Przedsiębiorcy będą musieli przygotować firmy do kolejnych unijnych wymagań walki z cyberzagrożeniami. Szczegółowe obowiązki zostaną sprecyzowane w przepisach krajowych. Państwa Unii Europejskiej (UE) do 17 października 2024 r. mają czas na wdrożenie NIS2, czyli przyjętej w listopadzie 2022 r. dyrektywy w sprawie wspólnego poziomu cyberbezpieczeństwa, rozszerzającej wcześniejszą NIS (network and information systems) z 2016 r.
Obowiązek pod groźbą kary
Stosowanie postanowień NIS2 nie będzie działaniem dobrowolnym. Firmy, które nie uwzględnią ich w swoich systemach ochrony, mogą zostać ukarane wysoką grzywną - do 10 mln EUR lub 2 proc. ich rocznych obrotów. Trzeba przy tym zaznaczyć, że choć dyrektywa dotyczy podmiotów zatrudniających więcej niż 250 pracowników lub o rocznych przychodach przekraczających 50 mln EUR, to nie każdy spoza tej listy może czuć się zwolniony z wdrożenia zmian.
Dyrektywa nakłada bowiem obowiązek wprowadzenia środków cyberbezpieczeństwa także w relacjach z bezpośrednimi dostawcami lub usługodawcami. Należy więc przyjąć, że mniejsze firmy działające na rzecz branż objętych NIS2 także powinny jej przestrzegać, na co zwracają uwagę m.in. eksperci z firmy Check Point.
Dyrektywa obejmuje sektory publiczne i prywatne. Na liście są podmioty z takich branż strategicznych, jak np. energetyka, transport, bankowość, opieka zdrowotna czy infrastruktura cyfrowa. NIS2 będą też podlegać m.in. usługi cyfrowe, pocztowe i kurierskie, produkcja i dystrybucja chemikaliów, wytwarzanie i przetwórstwo oraz obrót żywnością czy gospodarka odpadami.
Dyrektywa nie zawiera katalogu szczegółowych, technologicznych norm ochrony przed zagrożeniami - zaznacza jedynie, że musi być ona po prostu odpowiednia. Od organów zarządzających podmiotami NIS2 wymaga zatwierdzania środków zarządzania cyberryzykiem, nadzoru nad ich wdrażaniem, stałego zdobywania wiedzy o zagrożeniach i obarcza kierownictwa firm odpowiedzialnością za nieprzestrzeganie postanowień unijnego aktu.
Natomiast do zadań z zakresu zarządzania ryzykiem w cyberprzestrzeni zalicza m.in.: prowadzenie jego analizy i wewnętrznej polityki bezpieczeństwa oraz kontroli dostępu do danych, wdrażanie procedur postępowania w razie incydentu, opracowanie działań na rzecz ciągłości działania firmy i w razie kryzysu, a ponadto dbałość o bezpieczeństwo przy nabywaniu oraz utrzymaniu sieci i systemów informatycznych, wdrażanie praktyk cyberhigieny i prowadzenie szkoleń z cyberbezpieczeństwa.
– Nowa dyrektywa zmusza firmy do opracowania bardziej kompleksowego podejścia do zarządzania ryzykiem. Wdrożenie NIS2 może wydawać się dodatkowym obciążeniem, ale to milowy krok ku zwiększaniu bezpieczeństwa firm i ich klientów – mówi Leszek Tasiemski, wiceprezes firmy WithSecure.
Czy płacić okup
Z badania zrealizowanego przez Forrester Consulting na zlecenie WithSecure wynika, że obecnie tylko sześć na 10 firm doraźnie reaguje na problemy z cyberbezpieczeństwem. Zespoły IT podejmują działania dopiero wtedy, gdy pojawiają się kłopoty.
Inne badanie, przedstawione w „Veeam Ransomware Trends Report 2023”, pokazało, że w ubiegłym roku aż 85 proc. firm na całym świecie padło ofiarą ransomware – jednego z tych rodzajów cyberataków, które NIS2 wymienia jako istotne zagrożenie wymagające odpowiednich działań. Z raportu dowiadujemy się, że na skutek tego złośliwego oprogramowania, stosowanego przez przestępców dla uzyskania zapłaty w zamian za odblokowanie danych, aż ośmiu na 10 przedsiębiorstw zapłaciło okup. To jednak nie zawsze naprawia sytuację.
– Średnio jednej na pięć firm, które zapłaciły przestępcom, nie udało się przywrócić danych – informuje Andrzej Niziołek, dyrektor regionalny na Europę Środkowo-Wschodnią w firmie Veeam.
Jak przy tym podkreśla, w naszym kraju kwoty okupów często są tak wysokie, że firmy nawet nie rozważają ich zapłaty.
– W Polsce cyberincydenty można zgłaszać i szukać pomocy w takich instytucjach jak CERT czy NASK. Na rynku są też specjaliści, którzy mogą wesprzeć w radzeniu sobie z atakiem. Kluczowe jest jednak posiadanie odpowiedniej i prawidłowo wdrożonej strategii tworzenia kopii zapasowych danych, która pozwoli przywrócić zaszyfrowane zasoby i wznowić działalność tak szybko, jak to potrzebne – wyjaśnia Andrzej Niziołek.
Eksperci Veeam nie zalecają płacenia okupu, jeśli firma jest solidnie przygotowana na zagrożenia. Spełnienie żądań przestępców nie daje gwarancji, że dane nie zostaną sprzedane czy opublikowane na czarnym rynku.
Czujność i audyt na stałe
– Dobrze zaprojektowane zabezpieczenia wcale nie muszą wiązać się z dużymi wydatkami, a z pewnością będą niższe niż koszty ratowania biznesu po ataku. Ważne jest, aby firmy prowadziły regularny audyt systemów ochrony, by móc zidentyfikować luki i w porę je załatać. Powinny też mieć plan ciągłości działania, odtworzenia danych, a stosowane rozwiązania stale testować – podpowiada przedstawiciel Veeam.
Nowa dyrektywa skupia się właśnie na skutecznym zarządzaniu ryzykiem – polegającym na analizowaniu zagrożeń, reagowaniu na nie i powiadamianiu o nich. Poważny cyberatak trzeba będzie zgłosić w ciągu 24 godzin (maksymalnie do 72) od jego wystąpienia. Ponadto incydenty będą podlegały działaniom następczym i audytom koordynowanym przez władze krajowe.
– NIS2 nałoży na firmy obowiązek stałego monitorowania sytuacji i zgłaszania incydentów – podkreśla Leszek Tasiemski.
Zdaniem Andrzeja Niziołka, dyrektywa NIS2 nie jest tak skomplikowana, aby małe firmy nie mogły dostosować się do jej postanowień. Nie musi to być także bardzo kosztowne.
– Jeżeli firma jest mała, to liczba pracowników do przeszkolenia również jest mniejsza. Z reguły nie posiada też skomplikowanych systemów IT, więc łatwiej jest wdrożyć lub kupić narzędzia do wykrywania incydentów. Jednym z najważniejszych zadań będzie właśnie zapewnienie obsługi niebezpiecznych zdarzeń, by firma mogła dalej działać, przywracając dane, w tym te uszkodzone przez oprogramowanie ransomware – mówi ekspert Veeam.
Zdaniem ekspertów WithSecure przedsiębiorcy powinni już teraz przeanalizować, czy ich systemy ochrony danych mogą sprostać takim wymaganiom i czy zdążą wdrożyć wszystkie niezbędne rozwiązania do jesieni przyszłego roku.