanie na incydenty, utrzymanie ciągłości działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, cyberhigiena oraz szkolenia, bezpieczeństwo sieci i systemów informacyjnych, polityka zarządzania i zgłaszania podatności, bezpieczeństwo zasobów ludzkich, zarządzanie dostępami i aktywami, uwierzytelnianie wieloskładnikowe oraz ciągłe stosowanie kryptografii i szyfrowania.

Efekt domina

– Jak widzieliśmy w przypadku RODO, inne kraje mogą również pójść za przykładem unijnych rozwiązań i wymagać od organizacji wdrożenia podobnej podstawowej ochrony cybernetycznej i kontroli zarządzania ryzykiem – analizuje Michał Borowiecki, dyrektor Netskope na Polskę i Europę Wschodnią. – Nie zapominajmy też o efekcie domina w łańcuchu dostaw. Ponieważ NIS2 obejmuje szerokie spektrum podmiotów, wiele organizacji będzie potrzebować swoich partnerów, aby podnieść poziom bezpieczeństwa. Może się więc okazać, że firma z innego sektora zostanie zmuszona do przestrzegania przepisów, ponieważ jej klienci to robią – podkreśla.

Michał Borowiecki podkreśla też, że żadna pojedyncza platforma informatyczna nie pokryje w pełni wszystkich dziesięciu minimalnych środków bezpieczeństwa wymaganych przez NIS2. W tym wypadku mogą jednak pomóc rozwiązania klasy SASE. Pomagają one wdrożyć podstawowe praktyki ochrony cybernetycznej, takie jak zasady zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem oraz świadomość użytkowników.

Nie ma wątpliwości, że NIS2 ustawia wysoko poprzeczkę dla standardów cyberbezpieczeństwa, a termin dla organizacji na dostosowanie swoich systemów zabezpieczeń zbliża się wielkimi krokami. Kiedy jednak zacznie się analizować inwestycje w bezpieczeństwo w okresie poprzedzającym termin 18 października 2024 r., warto skorzystać z okazji, aby wyeliminować niepotrzebne wydatki i stworzyć ekosystem cyberbezpieczeństwa, w którym każdy komponent nie tylko działa dobrze, ale także uzupełnia się i integruje ze sobą. 

Małym i średnim operatorom telekomunikacyjnym może pomóc w tym zakresie Projekt MdS:

MdS pomoże wdrożyć NIS 2 – dane kontaktowe – ISPortal

Marek Nowak
Marek Nowak
Redaktor naczelny ISPortal, wcześniej związany między innymi z miesięcznikiem Mobile Internet. Artykuły dotyczące nowych technologii publikował także w portalu Trojmiasto.pl. Po godzinach tworzy opowiadania science-fiction, które ukazały się w kilku już pismach literackich (Nowa Fantastyka, Epea, QFant).

PRZECZYTAJ NAJNOWSZY NUMER isprofessional

Najnowsze

Nowy, uniwersalny kabel kanalizacyjny w xbest.pl

OPTIX Saver LSZH ZW-NOTKtsdDb UNMC301 to zewnętrzno-wewnętrzny kabel, będący uzupełnieniem rodziny wielotubowych, magistralnych światłowodów...

Czy Apple na Let Unfastened zaprezentuje funkcję edycji zdjęć opartą na AI?

Apple ma pracować nad funkcją edycji zdjęć, która wykorzystuje sztuczną inteligencję. Możliwe, że zaprezentuje...

Centrum Przetwarzania Danych Grupy MiŚOT – stan prac

Mijają dwa lata od rozpoczęcia budowy nowoczesnego Centrum Przetwarzania Danych Grupy MiŚOT. Powstaje ono...

mObywatel 2.0 także dla przedsiębiorców

Prowadzenie małej firmy to wielkie wyzwanie. Dotyczy to jednoosobowej działalności gospodarczej, ale też trochę...