NIS2. Nowa era cyberbezpieczeństwa. Jak firmy powinny przygotować się na zmiany?

W rozmowie na temat Dyrektywy mającej na celu ustanowienie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2), Marek Chlebicki, Partner w PwC Polska, wraz z Szymonem Grabskim, Senior Managerem w PwC Polska, dzielą się swoimi spostrzeżeniami i punktami widzenia na ten temat. Omawiają, w jaki sposób organizacje powinny podejść do wdrożenia NIS2, jakie najlepsze praktyki należy przyjąć oraz dlaczego proaktywne podejście do wprowadzania zmian związanych z cyberbezpieczeństwem i odpornością cyfrową przynosi największe korzyści biznesowe.

8d12934f577a74814bf92d15789e68a0, Biznes Fakty
Od lewej: Szymon Grabski, starszy menedżer, Marek Chlebicki, partner w PwC Polska | Foto: materiały prasowe
  • Dyrektywa NIS2 nie tylko ustanawia minimalne standardy cyberbezpieczeństwa, ale także pełni funkcję katalizatora strategicznego zarządzania ryzykiem technologicznym i cybernetycznym w organizacjach.
  • Przedsiębiorstwa powinny postrzegać NIS2 jako szansę na rzeczywiste zwiększenie swojej odporności cyfrowej, a nie tylko jako kolejny wymóg biurokratyczny.
  • Skuteczne zwiększenie cyberodporności wymaga integracji wysiłków na wszystkich szczeblach organizacji i w jej różnych obszarach (IT, cyberbezpieczeństwo, zarządzanie ryzykiem) – od zarządu po zespoły operacyjne.
  • Szybki postęp technologiczny i rosnąca liczba zagrożeń cybernetycznych oznaczają, że zarządzanie ryzykiem musi być działaniem ciągłym, a nie jednorazowym.

Business Insider Polska (BI): Czym jest dyrektywa NIS2?

Szymon Grabski, Senior Manager w PwC Polska (SG): NIS2 to dyrektywa UE skupiona na cyberbezpieczeństwie. Jej pełna nazwa to Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii Europejskiej. Jako dyrektywa, jej postanowienia nie są bezpośrednio egzekwowalne – każde państwo członkowskie jest odpowiedzialne za włączenie ich do własnego ustawodawstwa. NIS2 to kolejny element regulacji w tej dziedzinie – zastępuje poprzednią Dyrektywę NIS, która została transponowana do prawa polskiego poprzez Ustawę o krajowym systemie cyberbezpieczeństwa. Obecnie NIS2 wymaga nowelizacji tego aktu w celu dostosowania przepisów krajowych do nowych standardów.

Głównym celem dyrektywy jest ujednolicenie i podniesienie poziomu odporności cyfrowej w wybranych sektorach gospodarki. Koncepcja ta ma na celu zapewnienie przedsiębiorstwom działającym w Unii Europejskiej podobnego i przewidywalnego poziomu bezpieczeństwa. Nowe przepisy obejmują kilka sektorów uznanych za kluczowe lub znaczące, w tym gospodarkę odpadami, usługi pocztowe i kurierskie, produkcję i dystrybucję żywności, produkcję elektroniki, usługi cyfrowe, badania naukowe i sektor energetyczny. Zakres ten jest szeroki i obejmuje branże, które z różnych powodów mają strategiczne znaczenie dla państw członkowskich.

Drugim kryterium stosowalności NIS2, oprócz świadczenia usług w jednym z określonych sektorów, jest wielkość firmy. Z kilkoma wyjątkami dyrektywa ma zastosowanie do firm zatrudniających ponad 50 osób i generujących obroty przekraczające 10 milionów euro. W porównaniu z poprzednią dyrektywą NIS, nowe rozporządzenie określa bardziej precyzyjne wymagania dla organizacji dotyczące środków zarządzania bezpieczeństwem informacji. Podczas gdy poprzednie przepisy były szerokie i dawały krajom znaczną swobodę w definiowaniu wymagań, takich jak normy techniczne, NIS2 zmienia to podejście. NIS2 wyraźnie określa minimalne wymagania dotyczące cyberbezpieczeństwa obowiązujące w całej Unii Europejskiej, które organizacje muszą przyjąć.

