Wywiad. NIS2 – nowe wyzwania dla polskich firm

Do Krajowego Systemu Cyberbezpieczeństwa zostaną zaimplementowane unijne przepisy NIS2. Obejmą one zdecydowanie większą grupę firm niż dotychczas i sporo zmienią w kwestii ich cyberbezpieczeństwa. Czym są regulacje NIS2 i co ich wprowadzenie oznacza dla polskich przedsiębiorstw mówi Piotr Kowalski – manager ds. transformacji w zespole Polityk Publicznych i Spraw Europejskich Orange Polska.

Unijna dyrektywa NIS2 ma na celu wzmocnienie cyberbezpieczeństwa firm. Czym dokładnie jest?

Dyrektywa NIS2 to unijny zestaw wymagań kierowanych do sektorów uznanych za kluczowe i ważne dla gospodarki. Określa też uprawnienia organów administracji oraz zasady ich współpracy na poziomie krajowym i wewnątrz Unii Europejskiej.

Co prawda, dyrektywa jest kojarzona z cyberbezpieczeństwem, ale tak naprawdę jej zakres jest zdecydowanie szerszy. Właściwszym określeniem w tym przypadku wydaje się więc odporność systemów i usług.

Dlaczego? Podstawą jest bowiem podejście do zabezpieczenia z uwzględnieniem wszelkich możliwych zagrożeń. W to wlicza się także bezpieczeństwo fizyczne obiektów, szkolenia pracowników, relacje z dostawcami. Dla wielu firm oznacza to rewolucję i konieczność stworzenia całościowego podejścia do tematu bezpieczeństwa, w którym ochrona informatyczna jest jedynie częścią systemu.

W Polsce przepisy NIS2 nie zostały zaimplementowane do Krajowego Systemu Cyberbezpieczeństwa. Co to właściwie oznacza?

To prawda. Dyrektywa NIS2 weszła w Unii Europejskiej w życie w styczniu 2023 r. Jej zgodność na terytorium Polski trzeba będzie zapewnić na zasadach i w terminach przewidzianych w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Ta ma zostać przyjęta przez rząd do końca roku i następnie trafić do parlamentu. Po wejściu w życie pozostanie sześć miesięcy na wdrożenia, a dla podmiotów, które nie były dotychczas operatorami usług kluczowych, 24 miesiące na pierwszy audyt.

Nowe przepisy to duże wyzwania. Jakie są najważniejsze zmiany w nowelizacji ustawy?

Przede wszystkim zakres objętych podmiotów. Aktualnie operatorów usług kluczowych jest 378. Teraz przepisy obejmą ok. 10 tys. firm i ok. 28 tys. jednostek publicznych. Zasadą będzie samoidentyfikacja jako podmiot kluczowy lub ważny i zgłoszenie do rejestru.

Za największą zmianę w logice całego systemu uznaję jednak odejście od wdrażania bezpieczeństwa tylko wobec konkretnej usługi, ale wymóg zapewnienia go w całej organizacji.

Organy kontrolne otrzymają także możliwość naprawdę głębokiego zweryfikowania, na ile rzetelnie zrealizowano wdrożenie i czy zatrzymało się ono na poziomie tworzenia dokumentów, czy faktycznie „zaszyto” je w DNA organizacji.

Dla części firm z sektora cyfrowego konieczne będzie też spełnienie wymagań rozporządzenia Komisji Europejskiej, które opublikowano 18 października. Bardzo drobiazgowo określa ono progi zgłaszania incydentów oraz niezbędne elementy ram bezpieczeństwa. Dotychczas wymagania te były bardzo skromne.

Czy polskie firmy są przygotowane na takie wymagania? Ile mają czasu na przygotowanie się do zmian?

Publikowane ostatnio badania wskazują, że firmy nie są jeszcze gotowe. Do momentu, kiedy uprawnione organy będą mogły rozpocząć kontrole, zostało jeszcze około roku. To nie oznacza jednak, że możemy spocząć na laurach.

Dla firm, które dotychczas nie zbudowały tzw. systemu bezpieczeństwa, nie mają podstawowych certyfikatów dot. bezpieczeństwa informacji i ciągłości działania, to wręcz ostatni dzwonek na rozpoczęcie przygotowań. Dla przedsiębiorstw dojrzałych w tej dziedzinie to przegląd wszystkich procedur, struktury firmy oraz szukanie luk i rozbieżności, a także dostosowanie do najnowszych wytycznych.

Na teraz powiedziałbym, że najważniejsze jest zweryfikowanie, czy nowe przepisy nas obejmą. Samodzielnie lub z zaufanym partnerem trzeba sprawdzić, czy spełniamy kryteria wielkościowe oraz prowadzimy działalność kluczową lub ważną w myśl załączników do projektu ustawy. Szczególnie w sektorze produkcji można być zaskoczonym, bo podmiotem ważnym może być np. producent rowerów czy wózków inwalidzkich.

Realizacja nowych przepisów będzie kosztować. Czy firmy na to stać? Czy będą potrzebować nowych, kosztownych narzędzi do walki z cyberatakami?

Wbrew intuicji nowe przepisy to nie będzie domena wyłącznie specjalistów od cyberbezpieczeństwa, ale także osób w kadrach, prawników, specjalistów od zakupów, środowiska biurowego i wielu innych obszarów.

Myśląc o dostosowaniu, nie można zaczynać od kupowania narzędzi IT, ale od zaprojektowania systemu bezpieczeństwa, w ramach którego będą one dobrze funkcjonować. Kosztów nie uda się uniknąć, ale dzięki dobrej organizacji całego procesu można przynajmniej mieć pewność, że pieniądze zostały wydane na to, co było faktycznie potrzebne.

Czy firmy na to stać? Zarówno krajowe, jak i zagraniczne raporty wskazują na rosnący poziom zagrożeń i profesjonalizacji atakujących. Ich głównym motywem są korzyści finansowe. Jednocześnie każda działalność jest w jakiś sposób podatna, nawet jeśli nie ma jej w otwartym internecie.

Powiązania w łańcuchach dostaw powodują, że firmę można zaatakować np. przez niezabezpieczony dostęp pracownika poddostawcy. Skutki rozciągają się od utraty reputacji do zamknięcia działalności. Pytanie, na jakie dzisiaj powinniśmy odpowiadać, to czy stać nas na niebezpieczne usługi i czy ktokolwiek będzie chciał je kupować?

Czy warto zrobić wcześniej audyt zgodności z nowymi wymaganiami?

Jeśli już wiemy, że nowe wymagania nas obejmą, warto zacząć od analizy luk. Innymi słowy – trzeba sprawdzić, które wymagania już mamy zrealizowane, jakie rozwiązania trzeba dostosować, a co zbudować od zera. Wyjścia są dwa.

Albo mamy swój zespół, który podoła temu zadaniu i sformułuje wymagania organizacyjne, techniczne i wskaże, w co doposażyć nasz dział IT. Albo musimy znaleźć zaufanego partnera, który pomoże nam w tym procesie, oferując pełną opiekę lub dopasowane do naszych potrzeb komponenty.

Dodatkową wartość stanowi to, że wybrany podmiot zna obecny sposób działania Krajowego Systemu Cyberbezpieczeństwa i sam będzie mu podlegał. Idealny scenariusz to zakończenie wdrożenia zewnętrznym audytem oraz testami bezpieczeństwa.

… i jak krok po kroku realizować jego cele?

Ustawa będzie dawała jedyne dość ogólne wskazówki, jak zbudować system zarządzania bezpieczeństwem zgodny z ustawą KSC. Tak naprawdę nie ma jednego idealnego scenariusza. Warto zacząć od zespołu, którego zadaniem będzie przeprowadzenie firmy przez zmiany z silnym mandatem zarządu firmy.

To niezbywalną odpowiedzialnością kierownictwa firmy będzie bowiem zapewnienie odpowiednich środków, szkoleń oraz końcowe zatwierdzanie przyjmowanych rozwiązań.

Drugim krokiem będzie inwentaryzacja zasobów oraz kompleksowa analiza ryzyka prowadzona z myślą o celach ustawy. To ona da nam odpowiedź na pytanie o to, jak wdrożyć bezpieczeństwo w firmie i jakie proporcjonalne rozwiązania wybrać. Implementacji musi towarzyszyć szczegółowa dokumentacja, bo to o nią w pierwszej kolejności będą pytać kontrolerzy.

Co czeka spóźnialskich i firmy, które zignorują nowe przepisy?

Wysokość przewidzianych w nowelizacji ustawy o KSC kar może zwalać z nóg. Organy otrzymają też wiele narzędzi weryfikacji do sprawdzania zgodności. Natomiast, z perspektywy biznesu, nie skupiałbym się teraz na potencjalnych grzywnach administracyjnych. Najgorszą konsekwencją będzie bowiem to, że zaniechania w obszarze bezpieczeństwa mogą spowodować, że nasze usługi – niczym samochody bez hamulców – staną się niesprzedawalne.

Piotr Kowalski – manager ds. transformacji w zespole Polityk Publicznych i Spraw Europejskich Orange Polska.