Dyrektywa NIS2, która weszła w życie 16 stycznia 2023 roku, uchyliła dotychczas obowiązujący akt prawny z 2016. Ten krok ma najważniejsze znaczenie dla wzmocnienia cyberbezpieczeństwa w organizacjach, które są filarami infrastruktury krytycznej. W wyniku tych zmian lista sektorów, branż i obszarów gospodarki podlegających regulacjom w dziedzinie bezpieczeństwa cyfrowego została rozszerzona o dziewięć pozycji. Co istotne, dyrektywa NIS2 ma zastosowanie zarówno do podmiotów działających w sektorze publicznym, jak i prywatnym, które świadczą usługi lub prowadzą działalność w Unii Europejskiej, spełniając jednocześnie kryteria klasyfikujące je jako średnie przedsiębiorstwa. Według wprowadzonej w nowelizacji klasyfikacji podmioty, których dotyczą nowe przepisy, dzielą się na najważniejsze i ważne. Organizacje świadczące usługi najważniejsze to te, których zakłócenie działalności związane z cyberatakami może spowodować poważne konsekwencje społeczno-gospodarcze, zalicza się więc do nich m.in. również sektor administracji publicznej.
Liczba cyberataków rośnie w coraz szybszym tempie, stąd dynamicznie przybywa też nowych wyzwań w tym obszarze. Pomimo istotnej poprawy poziomu cyberbezpieczeństwa w Unii Europejskiej po wdrożeniu regulacji NIS w 2016 roku, potrzeba nowelizacji dyrektywy zaczęła się nasilać. W dużej mierze jest to związane z przyspieszoną transformacją cyfrową społeczeństwa, której początkiem była pandemia COVID-19. Zauważono, iż organy odpowiedzialne za cyberbezpieczeństwo mało rygorystycznie podchodziły do kwestii reagowania na incydenty i usuwania ich skutków – mówi Michał Kurek, Partner, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.
Dyrektywa NIS2 – jak przygotować organizację do wdrożenia zasad?
Wiele organizacji postrzega osiągnięcie zgodności swoich procedur z wymogami postawionymi w dyrektywie NIS2 jako stan docelowy. Zdaniem tych podmiotów jest to zbiór zasad, których należy przestrzegać i dążyć do spełnienia wymaganego minimum. W rzeczywistości jednak, te zasady, które zostały przedstawione w ramach znowelizowanego aktu stanowią podstawę i środek do osiągania wyższego poziomu cyberbezpieczeństwa. Skoordynowane i dostosowane regulacje są najważniejsze dla wzmocnienia odporności organizacji na cyberataki. Jednak ich spójność i wdrożenie stanowią wyzwanie dla organów nimi zarządzających. Liderzy biznesowi muszą rozważać wszelkie konsekwencje wprowadzanych procedur, które mogą wpłynąć na dostawców usług, klientów i innych kluczowych partnerów współtworzących cały łańcuch dostaw. Powinni również stale monitorować, czy wprowadzane zmiany są zgodne z nowymi przepisami.
Nieprzypisanie odpowiedzialności za cyberbezpieczeństwo konkretnym osobom czy zespołom w organizacji może skutkować przeoczeniem zagrożeń. Tematyka cyberbezpieczeństwa w systemach OT (Operational Technology) nie pozostało w takim stopniu upowszechniona jak ma to miejsce w przypadku systemów IT, a w świetle regulacji NIS2 harmonizacja środków bezpieczeństwa wdrażanych na obu tych płaszczyznach jest konieczna. Ponadto organizacje muszą zmierzyć się z zaostrzonymi wymogami w zakresie raportowania incydentów. Argumenty te uwypuklają konieczność wskazywania zespołów odpowiedzialnych za cyberbezpieczeństwo w organizacjach objętych dyrektywą NIS2 – mówi Łukasz Staniak, Dyrektor w Zespole Cyberbezpieczeństwa w KPMG w Polsce.