NIS2: ochrona przed cyberatakami czy biurokratyczny wymóg?

W październiku 2024 roku upływa termin przyjęcia przez wszystkie państwa członkowskie Unii Europejskiej dyrektywy NIS2. Oznacza to, że do tego dnia firmy należące do kluczowych, określonych przez UE, sektorów muszą wprowadzić szereg procedur związanych z cyberbezpieczeństwem. Czy tak szczegółowe regulacje są potrzebne firmom i ich klientom? Czy Unia Europejska ma przed czym się chronić? A może NIS2 to przejaw legendarnej biurokracji unijnej?

Unia Europejska zdecydowała się wprowadzić regulację NIS2 w odpowiedzi na rosnące wyzwania związane z cyberbezpieczeństwem. Wzrost liczby zaawansowanych cyberataków oraz rosnące znaczenie infrastruktury cyfrowej sprawiły, że UE uznała konieczność uaktualnienia i wzmocnienia swojego podejścia do zarządzania zagrożeniami. Regulacja NIS2 ma na celu zwiększenie odporności sektorów krytycznych, takich jak energetyka czy usługi finansowe, poprzez ustanowienie jednolitych norm bezpieczeństwa. Ponadto, wprowadzenie tych przepisów jest odpowiedzią na potrzebę koordynacji działań na poziomie Unii, aby skutecznie reagować na wspólne wyzwania związane z cyberbezpieczeństwem.

- Poprzednie regulacje unijne dotyczące cyberbezpiczeństwa (NIS1) zostały wprowadzone w 2016 roku. Z punktu widzenia rozwoju technologii, a co za tym idzie metod cyberprzestępców, od tego momentu minęły już niemalże wieki. Dla przykładu, w 2016 roku niecałe 50% populacji światowej posiadało smartphone, w roku 2020 było to już prawie 80%[1]. Technologia rozwija się w ostatnich latach niezwykle szybko, a cyberprzestępcy często znajdują się w awangardzie. Przepisy prawa muszą za nimi nadążać, a najlepiej, żeby wyprzedzały ich działania – mówi Filip Brzóska, Chief Information Security Officer w Capgemini Polska.

Istotnym argumentem za rozszerzeniem przepisów na firmy z kolejnych sektorów jest coraz bardziej widoczne zatarcie się granic pomiędzy sektorem publicznym a prywatnym. Dobrą ilustracją takiej sytuacji są opisywane niedawno przez ESET ataki na polskie firmy logistyczne[2]. Sabotaż związany był z trwającą za naszą granicą wojną i wsparciem, którego Polska udziela Ukrainie.

UE stawia na współpracę

Po ośmiu latach od wprowadzania NIS1 Unia Europejska swoje działania z zakresu cyberbezpieczeństwa chce oprzeć na nowych fundamentach, czyli bliskiej współpracy. Poprzednia wersja dyrektywy pozwalała państwom członkowskim na większą dowolność we wdrażaniu rozwiązań, co obecnie oznacza, że stopień unifikacji procedur jest niewystarczający, aby zapewnić płynną współpracę międzynarodową i między sektorową. Dziś jasne jest, że cyberprzestępstw nie można traktować jak izolowanych przypadków, z którymi poszczególne państwa mogą sobie radzić same. Kluczem do wspólnego bezpieczeństwa jest współpraca.

To właśnie dlatego Unia Europejska określiła listę branż, w których obowiązują nowe przepisy. Obowiązek raportowania wszystkich incydentów bezpieczeństwa do odpowiednich instytucji państwowych pozwoli na płynny przepływ informacji pomiędzy państwami i instytucjami unijnymi. Dzięki takiemu podejściu możliwe jest wspólne zapobieganie atakom oraz odpowiednio szerokie reagowanie, jeśli do nich dojdzie.

Co muszą zmienić firmy

Do 17 października 2024 roku średnie i duże firmy oraz instytucje z sektorów energii, transportu, bankowości, infrastruktury rynku finansowego, zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej, przestrzeni kosmicznej i żywności, a także firmy należące do ich łańcuchów dostaw, będą musiały wprowadzić szereg rozwiązań i procedur bezpieczeństwa.

Przede wszystkim będą miały obowiązek raportowania wszelkich incydentów bezpieczeństwa, co oznacza, że konieczne stanie się rozwój systemów, które je bezbłędnie wykrywają. Zwiększą się również wymagania z zakresu ujawniania i obsługi luk bezpieczeństwa, efektywnego szyfrowania oraz testowania zabezpieczeń. Co więcej, odpowiedzialność za zgodność działań firmy z wymogami ustawy będzie ponosić osobiście kierownictwo firm.

- Każde nowe przepisy prawne, które narzucają wysokie wymagania, a do tego grożą surowymi karami, mogą w pierwszym odruchu być obierane jako opresyjne. Jeśli chodzi o NIS2 to zupełnie mylny sposób pojmowania zmian. Prawda jest taka, że ochrona na poziomie, którego wymagają od firm nowe przepisy leży w ich najlepszym interesie i powinna być stosowana od dawna. Szacuje się, że ataki typu ransomware dotykają 66% procent firm[3]. Przewiduje się, że do 2025 roku koszty, które rocznie ponosi świat na skutek cyberprzestępczości, wzrosną do 10,5 biliona dolarów. Nie mówiąc już o tym, że ochrona firm przed atakami oznacza większe bezpieczeństwo ich klientów. W ostatnich miesiącach kilkakrotnie słyszeliśmy o dużych wyciekach danych. Cyberprzestępcy sprzedają je w darknecie i w konsekwencji kradzież tożsamości i utrata oszczędności jest obecnie powszechnym i realnym zagrożeniem – komentuje Filip Brzóska.

Zmiany, które przyniesie NIS2, przyczynią się do podniesienia ogólnego poziomu bezpieczeństwa każdego z nas. Firmy zostaną zobowiązane do wzmożonego troszczenia się o swoje systemy, a ukrywanie incydentów bezpieczeństwa stanie się niemożliwe. To oznacza, że będziemy szybciej informowani, jeśli nasze dane mogły trafić w niepowołane ręce i jeśli tak się zdarzyło, będziemy mieli szansę odpowiednio zareagować.

[1] https://www.statista.com/statistics/263437/global-smartphone-sales-to-end-users-since-2007/

[2] https://crn.pl/aktualnosci/polskie-firmy-logistyczne-celem-cyberataku/

[3] https://assets.sophos.com/X24WTUEQ/at/c949g7693gsnjh9rb9gr8/sophos-state-of-ransomware-2023-wp.pdf