W ostatnich latach cyberbezpieczeństwo przestało być wyłącznie domeną działów IT. Coraz częściej staje się elementem regulacji prawnych, obowiązków zarządczych i odpowiedzialności przedsiębiorstw. Zmiana ta nie jest przypadkowa. Gospodarka europejska w coraz większym stopniu opiera się na infrastrukturze cyfrowej, a incydenty cyberbezpieczeństwa zaczynają mieć realne konsekwencje gospodarcze i społeczne.
Atak na system informatyczny nie oznacza już wyłącznie problemów technicznych. Może sparaliżować transport, zatrzymać produkcję, uniemożliwić świadczenie usług medycznych lub spowodować poważne straty finansowe. Właśnie dlatego Unia Europejska zdecydowała się na wprowadzenie nowych regulacji mających zwiększyć odporność organizacji na cyberzagrożenia.
Jedną z najważniejszych z nich jest dyrektywa NIS2, która znacząco rozszerza zakres obowiązków związanych z cyberbezpieczeństwem. W Polsce jej implementacja następuje poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Dla wielu przedsiębiorstw będzie to pierwsza sytuacja, w której cyberbezpieczeństwo stanie się nie tylko kwestią technologiczną, lecz także formalnym obowiązkiem regulacyjnym.
Skąd wzięła się regulacja NIS2
Aby zrozumieć znaczenie nowych przepisów, warto cofnąć się do ich genezy. Pierwszym krokiem w kierunku regulacji cyberbezpieczeństwa na poziomie Unii Europejskiej była dyrektywa NIS (Network and Information Security Directive) przyjęta w 2016 roku.
Jej głównym celem było zwiększenie poziomu bezpieczeństwa infrastruktury cyfrowej w sektorach uznanych za krytyczne dla funkcjonowania państwa. Regulacja obejmowała m.in. energetykę, transport, bankowość czy ochronę zdrowia. Wprowadzono również obowiązek zgłaszania poważnych incydentów cyberbezpieczeństwa.
Z perspektywy czasu okazało się jednak, że zakres tej regulacji był zbyt ograniczony. Wiele sektorów gospodarki nie zostało objętych obowiązkami, a poziom implementacji w państwach członkowskich znacząco się różnił. Jednocześnie skala cyberzagrożeń rosła szybciej, niż przewidywano.
W ostatnich latach Europa była świadkiem wielu poważnych incydentów cyberbezpieczeństwa. Ataki ransomware sparaliżowały szpitale w kilku krajach UE. W sektorze logistycznym zdarzały się incydenty powodujące zakłócenia w globalnych łańcuchach dostaw. W niektórych przypadkach cyberatak prowadził do zatrzymania produkcji przemysłowej na wiele dni.
W odpowiedzi na te wydarzenia Komisja Europejska zaproponowała nową regulację – dyrektywę NIS2, która została przyjęta w 2022 roku.
Podstawowe cele regulacji to: zwiększenie odporności cyfrowej państw członkowskich, rozszerzenie zakresu regulacji na większą liczbę sektorów gospodarki, ujednolicenie standardów bezpieczeństwa w całej Unii Europejskiej a także poprawa współpracy między instytucjami odpowiedzialnymi za cyberbezpieczeństwo.
Czym jest ustawa o Krajowym Systemie Cyberbezpieczeństwa?
W Polsce kwestie cyberbezpieczeństwa regulowane są przez ustawę o Krajowym Systemie Cyberbezpieczeństwa (KSC), która weszła w życie w 2018 roku. Jej celem było stworzenie struktury współpracy między instytucjami publicznymi, operatorami usług kluczowych oraz zespołami reagowania na incydenty.
System krajowego reagowania na incydenty cyberbezpieczeństwa w Polsce opiera się na trzech głównych zespołach typu CSIRT (Computer Security Incident Response Team), które pełnią rolę centralnych punktów reagowania na zagrożenia w różnych obszarach funkcjonowania państwa. Są to: CSIRT NASK, CSIRT GOV oraz CSIRT MON.
