W październiku wielu polskich przedsiębiorców czeka ważna zmiana w prawie. Jedni się jej spodziewają, innych może zaskoczyć. Chodzi tu rzecz jasna o NIS 2 i cały bagaż zadań, który stoi za tą dyrektywą. Niektóre firmy zostaną po raz pierwszy “przymuszone” do wprowadzenia procedur związanych z cyberbezpieczeństwem. Mają być obowiązki, a co za tym idzie kontrole i solidne kary. Ale czy naprawdę należy się bać, czy może jednak zabrać się wreszcie na poważnie do czegoś, co i tak czeka nas wszystkich? Czym jest NIS 2 i dlaczego jest to ważna zmiana w świecie (nie tylko polskiego) internetu?
Ważne: poniższa treść artykułu dotyczy pierwszej wersji projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa z 23 kwietnia 2024 r. 7 października pojawiła się druga wersja, która wprowadza szereg zmian względem poprzedniczki oraz odsuwa w czasie planowany termin wdrożenia do polskiego porządku prawnego zapisów NIS 2. Wkrótce pojawi się u nas publikacja na ten temat.
NIS 2 w skrócie – co nas czeka?
- Tysiące polskich firm już wkrótce zostaną zobligowane do przestrzegania nowych wymagań z zakresu cyberbezpieczeństwa, Tymczasem miliony Polek i Polaków deklarują, że choć korzystają z sieci, o bezpieczeństwie… nie mają pojęcia.
- Przedsiębiorcy sami muszą zweryfikować czy ich firmy są objęte obowiązkami z zakresu cyberbezpieczeństwa, czy też nie. Jest też jednak grupa, która trafi do wykazu takich podmiotów na mocy decyzji urzędników.
- Wszystkie te firmy będą zobowiązane wdrożyć system procedur i narzędzi, a to czy on działa, państwo może przetestować dosłownie “w boju”.
- Duża odpowiedzialność i nowe obowiązki spadną na osoby zarządzające. Progi kar pieniężnych są spore, jednak to inne sankcje mogą okazać się bardziej bolesne.
Największe strachy polskich przedsiębiorców – czego boją się firmy?
Polskie firmy (ale też instytucje) najbardziej boją się kryzysów, które swoje źródła mają w internecie. Tak wynika z badania Kryzysometr 2024 przeprowadzonego przez Alert Media Communications. Na liście “największe zagrożenia 2024” potencjalne kryzysy online wyprzedziły trudności gospodarcze, problemy z produktami czy wpływ polityki na firmę.
Kryzysem internetowym, którego w kontekście 2024 r. boi się najwięcej ankietowanych są fake newsy (44 proc.), wycieki danych (37 proc.), fale negatywnych komentarzy (34 proc.) i cyberataki oraz akcje hakerów (34 proc.). Jednocześnie, porównując nastroje rok do roku, autorzy raportu wskazują, że to przed wyciekami i atakami obawy rosną.
I trudno powiedzieć, że są to strachy na wyrost jeśli popatrzy się na oficjalne dane CERT Polska (to zespół zajmujący się m.in. obsługą incydentów bezpieczeństwa). Z podsumowania roku 2023 wynika, że instytucja odnotowała ponad 80 tys. incydentów bezpieczeństwa. To dwa razy więcej niż rok wcześniej.
Korzystamy z sieci i liczymy, że jakoś to będzie
Dość wyświechtany dowcip mówi, że ludzie dzielą się na takich, którzy już robią kopie zapasowe i tych, którzy będą je robić. Patrząc na dane CERT, spokojnie możemy przyjąć że ta sama zasada dotyczy podejścia do cyberbezpieczeństwa. Nowe unijne prawo, które kryje się pod tajemniczym skrótem “NIS 2”, to tak naprawdę sygnał, że tego tematu nie można już odkładać na później.
