Termin implementacji tzw. dyrektywy NIS2 w krajach Unii Europejskiej (UE) minął w październiku, ale prace nad polskimi przepisami wdrażającymi jej postanowienia wciąż trwają. Jeszcze nie trafiły na ścieżkę parlamentarną i nie wydaje się, aby weszły w życie w tym roku.
NIS2 jest nowelizacją unijnej dyrektywy NIS (Network and Information Systems) z 2016 r. dotyczącej cyberochrony państw członkowskich Unii oraz podmiotów działających na jej obszarze, ważnych dla bezpieczeństwa sieci i systemów informacyjnych. Nowe regulacje mają podnieść ich cyberodporność, m.in. przez rozszerzenie grup firm objętych unijnym aktem. Podzielono je na kluczowe i ważne.
Jakie ryzyko, taka ochrona
Pierwszą grupę stanowią firmy działające w 11 sektorach o tzw. krytycznym znaczeniu, takich jak transport, usługi finansowe, opieka zdrowotna, a także przedsiębiorstwa użyteczności publicznej, np. dostawcy energii. Są to przede wszystkim duże podmioty. Druga obejmuje wiele mikro, małych i średnich firm z siedmiu branż, m.in. produkcji żywności, gospodarowania odpadami, usług pocztowych i kurierskich, a także usług cyfrowych.
Podmioty objęte NIS2 będą zobowiązane do wdrożenia odpowiedniego systemu zarządzania cyberryzykiem, czyli rozwiązań technicznych, operacyjnych i organizacyjnych, a także do zgłaszania incydentów cyberbezpieczeństwa. Dyrektywa wymaga, aby przyjęte metody były proporcjonalne do zagrożeń, właściwe z uwagi na wielkość firmy i stopień narażenia jej na ryzyko oraz aby uwzględniały prawdopodobieństwo wystąpienia incydentów i ich dotkliwość, w tym skutki społeczne i gospodarcze.
Polskie przepisy wdrażające NIS2 zostaną wprowadzone zmianami w ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC). Ich projekt został poddany szerokim konsultacjom i zmodyfikowany w wyniku wielu zgłoszonych uwag. W jego obecnej wersji znalazło się kilka propozycji zaostrzenia przepisów w zakresie cyfrowej ochrony, na co zwracają uwagę m.in. eksperci Fortinet w Polsce.
Akt ten zakłada np. przeprowadzanie w firmach objętych NIS2 szczegółowego audytu bezpieczeństwa systemów informatycznych. Ma się to odbywać na ich koszt. W czasie konsultacji przedsiębiorcy wnosili o ograniczenie zakresu takich badań. Ostatecznie zmieniono jedynie harmonogram wywiązywania się z tego obowiązku na raz na trzy lata (wcześniej zakładano raz na dwa). Ponadto ustalono, że pierwszy taki audyt zostanie dokonany w ciągu 24 miesięcy od wejścia w życie nowelizacji, a nie 12, jak początkowo planowano. Jednak nie wszystkie wątpliwości zostały rozwiane.
– Z projektu od początku wynikało, że audyt musi być przeprowadzony przez podmiot zewnętrzny. Wciąż jednak brakuje doprecyzowania, kto mógłby to robić. Rodzą się różne pytania, np. czy raport każdej firmy audytorskiej będzie uznany za ważny i czy taki usługodawca musi spełniać określone kryteria lub zdobyć konkretny certyfikat. Nie widzimy jednak odpowiedzi na te pytania – zauważa Jolanta Malak, dyrektorka Fortinet w Polsce.
Jej zdaniem problemy ze spełnianiem przyszłych obowiązków nie wiążą się jednak wyłącznie z interpretacją ustawowych regulacji czy brakiem wiedzy o określonych przepisach.
Zróżnicowany system kar
– Wielu przedsiębiorców nie jest świadomych znaczenia swojej roli w ochronie łańcucha dostaw. Nie zdają sobie sprawy, jak rozległe mogą być konsekwencje ewentualnego incydentu naruszającego bezpieczeństwo na ich polu działania. W rezultacie nie podejmują żadnych kroków na rzecz zwiększenia poziomu ochrony swojego cyfrowego środowiska i przygotowania się na NIS2 – mówi Jolanta Malak.
Zwraca uwagę, że nowelizacja ustawy o KSC, podobnie jak unijna dyrektywa, przewiduje kary finansowe dla firm, które nie spełnią postawionych w niej warunków. Z badania Fortinet wynika, że nawet 30 proc. przedsiębiorców zorientowanych w nowych przepisach nie wie, jakie konsekwencje spotkają ich w razie nieprzystosowania się do NIS2.
W pierwotnej wersji projektowanych polskich przepisów przyjęto grzywny takie jak proponowane w NIS2. Podmiot niespełniający standardów cyberbezpieczeństwa zostałby dotknięty karą nawet do 10 mln EUR lub odpowiadającą 2 proc. jego światowych obrotów. Projekt zmieniono i rozmiar sankcji pieniężnych ma zależeć od różnych kryteriów, w tym rodzaju i skali naruszenia bezpieczeństwa, czasu jego trwania, a także możliwości finansowych firmy i jej współpracy z organami nadzoru.
– Uwzględnienie możliwości finansowych karanego to dobry krok. Nie eliminuje jednak ryzyka powstania sytuacji, w której firma zostanie objęta grzywną, nie rozumiejąc, dlaczego tak się stało. Dlatego należy przede wszystkim edukować przedsiębiorstwa, a później karać. Podmioty, które będą podlegać NIS2 i znają tę dyrektywę, utożsamiają ją obecnie głównie z kosztownymi inwestycjami w nowe narzędzia i usługi – mówi dyrektorka Fortinet w Polsce.
Koszty kosztami, ale…
To, jak w innych krajach radzą sobie firmy z kosztami wdrażania NIS2, pokazują wyniki badania przeprowadzonego na zlecenie firmy Veeam. Wzięło w nim udział ponad 500 respondentów z Belgii, Francji, Niemiec, Holandii i Wielkiej Brytanii. Okazuje się, że 95 proc. badanych musiało przekierować na te cele fundusze z innych obszarów swojej działalności. Co trzeci wykorzystał budżet przeznaczony na zarządzanie ryzykiem, 30 proc. sięgnęło po fundusze rekrutacyjne, a 29 proc. po pieniądze na zarządzanie kryzysowe. Jedna na cztery firmy musiała czerpać z rezerw awaryjnych.
– To pokazuje krajobraz wyzwań, przed którymi stoi biznes również w Polsce. Unijna dyrektywa znacząco rozszerzyła grupy podmiotów objętych nowymi przepisami i wprowadziła obowiązki, którym sprostać muszą nie tylko duże firmy, ale również MŚP, które mają ograniczone budżety IT albo nie mają ich wcale. To budzi zrozumiałe obawy. Te firmy często nie mogą pozwolić sobie na sięgnięcie do funduszy rezerwowych, a takie problemy jak brak zasobów czy luka kompetencyjna ich również nie omijają – zauważa Andrzej Niziołek, dyrektor regionalny na Europę Środkowo-Wschodnią w Veeam.
Eksperci ds. cyberbezpieczeństwa podkreślają jednak, że nowe przepisy przyniosą firmom korzyści. Jak mówi Jolanta Malak, przedsiębiorcy zyskają w czasie rzeczywistym informacje o incydentach występujących w ich branży - i to w skali unijnej. Wpłynie to na poziom ich bezpieczeństwa oraz ograniczy ryzyko ataków, których konsekwencje bywają niezwykle kosztowne.
– Spełnienie wymagań dyrektywy NIS2 może wydawać się przykrym obowiązkiem. O zasadności i potrzebie jej wdrożenia najlepiej świadczy to, jak niskie miejsce zajmuje ona na liście obecnych priorytetów przedsiębiorstw. W obliczu wielu krótko- i długoterminowych wyzwań biznesowych oraz technologicznych kwestie cyberbezpieczeństwa są odsuwane na bliżej nieokreśloną przyszłość. Jednak wobec rosnącej skali zagrożeń konieczność podniesienia poziomu cyberodporności przedsiębiorstwa i jego danych jest niepodważalna. Każdy krok, jaki firmy podejmą w tej sprawie, okaże się na wagę złota podczas pierwszego incydentu bezpieczeństwa – podkreśla Andrzej Niziołek.
Jolanta Malak informuje, że w Polsce możemy spodziewać się dużych funduszy na rozwój systemów cyfrowego bezpieczeństwa.
– Firmy muszą się o tym dowiedzieć. Dlatego konieczne jest rozpoczęcie dynamicznej kampanii informacyjnej – mówi dyrektorka Fortinet w Polsce.