Dyrektywa NIS2 szansą na wejście do branży IT

avlab.pl 1 rok temu
Zdjęcie: nis2


W styczniu tego roku znowelizowano przyjętą w 2016 roku „Dyrektywę w sprawie środków na rzecz wysokiego wspólnego cyberbezpieczeństwa w UE”. Jak komentuje ekspert Stormshield, przyjęta dyrektywa NIS2 znacząco wpłynie na polskie przedsiębiorstwa i organy publiczne. Dokument rozszerza listę podmiotów kluczowych objętych obowiązkami w obszarze bezpieczeństwa IT i nadaje im nowy wymiar. Jego implementacja będzie wyzwaniem zarówno technologiczno-finansowym, jak i HR-owym.

Podmioty najważniejsze i istotne — co NIS2 w praktyce oznacza dla przedsiębiorstw i podmiotów publicznych?

Celem dyrektywy jest zapewnienie wysokiego poziomu ochrony sieci i systemów informatycznych oraz minimalizowanie ryzyka cyberataków. Wobec rosnącej skali tego zagrożenia ma przyczynić się to do lepszej ochrony krytycznej infrastruktury i kluczowych usług publicznych.

NIS2 nakłada na objęte podmioty obowiązki stosowania określonych środków ochrony oraz szereg wymogów, takich jak na przykład raportowanie incydentów naruszenia bezpieczeństwa, zapewnienie odpowiedniego poziomu bezpieczeństwa produktów i przekazywania informacji o zagrożeniach i wadach. Dyrektywa wprowadza dwie kategorie podmiotów, wobec których obowiązki są zróżnicowane.

  1. Podmioty kluczowe, to m.in. centralna administracja rządowa, publiczni dostawcy sieci i usług łączności elektronicznej, cyfrowych i telekomunikacyjnych na przykład operatorzy chmurowi, centra danych, dostawcy usług CDN i platformy sieci społecznościowych czy podmioty z sektora kosmicznego. Do tego katalogu zalicza się także instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki.
  2. Podmioty istotne w rozumieniu przepisów, to będą między innymi dostawcy wyszukiwarek internetowych, e-platformy handlowe, usługi pocztowe, kurierskie i łączności elektronicznej, logistyka i transport, usługi zaufania, produkcja i dystrybucja żywności, producenci maszyn, urządzeń i pojazdów, chemikaliów, farmaceutyków, urządzeń medycznych, przedsiębiorstwa gospodarujące odpadami, podmioty publiczne lub jedyni dostawcy usług określonego rodzaju w danym państwie członkowskim.

Kto może skorzystać?

Obowiązek zarządzania kryzysowego sprawia, iż należy spodziewać się tworzenia jednostek typu Security Operations Center (SOC), funkcjonujących w formie wewnętrznych działów lub usług zewnętrznych.

Nowe przepisy obejmą także wdrażanie procedur w zakresie testowania i audytów zabezpieczeń oraz tworzenia planu ciągłości działania. Z kolei propozycja, aby systemy zabezpieczeń były najnowsze ze względu na aktualny stan wiedzy i proporcjonalne do ryzyka związanego z konkretną działalnością, oznacza konieczność wprowadzenia rozwiązań technologicznych adekwatnych do ryzyka wynikającego z profilu podmiotu.

Konkretne obowiązki, jakie nałożone są na przedsiębiorstwa i podmioty publiczne, zależą od ich roli. Jednak niezależnie od niej obowiązków tych nie da się zrealizować bez odpowiedniej — z uwagi na liczebność i kompetencje — kadry.

Poszukiwani specjaliści

Specjaliści posiadający wiedzę i doświadczenie w dziedzinie cyberbezpieczeństwa będą coraz bardziej poszukiwani. To na nich w głównej mierze spocznie obowiązek wdrażania odpowiednich środków ochrony sieci i systemów informatycznych, monitorowanie i wykrywanie incydentów bezpieczeństwa oraz przeprowadzanie ocen ryzyka.

Jednocześnie skala wyzwania i związanych z nią potrzeb sprawia, iż dyrektywa może być szansą dla osób, którzy nie kształciły się w obszarze technologii, a których atutem są kompetencje miękkie.

Rynek jest chłonny, a fachowców brakuje. Za sprawą NIS2 popyt na pracę prawdopodobnie jeszcze wzrośnie, a antidotum na to wyzwanie może być wejście do branży osób spoza niej. Cześć obowiązków niekoniecznie wymagać będzie twardych umiejętności technicznych. Dokumentacja tworzona wokół ryzyk ze sfery cyfrowego obszaru funkcjonowania firmy, raportowanie incydentów czy szkolenia, to domeny, które z powodzeniem takie osoby mogą realizować
Aleksander KostuchEkspert firmy Stormshield

Zarządzanie projektami, kompetencje w zakresie efektywnej i skutecznej komunikacji, umiejętności analityczne — te kompetencje będą najważniejsze dla chcących wykorzystać szansę, jaka powstaje w związku z przyjęciem dyrektywy. Nie obejdzie się jednak bez zaznajomienia się z technologiami informatycznymi, a w głównej mierze dyrektywa tworzy możliwości zawodowe dla specjalistów IT.

Idź do oryginalnego materiału