W pa?dzierniku 2024 roku up?ywa termin przyj?cia przez wszystkie pa?stwa cz?onkowskie Unii Europejskiej dyrektywy NIS2. Oznacza to, ?e do tego dnia firmy nale??ce do kluczowych, okre?lonych przez UE, sektorów musz? wprowadzi? szereg procedur zwi?zanych z cyberbezpiecze?stwem. Czy tak szczegó?owe regulacje s? potrzebne firmom i ich klientom? Czy Unia Europejska ma przed czym si? chroni?? A mo?e NIS2 to przejaw legendarnej biurokracji unijnej?
Unia Europejska zdecydowa?a si? wprowadzi? regulacj? NIS2 w odpowiedzi na rosn?ce wyzwania zwi?zane z cyberbezpiecze?stwem. Wzrost liczby zaawansowanych cyberataków oraz rosn?ce znaczenie infrastruktury cyfrowej sprawi?y, ?e UE uzna?a konieczno?? uaktualnienia i wzmocnienia swojego podej?cia do zarz?dzania zagro?eniami. Regulacja NIS2 ma na celu zwi?kszenie odporno?ci sektorów krytycznych, takich jak energetyka czy us?ugi finansowe, poprzez ustanowienie jednolitych norm bezpiecze?stwa. Ponadto, wprowadzenie tych przepisów jest odpowiedzi? na potrzeb? koordynacji dzia?a? na poziomie Unii, aby skutecznie reagowa? na wspólne wyzwania zwi?zane z cyberbezpiecze?stwem.
– Poprzednie regulacje unijne dotycz?ce cyberbezpicze?stwa (NIS1) zosta?y wprowadzone w 2016 roku. Z punktu widzenia rozwoju technologii, a co za tym idzie metod cyberprzest?pców, od tego momentu min??y ju? niemal?e wieki. Dla przyk?adu, w 2016 roku nieca?e 50% populacji ?wiatowej posiada?o smartphone, w roku 2020 by?o to ju? prawie 80%. Technologia rozwija si? w ostatnich latach niezwykle szybko, a cyberprzest?pcy cz?sto znajduj? si? w awangardzie. Przepisy prawa musz? za nimi nad??a?, a najlepiej, ?eby wyprzedza?y ich dzia?ania – mówi Filip Brzóska, Chief Information Security Officer w Capgemini Polska.
Istotnym argumentem za rozszerzeniem przepisów na firmy z kolejnych sektorów jest coraz bardziej widoczne zatarcie si? granic pomi?dzy sektorem publicznym a prywatnym. Dobr? ilustracj? takiej sytuacji s? opisywane niedawno przez ESET ataki na polskie firmy logistyczne. Sabota? zwi?zany by? z trwaj?c? za nasz? granic? wojn? i wsparciem, którego Polska udziela Ukrainie.
NIS2 – UE stawia na wspó?prac?
Po o?miu latach od wprowadzania NIS1 Unia Europejska swoje dzia?ania z zakresu cyberbezpiecze?stwa chce oprze? na nowych fundamentach, czyli bliskiej wspó?pracy. Poprzednia wersja dyrektywy pozwala?a pa?stwom cz?onkowskim na wi?ksz? dowolno?? we wdra?aniu rozwi?za?, co obecnie oznacza, ?e stopie? unifikacji procedur jest niewystarczaj?cy, aby zapewni? p?ynn? wspó?prac? mi?dzynarodow? i mi?dzy sektorow?. Dzi? jasne jest, ?e cyberprzest?pstw nie mo?na traktowa? jak izolowanych przypadków, z którymi poszczególne pa?stwa mog? sobie radzi? same. Kluczem do wspólnego bezpiecze?stwa jest wspó?praca.
To w?a?nie dlatego Unia Europejska okre?li?a list? bran?, w których obowi?zuj? nowe przepisy. Obowi?zek raportowania wszystkich incydentów bezpiecze?stwa do odpowiednich instytucji pa?stwowych pozwoli na p?ynny przep?yw informacji pomi?dzy pa?stwami i instytucjami unijnymi. Dzi?ki takiemu podej?ciu mo?liwe jest wspólne zapobieganie atakom oraz odpowiednio szerokie reagowanie, je?li do nich dojdzie.
Co musz? zmieni? firmy?
Do 17 pa?dziernika 2024 roku ?rednie i du?e firmy oraz instytucje z sektorów energii, transportu, bankowo?ci, infrastruktury rynku finansowego, zdrowia, wody pitnej, ?cieków, infrastruktury cyfrowej, administracji publicznej, przestrzeni kosmicznej i ?ywno?ci, a tak?e firmy nale??ce do ich ?a?cuchów dostaw, b?d? musia?y wprowadzi? szereg rozwi?za? i procedur bezpiecze?stwa.
Przede wszystkim b?d? mia?y obowi?zek raportowania wszelkich incydentów bezpiecze?stwa, co oznacza, ?e konieczne stanie si? rozwój systemów, które je bezb??dnie wykrywaj?. Zwi?ksz? si? równie? wymagania z zakresu ujawniania i obs?ugi luk bezpiecze?stwa, efektywnego szyfrowania oraz testowania zabezpiecze?. Co wi?cej, odpowiedzialno?? za zgodno?? dzia?a? firmy z wymogami ustawy b?dzie ponosi? osobi?cie kierownictwo firm.
– Ka?de nowe przepisy prawne, które narzucaj? wysokie wymagania, a do tego gro?? surowymi karami, mog? w pierwszym odruchu by? obierane jako opresyjne. Je?li chodzi o NIS2 to zupe?nie mylny sposób pojmowania zmian. Prawda jest taka, ?e ochrona na poziomie, którego wymagaj? od firm nowe przepisy le?y w ich najlepszym interesie i powinna by? stosowana od dawna. Szacuje si?, ?e ataki typu ransomware dotykaj? 66% procent firm. Przewiduje si?, ?e do 2025 roku koszty, które rocznie ponosi ?wiat na skutek cyberprzest?pczo?ci, wzrosn? do 10,5 biliona dolarów. Nie mówi?c ju? o tym, ?e ochrona firm przed atakami oznacza wi?ksze bezpiecze?stwo ich klientów. W ostatnich miesi?cach kilkakrotnie s?yszeli?my o du?ych wyciekach danych. Cyberprzest?pcy sprzedaj? je w darknecie i w konsekwencji kradzie? to?samo?ci i utrata oszcz?dno?ci jest obecnie powszechnym i realnym zagro?eniem – komentuje Filip Brzóska.
