Ochrona danych jest priorytetem dla firm na całym świecie. Wprowadzenie dyrektywy NIS2 przez Unię Europejską jest odpowiedzią na rosnące zagrożenia w cyberprzestrzeni. Ma ona na celu wzmocnienie odporności systemów informacyjnych w kluczowych dla nas wszystkich sektorach gospodarki, takich jak energia, transport, zdrowie i finanse.
Polska, zgodnie z wytycznymi UE, zobowiązana jest do wdrożenia tej regulacji, co skutkuje nowelizacją ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560). Każdy CISO może zastanawiać się, jak przygotować się na nadchodzące zmiany. Czy warto już teraz działać, pomimo faktu że nowelizacja ustawy jeszcze nie weszła w życie?
Czym jest NIS2?
Dyrektywa NIS2 (Network and Information Systems Directive) jest inicjatywą Unii Europejskiej, zwiększającą wymogi cyberbezpieczeństwa na terenie wspólnoty. Dyrektywa NIS, która wprowadzała podstawowe środki bezpieczeństwa sieci i systemów informatycznych, została rozwinięta do aktualnej wersji NIS2. Główne różnice między NIS a NIS2 polegają na rozszerzeniu zakresu podmiotów objętych regulacjami oraz wprowadzeniu bardziej szczegółowych wymagań dotyczących zarządzania ryzykiem jak analiza ryzyka oraz zgłaszania incydentów bezpieczeństwa.
Podczas gdy NIS koncentrowała się głównie na operatorach usług kluczowych i dostawcach usług cyfrowych, NIS2 wprowadza pojęcia „podmiotu kluczowego” i „podmiotu ważnego”, co pozwala na bardziej precyzyjne przypisanie obowiązków nadzorczych i kontrolnych. NIS2 wymaga również wdrożenia systemów zarządzania bezpieczeństwem informacji oraz systematycznych audytów bezpieczeństwa. Kolejnym obszarem NIS2 jest współpraca międzynarodowa i wymiana informacji. Unia Europejska wprowadza zmiany na celu stworzenia bardziej spójnego i efektywnego systemu ochrony przed cyberzagrożeniami, aby ułatwić reagowanie na nie mając na względzie bezpieczeństwo sieci i informacji we wspólnocie.
Kiedy dyrektywa NIS2 będzie miała moc? Od czego zależy obowiązywanie dyrektywy NIS2?
NIS2 jest dyrektywą, czyli jest to akt prawny, który określa cele legislacyjne dla państw członkowskich. Ma ona charakter ogólny i w przeciwieństwie do rozporządzenia pozostawia swobodę w wyborze formy i środków potrzebnych do realizacji celów.
Implementacja dyrektywy NIS2 do porządków prawnych państw członkowskich UE musi nastąpić do 17 października 2024 r. Transpozycja dyrektywy NIS2 do polskiego prawodawstwa odbędzie się poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, której projekt został opublikowany 23 kwietnia 2024 roku. Natomiast wprowadzenie projektu nowej wersji ustawy do porządku prawnego planowane jest na koniec 2024 roku.
Najważniejsze zmiany w nowej ustawie KSC
Zmiany w nowej ustawie o krajowym systemie cyberbezpieczeństwa obejmują m.in nowe struktury i szczegółowe zasady nadzoru oraz egzekwowania przepisów. Nowelizacja nakłada na podmioty kluczowe i ważne obowiązki wdrożenia systemu zarządzania bezpieczeństwem informacji, systematyczne szacowanie ryzyka i zarządzanie nim, a także przeprowadzanie audytów bezpieczeństwa co dwa lata.
Dodatkowo wszystkie podmioty według nowelizacji będą musiały korzystać z systemu S46 mając na celu raportowanie incydentów i wymianę informacji o cyberzagrożeniach i podatnościach. Ustawa o krajowym systemie cyberbezpieczeństwa wzmacnia również uprawnienia nadzorcze organów właściwych ds. cyberbezpieczeństwa, umożliwiając im prowadzenie kontroli i audytów oraz nakładanie kar za nieprzestrzeganie przepisów. Nowelizacja przewiduje także możliwość uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka i nakazania wycofania jego produktów z użycia w określonym terminie.
Strategia Cyberbezpieczeństwa RP i Krajowy plan reagowania na incydenty
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa nakłada na Radę Ministrów obowiązek przyjęcia oraz regularnej aktualizacji Strategii Cyberbezpieczeństwa RP. Strategia ta obejmuje cele, zadania i środki niezbędne do ochrony najważniejszych sektorów gospodarki i infrastruktury przed cyberzagrożeniami. Aktualizacja tego dokumentu ma zapewnić, że będzie ona odpowiadać na dynamicznie zmieniające się wyzwania w obszarze cyberbezpieczeństwa, uwzględniając nowe technologie, trendy w cyberzagrożeniach oraz międzynarodowe zobowiązania Polski.
Równolegle do strategii nowelizacja wprowadza Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie. Plan ten jest opracowywany przez ministra ds. informatyzacji we współpracy z Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa, Rządowym Centrum Bezpieczeństwa oraz innymi organami. Krajowy plan określa procedury zarządzania kryzysowego, role i obowiązki poszczególnych instytucji oraz sposoby koordynacji działań w przypadku poważnych incydentów cybernetycznych.
Dlaczego otoczenie prawne będzie się zmieniać?
Otoczenie prawne dotyczące cyberbezpieczeństwa będzie się zmieniać w odpowiedzi na dynamicznie rozwijające się zagrożenia w cyberprzestrzeni. Cyberataki stają się coraz bardziej zaawansowane i zróżnicowane, co wymusza ciągłe dostosowywanie przepisów do nowych realiów. Rozwój technologii, takich jak Internet Rzeczy (IoT), sztuczna inteligencja oraz sieci 5G, stwarzają nowe możliwości, ale także niosą ze sobą ryzyko nowych typów zagrożeń, które muszą być uwzględnione w regulacjach prawnych. Ponadto globalny charakter cyberzagrożeń sprawia, że międzynarodowa współpraca w zakresie cyberbezpieczeństwa staje się niezbędna. Wszystkie kraje w Europie muszą współpracować, dzielić się informacjami i wspólnie wypracowywać strategie obronne, co również wpływa na kształtowanie się krajowych przepisów prawnych. Te czynniki powodują, że otoczenie prawne w zakresie cyberbezpieczeństwa, w tym ustawa o cyberbezpieczeństwie jest w ciągłej ewolucji, dostosowując się do nowych wyzwań i technologicznych zmian.
O czym trzeba pamiętać niezależnie od zmian w ustawie KSC?
Niezależnie od zmian w ustawie warto pamiętać, że ogólne założenia KSC wynikają z dyrektywy NIS2, która jest już opublikowana. Z tego powodu możesz rozpocząć już przygotowania do wdrożenia KSC.
Cyberbezpieczeństwo można rozpatrywać w dwóch kategoriach: biznesowej i technicznej, oba są bardzo ważne i się uzupełniają. Organizacja, w której pracujesz powinna brać pod uwagę obie te kategorie w działaniach mających na celu wzrost cyberodporności. Cyberbezpieczeństwo biznesowe skupia się na wysokopoziomowych aspektach zarządczych i strategicznych związanych z bezpieczeństwem informacji w celu ochrony wartości firmy. Natomiast cyberbezpieczeństwo techniczne odnosi się do praktycznych aspektów ochrony infrastruktury IT, w tym zabezpieczeń sieciowych, ochrony danych i systemów oraz zarządzania incydentami. Integracja działań w obu tych obszarach zapewnia, że wdrożone środki ochrony nie tylko chronią przed zagrożeniami technicznymi, ale także wspierają strategiczne cele biznesowe, minimalizując ryzyko i umożliwiając efektywne zarządzanie incydentami oraz utrzymanie reputacji firmy.
Kolejną implikacją NIS2 jest potrzeba wdrożenia procesu oceny i zarządzania ryzykiem w organizacji opartego na odpowiedniej metodyce oceny ryzyka. Organizacje muszą regularnie identyfikować i oceniać zagrożenia, aby zminimalizować ryzyko ich materializacji. Ważnym punktem do wdrożenia jest system zarządzania bezpieczeństwem informacji (SZBI). Powinien on opierać się na strategii, która jasno definiuje priorytety i cele organizacji w zakresie ochrony danych. W kontekście NIS2, konieczne jest określenie i uzasadnienie odpowiednich środków bezpieczeństwa, które będą proporcjonalne do zidentyfikowanego w poprzednim punkcie ryzyka.
Ostatnim istotnym aspektem jest zapewnienie odporności infrastruktury cyfrowej. Organizacje powinny rozwijać i wdrażać plany postępowania z ryzykiem, które umożliwiają szybkie reagowanie na incydenty oraz minimalizację ich skutków. Właściwie przygotowany plan działania, uwzględniający różne scenariusze zagrożeń, zwiększa zdolność organizacji do utrzymania ciągłości działania nawet w sytuacjach kryzysowych.
Jak przygotować organizację na zmieniające się przepisy?
Aby zapewnić odpowiednie środki bezpieczeństwa i przygotować organizację na zmieniające się przepisy, pierwszym krokiem jest przeprowadzenie dogłębnej analizy aktualnego stanu środków i procedur bezpieczeństwa. Ocena ta powinna obejmować przegląd istniejących systemów, polityk i procedur, aby zidentyfikować luki i obszary wymagające poprawy. Kolejnym krokiem jest wdrożenie kompleksowego systemu zarządzania bezpieczeństwem informacji, który uwzględnia najlepsze praktyki i kluczowe elementy, takie jak zarządzanie ryzykiem, polityki bezpieczeństwa, monitorowanie i raportowanie. Ręczna realizacja tych działań może być trudna, a okresowe aktualizacje dostosowujące do zmian mogą być jeszcze trudniejsze. Z tego powodu warto wykorzystać narzędzie, które jest dostosowane do potrzeb zarządzania ryzykiem związanym z technologiami. Takim narzędziem jest RIG NIS, które pomaga w szacowaniu ryzyka, budowaniu planów postępowania ryzykiem, czy też w zarządzaniu ryzykiem dostawców łańcucha dostaw. To wszystko dostępne jest w ramach przejrzystych tabel i automatycznie aktualizujących się dashboardów podsumowujących informacje.
Kolejnym istotnym elementem przygotowań jest cyberhigiena – regularne przeprowadzanie audytów bezpieczeństwa oraz oceny ryzyka, co pozwala na bieżąco monitorować stan zabezpieczeń i szybko reagować na ewentualne słabości. Współpraca z zespołami CSIRT jest kluczowa dla efektywnego zarządzania incydentami cybernetycznymi. Ponadto zbudowanie i regularna aktualizacja planu reagowania na incydenty zapewnia gotowość organizacji do szybkiego i skutecznego działania w sytuacjach kryzysowych. Plan ten powinien zawierać jasne zasady postępowania, role i obowiązki, a także procedury komunikacji wewnętrznej i zewnętrznej. Dodatkowo kultura bezpieczeństwa w formie regularnych szkoleń i edukacji pracowników, zwiększa ich świadomość na temat nowych zagrożeń i procedur, co jest kluczowe dla skutecznego zabezpieczenia organizacji.