Nowa dyrektywa UE obejmie tysiące firm – możliwe, że również Twoją

Co łączy ogólnopolskiego dystrybutora żywności, miejskiego dostawcę ciepła i lokalnego producenta naczep? Otóż każdy z nich, podobnie jak kilka tysięcy innych firm w Polsce, w ciągu najwyżej kilkunastu miesięcy musi wdrożyć szereg istotnych zmian w zakresie zarządzania swoim cyberbezpieczeństwem. Dodatkowe obowiązki, wymagające czasu i znaczących środków, nakłada unijna dyrektywa NIS2.

CZEGO SIĘ DOWIESZ Z TEGO ARTYKUŁU: DLACZEGO UNIA ZDECYDOWAŁA SIĘ WZMOCNIĆ CYBERBEZPIECZEŃSTWO EUROPEJSKICH FIRM? KIEDY I W JAKIM TRYBIE NOWE DYREKTYWA NIS2 WEJDZIE W ŻYCIE? JAKICH FIRM I SEKTORÓW BĘDĄ DOTYCZYĆ NOWE OBOWIĄZKI? JAKI BĘDZIE ZAKRES WYMAGANYCH ZMIAN?

Argumenty za wzmocnieniem bezpieczeństwa cyfrowego europejskich przedsiębiorstw są oczywiste — wpierw pandemia, a następnie wojna w Ukrainie wywołały lawinę ataków hakerskich, których celem są dziś nie tylko koncerny czy instytucje publiczne, ale również średniej wielkości przedsiębiorstwa¹. Kłopoty z aprowizacją, kilkudniowa awaria ogrzewania czy kryzys logistyczny mogą bowiem sparaliżować funkcjonowanie państwa i wywołać niepokój społeczny równie skutecznie, jak rakiety czy drony podczas klasycznej wojny kinetycznej.

Historia nauczycielką życia – także w prowadzeniu biznesu

Głównym celem NIS2 (ang. the Network and Information Security Directive) jest zapewnienie cyfrowej ochrony danych, którymi dysponują przedsiębiorstwa działające na obszarze Unii Europejskiej. Zgodnie z nowymi regulacjami, państwa członkowskie muszą wdrożyć między innymi krajową strategię cyberbezpieczeństwa oraz prawo krajowe, które obejmuje wymogi w zakresie zarządzania ryzykiem i sprawozdawczości podmiotów objętych dyrektywą.

Zapewne wielu czytelnikom automatycznie przyjdzie na myśl RODO — i będzie to skojarzenie jak najbardziej uprawnione. Problem w tym, że implementacja unijnego prawa chroniącego dane osobowe obywateli wspólnoty zajęła Polsce mniej więcej… cztery lata, a i tak nie udało się uniknąć wówczas chaosu oraz luk w systemie. Tymczasem od daty wejścia w życie NIS2, czyli 16 stycznia 2023 roku, państwa członkowskie UE mają maksymalnie 21 miesięcy na wprowadzenie postanowień dyrektywy do prawa krajowego. Co więcej, nietrudno wyobrazić sobie przyspieszenie przez rząd ścieżki legislacyjnej (chociażby ze względu na toczący się tuż za naszą granicą konflikt), co dla polskich przedsiębiorców oznaczałoby dodatkowe skrócenie czasu potrzebnego na dostosowanie się do nowych wymogów w zakresie cyberbezpieczeństwa. Jeden z możliwych scenariuszy błyskawicznego konsultowania i procedowania nowych przepisów zakłada ich wejście w życie… nawet w przeciągu zaledwie 4 miesiecy.

Dodając do tego brak przejrzystości niektórych przepisów, konieczność sfinansowania kosztownych inwestycji oraz perspektywę wyższych niż za niestosowanie RODO kar — dyrektywa NIS2 okazuje się dla tysięcy polskich firm kolosalnym wyzwaniem.

Zaskakująco szeroki zakres

NIS2 nie wypełnia próżni, lecz zastępuje obowiązującą od sześciu lat dyrektywę NIS, a w przypadku Polski — uzupełnia ustawę o krajowym systemie cyberbezpieczeństwa z sierpnia 2018 roku. Zdaniem Komisji Europejskiej, dotychczasowe prawo nie do końca zdało egzamin — niedoszacowana została liczba sektorów gospodarki wymagającej dodatkowej, cyfrowej ochrony, jak również nie wszystkie przedsiębiorstwa wywiązywały się z nałożonych przez dyrektywę NIS obowiązków.

