Cyberbezpieczeństwo jako inwestycja – nie bójmy się NIS2!

Łukasz Gawron, Prezes Zarządu Klastra #CyberMadeInPoland

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej, szerzej znana jako NIS2, to najważniejszy akt prawny, który wpłynie na funkcjonowanie wielu organizacji. Jest to aktualizacja obowiązującej od 2016 roku dyrektywy NIS (wdrożone w Polsce w 2018 r. poprzez Ustawę o Krajowym Systemie Cyberbezpieczeństwa). w tej chwili proces transpozycji NIS2 do polskiego porządku prawnego znajduje się na końcowym etapie, a nowelizacja ustawy ma wejść najpóźniej w życie już jesienią tego roku.

Kogo dotyczy dyrektywa?

Choć NIS2 obejmuje przede wszystkim sektory najważniejsze i istotne z punktu widzenia gospodarki i bezpieczeństwa Polski, jej wytyczne warto potraktować jako uniwersalny drogowskaz dla każdej organizacji dążącej do zwiększenia swojej cyberodporności.

Co należy wdrożyć?

Firmy należące do sektorów kluczowych i ważnych mają obowiązek samorejestracji. Dlatego w pierwszej kolejności warto zweryfikować, czy nasza organizacja spełnia kryteria operatora usługi kluczowej lub ważnej (m.in. wielkość przedsiębiorstwa i sektor w którym działamy). Następnie należy skupić się na wdrożeniu wymaganych środków technicznych i organizacyjnych, takich jak:

• polityka szacowania i zarządzania ryzykiem,

• procedury obsługi incydentu i zapewnienia ciągłości działania,

• bezpieczeństwo łańcucha dostaw,

• praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,

• polityki i procedury dotyczące kryptografii i szyfrowania,

• zarządzanie zasobami ludzkimi, kontrola dostępu i zarządzanie aktywami,

• w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego.

Dodatkowo organizacje objęte dyrektywą będą zobowiązane do przeprowadzania audytów cyberbezpieczeństwa co najmniej raz na trzy lata. Warto jednak podkreślić, iż powyższa lista nie jest zamknięta – każda firma powinna dostosować swoje polityki i procedury do specyfiki prowadzonej działalności oraz realnych zagrożeń.

Cyberbezpieczeństwo jako inwestycja, a nie koszt

Wejście w życie znowelizowanej ustawy to doskonała okazja do dokonania przeglądu systemów cyberbezpieczeństwa w organizacji – zasobów, ryzyk, umiejętności i poziomu wiedzy. Cyberodporność przynosi szereg korzyści:

• minimalizuje ryzyko potencjalnych kar związanych z regulacjami lub wyciekami danych,

• zmniejsza prawdopodobieństwo udanego ataku oraz koszty jego skutków,

• wzmacnia zaufanie klientów i partnerów biznesowych,

• stanowi przewagę konkurencyjną.

Przedsiębiorcy powinni zadać sobie nie pytanie: „Czy stać mnie na rozwiązania z zakresu cyberbezpieczeństwa?”, ale „Czy stać mnie na obsługę incydentu, odbudowę działalności, zarządzanie kryzysem wizerunkowym i zapłacenie kar?”.

Na szczęście, przedsiębiorcy nie pozostają sami z tym wyzwaniem. O trudnościach związanych z wdrażaniem regulacji, trendach i nowoczesnych technologiach będą dyskutować eksperci podczas największych targów cyberbezpieczeństwa w Polsce – CYBERSEC EXPO & FORUM, które odbędą się 11–12 czerwca w Krakowie.