Dyrektywa NIS2 to rozporządzenie Unii Europejskiej, które ustanawia minimalne wymagania bezpieczeństwa stawiane sieciom i systemom informatycznym wdrożonym w państwach członkowskich. Oznacza to, że firmy działające na terenie UE, których dotyczą nowe przepisy, będą musiały spełnić te wymogi, aby chronić swoje sieci przed cyberatakami. W praktyce dla polskich przedsiębiorstw może to oznaczać prawdziwą rewolucję oraz konieczność znacznego zwiększenia budżetów na działania z zakresu bezpieczeństwa IT.
Obecnie coraz trudniej jest przedsiębiorstwom funkcjonować bez kompleksowych rozwiązań z zakresu cyberbezpieczeństwa. Firmy już teraz inwestują znaczne kwoty w narzędzia chroniące przed atakami hakerów. Adaptacja do przepisów wynikających z NIS2 może spowodować wzrost wydatków na działania prewencyjne. Szybsze dostosowanie się firm pozwoli też uniknąć konsekwencji – podmioty, w których dojdzie do ataku, będą musiały bezzwłocznie zgłosić incydent i zaraportować swoje niedociągnięcia.
Dyrektywa NIS2 dotyczy wielu branż, nie tylko energetyki czy bankowości. Do wymogów UE muszą dostosować się także producenci żywności, firmy gospodarujące odpadami, zajmujące się produkcją chemii czy świadczące usługi cyfrowe. Nowe przepisy mają zatem znacznie szersze oddziaływanie na biznes i społeczeństwo.
Jakie inwestycje są potrzebne?
Podejmowanie rozbudowanych działań z zakresu cyberbezpieczeństwa nie jest niczym nowym dla wielu firm. – Podstawą funkcjonowania w cyfrowym świecie jest ochrona sieci informatycznej i urządzeń, takich jak służbowe laptopy czy telefony. Coraz więcej przedsiębiorstw dostrzega też konieczność zabezpieczenia zasobów w chmurze. Wciąż mniej powszechne są natomiast rozwiązania z zakresu ochrony infrastruktury sieciowej, w tym jej inteligentnego monitorowania. To musi się zmienić dlatego, że jednym z wymagań dyrektywy NIS2 jest, aby sieć była zabezpieczona, a wszelkie potencjalne zagrożenia wykrywane i usuwane – mówi Niklas Enge, dyrektor regionalny, Nordics i Polska w firmie Progress.
Firmy będą potrzebować narzędzi do wykrywania nietypowych aktywności oraz ciągłego monitorowania sieci w celu śledzenia w jaki sposób dochodzi do ataków i jak przemieszczają się one w sieci. Nawet luka typu zero-day musi zostać natychmiast wykryta i przeanalizowana. Potrzebny jest także przegląd wszystkiego, co dzieje się w sieci oraz rejestrowanie informacji dotyczących wydarzeń, aby już po fakcie można było ustalić co się stało.
– Jest to szczególnie ważne, ponieważ oczekuje się, że firmy będą w stanie zgłosić każdy istotny incydent władzom krajowym. Dyrektywa wymaga też od przedsiębiorstw wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo oraz przeprowadzania regularnych kontroli poziomu ochrony i oceny ryzyka – mówi ekspert z Progress.
Zmiany na szczeblu krajowym
17 października 2024 r. dyrektywa NIS2 musi zostać zaimplementowana do krajowych przepisów dotyczących cyberbezpieczeństwa. Po wprowadzeniu powstałej w ten sposób ustawy firmy i instytucje będą musiały zgłaszać zaistniałe incydenty. Dyrektywa wyraźnie określa, że czas poinformowania o wystąpieniu ataku wynosi od 24 do 72 godzin, w przypadku poważniejszego zdarzenia. Ponadto incydenty będą podlegały działaniom następczym i audytom, a te będą koordynowane przez władze krajowe.
Aby poradzić sobie z tym wyzwaniem, należy również wzmocnić władze. Konieczne są większe wysiłki w celu koordynacji działań dotyczących bezpieczeństwa i zarządzania nimi na poziomie krajowym. Istnieje potrzeba wymiany wiedzy i doświadczeń na poziomie krajowym, ale także międzynarodowym.
– Wniosek jest więc taki, że konieczne będą duże inwestycje na kilku poziomach. Jest to trudny i kosztowny proces, ale w dłuższej perspektywie przyniesie korzyści, ponieważ przedsiębiorstwa, które spełniają wymogi dyrektywy NIS2, obniżą ryzyko powodzenia cyfrowych ataków. Społeczeństwo uniknie niepotrzebnych przerw w dostępie do podstawowych usług, a ryzyko, że ucierpi na tym przedsiębiorstwo, stanie się mniejsze – podkreśla Niklas Enge.
