Wraz z wdrożeniem dyrektywy NIS-2 na poziomie Unii Europejskiej, wymagania dotyczące cyberbezpieczeństwa zostaną od października 2024 roku znacznie rozszerzone również w Polsce. Tysiące małych i średnich przedsiębiorstw zostaną objęte nowymi regulacjami. Aby jednak firmy te mogły skutecznie zwiększyć swoje bezpieczeństwo cyfrowe w praktyce, a nie tylko na papierze, od wszystkich wymagany będzie pragmatyzm – uważa Przemysław Kania, Dyrektor Generalny Cisco w Polsce.
Szacuje się, że nawet kilkanaście tysięcy firm w Polsce będzie podlegać „Dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa”, znanej w skrócie jako dyrektywa NIS-2. Tym samym będą one podlegać szczególnie rygorystycznym wymogom w zakresie bezpieczeństwa IT. Od usług pocztowych i kurierskich, przez energetykę i bankowość, po sektor chemiczny – wszystkie podmioty sklasyfikowane jako kluczowe będą musiały zmodernizować swoje zabezpieczenia IT i udokumentować to już od jesieni 2024 roku. Sedno sprawy tkwi w tym, że niewiele firm o tym wie, a jeszcze mniej wie, w jaki sposób ma to zostać osiągnięte.
Z jednej strony wraz z wdrożeniem europejskiej dyrektywy NIS-2 do polskiego prawa, cyberbezpieczeństwo stanie się obowiązkowym filarem prowadzenia działalności gospodarczej. Jest to konieczność, ponieważ wg badania Cisco z ubiegłego roku, jedynie 7% polskich firm posiada w pełni dojrzałe systemy cyberbezpieczeństwa, co plasuje nasz kraj w dolnej części światowej stawki.
Z drugiej strony pojawia się pytanie, jakie rozwiązania można zaproponować, aby były proste do wdrożenia przez MŚP, a jednocześnie pomogły w podniesieniu ich bezpieczeństwa IT do poziomu NIS-2. Nowe przepisy obejmują przecież środki zarządzania ryzykiem, wprowadzenie wytycznych dotyczących bezpieczeństwa informacji, zapewnienie zasobów awaryjnych lub środków zapewniających integralność i autentyczność ich własnych systemów i procesów.
Podczas gdy poprzednia dyrektywa miała do tej pory zastosowanie jedynie do około kilku tysięcy większych organizacji w Polsce, nowe przepisy w pewnym zakresie obejmą także sektor MŚP. Próg obowiązywania został ustanowiony na firmy zatrudniające co najmniej 50 pracowników o rocznym obrocie na poziomie co najmniej 10 milionów euro. Do stosowania nowej dyrektywy będą zobowiązane również mikroprzedsiębiorstwa i małe przedsiębiorstwa, które spełnią kryteria wskazujące na ich kluczową rolę dla społeczeństwa, gospodarki lub określonych sektorów lub typów usług.
Jednym z pierwszych wyzwań, przed jakim staną te firmy, jest brak odpowiednich kadr: prawie nie ma firm tej wielkości, które zatrudniają osobę odpowiedzialną za bezpieczeństwo IT. Tylko nieliczne MŚP dysponują zasobami pozwalającymi na przeniesienie nowych wymogów cyberbezpieczeństwa do firmy i spełnienie ich. Kiedy więc dyrektywa wejdzie w życie w październiku 2024 r., rynek będzie potrzebował pragmatycznego podejścia, aby osiągnąć możliwie jak najwyższy poziom cyberbezpieczeństwa w firmach.
Przed polskim ustawodawcą również pojawia się wyzwanie związane z implementacją przepisów dyrektywy. W tym kontekście szczególnie ważne jest, aby w nowych przepisach uwzględniono cztery szczególnie ważne aspekty: niski poziom biurokracji, jasne wytyczne, pragmatyczne podejście i wykorzystanie nowoczesnych rozwiązań na rzecz bezpieczeństwa cyfrowego. Omówmy je pokrótce.
Na skróty:
Ograniczanie biurokracji
Polskim firmom bardzo przydałby się odformalizowany, łatwy w zarządzaniu proces zgłaszania incydentów, zwłaszcza że niektóre mogą podlegać obowiązkowi zgłoszenia również na mocy innych przepisów UE. Należy wziąć pod uwagę, że środki bezpieczeństwa, które mają zostać podjęte przez firmy, już teraz pochłaniają ogromną ilość czasu i zasobów.
Jasne wytyczne dotyczące wdrażania rozwiązań
Podstawą jest proporcjonalność – zarówno w zakresie wdrożenia technicznego, organizacyjnego, jak i kosztów wdrożenia w stosunku do ryzyka. MŚP nie mogą być pozostawione same sobie w ocenie tego, co jest, a co nie jest proporcjonalne. Potrzebne są tu zrozumiałe, przejrzyste ramy.
Pragmatyzm, który pozwoli osiągnąć szybki postęp
Równie niezbędne są pragmatyczne wytyczne, które mają na celu zapewnienie odpowiedniego poziomu bezpieczeństwa bez nadmiernego obciążania firm. Dla małych i średnich przedsiębiorstw może to oznaczać rozpoczęcie od łatwych do wdrożenia rozwiązań.
Już dzięki podstawom takim jak: plan awaryjny w przypadku ataku, kopie zapasowe, odpowiednie zabezpieczenie poczty elektronicznej, sieci oraz weryfikacja tożsamości i zasada zerowego zaufania przy dostępie do firmowych zasobów, duża część naruszeń cyberbezpieczeństwa może być wyeliminowana. Utrzymanie ostatecznych przepisów na poziomie zbliżonym do kierunku wyznaczonego przez UE zmniejszy również ogólnoeuropejskie tarcia, ponieważ cyberataki zwykle nie zatrzymują się na granicach państw.
Bezpieczeństwo w chmurze i usługi zarządzane
Obecnie nowoczesne koncepcje bezpieczeństwa pochodzą z chmury i pomagają firmom, zwłaszcza tym z niewielką liczbą pracowników, w poprawie ich cyberbezpieczeństwa. Z jednej strony oferują one najnowocześniejsze rozwiązania techniczne. Z drugiej, umożliwiają korzystanie z usług zewnętrznych dostawców. Szczególnie mniejsze firmy z trudem znajdują specjalistów ds. bezpieczeństwa IT w związku z czym muszą polegać na tzw. usługach zarządzanych. W tym celu ustawodawca powinien jasno zdefiniować bezpieczeństwo w chmurze jako odpowiedni instrument.
Podsumowując: nadchodzące miesiące mają kluczowe znaczenie dla kształtowania odpowiednich ram regulacyjnych w celu ochrony cyfrowej gospodarki. Dyrektywa NIS-2 będzie atutem, jeśli jej wymogi będzie można realistycznie wdrożyć. Potrzebne jest praktyczne podejście o niskim poziomie biurokracji. W końcu zdecydowana większość firm już dziś jest celem cyberprzestępców i potrzebuje ukierunkowanych, realistycznych wymagań oraz skutecznych narzędzi, aby odpowiednio zabezpieczyć się przed tym zagrożeniem.
Przemysław Kania, Dyrektor Generalny Cisco w Polsce
