47. Cyberbezpieczeństwo w praktyce: Przygotuj swoją firmę na obowiązki z NIS-2 – dlaczego nie warto czekać?

Przedsiębiorco – nie czekaj na atak cybernetyczny, zabezpiecz swoją firmę już teraz! Każdy przedsiębiorca, niezależnie od branży, jest narażony na zagrożenia cybernetyczne. Jakie błędy popełniasz, ignorując obowiązki z NIS-2 i zwlekając z wdrożeniem ich w swojej organizacji? Dowiedz się, jak możesz działać już teraz, zanim stanie się za późno!

Znaczenie Dyrektywy NIS-2

Ministerstwo Cyfryzacji opracowało i opublikowało nowy projekt nowelizacji ustawy krajowego systemu cyberbezpieczeństwa – nowelizacji, która ma implementować do krajowego porządku prawnego dyrektywę NIS-2. 

Dyrektywa NIS-2 nie jest tylko kolejnym dokumentem prawnym, ale fundamentem, na którym opiera się bezpieczeństwo cybernetyczne w całej Unii Europejskiej. Wprowadza ona zaktualizowane i zaostrzone wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych oraz znacznie poszerza krąg podmiotów zobowiązanych do dostosowania się do określonych w niej wymgań. Termin na wdrożenie tej dyrektywy do krajowego porządku prawnego upłynął 17 października 2024 roku. Już wiemy, że Polska zanotuje opóźnienie w transpozycji dyrektywy NIS-2 do krajowego porządku prawnego. Dlaczego mimo wszystko warto nie czekać na krajowego ustawodawcę i zainteresować się wdrożeniem obowiązków wynikających z Dyrektywy NIS-2 już teraz?

Kliknij i napisz do nas. Zapraszamy na konsultacje

Dlaczego nie warto czekać z przygotowaniami?

Wielu przedsiębiorców decyduje się odłożyć wdrożenie wymogów NIS-2, czekając na wejście w życie nowelizacji krajowej ustawy. Jednak w dzisiejszym, cyfrowym świecie, gdzie informacja to waluta, a każda luka bezpieczeństwa może oznaczać katastrofę, takie podejście jest jak taniec na krawędzi wulkanu. Cyberprzestępcy nie śpią, a ataki cybernetyczne stają się coraz bardziej wyrafinowane. Dlatego też, bez względu na to, czy zostaniecie sklasyfikowani jako podmiot kluczowy, czy też ważny w rozumieniu NIS-2, w mojej ocenie każdy przedsiębiorca powinien zadbać o system ochrony informacji w swojej firmie. W szczególności podmioty zobowiązane do stosowania NIS-2 powinny przygotować się do wdrożenia jak najwcześniej.

Cyberbezpieczeństwo – odpowiedzialność zarządu

Niezależnie od branży, w której działa, każdy przedsiębiorca jest dzisiaj narażony na cyberataki. Niestety, wielu liderów biznesu nadal traktuje cyberbezpieczeństwo jako obowiązek narzucony przez UE, nie zdając sobie sprawy, że jest to ochrona nie tylko przed karami, ale przede wszystkim przed realnymi stratami, które mogą wystąpić w następstwie ataków cybernetycznych. W tym kontekście ważne jest, aby nie tylko 'odhaczyć’ odpowiednie procedury, ale przede wszystkim zrozumieć je i prawidłowo wdrożyć w organizacji.

To wyraz pewnej odpowiedzialności kadry zarządzającej za informacje strategiczne w firmie i ich należytą ochronę. Powiedzmy sobie wprost obecnie na ataki cybernetyczne narażony jest każdy przedsiębiorca. Wszyscy bowiem działamy w otoczeniu wielu systemów informatycznych, wprowadzamy informacje i dane do tych systemów, żyjemy w dobie głębokiej cyfryzacji usług. Wskazuje się, że w 2023 roku w Polsce mieliśmy średnio ponad 1800 ataków cybernetycznych tygodniowo, a szacuje się, że w 2024 roku liczby te mogą wzrosnąć o 200%. Cyberprzestępcy wymyślają coraz to nowe metody ataków, a rezultatem tych ataków mogą być nie tylko realne straty finansowe, ale także wizerunkowe dla firmy. W tym kontekście wydaje się, że jednak warto „zapobiegać niż leczyć”.  