BI: Jakie konsekwencje dla organizacji w praktyce ma obowiązek zarządzania ryzykiem cyberbezpieczeństwa?

Marek Chlebicki, Partner w PwC Polska (MC): Kluczową zmianą wprowadzoną przez NIS2 jest to, że firmy są zachęcane do przyjęcia podejścia opartego na ocenie ryzyka, zamiast jedynie ustalania wymogów cyberbezpieczeństwa. Ta zmiana odzwierciedla szerszy trend regulacyjny widoczny w wielu współczesnych ramach prawnych dotyczących cyberbezpieczeństwa i nowych technologii, w tym AI i Cloud. Nowe przepisy, takie jak NIS2, nie zawsze zalecają konkretne środki bezpieczeństwa do wdrożenia, ale raczej uzależniają ich wybór od ocen firm opartych na wcześniejszych analizach ryzyka. Organizacje muszą niezależnie oceniać zagrożenia, z którymi się mierzą, identyfikować te, które są krytyczne, i podejmować świadome i odpowiednie działania w celu ich złagodzenia do akceptowalnego poziomu.

Oznacza to znaczącą zmianę, która przenosi nacisk z samego spełniania wymagań na aktywne zarządzanie technologią i cyberbezpieczeństwem w sposób, który jest oparty na zrozumieniu środowiska i ryzyka, czyniąc go w ten sposób bardziej strategicznym i wyprzedzającym. Aby skutecznie zarządzać ryzykiem technologicznym i cyberbezpieczeństwa, organizacje muszą nie tylko wskazać najpilniejsze zagrożenia, ale także ocenić ich implikacje dla działalności. Wiąże się to z wykorzystaniem procesów i technik modelowania zagrożeń w celu kompleksowego zrozumienia konkretnych ryzyk, przed którymi stoi dana organizacja, i ustanowienia odpowiednich środków ochronnych. Celem nie jest tylko identyfikacja ryzyk, ale zrozumienie, które są szczególnie istotne dla naszej organizacji pod względem prawdopodobieństwa, wpływu lub krytyczności dla ciągłości działania.

Innym istotnym aspektem wprowadzonym przez nowe przepisy jest skupienie się na regularnej ocenie systemów i procesów, co gwarantuje ich długoterminową skuteczność. Wszystkie te elementy stanowią całkowicie nowe podejście do zarządzania odpornością cyfrową, którą regulatorzy chcą zaszczepić w firmach. Mówiąc praktycznie, przestrzeganie wymogów NIS2 nie tylko ułatwia zgodność z przepisami, ale także inicjuje znaczące zmiany w modelu operacyjnym dotyczącym cyberbezpieczeństwa i zarządzania technologią.

SG: Można to porównać do systemu szczepień – nie każda szczepionka jest potrzebna wszędzie na świecie. W Europie chronimy przed konkretnymi chorobami, podczas gdy w innych regionach priorytety wynikające z ocen ryzyka związanych z konkretnymi chorobami mogą się całkowicie różnić. To samo dotyczy cyberbezpieczeństwa – istotne jest rozpoznanie, które ryzyka są dla nas najbardziej istotne i dostosowanie środków bezpieczeństwa do specyfiki organizacji, zamiast stosowania jednolitych, nieelastycznych i czasami ekonomicznie nieuzasadnionych ram dla wszystkich.

Dlatego przeprowadzenie dokładnej analizy ryzyka jest kluczowe. Intuicyjnie, w cyberbezpieczeństwie często koncentrujemy się najpierw na zagrożeniach wynikających z

Źródło

No votes yet.
Please wait...

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *