Ponad 160 000 firm i instytucji z 27 państw członkowskich UE musi do 17 października 2024 roku wprowadzić nowe zabezpieczenia przed cyberatakami. To obowiązek wynikający z dostosowania się do europejskiej dyrektywy NIS2. W przypadku udanego cyberataku należy wdrożyć raporty wymagane przez NIS2. W przeciwnym razie grożą wysokie kary: do 10 milionów Euro lub 2 proc. rocznego obrotu.
Dyrektywa NIS2 wprowadzi również dotkliwe kary w wysokości choćby 10 mln euro lub 2 proc. światowych obrotów dla podmiotów kluczowych, co sprawia, iż powinny się nią zainteresować także zarządy objętych przepisami przedsiębiorstw. Jak podkreślają eksperci ds. cyberbezpieczeństwa, grupa ta po raz pierwszy będzie osobiście odpowiedzialna za awarie bezpieczeństwa cybernetycznego.
Przed Ministrem Cyfryzacji stoi zatem zadanie pilnego przygotowania wytycznych w zakresie wprowadzenia unijnych przepisów, aby firmy i odpowiedzialne prawnie i finansowo zarządy mogły już teraz zacząć dostosowywać się do zmian. Tymczasem – jak wynika z Raportu „W oczekiwaniu na NIS2: stan przygotowań” – CSO Council, EY Polska, Trend Micro – 25 proc. firm w Polsce nie ma choćby świadomości, iż dyrektywa jej dotyczy, a ponad 30 proc. organizacji nie postrzega nowych regulacji jako priorytetu.
Tymczasem polskie spółki, których dotyczy dyrektywa NIS2, będą miały cztery lata (do końca 2028 r.), na wdrożenie nowych wymagań i poddanie się pierwszemu audytowi. Nowe regulacje zaczną jednak obowiązywać wcześniej.
Zapoznanie się i zrozumienie zakresu wymagań nowej dyrektywy NIS2 jest absolutnie niezbędne dla kierownictwa firm. Przecież to oni poniosą odpowiedzialność w przypadku udowodnionych uchybień od października 2024.
Mając na uwadze lawinowo rosnąca ilość ataków zarówno na infrastrukturę krytyczną jak i tysiące małych firm, kluczem będzie zastosowanie systemów, nie tylko detekcji incydentów, która jest bardzo ważna i potrzebna do ich analizy, ale również prewencji i szybkiego reagowania w postaci kompleksowych rozwiązań ochrony bezpieczeństwa, umożliwiających analizę, monitoring, raportowanie i bieżącą obsługę incydentów.
Od 2028 r. firmy będą musiały co roku udowadniać zgodność swojej infrastruktury informatycznej z NIS2. Powstanie obwiązek udokumentowania, iż podjęły „odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne”, które „odpowiadają najnowszemu stanowi wiedzy i obowiązującym normom”. Ponadto po wdrożeniu NIS2 muszą także wziąć pod uwagę europejski akt o odporności cybernetycznej (CRA).
Eksperci firmy Check Point wskazują również na najbardziej wrażliwe sektory gospodarki, które mogą być narażone na ataki cybernetyczne a podlegają nowym obowiązkom NIS2. Podkreślają jednocześnie, iż blisko 38 proc. Polaków obawia się wycieku danych osobowych z baz instytucji publicznych i firm prywatnych (Badanie „Dane osobowe – czy wiemy, jak je chronić?” (IV 2023) przeprowadzone przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych).
Szpitale muszą się zabezpieczać
Jednym z najbardziej zagrożonych sektorów cyberatakami jest służba zdrowia. Jak wynika z najnowszych danych firmy Check Point Research, dane pacjentów polskich szpitali i placówek medycznych stają się coraz bardziej pożądanym celem dla przestępców, którzy żądają okupu lub sprzedają informacje na czarnym rynku.
W ostatnim roku liczba ataków na szpitale i instytucje medyczne wzrosła o kilkadziesiąt procent. Co tydzień hakerzy atakują sektor ochrony zdrowia 1579 razy – wynika z danych firmy Check Point.
Jak wynika z raportu ENISA hakerzy najczęściej atakują europejski sektor ochrony zdrowia dzięki ransomware (54 proc.). Kolejnym rodzajem są cyberataki związane z danymi (46 proc.), włamania (13 proc.) czy DDos (9 proc.). W Polsce jednym z najbardziej znanych przypadków wycieku danych pacjentów w wyniku zastosowania ransomware był atak na znaną sieć laboratoriów w listopadzie 2023 roku.
Według danych KRD, w ciągu ostatnich sześciu miesięcy w Polsce miały miejsce dwa znaczące włamania, podczas których wyciekły informacje osobowe około 400 tysięcy Polaków. A czarnorynkowa cena wykradzionych danych medycznych dochodzi już do 1.000 USD za jednego pacjenta (Fierce Healthcare Report). Tak więc sektor medyczny, obok wielu innych firm strategicznego znaczenia, staje (w związku z dyrektywą NIS 2) w obliczu rosnących kosztów informatycznych i braku wykwalifikowanego personelu IT.
Edukację, infrastrukturę krytyczna i wojskową czekają wyzwania
Dyrektywa NIS2 ma zabezpieczyć czułe punkty UE na wypadek zagrożeń porządku publicznego takich jak: ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.
Zagrożenia dla wielu sektorów rosną w Polsce i na świecie w ekspresowym tempie. Od początku br. NASK wykrył ponad 30 tys. cyberataków, których celem było uderzenie w naszą infrastrukturę krytyczną, kradzież informacji i działania fraudowe – mówił wiceszef cyfryzacji Paweł Olszewski. Z najnowszych danych firmy Check Point Research wynika, iż najczęściej atakowanym sektorem na świecie jest tzw. edukacji (2.314 razy tygodniowo), instytucji rządowych i wojskowych (1.633) i sektor medyczny (1.579).
Liczba ataków na wybrane branże na świecie (Raport -30.04.2024 Check Point Software):
Co nowa dyrektywa NIS2 będzie w praktyce oznaczać dla przedsiębiorstw i podmiotów publicznych?
Przede wszystkim obowiązek tworzenia wewnętrznych centrów bezpieczeństwa, monitorujących incydenty i zagrożenia, odpowiedzialnych za zarządzanie kryzysami, opracowanie odpowiednich polityk oraz procedur testowania i audytów, a także implementację rozwiązań technologicznych adekwatnych do ryzyka. Za nieprzestrzeganie przepisów grożą bowiem wysokie grzywny. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub choćby na całość działalności gospodarczej.
Firma Check Point przygotowała przewodnik, który ma na celu przekazanie informacji, w jaki sposób można zabezpieczyć dane i infrastrukturę IT zgodnie z NIS2, bazując na analogii z zabezpieczeniem domu przed złodziejami. Podstawowe obowiązki sprowadzają się do 4 obszarów: wprowadzenia systemów alarmowych (obieg informacji i instrukcje reakcji firmy), powołania personelu odpowiedzialnego za reakcję (oprócz głównego inspektora bezpieczeństwa informacji (CISO) ds. bezpieczeństwa danych konieczne będzie powołanie inspektora ochrony danych (DPO). Należy uważać, aby nie przypisywać obu stanowisk jednej osobie, ale rozsądnie podzielić między nimi zadania), prowadzenia stałych audytów bezpieczeństwa (poddanie firmy analizie pod kątem sytuacji ryzyka, dostosowanej do NIS2), systemowi reakcji na incydenty (wczesne ostrzeganie władz – w ciągu 24 h od incydentu, formalne sprawozdania w ciągu 72 h, raporty końcowe).
Przejście z zakresu bezpieczeństwa cybernetycznego do NIS2 może zakończyć się sukcesem jedynie wtedy, gdy eksperci ds. zarządzania i bezpieczeństwa informacji połączą siły. Eksperci są zgodni, iż to nie jest prosty projekt, nie jest to zadanie na kilka tygodni czy miesięcy, ale zadanie ciągłe i długoterminowe.