Jakie kroki należy podjąć?

Począwszy od wewnętrznego audytu techniczno-prawnego, którego efektem będzie ocena spełnienia obowiązków wynikających z NIS-2, przygotowania lub dostosowania wewnętrznych procedur i polityk w zakresie systemu bezpieczeństwa informacji,  po opracowanie harmonogramu faktycznego wdrożenia i uszczelnienia tego systemu w firmie – te kroki pozwolą na dogłębną analizę i adaptację Waszych organizacji pod nowe wymogi. Ważne jest, aby każdy zespół ds. cyberbezpieczeństwa był multidyscyplinarny i potrafił spojrzeć na organizację z różnych perspektyw – od IT, kadrę kierowniczą, osoby znające biznes i otoczenie firmy (jej kontrahentów i dostawców), strukturę organizacyjną i kadrową, słabe punkty organizacji, aż wreszcie po prawne aspekty ochrony danych i informacji.

Wprowadzenie procedur w świat rzeczywisty: przejście od papieru do praktyki

Jak wspomniałem wcześniej, nie wystarczy jedynie wprowadzić procedury na papierze. Ważniejsze jest ich realne wdrożenie w życie organizacji. Aby procedury te faktycznie zaczęły działać, niezbędne jest zaangażowanie każdego członka organizacji, począwszy od kierownictwa aż po wszystkich pracowników. Opracowanie odpowiednich procedur to tylko wierzchołek góry lodowej. Pod wodą kryje się cała masa działań, które muszą zostać wykonane, aby procedury te realnie wpłynęły na poprawę bezpieczeństwa cybernetycznego w firmie. 

Ocena ryzyka i zespół multidyscyplinarny

Dyrektywa NIS-2 nakłada na przedsiębiorców obowiązek cyklicznej oceny ryzyka. Kluczowi i ważni przedsiębiorcy muszą wdrożyć odpowiednie środki techniczne, operacyjne i organizacyjne. Już teraz warto zatem zadbać o utworzenie zespołu odpowiadającego za dostosowanie do wymagań NIS-2. Ważne jest, aby zespół ten  nie ograniczał się wyłącznie do działu IT, ale będzie również posiadał kompetencje multidyscyplinarne. Zespół taki powinien znać nie tylko technologię, systemy, ale także specyfikę biznesową firmy, jej słabe punkty oraz otoczenie i regulacje prawne, których porusza się firma, znać dostawców, z którymi współpracuje przedsiębiorca. Przykładowo, jeżeli w następstwie wprowadzenia procedury przedsiębiorca raz w roku przeprowadza ocenę ryzyka bezpieczeństwa systemów, to może okazać się, że jego rzeczywiste zdolności do realnej oceny zagrożeń mogą być ograniczone ze względu na brak odpowiednich kompetencji w zespole lub niewłaściwe rozdysponowanie obowiązków. Dlatego już teraz warto pomyśleć jak właściwie dobrać zespół do wyzwań czekających ich w sferze cyberbepieczeństwa lub poszukać konsultantów, którzy w porę zaznajomią się ze specyfiką biznesu i pomogą w ocenie ryzyka, dostosowaniu procedur i w przygotowaniu odpowiednich środków oraz rozwiązań w zakresie cyberbezpieczeństwa. 

Nie czekaj na ustawę: działaj teraz

Nawet jeśli ustawa UKSC jeszcze nie weszła w życie i nie jesteśmy pewni, kiedy to nastąpi, moje doświadczenie podpowiada, że nie warto czekać. Już teraz należy przeprowadzić wstępne audyty techniczno-prawne i zacząć projektować wewnętrznych procedur. Realne prace nad dokumentacją często ujawniają różnorodne problemy, na które przedsiębiorcy nie byliby przygotowani gdyby nie wcześniejsze rozpoczęcie prac wdrożeniowych. W rezultacie wcześniejszego podjęcia działań przedsiębiorca może szybciej zdać sobie sprawę ze skali wyzwań, które na niego czekają i opracować  harmonogram działań na dostosowanie przedsiębiorstwa do NIS-2 i nowego UKSC. Pozwoli to wreszcie na odpowiednie zarządzanie czasem i zasobami potrzebnymi do dostosowania infrastruktury technicznej i systemowej firmy, a także oszacowanie kosztów i ewentualne zabezpieczenie środków w budżecie na wprowadzenie odpowiednich rozwiązań. 

Weryfikacja dostawców i bezpieczeństwo łańcucha dostaw

Kolejnym ważnym argumentem praktycznym, który przemawia za tym, aby nie czekać z rozpoczęciem procesu przygotowawczego do wdrożenia obowiązków z NIS-2 jest konieczność zapewnienia bezpieczeństwa łańcucha dostaw oraz bezpieczeństwa procesów nabywania, rozwoju i utrzymania systemów informatycznych. Przedsiębiorcy sklasyfikowani jako kluczowi i ważni, którzy postanowią nie czekać na wejście w życie nowelizacji UKSC, a już teraz wprowadzają procedury mające na celu weryfikacje swoich dostawców pod kątem bezpieczeństwa systemów i zabezpieczenia informacji, niebawem rozpoczną sprawdzanie swoich kontrahentów. To, czy dostawcy spełniać będą wymogi innych firm dotyczące bezpieczeństwa łańcucha dostaw oraz bezpieczeństwa systemów, stanie się więc kluczowe. Dostawcy, którzy nie przejdą tego egzaminu, mogą zostać wykluczeni z dalszej współpracy, co może mieć istotne znaczenie dla ich biznesu. Ten praktyczny aspekt może przemówić do wyobraźni wielu przedsiębiorcom. 

Realne implikacje dla posiadaczy ISO 270001

Dotychczasowa treść nowelizacji UKSC wskazywała wprost, że norma ISO 270001 była uznawana za domniemanie spełnienia kluczowych wymagań określonych w ustawie. W swojej praktyce, mając przed oczami poprzedni projekt nowelizacji UKSC sam uspokajałem klientów, którzy byli posiadaczami certyfikatów zgodności z normą ISO 270001. W najnowszym projekcie ustawy jednak ta bezpośrednia referencja została usunięta. Oznacza to, że posiadanie certyfikatu zgodności z normą ISO 270001 już nie gwarantuje domniemania zgodności z NIS-2, co w praktyce może zaskoczyć wielu przedsiębiorców.

Nadchodzące obowiązki i konieczność działania

Wreszcie, ważne jest, aby przedsiębiorcy byli świadomi, że już niebawem będą musieli przeprowadzić samoidentyfikację jako podmioty kluczowe lub ważne i zgłosić się do systemu S46. Oznacza to, że już teraz warto przejść przez przepisy projektu i dokonać samooceny swojego biznesu, wreszcie odpowiedź sobie na pytanie, czy jestem podmiotem zobowiązanym do stosowania NIS-2, a jeżeli tak to czy klasyfikuję się jako podmiot ważny czy kluczowy. Od tego bowiem zależy konieczność spełnienia dalszych wymagań, w tym opracowania wewnętrznych procedur, ale także ich realnego odzwierciedlenia w praktyce działalności firmy.

To są działania, które już dzisiaj mogą mieć ogromny wpływ na przyszłość i bezpieczeństwo Waszej firmy w cyfrowym świecie. Zapobieganie jest kluczowe, dlatego nie czekajcie na zmiany prawne, lecz zacznijcie działać już teraz.

Kliknij i napisz do nas. Zapraszamy na konsultacje

Na zakończenie

Jak widzicie, przygotowania do wdrożenia NIS-2 to nie tylko konieczność, ale i szansa na wzmocnienie bezpieczeństwa waszej firmy. Nie czekajcie na ustawę – warto działać już teraz, by być przygotowanym. Dziękuję za oglądanie tego odcinka. Jeżeli znajdziecie w nim wartościowe informacje, zostawcie łapkę w górę, subskrybujcie nasz kanał ’To Zależy’ i bądźcie z nami, aby dowiedzieć się więcej o tym, jak chronić Waszą działalność w cyfrowym świecie. 

Do zobaczenia w kolejnym odcinku!

Nie zapomnij o kolejnych odcinkach, zapisz się na newsletter – wyślemy ci przypomnienie

Powiązane specjalizacje: nowe technologie | AI

Wolisz posłuchać? Wybierz odcinek i kliknij

Polecane odcinki i wpisy: