Podejście do cyberbezpieczeństwa ewoluowało. Wcześniej skupiano się na ochronie sektorów szczególnie istotnych z punktu widzenia bezpieczeństwa państwa: przede wszystkim energetyki i transportu, czyli takich klejnotów koronnych. Ostatnie lata nauczyły nas jednak, że na cyberbezpieczeństwo trzeba patrzeć szerzej - mówi w rozmowie z DGP Magdalena Wrzosek menedżer ds. cyberbezpieczeństwa, EY Polska.
To zależy. Dyrektywa 2022/2555 w sprawie bezpieczeństwa sieci i informacji (Network and Information Security) to druga próba Unii Europejskiej całościowego uregulowania kwestii cyberbezpieczeństwa. Pierwszą była dyrektywa zaprojektowana w 2013 r., a przyjęta w 2016 r. (NIS). Do polskiego prawa implementowano ją ustawą o krajowym systemie cyberbezpieczeństwa z 2018 r. Biorąc pod uwagę szybko zmieniający się krajobraz zagrożeń, jest to już regulacja prehistoryczna. W międzyczasie zaczął się rozwijać przemysł 4.0, a pandemia skłoniła wiele przedsiębiorstw do zmiany modeli biznesowych i przejścia do internetu. Także trwająca w wojna Ukrainie i ataki teleinformatyczne na tamtejszą infrastrukturę krytyczną jeszcze silniej uświadomiły państwom członkowskim UE konieczność wzmocnienia poziomu cyberbezpieczeństwa.
Podejście do cyberbezpieczeństwa ewoluowało. Wcześniej skupiano się na ochronie sektorów szczególnie istotnych z punktu widzenia bezpieczeństwa państwa: przede wszystkim energetyki i transportu, czyli takich klejnotów koronnych. Ostatnie lata nauczyły nas jednak, że na cyberbezpieczeństwo trzeba patrzeć szerzej. Dobrze np., że w sektorze zdrowia chronimy szpitale, ale to nie wystarczy, bo apteki też są istotne i znajduje się tam dużo danych osobowych.
W efekcie liczba sektorów podlegających przepisom dyrektywy NIS2 wzrosła prawie dwukrotnie: z 9 do 17. Więcej jest też podsektorów objętych nowym prawem. Doszły m.in. telekomunikacja, dostawcy usług chmury obliczeniowej i centrów danych, firmy świadczące usługi pocztowe i kurierskie, administracja publiczna, a także gospodarka ściekami i odpadami.
Zmiana jest rewolucyjna nie tylko dlatego, że przybyło sektorów podlegających tym przepisom. Inne jest też podejście do firm w tych sektorach. Do tej pory to państwa członkowskie decydowały, jakie podmioty znajdują się w zakresie NIS – i zasadniczo „łapały się” jedynie bardzo duże podmioty. Na przykład w Polsce w sektorze transportu nie wyznaczono żadnej firmy z transportu drogowego. Natomiast NIS2 obejmie wszystkie podmioty będące przedsiębiorstwem średnim (od 50 do 250 pracowników) lub większym. W efekcie nowe obowiązki w zakresie bezpieczeństwa będzie miało wiele firm, które do tej pory się tym nie zajmowały. I będą to większe wymagania niż teraz.
Obecnie jest to po prostu analiza ryzyka i raportowanie incydentów bezpieczeństwa. Po implementacji NIS2 dojdzie m.in. konieczność zabezpieczenia łańcucha dostaw, obowiązek szyfrowania danych oraz raportowania nie tylko samych incydentów, lecz także zagrożeń.
Wyzwaniem dla firm będzie również samo raportowanie incydentów cyberbezpieczeństwa. Dziś też trzeba je zgłaszać do CERT (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego – red.) w ciągu maksymalnie 24 godzin. NIS2 zmieni jednak kryteria incydentów podlegających raportowaniu, więc zgłoszeń będzie dużo więcej. Do tej pory były one dość złożone – brano pod uwagę zakres geograficzny, liczbę użytkowników itd. – przez co podlegających zgłoszeniu incydentów (tzw. poważnych) było zaledwie kilka w skali roku. Teraz te kryteria zostały bardzo spłaszczone: będą to wszystkie incydenty, które sprawiają, że usługi świadczone obywatelom czy firmom zostają zaburzone, lub spowoduje straty finansowe. Kryteria te zostaną dookreślone w czasie implementacji NIS2 do krajowych porządków prawnych, niemniej jednak już teraz widać, że raportować będzie trzeba więcej niż do tej pory.
Bardzo ważną zmianą będą finansowe konsekwencje niestosowania się do obowiązków z zakresu cyberbezpieczeństwa. Dotychczas były one średnio odstraszające, natomiast po wprowadzeniu NIS2 wzrosną do poziomu kar za łamanie przepisów RODO, czyli do co najmniej 10 mln euro lub 2 proc. całkowitego rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie będzie mieć wyższa kwota. ©℗
