Dyrektywa NIS2 ma „zaszczepić” lepsze cyberbezpieczeństwo na rynku. Wchodzi w październiku

Dyrektywa w sprawie bezpieczeństwa sieci i informacji NIS2 jest prawdopodobnie jednym z najważniejszych aktów prawnych dotyczących cyberbezpieczeństwa, jakie kiedykolwiek weszły w życie w Europie. 27 państw członkowskich UE ma czas do 17 października 2024 r. na przyjęcie i wdrożenie standardów niezbędnych do zapewnienia zgodności z NIS2, która nakłada na przedsiębiorstwa większe wymagania w zakresie bezpieczeństwa, jak również wprowadza obowiązek bardziej regularnego i szybszego raportowania o cyberatakach.

Zakres dyrektywy NIS2 został wyraźnie rozszerzony, a w niektórych krajach liczba objętych nią podmiotów wzrośnie do ok. 30 000. Dla porównania – dyrektywa NIS1 dotyczyła tylko 3000 podmiotów. Ponadto organizacje, które nie spełnią nowych wymogów, będą musiały liczyć się ze znacznie poważniejszymi konsekwencjami, m.in. surowymi grzywnami w przypadku niedotrzymania terminów i osobistą odpowiedzialnością w kontekście kierownictwa danej organizacji.

Jaki wpływ będzie miała NIS2 na innowacje w zakresie cyberbezpieczeństwa na kontynencie? I czy możemy zaobserwować gwałtowny wzrost inwestycji w cyberbezpieczeństwo, czego efektem byłaby rosnąca dostępność nowych rozwiązań? Na pewno potrzeba bardziej rygorystycznych środków cyberbezpieczeństwa. Według ostatnich badań IDC tylko 28 proc. dyrektorów ds. bezpieczeństwa informacji (CISO) w regionie EMEA i LATAM regularnie testuje swoje plany reagowania na incydenty.

— To wszystko zbiega się w czasie z ewoluującym coraz szybciej krajobrazem zagrożeń, który zmienia się głównie pod wpływem generatywnej sztucznej inteligencji. Na przykład jednostka 42 firmy Palo Alto Networks niedawno zaobserwowała przypadek, w którym cyberprzestępcy wyodrębnili 2,5 terabajta danych w ciągu zaledwie 14 godzin, demonstrując niespotykany dotąd poziom wydajności — zauważa Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający Palo Alto Networks w Europie Wschodniej. I dodaje: — W świetle tych informacji Komisja Europejska ma nadzieję, że jej rozporządzenie doprowadzi do ewolucji cyberodporności w kierunku kluczowego filaru kultury organizacyjnej.

Czytaj też: Oszuści podszywają się pod znany bank. Jest ostrzeżenie

NIS 2. Katalizator dla innowacji czy hamulec postępu?

Krytycy dyrektywy NIS2 twierdzą, że nowe przepisy są potencjalnie zbyt daleko idące i zmierzają w kierunku nadmiernej regulacji. Ponadto część podmiotów, które obejmie nowa dyrektywa, nie jest uważana za „krytyczną” dla gospodarki. Rygorystyczne przepisy regulacyjne i możliwość nałożenia kar za nieprzestrzeganie dyrektywy mogą skłonić organizacje do bardziej ostrożnego podejścia do cyberbezpieczeństwa. Taki scenariusz może być wyraźnie niekorzystny w obecnej rzeczywistości, w której krajobraz zagrożeń ewoluuje szybciej i jest coraz bardziej złożony.

Dla przykładu firmy mogą zdecydować się na korzystanie z powszechnie akceptowanych starszych technologii, mimo że nowsze systemy wykrywania, oparte na sztucznej inteligencji, będą oferować bardziej precyzyjną i dostosowaną do potrzeb biznesowych identyfikację zagrożeń. Z tego powodu przyjęcie innowacyjnego podejścia pozwoliłoby organizacjom nie tylko chronić się dzisiaj, ale także zabezpieczyć swoje operacje na przyszłość.

Dyrektywa NIS2 — w swoich motywach — obliguje podmioty do „dążenia do integracji technologii zwiększających cyberbezpieczeństwo, takich jak sztuczna inteligencja lub systemy uczenia maszynowego, w celu zwiększenia ich możliwości oraz bezpieczeństwa sieci i systemów informatycznych”.

Sprawdź też: Nasilenie cyberataków w Polsce i na świecie. Oto jak zwiększyć bezpieczeństwo na smartfonie

Kwestia ryzyka

Naukowiec Donald David Stewart Ferguson argumentuje, że ograniczona skuteczność dyrektywy NIS2 wynika przede wszystkim z wąskiego zakresu środków zarządzania ryzykiem cyberbezpieczeństwa, w tym braku konkretnych zasobów skoncentrowanych na rozpoznawaniu cyberataków.

Można mieć nadzieję, że Komisja Europejska przedstawi dalsze wytyczne w swoim akcie wykonawczym w 2024 r. co do tego, jakie kroki zapobiegawcze powinny podjąć podmioty, aby zidentyfikować złośliwe operacje w swoich sieciach jeszcze przed przeprowadzeniem incydentu przez cyberprzestępców.

