NIS2 przenosi cyberbezpieczeństwo z działu IT do gabinetu prezesa

W praktyce oznacza to, że każda firma niezależnie od branży i skali działalności może w każdej chwili stać się celem cyberprzestępców. Wystarczy jedno nieuważne kliknięcie, niezałatana luka w systemie, przestarzały backup lub brak cyberzabezpieczeń u podwykonawcy.

Ataki często zaczynają się od niepozornego maila z fakturą (lub innym załącznikiem). Skutki? Złośliwe oprogramowanie w komputerze, zaszyfrowane dane, wyciek poufnych informacji lub danych osobowych, a czasem wszystko naraz.

Z raportu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wynika, że cyberataki nie są już odosobnionymi przypadkami, lecz systemowym problemem o rosnącej skali. Najczęściej atakowane są instytucje administracji publicznej, ale również sektor transportu, finansów, produkcji czy usług cyfrowych.

Mapa współczesnych zagrożeń

ENISA wskazuje kilka typów ataków, które obecnie dominują w Europie i regularnie dotykają także firmy w Polsce:

• phishing – fałszywe e-maile zawierające złośliwe oprogramowanie lub odsyłające do stron logowania, których celem jest wyłudzenie haseł czy danych płatniczych;
• ransomware – złośliwe oprogramowanie, które szyfruje dane lub blokuje systemy, a następnie hakerzy żądają okupu za naprawę;
• DDoS – przeciążanie systemów firmy setkami tysięcy zapytań, wiadomości, pobrań, co prowadzi do ich czasowego unieruchomienia (często są to ataki na pokaz, lecz zawsze uderzają w reputację firmy, a bywają też zasłoną dymną dla poważniejszego włamania);
• cyberszpiegostwo – długotrwałe, dobrze zaplanowane kampanie, których celem jest kradzież informacji strategicznych i technologicznych (to domena zorganizowanych grup przestępczych, często wspieranych, finansowanych i chronionych przez państwa, np. Rosję czy Koreę Północną);
• dezinformacja i manipulacja – działania podważające zaufanie do instytucji, firm i polityków (dziś to elementy wojny hybrydowej, lecz coraz częściej także narzędzie w walce konkurencyjnej), które mają zaszkodzić reputacji firmy lub podważyć wiarygodność jej produktów;
• wykorzystanie podatności – przejmowanie systemów przez luki w oprogramowaniu, wynikające z braku aktualizacji lub błędów konfiguracyjnych;
• zagrożenia wewnętrzne – sytuacje, w których pracownicy, świadomie lub nie, przekazują dane lub umożliwiają dostęp do systemów osobom trzecim.

Coraz częściej hakerzy korzystają też ze sztucznej inteligencji, która umożliwia im lepsze skalowanie i automatyzowanie ataków oraz przygotowywanie bardziej wiarygodnych kampanii phishingowych. Ponad połowa wszystkich incydentów w UE dotyczy dziś podmiotów o kluczowym znaczeniu dla funkcjonowania państwa i społeczeństwa, co pokazuje, że stawka nieustannie rośnie.

Nowe zasady gry dotyczące cyberbezpieczeństwa

UE postanowiła odpowiedzieć na te zagrożenia w sposób systemowy, przyjmując dyrektywę NIS2 (Network and Information Systems Directive 2). Jej cel jest prosty, a przy tym bardzo ambitny: podnieść minimalny poziom bezpieczeństwa cyfrowego w całej Unii Europejskiej.

Państwa członkowskie miały wdrożyć NIS2 do 17 października 2024 r. Polska jest spóźniona, ale wreszcie nadrabiamy zaległości. A to za sprawą rządowego projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który ma przełożyć unijne wymogi na polskie realia. Jego propozycje znacząco rozszerzają obecne obowiązki w zakresie cyberbezpieczeństwa i – co ważne – krąg adresatów przepisów.

Uwaga! Nowe regulacje obejmą zarówno sektor publiczny, jak i prywatny, w tym przedsiębiorstwa działające w strategicznych i wrażliwych branżach, tj. energetykę, zdrowie, transport, przemysł czy usługi cyfrowe.

Oczywiście kwestie techniczne – aktualizacje kopii zapasowych, systemy wykrywania incydentów – pozostają kluczowe. Ale NIS2 idzie o krok dalej: cyberbezpieczeństwo ma być traktowane jako element zarządzania, nadzoru i odpowiedzialności kierownictwa. Liczy się nie tylko to, jakie rozwiązania techniczne stosujemy, ale przede wszystkim jak podejmujemy decyzje, podchodzimy do bezpieczeństwa i jak reagujemy na ryzyko. I to właśnie ta perspektywa – od czystej technologii do corporate governance – jest największą zmianą, którą wprowadza NIS2.

Krajowy system cyberbezpieczeństwa

Przepisy wdrażające dyrektywę NIS2 przebudowują w zasadzie cały dotychczasowy system cyberbezpieczeństwa. Najważniejsze elementy to:

• nowa struktura nadzoru – wiodącą rolę nadal będzie miał pełnomocnik rządu ds. cyberbezpieczeństwa; operacyjnie będą działać trzy krajowe zespoły reagowania: CSIRT NASK, CSIRT GOV i CSIRT MON;
• rozszerzony katalog sektorów – poza energetyką, finansami, transportem czy zdrowiem regulacją zostaną objęte m.in. produkcja, logistyka, usługi cyfrowe, zaopatrzenie w wodę i poczta;
• obowiązek samorejestracji – podmioty same będą musiały wpisać się do rejestru prowadzonego przez ministra ds. informatyzacji i wskazać, czy są „kluczowe”, czy „ważne”, a brak zgłoszenia będzie naruszeniem ustawy o krajowym systemie cyberbezpieczeństwa (dalej: u.k.s.c.);
• dwa poziomy podmiotów:

– podmiot kluczowy – większe ryzyko, większy zakres nadzoru, także prewencyjnego,

– podmiot ważny – zasadniczo nadzór następczy, tj. dopiero po wystąpieniu incydentu,

• system zarządzania bezpieczeństwem informacji (SZBI) – każda organizacja ma opracować, wdrożyć i regularnie aktualizować polityki, procedury, analizy ryzyka oraz plany ciągłości działania;
• adekwatne środki techniczne – konieczność wdrożenia technicznych, realnych, a nie tylko papierowych zabezpieczeń;
• zgłaszanie incydentów – wstępne powiadomienie w ciągu 24 godzin, raport w 72 godziny;
• kary – do 10 mln euro lub 2 proc. obrotu dla podmiotów kluczowych oraz do 7 mln euro lub 1,4 proc. dla podmiotów ważnych; dodatkowo dla zarządzających – kary osobiste i możliwość zakazu pełnienia funkcji;
• szkolenia – nie tylko dla pracowników, najwyższe kierownictwo również musi w nich uczestniczyć.

Kto podlega pod NIS2 i KSC?

Po raz pierwszy tak szeroka grupa firm, także prywatnych, zostanie formalnie objęta obowiązkami w zakresie cyberbezpieczeństwa. Kto konkretnie?

Zasadniczo chodzi o średnie i duże przedsiębiorstwa działające w określonych sektorach. Ustalenie, kto dokładnie wchodzi w ten zakres, nie jest proste. Zależy to od:

• rodzaju prowadzonej działalności,
• wielkości organizacji,
• powiązań kapitałowych,
• pozycji rynkowej (np. czy jest jedynym dostawcą danej usługi w regionie).

Uwaga! Podstawą klasyfikacji są progi z unijnego rozporządzenia 651/2014/UE, a nie z polskiej ustawy – Prawo przedsiębiorców. To oznacza, że każda firma musi sięgnąć do unijnych wytycznych i dokładnie policzyć zatrudnienie, przychody oraz strukturę właścicielską, uwzględniając także podmioty powiązane i partnerskie. Może to wymagać wnikliwej, prawniczej analizy.

Jest też haczyk. Choć formalnie NIS2 obejmuje głównie większe organizacje, w praktyce mniejsze podmioty z różnych branż również mogą odczuć jej skutki. Dlaczego? Jednym z obowiązków nałożonych na podmioty ważne i kluczowe jest zarządzanie bezpieczeństwem łańcucha dostaw. Oznacza to, że firmy objęte polskimi przepisami będą wymagały od swoich kontrahentów potwierdzenia, że ci działają bezpiecznie. Firma logistyczna, agencja rekrutacyjna, nawet niewielka drukarnia obsługująca podmiot kluczowy, wszyscy mogą zostać poproszeni o przedstawienie polityk, procedur i dowodów stosowania cyberzabezpieczeń.

To naturalna konsekwencja nowego podejścia: w cyfrowym świecie bezpieczeństwo jest tak silne, jak jego najsłabsze ogniwo. Dlatego NIS2, choć w teorii dotyczy wybranych sektorów, w praktyce obejmie wszystkich, którzy w ten łańcuch są wpięci.

Samoidentyfikacja i samorejestracja

W większości przypadków to firma będzie musiała samodzielnie ocenić, czy spełnia kryteria podmiotu kluczowego lub ważnego, i dokonać zgłoszenia do odpowiedniego wykazu – w ciągu trzech miesięcy od momentu spełnienia kryteriów.

Raz w roku (po zakończeniu roku finansowego), konieczne będzie ponowne przeanalizowanie swojego statusu.

Uwaga! Brak zgłoszenia, mimo spełnienia wymogów, będzie oznaczać naruszenie przepisów i narazi firmę na sankcje.

Tylko nieliczne organizacje, takie jak urzędy administracji publicznej czy operatorzy telekomunikacyjni, będą wpisywane do wykazu z urzędu.

Jeśli właściwy organ ds. cyberbezpieczeństwa uzna, że firma ma strategiczne znaczenie, na przykład jest jedynym dostawcą kluczowej usługi w danym regionie, może ją zakwalifikować jako podmiot kluczowy lub ważny, nawet jeśli nie nawet nie zbliża się do progów wielkościowych.

Zarząd na pierwszej linii frontu

NIS2 (i przygotowywane na bazie unijnych regulacji polskie przepisy) przenoszą odpowiedzialność za cyberbezpieczeństwo z działu IT na najwyższe szczeble zarządcze, czyli zarząd spółki, prezesa, wspólnika lub osobę prowadzącą jej sprawy, w zależności od formy organizacyjnej. To właśnie te osoby poniosą osobistą odpowiedzialność za wszystkie działania (lub ich brak) w obszarze cyberbezpieczeństwa. Nie będą mogły jej zrzucić na informatyka czy zewnętrzną firmę. W praktyce oznacza to konieczność:

• wdrożenia systemu zarządzania bezpieczeństwem informacji – SZBI,
• zapewnienia środków finansowych, technologii i ludzi do obsługi cyberbezpieczeństwa,
• nadzorowania realizacji polityk i procedur,
• organizowania szkoleń, testów i audytów,
• analizowania, zatwierdzania i świadomego akceptowania ryzyk.

Co ważne, osoby kierujące podmiotami będą musiały regularnie uczestniczyć w szkoleniach z zakresu cyberbezpieczeństwa.

Zaniedbania będą kosztowne. Kara osobista może sięgnąć nawet 600 proc. miesięcznego wynagrodzenia członka zarządu, a w skrajnych przypadkach grozi zakaz pełnienia funkcji kierowniczych.

Wnioski

Na pierwszy rzut oka może to wszystko wyglądać znajomo: nowe obowiązki, procedury, raportowanie, kary. Dla wielu firm brzmi to jak powtórka z RODO czy raportowania ESG. I rzeczywiście, trochę biurokracji będzie. Trzeba stworzyć dokumenty, procedury, przejść audyty, wypełniać formularze.

Jednak celem nowych przepisów nie jest to, by firmy instalowały najnowsze firewalle, tylko zmiana sposobu zarządzania bezpieczeństwem tak, by decyzje dotyczące ochrony informacji były świadome, strategiczne i oparte na realnej ocenie ryzyka. ©℗