Tym bardziej, że poziom wiedzy w zakresie cyberbezpieczeństwa niekoniecznie rośnie proporcjonalnie do liczby ataków. W ubiegłym roku GUS zbadał umiejętności cyfrowe Polaków. Ponad 30 proc. przebadanych zadeklarowało, że choć ma doświadczenie w korzystaniu z internetu, nie posiada żadnych umiejętności związanych z bezpieczeństwem (Raport Społeczeństwo informacyjne w Polsce w 2023 r.). Oznacza to tyle, że prawdopodobnie miliony z nas nie mają bladego pojęcia, jak uniknąć zagrożeń czyhających w internecie. Pytanie, która firma ma pewność, że jej pracownicy mieszczą się w grupie deklarującej, że wie co robi w sieci?
Co to jest NIS 2?
Podsumowując te wszystkie sygnały, trudno się dziwić że UE chce wyznaczenia pewnego minimum standardów w zakresie cyberbezpieczeństwa. NIS to skrót od “Network and Information Security” (bezpieczeństwo sieci i informacji), a “2” oznacza tyle, że jedno NIS już było. Jako pierwsze europejskie prawo w zakresie cyberbezpieczeństwa odegrało swoją rolę, natomiast przestało odpowiadać na skalę potrzeb (pamiętaj: tylko w Polsce liczba incydentów wzrosła w ciągu roku o sto procent!).
M.in. z tego powodu powstała NIS 2. To dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, a jej skutkiem są zmiany w polskim prawie. Najbliższe czekają nas już w 17 października – do tego czasu kraje UE, w tym Polska, mają czas na wprowadzenie regulacji NIS 2 do prawa krajowego.
Kogo dotyczy NIS 2?
Skoro powód, dla którego prawo się zmienia mamy już za sobą, to powstaje pytanie: kogo właściwie ta zmiana dotyczy? Jakie firmy powinny przygotować się na NIS 2?
Po pierwsze tych, którzy już wcześniej byli elementem krajowego systemu cyberbezpieczeństwa. W październiku jednak wykaz podmiotów, które będą musiały się dostosować do przepisów prawa w tym zakresie, zdecydowanie się poszerzy.
Pierwszym decydującym kryterium będzie działanie w jednej z 17 – krytycznych z punktu widzenia bezpieczeństwa państwa – branż. To np. energetyka, administracja, produkcja żywności, badania naukowe, usługi pocztowe. W zależności od tego, w której z nich mieści się nasza działalność, możemy zostać sklasyfikowani jako podmiot kluczowy lub ważny.
Drugim kryterium jest wielkość – co do zasady należy przewyższać wymogi dla średniego przedsiębiorstwa.
Piszemy “co do zasady”, ponieważ nowe zapisy ustawy odnośnie NIS 2 zawierają rzecz jasna sporo wyjątków, które w szczególnych przypadkach kwalifikują do tego grona inne firmy. Np. niezależnie od wielkości – dostawców usług zaufania czy przedsiębiorców komunikacji elektronicznej.
W wykazie podmiotów, który będzie prowadzony przez Ministra Cyfryzacji, znajdzie się też część instytucji administracji publicznej.
Jak sprawdzić czy NIS 2 dotyczy mojej firmy?
Jeśli chcemy mieć pewność czy nowe prawo nas dotyczy, najlepiej poprosić o radę prawników. Jest to o tyle ważne, że firmy będą musiały dokonać samoidentyfikacji i z własnej inicjatywy złożyć wniosek o wpis do wspomnianego wykazu podmiotów kluczowych lub ważnych.
Na samoidentyfikację i wpis będzie 2 miesiące od momentu spełnienia wymogów. Spóźnialscy mogą zostać przez urzędników zarejestrowani bez pytania i – pod rygorem kary – wezwani do uzupełnienia braków we wpisie.
Co jednak ciekawe, możliwe jest trafienie do wykazu nawet jeśli na pierwszy rzut oka wydaje się, że niewiele mamy wspólnego z jego wymogami.
W jaki sposób?
Mogą to zrobić właściwe ograny państwa m.in. wobec osób fizycznych. Jednym z powodów takiej odgórnej decyzji może być świadczenie usług o istotnym znaczeniu na poziomie krajowym lub wojewódzkim. albo mających znaczenie dla dwóch lub więcej branż z ustawowej listy.
NIS 2 i obowiązki przedsiębiorców
Co zatem mają zrobić te firmy, które uznają, że mają status kluczowy albo ważny? Podstawowy obowiązek to wdrożenie systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług.
I tu zaczynają się schody, bo co to właściwie znaczy? Prawo nam to nieco wyjaśnia, tzn. wymienia 6 zadań, jakie ten system ma w praktyce spełniać. Mówiąc najprościej: ma być gotowy na niebezpieczeństwa, ale powinien im zapobiegać oraz musi wiedzieć, co robić jeśli jednak do nich dojdzie.
Zadania związane z przygotowaniem się do potencjalnych incydentów:
- Szacowanie ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem.
- Zbieranie informacji o zagrożeniach i podatnościach.
Zadania związane z zapobieganiem incydentom:
- Wdrożenie środków technicznych i organizacyjnych (nowoczesnych, ekonomicznych, skalowalnych, adekwatnych).
- Stosowanie bezpiecznych środków komunikacji elektronicznej.
Zadania związane z działaniami w momencie wystąpienia incydentu:
- Zarządzanie incydentami.
- Stosowanie środków ograniczających wpływ incydentu na bezpieczeństwo systemu.
Lista jest wspólna dla podmiotów kluczowych i ważnych.
Pamiętaj! Nie ma tu jednego rozwiązania, które pokryje powyższe 6 zagadnień. To do przedsiębiorców należy weryfikacja, jakie obszary IT w ich firmie wymagają usystematyzowania. Mogą to być m.in. procesy związane z tworzeniem kopii zapasowych, zapewnienie jednolitego poziomu bezpieczeństwa dla urządzeń z danym systemem operacyjnym, a nawet zarządzany przez Microsoft 365 cyfrowy obieg dokumentów.
Co mówi ustawa w sprawie NIS 2?
Jeśli zajrzysz do ustawy, znajdziesz trochę bardziej szczegółowy opis tych zadań, nadal jednak nie będzie on zawierał konkretnych wskazówek dotyczących procedur czy oprogramowania, które zagwarantuje zgodność z dyrektywą NIS 2.
Dlaczego? Ponieważ w całej zmianie chodzi o wdrożenie systemu działań, a nie tylko pojedynczych rozwiązań. Jednocześnie nie da się przyłożyć do każdej branży i działalności tej samej miary, dlatego indywidualnie trzeba zdecydować co w kontekście danej firmy czy instytucji publicznej będzie oznaczało spełnienie tych wymogów.
Przykład – firma korzystająca z licencji na pakiety Google Workspace powinna zastanowić się nad zakupem usług rozszerzających nadzór nad bezpieczeństwem użytkowników np. Cloud Indetity Premium, ale takich rozwiązań może być znacznie więcej.
Ponieważ system to zespół naczyń połączonych, mamy obowiązek też zadbać o to by partnerzy, u których kupimy oprogramowanie, byli wiarygodni i mogli pochwalić się odpowiednią jakością usług i produktów. Musimy też być świadomi ich podatności.
Cyberbezpieczeństwo to gra zespołowa
Jeśli zdarza Ci się latać samolotami, to wiesz że procedury związane z tym środkiem transportu na różnych lotniskach są niemal identyczne. Przed lotem po raz enty wysłuchujemy podobnych komunikatów, a załogi wykonują podobne zestawy czynności w tej samej kolejności.
Powtarzalność zachowań i obowiązków wszystkich uczestników tego procesu, to system bezpieczeństwa w czystej postaci. Dzięki wyciąganiu wniosków z doświadczeń i solidarnemu stosowaniu ustalonych zasad, latanie jest obecnie najbezpieczniejszym środkiem transportu. Nie bez przyczyny jednak mówi się, że procedury te pisane były krwią.
Analogiczny system, oparty na wymianie informacji, a tym samym ulepszania procesów na podstawie różnorodnych doświadczeń, ma zadziałać w przypadku internetu. Jak już wcześniej pisaliśmy, podmioty kluczowe i ważne mają obowiązek zbierać informacje o zagrożeniach i podatnościach systemu, ale powinny też tymi informacjami dzielić się z innymi.
Wrogie taktyki, grupy przestępcze, zalecenia co do konfiguracji narzędzi cyberbezpieczeństwa. Wymiana takich i innych informacji, które mają ostrzegać ale też rozwijać dobre praktyki, będzie odbywać się m.in. za pomocą specjalnego systemu teleinformatycznego dostarczanego przez NASK pn. “S46”.
Pamiętaj: ochrona urządzeń firmowych jest tak samo ważna, jak nie ważniejsza od ochrony urządzeń domowych. Sytuacja, gdy utrzymujesz na dysku laptopa ważne pliki, zawierające dane klientów, będzie niezwykle kusząca dla cyberprzestępców. Dlatego też warto w organizacji wdrożyć oprogramowanie antywirusowe na większą liczbę urządzeń.
NIS 2 to odpowiedzialność, której nie delegujesz
Odpowiedzialność za wykonywanie obowiązków w zakresie cyberbezpieczeństwa ponosi kierownik albo kierowniczka podmiotu. Jeśli w firmie takich osób jest więcej, to jedna wskazana albo wszyscy po równo.
To szefostwo odpowiada za to czy firma ma pieniądze na niezbędne środki i je wdrożyła, a zespół zna procedury i umie obsługiwać narzędzia. Co ważne, delegowanie nie zwalnia z tej odpowiedzialności. Prawo dodatkowo nakłada obowiązek corocznego, udokumentowanego szkolenia się kierowników i kierowniczek podmiotu.
Uprawnione instytucje mogą przeprowadzić ocenę systemu bezpieczeństwa wykorzystywanego przez podmioty kluczowe i ważne. Na czym polega taka ocena? Na przeprowadzeniu testów mających na celu wykrycie podatności, czyli de facto… w boju.
Co grozi za ewentualne braki i niedociągnięcia? Kary pieniężne mogą być nakładane zarówno na podmioty, jak i kierowników i kierowniczki nimi kierujące. W pierwszym przypadku górna granica to 10 mln euro lub 2% przychodów za ub. rok obrotowy, w drugim do 600 proc. otrzymywanego przez osobę ukaraną wynagrodzenia.
W niektórych przypadkach znacznie bardziej jednak dolegliwe od kar pieniężnych mogą okazać się takie sankcje jak cofnięcie koncesji czy wykreślenie z rejestru działalności regulowanej, a wobec kierownictwa nałożenie tymczasowego zakazu zajmowania stanowiska.
Obowiązki związane z NIS 2 o których możesz nie wiedzieć
Pomijając techniczne aspekty związane z dostosowaniem się do przepisów, podmioty kluczowe i ważne muszą liczyć się z innymi obowiązkami. Jest to m.in. tworzenie dokumentacji bezpieczeństwa, obsługa incydentów i informowanie o ich wystąpieniu w wyznaczonym czasie (zależy od podmiotu i typu incydentu), sprawozdawczość. Raz na dwa lata podmioty muszą też na własny koszt przeprowadzać audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi.
W codziennej działalności podmioty kluczowe i ważne mają obowiązek edukowania swoich klientów w zakresie zagrożeń i sposobów radzenia sobie z nimi. Preferowanym sposobem jest robienie tego poprzez własną stronę internetową (a propos: Twoja firma ją ma, prawda?).
Obowiązkowo należy poinformować użytkowników o poważnym incydencie, jeżeli ma on niekorzystny wpływ na usługę, jeśli natomiast dojdzie do znaczącego cyberzagrożenia – sama informacja, to za mało. Należy też poinstruować użytkowników, których ono dotyczy, co powinni w tej sytuacji zrobić.
***
Na realizację większości nałożonych zadań będzie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny. I choć opisane przez nas działania będą dotyczyć tylko wybranych firm i instytucji, warto zastanowić się czy nie jest to dobry moment, żeby zweryfikować wiedzę naszych pracowników i procedury bezpieczeństwa, bez względu na to czy mamy taki obowiązek wynikający z prawa. Nie ma zasady, która by mówiła, że cyberataki dotyczą tylko “dużych”, one naprawdę mogą dotknąć każdego.
Chcesz wiedzieć więcej o NIS i sprawdzić, które rozwiązania pozwolą Ci na dostosowanie firmowych procedur do nowych standardów? Skorzystaj z porad naszych ekspertów, zamów bezpłatną konsultację na poniższej stronie:
