NIS 2 to skrót nazwy dyrektywy, której wdrożenie w całej Unii Europejskiej (UE) ma zwiększyć odporność na ataki cybernetyczne. Zapowiada ona nowe obowiązki w tej sferze dla firm i to nie tylko z branż podlegających dotychczasowej NIS, ale też z kilku sektorów wcześniej nią nieobjętych. Niemała cześć przedsiębiorców nie zdaje sobie z tego sprawy. Tymczasem dyrektywa ma zacząć obowiązywać 18 października tego roku.
Niejasności regulacyjne
Unijna dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE nie określa konkretnych metod dbania o bezpieczeństwo cyfrowe. Wymaga działań wynikających z potencjalnych zagrożeń w danej firmie, do których musi dostosować odpowiednie narzędzia ochrony. To wymaga m.in. przeprowadzenia analizy ryzyka, wypracowania odpowiednich procedur i ich testowania. Takie zadania czekają wiele branż - przede wszystkim energetyczną, transportową, zdrowia, bankowości, infrastruktury rynków finansowych, cyfrową i zaopatrzenia w wodę. Po rozszerzeniu systemu bezpieczeństwa przez NIS 2 podlegać mu będą również: gospodarka ściekami, zarządzanie ICT, przestrzeń kosmiczna, usługi pocztowe i kurierskie, produkcja i dystrybucja chemikaliów oraz produkcja i dystrybucja żywności – wynika z wyjaśnień Ministerstwa Cyfryzacji (MC) zawartych w uzasadnieniu do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażającej unijną dyrektywę do polskiego prawa. Prace nad tymi przepisami trwają.
– Raczej nie wejdą one w życie 18 października. Według obecnych deklaracji może to nastąpić z końcem roku – mówi Jolanta Malak, dyrektorka Fortinet w Polsce.
Dyrektywa budzi sporo wątpliwości. Z badania przeprowadzonego na zlecenie Fortinet przez Biostat wynika, że o NIS 2 słyszało prawie 75 proc. przedsiębiorców. Jednak 51 proc. badanych nie potrafi stwierdzić, czy podlegają nowym regulacjom, a 12 proc. uważa, że te przepisy ich nie dotyczą.
– To świadczy o dość dużym niedoinformowaniu, co może wynikać także z opóźnień we wdrożeniu dyrektywy do polskiego prawa – komentuje Jolanta Malak.
Niektórzy przedsiębiorcy wstrzymują się z przygotowaniami do wypełniania nowych obowiązków. Tłumaczą np. że regulacje NIS 2 nie są klarowne. Poza tym wciąż brakuje aktów wykonawczych do dyrektywy i projektowanej ustawy.
– Jest więc wiele niejasności i trudno właściwie ocenić wpływ regulacji na poszczególne rodzaje działalności – podkreśla dr Aleksandra Musielak, dyrektorka departamentu rynku cyfrowego Konfederacji Lewiatan.
Ministerialny rejestr
Dyrektywa jest zrozumiała dla 46 proc. ankietowanych przez Fortinet. Kłopot też w tym, że jej wymagania dotyczą nie tylko podmiotów ze wspomnianych branż, ale też ich dostawców, podwykonawców i partnerów. To oznacza, że chociaż NIS 2 odnosi się do co najmniej średnich firm (zatrudniających od 50 osób wzwyż), to obejmie ona także mniejsze, jeśli należą do łańcuchów dostaw większych przedsiębiorstw.
Według projektowanych zmian ustawy o KSC podmioty spełniające kryteria NIS 2 w dniu wejścia w życie nowelizacji będą zobowiązane zarejestrować się w wykazie podmiotów nią objętych prowadzonym przez MC. Harmonogram wpisów zostanie określony przez ministra cyfryzacji.
– Czyli przedsiębiorcy sami mają deklarować, że podlegają nowym obowiązkom. Tymczasem wielu nie ma pewności, czy muszą znaleźć się w tym katalogu. Na obecnym etapie nie jest jasne, czy na przykład firma transportowa jako dostawca leków dla szpitala należy do objętych dyrektywą podmiotów, definiowanych w niej jako kluczowe i ważne – mówi dyrektorka Fortinet.
Rodzaje podmiotów zaliczanych do tych kategorii określono opisowo w załącznikach do dyrektywy i projektowanej ustawy. Kluczowe to głównie działające w sektorach podlegających dotychczas NIS - takie, których wielkość zatrudnienia i obrotów przekraczają parametry średnich przedsiębiorstw. Będą one ostrzej karane za niedopełnienie obowiązków. Grożą im kary od 20 tys. zł do 10 mln EUR lub w wysokości 2 proc. przychodów. Natomiast sankcje przewidziane dla podmiotów określonych jako ważne wynoszą od 15 tys. zł do 7 mln EUR albo 1,4 proc. przychodów.
Zdaniem Jolanty Malak podany w jej przykładzie dostawca leków raczej powinien zgłosić się do rejestru MC. Działa bowiem w branży transportowej i na rzecz placówki służby zdrowia. Nie ma znaczenia jego wielkość, chociaż ta kwestia budzi wątpliwości środowiska małych przedsiębiorców.
– Celem dyrektywy jest podniesienie odporności na atak, a na to jest narażony i mały i duży przedsiębiorca. Każdego mogą dotknąć działania hakerów, a jego złe zabezpieczenia utorować im drogę do zasobów kontrahentów. Nawet od firmy liczącej kilka osób może ruszyć lawina zagrożeń w danym sektorze – wyjaśnia Jolanta Malak.
Zwraca przy tym uwagę na dodatkową korzyść z rejestracji w wykazie podmiotów objętych NIS 2. Będą one informowane o odnotowanych w ich branży atakach. Zadanie to przypadnie krajowym zespołom reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT), także sektorowe. Źródłem wiedzy o tym mają być m.in. obowiązkowe raporty o naruszeniu cyberochrony, składane przez zaatakowane firmy w ciągu 24 godzin. Po upływie 72 powinny one zdać relację, jak zadziałały w związku z incydentem.
Czas ucieka
– Dyrektywa nie jest jedynie zbiorem obowiązków. Przedsiębiorca zostanie ostrzeżony, że coś niepokojącego dzieje się w jego sektorze, co pozwoli przygotować się na odparcie zagrożenia – podkreśla przedstawicielka Fortinet.
Przepływ takich informacji nie będzie mieć zasięgu jedynie lokalnego. Zaalarmowane powinny być firmy potencjalnie zagrożone w całej UE. Skuteczność NIS 2 zależy jednak głównie od tego, jak firmy zbudują swoje systemy ochrony po przeprowadzeniu wspomnianej analizy ryzyka. Przedsiębiorca musi też przewidzieć, jak w razie ataku poprowadzi swój biznes i zachowa ciągłość działania informatycznego – czyli np. gdzie powinien awaryjnie przechowywać dane i jak postępować z tym zbiorem, aby nie zakłócić działalności i nie narazić nikogo na straty.
– Przedsiębiorcy muszą skupić się na zarządzaniu ryzykiem związanym z zagrożeniami, szybkim reagowaniu na incydenty, aktywnej współpracy międzysektorowej oraz ciągłym ulepszaniu swoich strategii bezpieczeństwa. Wypełnienie tych zadań z pewnością będzie wyzwaniem, ale jest potrzebne dla zwiększania poziomu ochrony przed cyberzagrożeniami i zapewniania odporności operacyjnej – mówi Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa i VP w firmie WithSecure.
Jolanta Malak radzi nie czekać z budowaniem systemów ochrony do uchwalenia polskich przepisów. Uważa, że ich podstawowe założenia się nie zmienią, poza tym duża część nowelizacji określa głównie zadania CSIRT.
– Przygotowanie do sprostania nowym obowiązkom wymaga sporo pracy. Przy czym przedsiębiorcy nie muszą podejmować się tych zadań samodzielnie, mogą je powierzyć zewnętrznym specjalistom. Ponad połowa badanych już zapowiada, że skorzysta z takich usług – mówi dyrektorka Fortinet.