CSIRT NASK funkcjonuje w strukturach Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego. Zespół ten odpowiada przede wszystkim za reagowanie na incydenty cyberbezpieczeństwa w sektorze cywilnym, w tym w przedsiębiorstwach, jednostkach samorządu terytorialnego oraz u operatorów usług kluczowych i dostawców usług cyfrowych. Do jego zadań należy między innymi monitorowanie zagrożeń w polskiej przestrzeni internetowej, analiza złośliwego oprogramowania, identyfikowanie nowych metod ataków oraz koordynacja działań związanych z obsługą incydentów zgłaszanych przez podmioty prywatne i publiczne. CSIRT NASK prowadzi również działania edukacyjne oraz publikuje ostrzeżenia dotyczące aktualnych kampanii cyberataków.
CSIRT GOV działa w strukturach Agencji Bezpieczeństwa Wewnętrznego i koncentruje się na ochronie systemów teleinformatycznych administracji rządowej. Jego zadaniem jest reagowanie na incydenty dotyczące infrastruktury informatycznej instytucji państwowych, ministerstw oraz innych jednostek administracji centralnej. Zespół prowadzi również działania analityczne związane z identyfikacją zagrożeń dla bezpieczeństwa państwa w cyberprzestrzeni oraz wspiera instytucje publiczne w podnoszeniu poziomu ich odporności na cyberataki.
CSIRT MON funkcjonuje w strukturach Ministerstwa Obrony Narodowej i odpowiada za bezpieczeństwo systemów teleinformatycznych wykorzystywanych przez Siły Zbrojne RP oraz inne jednostki podległe resortowi obrony. Zespół zajmuje się monitorowaniem zagrożeń w infrastrukturze wojskowej, reagowaniem na incydenty cyberbezpieczeństwa oraz analizą potencjalnych działań wrogich podmiotów w cyberprzestrzeni. Współpracuje również z sojuszniczymi strukturami cyberbezpieczeństwa w ramach NATO.
Choć każdy z tych zespołów działa w innym obszarze administracji i infrastruktury państwa, wszystkie współpracują ze sobą w ramach krajowego systemu cyberbezpieczeństwa, wymieniając informacje o zagrożeniach oraz koordynując działania w przypadku incydentów o większej skali.
Nowelizacja ustawy o KSC ma na celu dostosowanie polskiego prawa do wymogów dyrektywy NIS2. W praktyce oznacza to znaczące rozszerzenie zakresu regulacji oraz zwiększenie liczby podmiotów objętych obowiązkami.
Jedną z najważniejszych zmian jest odejście od modelu, w którym regulacje obejmowały stosunkowo wąską grupę operatorów infrastruktury krytycznej. Nowe przepisy obejmą znacznie szersze spektrum przedsiębiorstw, w tym firmy z wielu sektorów gospodarki.
Jakie firmy obejmuje NIS2?
Jedną z najważniejszych zmian wprowadzonych przez dyrektywę NIS2 jest znaczące rozszerzenie zakresu podmiotów objętych regulacją.
Dyrektywa wprowadza dwa główne typy organizacji:
Podmioty kluczowe (essential entities)
Do tej kategorii należą organizacje działające w sektorach uznanych za krytyczne dla funkcjonowania państwa i gospodarki.
Należą do nich między innymi: energetyka, transport, bankowość, infrastruktura cyfrowa, ochrona zdrowia oraz gospodarka wodna.
Przykładem może być operator systemu energetycznego, który odpowiada za dystrybucję energii elektrycznej w regionie. Cyberatak na taką organizację mógłby doprowadzić do poważnych zakłóceń w funkcjonowaniu infrastruktury państwa.
Podmioty ważne (important entities)
Druga kategoria obejmuje znacznie szerszą grupę przedsiębiorstw, w tym między innymi: firmy technologiczne, operatorów centrów danych, przedsiębiorstwa produkcyjne w wybranych sektorach, firmy logistyczne dostawców usług cyfrowych.
W praktyce oznacza to, że wiele przedsiębiorstw, które dotychczas nie podlegały podobnym regulacjom, będzie musiało dostosować się do nowych wymagań.