Podmioty objęte NIS2 dzielą się na dwie kategorie: podmioty kluczowe (np. firmy telekomunikacyjne, przedsiębiorstwa użyteczności publicznej i banki) oraz podmioty istotne, z których większość dotychczas nie podlegała rygorystycznym regulacjom. W tej grupie znajdują się między innymi nasi trzej bohaterowie: dystrybutor żywności, dostawca ciepła czy producent naczep. Wynika to z zalecenia Komisji Europejskiej nr Komisji 2003/361/W, definiującą adresatów dyrektywy NIS2 jako średnie bądź duże firmy tzn.:

zatrudniające 50 lub więcej pracowników, o rocznych przychodach w wysokości dziesięciu milionów euro albo rocznej sumie bilansowej do 43 milionów euro,
zatrudniające 250 lub więcej pracowników, o rocznych przychodach w wysokości co najmniej 50 mln euro i/lub sumie bilansowej 43 mln euro lub wyższej.

Dodatkowo, dyrektywa NIS2 obejmować będzie całe sektory gospodarki, uznane za istotne dla funkcjonowania państwa, a jednocześnie szczególnie narażone na ataki cyberprzestępców. Oprócz produkcji i dystrybucji żywności, dostarczaniu mediów czy produkcji przyczep i naczep mowa tu m.in. o usługach pocztowych i kurierskich, gospodarowaniu odpadami, prowadzeniu badań naukowych oraz wielu, wielu innych.

Eksperci przekonują, że właściciele firm – niezależnie od wielkości i branży – powinni jak najszybciej upewnić się, czy aby również ich nie będą obowiązywać przepisy unijnej dyrektywy. I to nawet w przypadku, gdy pozornie nie spełniają kryteriów sektorowych czy też tych związanych z przychodami bądź wielkością personelu. Niektóre podmioty, takie jak dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub prowadzące działalność transgraniczną będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności. Dodatkowo, ze względu na koncepcję odpowiedzialności w łańcuchu dostaw należy przyjąć, że mniejsze firmy będące dostawcami dla sektorów objętych dyrektywą muszą również przestrzegać NIS2².

Co dla mojej firmy oznacza nowa dyrektywa?

Dyrektywa NIS2 nie zawiera listy kontrolnej ani minimalnego zestawu wymagań dotyczących technologii ochrony. Opisuje tzw. odpowiednią ochronę, którą można interpretować na wiele sposobów. Można jednak założyć, że firmy potrzebują co najmniej nowoczesnej zapory ogniowej i technologii zapobiegania włamaniom do sieci, jasnych procedur bezpieczeństwa oraz wdrożenia uwierzytelniania wieloskładnikowego, szyfrowania danych i ograniczania dostępu³.

Specjaliści są zgodni, że obowiązki wynikające z nowej dyrektywy zarówno dla podmiotów kluczowych, jak i niezbędnych, sprowadzają się do zapewnienia:

mechanizmów i procesów analizy ryzyka
wdrożonej polityki bezpieczeństwa systemów informatycznych,
obsługi incydentów obejmującej zapobieganie, wykrywanie i reagowanie na incydenty,
ciągłości działania i zarządzania kryzysowego,
bezpieczeństwa łańcucha dostaw,
bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych, w tym ujawniania i obsługi podatności),
procedur (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,
wykorzystywania kryptografii i szyfrowania.

Dodatkowo, przedsiębiorstwa zobowiązane będą do zgłaszania wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON). W egzekwowaniu prawa pomóc maja drakońskie kary, sięgające co najmniej 10 milionów euro lub co najmniej 2% rocznego światowego obrotu w poprzednim roku obrotowym.

Dotychczasowe doświadczenia m.in. z wdrażania przepisów ustawy o krajowym systemie cyberbezpieczeństwa uczą nas, że spełnienie nowych standardów i wprowadzenie koniecznych zmian wymagają zarówno czasu, jak i znaczących środków finansowych. A obu tych rzeczy przedsiębiorcom, w kontekście szybkiego tempa implementacji NIS2 oraz spowolnienia gospodarczego, może po prostu zabraknąć. W kolejnym artykule pokażemy, w jaki sposób dystrybutorzy żywności, dostawcy wody, producenci naczep i tysiące innych firm mogą przygotować się do nadchodzącej rewolucji w cyberbezpieczeństwie, unikając zbędnych kosztów czy bolesnych konsekwencji niespełniania europejskich wymogów.

Przeczytaj też: „Jak skutecznie i racjonalnie przygotować firmę do wymogów NIS2?”

¹https://biznes.t-mobile.pl/pl/czeka-nas-rok-nowych-zagrozen

²https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333

³https://www.nis-2-directive.com/