— Technologie wykorzystujące uczenie maszynowe i sztuczną inteligencję mogą pomóc we wdrażaniu środków zapobiegawczych, dlatego w przepisach wykonawczych państw członkowskich UE dotyczących NIS2 należy zachęcać do ich implementowania — przekonuje ekspert z Palo Alto Networks.

Należy podkreślić, że założenia dyrektywy NIS2 kładą szczególny nacisk na ujednolicenie standardów cyberbezpieczeństwa i obowiązków sprawozdawczych we wszystkich państwach członkowskich UE. Takie podejście może zniechęcać do poszukiwania innowacyjnych rozwiązań, które będą dopasowane do wymogów konkretnych rynków i wyzwań dla poszczególnych organizacji. Potrzeby np. sektora finansowego w zakresie cyberbezpieczeństwa znacznie różnią się od potrzeb sektora usług pocztowych, a każdy z nich zostanie objęty przepisami, wynikającymi z dyrektywy NIS2.

Usługi finansowe borykają się z bardziej złożonymi i dotkliwymi zagrożeniami, które bezpośrednio wpływają na stabilność finansową i wymagają większych inwestycji w bezpieczeństwo oraz rygorystycznej zgodności z przepisami. Z kolei usługi pocztowe mogą nie obsługiwać bezpośrednich transakcji finansowych na taką samą skalę, ale nadal wymagają solidnych środków bezpieczeństwa w celu ochrony danych osobowych i zapewnienia ciągłości operacyjnej. Oczywiście istnieją już przepisy dotyczące cyberbezpieczeństwa dla poszczególnych sektorów, jednak, aby firmy mogły osiągnąć prawdziwie holistyczne cyberbezpieczeństwo, muszą przyjąć podejście dostosowane do własnych potrzeb.

Obecne przepisy dotyczące cyberbezpieczeństwa nie są w stanie sprostać najważniejszym wyzwaniom związanym z bezpieczeństwem. Rozwiązaniem może być bardziej uniwersalne i przy tym rygorystyczne podejście proponowane przez NIS2. Jego dobrze zdefiniowane ramy będą działać na rzecz „zaszczepienia” większej stabilności na rynku, zapewniając organizacjom jasny plan działania w zakresie zgodności. Takie podejście daje NIS2 potencjał do zachęcania do inwestowania w opracowywanie rozwiązań, które spełniają te standardy i są odpowiednie dla poszczególnych podmiotów.

Czytaj też: Cyberwojna już trwa. Co grozi Polsce i jak się chronić? „Obserwujemy nasilenie działań o charakterze hybrydowym”

Wprowadzanie innowacji poprzez regulacje

Rozszerzenie zakresu wymagań względem kolejnych sektorów i podmiotów za pomocą dyrektywy NIS2 może stymulować popyt na innowacje w sektorze cyberbezpieczeństwa. Zwiększone zapotrzebowanie ze strony przedsiębiorstw może działać jako potężny katalizator transformacji, ponieważ firmy z sektora cyberbezpieczeństwa będą się ścigać w opracowywaniu rozwiązań, które zaspokoją rosnące potrzeby rynku.

Dużą zmianą byłoby przyjęcie podejścia do cyberbezpieczeństwa, które sprzyja integracji oraz konsolidacji technologii i źródeł danych. Byłby to duży krok naprzód względem obecnego podejścia, polegającego na korzystaniu z wielu odrębnych technologii, które nie są w stanie dostarczyć pełnego obrazu sytuacji cybernetycznej w urządzeniach podłączonych do internetu, sieciach i środowiskach chmurowych. Dzięki zintegrowanym rozwiązaniom firmy mogą szybciej i łatwiej wykrywać zagrożenia, a następnie reagować. W ten sposób organizacje ograniczają zarówno potencjalne ryzyko finansowe, jak i nadszarpnięcie reputacji wynikające z podatności na cyberzagrożenia.

Takie podejście pozwala również podmiotom na łatwe skalowanie operacji cyberbezpieczeństwa i automatyzację wielu zadań, które często są obsługiwane ręcznie, co pomogłoby im zapewnić zgodność z NIS2 w całej organizacji. Ponadto firmy będą znacznie skuteczniej dotrzymywać krótszych terminów raportowania w ramach NIS2 dzięki widoczności z poziomu jednego interfejsu i alertom otrzymywanym w czasie rzeczywistym.

Spełnienie wymogów zgodności z NIS2 będzie również wymagało od podmiotów przyjęcia nowych technologii i praktyk w zakresie cyberbezpieczeństwa, takich jak zaawansowane funkcje wykrywania zagrożeń i reagowania na incydenty. Przykładowo ulepszone platformy reagowania na incydenty, integrujące automatyzację i sztuczną inteligencję, mogą znacznie skrócić czas reakcji na zagrożenia przy zaangażowaniu mniejszych zasobów wymaganych do reagowania na incydenty bezpieczeństwa. Mogą też zapewnić, że działania są spójne i zgodne z najlepszymi praktykami. Sztuczna inteligencja umożliwi również dostęp do zaawansowanych usług bezpieczeństwa.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Bądź na bieżąco! Obserwuj nas w Wiadomościach Google.

Źródło