Przykładem może być firma produkcyjna korzystająca z zaawansowanych systemów automatyki przemysłowej lub przedsiębiorstwo logistyczne zarządzające cyfrową infrastrukturą transportową.
Jakie obowiązki wprowadza NIS2?
Dyrektywa NIS2 wprowadza szereg obowiązków związanych z zarządzaniem cyberbezpieczeństwem w organizacjach.
Najważniejsze z nich obejmują:
Zarządzanie ryzykiem cyberbezpieczeństwa
Organizacje objęte regulacją będą zobowiązane do wdrożenia środków zarządzania ryzykiem. Obejmuje to między innymi analizę ryzyka cyberbezpieczeństwa, wdrożenie środków ochrony systemów informatycznych, zarządzanie dostępem do systemów a także zabezpieczenie łańcucha dostaw
Przykładowo firma produkcyjna korzystająca z systemów sterowania przemysłowego powinna ocenić ryzyko związane z dostępem do tych systemów oraz wdrożyć odpowiednie mechanizmy kontroli.
Zarządzanie incydentami
Nowe regulacje wprowadzają obowiązek identyfikacji oraz raportowania incydentów cyberbezpieczeństwa. Przedsiębiorstwa będą musiały wykrywać incydenty bezpieczeństwa, zgłaszać poważne incydenty odpowiednim instytucjom, dokumentować przebieg zdarzeń.
Przykładem incydentu może być cyberatak ransomware, który powoduje zatrzymanie systemów produkcyjnych lub utratę dostępu do danych.
Bezpieczeństwo łańcucha dostaw
Jednym z nowych elementów regulacji jest nacisk na bezpieczeństwo dostawców technologicznych. W praktyce oznacza to konieczność oceny ryzyka związanego z dostawcami systemów IT, usług chmurowych czy oprogramowania.
Przykładem może być sytuacja, w której przedsiębiorstwo korzysta z zewnętrznej platformy do zarządzania danymi klientów. W takim przypadku organizacja powinna ocenić, czy dostawca spełnia odpowiednie standardy bezpieczeństwa.
Odpowiedzialność zarządu
Jednym z elementów, który znacząco zmienia podejście do cyberbezpieczeństwa w NIS2, jest wprowadzenie realnych sankcji za niewypełnienie obowiązków wynikających z regulacji. Dyrektywa przewiduje możliwość nakładania kar finansowych na organizacje, które nie wdrożą odpowiednich środków zarządzania ryzykiem lub nie będą raportować incydentów zgodnie z wymaganiami.
W przypadku podmiotów kluczowych kary mogą sięgać nawet kilku milionów euro lub określonego procentu rocznych przychodów przedsiębiorstwa. Podobnie jak w przypadku regulacji takich jak GDPR, sankcje mają pełnić funkcję nie tylko represyjną, ale przede wszystkim motywacyjną – mają skłonić organizacje do traktowania cyberbezpieczeństwa jako realnego elementu zarządzania ryzykiem.
Jedną z istotnych zmian wprowadzanych przez NIS2 jest wyraźne wskazanie odpowiedzialności zarządu za cyberbezpieczeństwo.
Oznacza to, że kierownictwo organizacji powinno nadzorować wdrożenie środków bezpieczeństwa, zatwierdzać polityki bezpieczeństwa i zapewniać odpowiednie zasoby dla działań związanych z cyberbezpieczeństwem.
Warto jednak podkreślić, że celem regulatora nie jest karanie przedsiębiorstw za każdy incydent. Cyberataki są nieuniknione nawet w dobrze zabezpieczonych organizacjach. Kluczowe znaczenie ma natomiast to, czy firma wdrożyła odpowiednie mechanizmy zarządzania ryzykiem oraz czy potrafi reagować na incydenty w sposób uporządkowany i transparentny.
Obowiązek zgłaszania incydentów
Nowe przepisy wprowadzają również bardziej szczegółowe wymagania dotyczące raportowania incydentów.
