Rośnie zagrożenie atakami hakerskimi. Aby skutecznie zapobiec zagrożeniu, UE przyjęła dyrektywę NIS2, która stanowi część strategii bezpieczeństwa cybernetycznego Shaping Europe's Digital Future i bezpośrednim rozszerzeniem dyrektywy NIS z 2016 r.
Firmy, które nie zastosują się do dyrektywy NIS2, mogą zostać ukarane grzywną w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy. Eksperci bezpieczeństwa cybernetycznego Check Point Software postanowili przeprowadzić analizę nowego aktu prawnego.
W 2022 r. tygodniowa liczba cyberataków wzrosła w całym świecie o 38% (w porównaniu do 2021 roku). Odpowiedzią UE ma być bardziej holistyczne i jednolite podejście do cyberochrony sektorów i łańcuchów dostaw mających wpływ na infrastrukturę krytyczną. Cyberataki mogą mieć bowiem ogromny wpływ na gospodarkę każdego państwa członkowskiego, ale także na resztę Europy. Przykładowo, jeśli krajowa firma energetyczna zostanie wyłączona z eksploatacji na krótki lub dłuższy czas, ceny energii elektrycznej wzrosną. A ponieważ handel energią elektryczną odbywa się na europejskiej giełdzie, ceny poszybują w górę w całej Europie – wyjaśniają analitycy Check Pointa.
W przeciwieństwie do Dyrektywy RODO, która chroni dane osobowe obywateli, NIS2 ma na celu ochronę danych gospodarczych - danych, które mają wpływ na gospodarki przedsiębiorstw i krajów członkowskich.
Zgodnie z nowymi przepisami państwa członkowskie muszą wdrożyć m.in. krajową strategię bezpieczeństwa cybernetycznego oraz prawo krajowe, które obejmuje wymogi w zakresie zarządzania ryzykiem i sprawozdawczości przedsiębiorstw objętych dyrektywą NIS2. Dyrektywa zobowiązuje również stworzenie jednego krajowego punktu kontaktowego do obsługi NIS2.
Oprócz branż, które zostały uwzględnione w dyrektywie NIS, nowy NIS2 obejmuje również kilka nowych sektorów publicznych i prywatnych, w tym sektor spożywczy, przedsiębiorstwa transportowe i spedycyjne, telekomunikację i dostawców danych, platformy mediów społecznościowych i dostawców centrów danych, zaangażowane przedsiębiorstwa w gospodarce odpadami i ściekami oraz przedsiębiorstw produkcyjnych, które są ważne dla gospodarki kraju.
Przedsiębiorstwa objęte dyrektywą dzielą się na dwie kategorie: kluczowe podmioty (np. firmy telekomunikacyjne, przedsiębiorstwa użyteczności publicznej i banki) oraz istotne podmioty (np. firmy spożywcze i firmy przewozowe). Firmy, które zatrudniające mniej niż 250 pracowników lub ich roczne obroty nie przekraczają 50 milionów euro są zwolnione z wdrożenia zmian.
Jednak ze względu na koncepcję odpowiedzialności w łańcuchu dostaw musimy przyjąć, że mniejsze firmy będące dostawcami dla sektorów objętych Dyrektywą muszą również przestrzegać NIS2. Ponadto dyrektywa obejmuje również administrację publiczną, ale na tym etapie nie jest jasne, czy obejmie mniejsze jednostki, np. gminy.
Firmy, które nie zastosują się do dyrektywy NIS2, mogą zostać ukarane grzywną w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy. Należy zaznaczyć, że podobnie jak w przypadku dyrektywy RODO, nie będzie etykiety NIS2 ani listy kontrolnej, których firmy miałyby przestrzegać. Do samej organizacji należy wdrożenie środków, aby jej ochrona danych była zgodna. Dostawcy usług z zakresu cyberbezpieczeństwa, tacy jak Check Point Software, mogą pomóc w opracowaniu wytycznych, ale to sama firma musi prowadzić niezbędne raporty.
Pod koniec grudnia 2022 r. przyjęto i oficjalnie ogłoszono w UE dyrektywę NIS2. Następnie państwa członkowskie mają 21 miesięcy na transpozycję dyrektywy do prawa krajowego. Ale to nie znaczy, że firmy mogą czekać do tego czasu z wdrożeniem nowych środków. Już w 18 miesięcy od przyjęcia dyrektywy, organizacje, których dotyczy dyrektywa, muszą być w stanie się do niej dostosować.
W pierwszej kolejności należy sprawdzić, czy nasza firma jest objęta nową dyrektywą. Jeśli tak, to należałoby się zastosować do poniższych punktów:
- Upewnienie się, że cyberbezpieczeństwo jest najwyższym priorytetem dla kierownictwa organizacji i że kierownictwo jest świadome swoich obowiązków w zakresie bezpieczeństwa. Należy zacząć od analizy potrzeb swojej firmy i stworzenia mapy z jasnymi celami i terminami wdrożenia.
- Zidentyfikowanie i nadanie priorytetów zasobom, w tym informacjom, procesom i systemom.
- Zaimplementowanie systemu, na którym zbudowane zostanie bezpieczeństwo. Może to być ISO2001 lub NIST. Ważne jest również, aby wdrożone zostało zarządzanie ryzykiem swoich aktywów i operacji.
- Automatyzowanie jak największej ilości procesów i procedur. W przyszłości bezpieczeństwo IT powinno być zawsze częścią nowych systemów i wdrożeń w chmurze.
- Konsolidacja funkcji i rozwiązań bezpieczeństwa. Operacje będą łatwiejsze i bezpieczniejsze, a także mogą przyczynić się do obniżki kosztów związanych z personelem
- Stworzenie procesu raportowania zgodnego z wymaganiami NIS2 i upewnienie się, że można go aktywnie wykorzystywać do łagodzenia ataków i zagrożeń.