Organizacje będą zobowiązane do: zgłoszenia incydentu w określonym czasie od jego wykrycia, przekazania szczegółowych informacji w kolejnych etapach, współpracy z zespołami reagowania na incydenty.
Celem tych przepisów jest poprawa wymiany informacji o zagrożeniach oraz zwiększenie zdolności reagowania na poziomie krajowym i europejskim.
Jak przedsiębiorstwa mogą się przygotować?
Wiele organizacji postrzega nowe regulacje jako dodatkowe obciążenie administracyjne. Mogą one jednak stanowić również impuls do uporządkowania procesów związanych z cyberbezpieczeństwem.
Pierwszym krokiem powinno być ustalenie, czy dana organizacja podlega regulacji NIS2.
Następnie warto przeprowadzić analizę obecnego poziomu bezpieczeństwa, obejmującą między innymi: zarządzanie dostępem do systemów, procedury reagowania na incydenty, bezpieczeństwo dostawców technologicznych.
W wielu przypadkach okaże się, że organizacja posiada już część wymaganych mechanizmów, ale nie są one odpowiednio udokumentowane lub zarządzane w sposób systemowy.
Choć NIS2 wprowadza wiele wymagań technicznych, największym wyzwaniem dla wielu organizacji nie będzie wdrożenie nowych narzędzi bezpieczeństwa, lecz uporządkowanie procesów i odpowiedzialności.
W wielu firmach cyberbezpieczeństwo jest nadal postrzegane jako obszar techniczny, którym zajmuje się dział IT. Tymczasem nowe regulacje wymagają znacznie szerszego podejścia. Konieczne będzie zaangażowanie zarządu, działów prawnych, zespołów odpowiedzialnych za zarządzanie ryzykiem oraz osób odpowiadających za relacje z dostawcami technologii.
Przykładowo analiza bezpieczeństwa łańcucha dostaw wymaga współpracy między działem IT, działem zakupów oraz zespołami odpowiedzialnymi za zarządzanie kontraktami. Podobnie raportowanie incydentów może wymagać współpracy zespołów technicznych, prawnych i komunikacyjnych.
W praktyce oznacza to, że przygotowanie do NIS2 będzie w wielu organizacjach projektem przekrojowym, a nie jedynie wdrożeniem kolejnego systemu bezpieczeństwa. Zarówno w ocenie, czy dana organizacja podlega regulacji jak i przeprowadzeniu analizy obecnego stanu bezpieczeństwa i rekomendacji wprowadzenia odpowiednich zmian, warto skorzystać z zespołów zajmujących się profesjonalnie tymi zagadnieniami.
Dlaczego regulacje nie rozwiążą problemu cyberbezpieczeństwa?
Choć dyrektywa NIS2 wprowadza istotne zmiany, warto pamiętać, że regulacje nie są w stanie rozwiązać wszystkich problemów związanych z cyberbezpieczeństwem.
Regulacje definiują minimalne standardy i obowiązki formalne. Rzeczywiste bezpieczeństwo organizacji zależy jednak od wielu czynników, takich jak: architektura systemów informatycznych, zarządzanie dostępem do danych, świadomość pracowników czy też kultura organizacyjna.
Firmy, które traktują nowe regulacje jako punkt wyjścia do uporządkowania swojego podejścia do cyberbezpieczeństwa, mogą znacząco zwiększyć swoją odporność na incydenty.
Podsumowanie
Dyrektywa NIS2 oraz nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadzają istotne zmiany w podejściu do cyberbezpieczeństwa w Europie.
W najbliższych latach obowiązki związane z bezpieczeństwem systemów informatycznych obejmą znacznie większą liczbę przedsiębiorstw niż dotychczas.
Dla wielu organizacji będzie to pierwszy moment, w którym cyberbezpieczeństwo stanie się nie tylko kwestią technologiczną, ale również obowiązkiem regulacyjnym i elementem odpowiedzialności zarządczej.
Najważniejszym wyzwaniem nie będzie jednak sama zgodność z przepisami, lecz zrozumienie, jakie realne ryzyka stoją za nowymi regulacjami i jak przygotować organizację na ich skuteczne zarządzanie.
